Autor: Edgardo Ehiyan
Desde hace tiempo, administro un AS/400 en una empresa y me costo averiguar como podía proteger o configurar aceptablemente un equipo como este. A continuación dejo algunos consejos que le pueden servir a algún Administrador que recién empieza, o que hace bastante que esta pero nunca se puso a ver el tema de seguridad en este tipo de equipos.
La pantalla nos mostrara todos los valores del sistema y un menú de opciones en donde podremos visualizar (opción 5) o cambiar el valor del sistema (Opción 2). Veamos los mas relevantes en cuanto a la Seguridad.
Sistema: QMAXSIGN
Tipo: SEC
Descripción: Máximo de intentos de inicio de sesión permitidos
Valor: Recomendable 3 Intentos Permitidos
Nota sobre QMAXSIGN: Si se lo tiene configurado como está recomendado lo que podemos ver es si alguien intenta adivinar la password (ataque por diccionario) de un usuario determinado, usando un dsplog y seleccionando el identificador de mensajes CPF2234 (DSPLOG MSGID (CPF2234)) en donde podremos visualizar la fecha y la hora de "ataque".
Esto sirve a modo de control ya que si un usuario se equivoca tendría que aparecer un log pequeño, pero si aparece varias veces, daría pie para comenzar a sospechar.
Sistema: QMAXSGNACN
Tipo: SEC
Descripción: Acción a tomar en intentos inicio sesión fallidos
Valor: Recomendable la opción 2 - Inhabilita el perfil de Usuario
Sistema: QPWDEXPITV
Tipo: SEC
Descripción: Intervalo de caducidad de contraseña
Valor: Recomendable 60 días. Igualmente esto depende de como lo maneje
el Administrador
Sistema: QPWDMINLEN
Tipo: SEC
Descripción: Longitud mínima de contraseña
Valor: recomendable 6 posiciones o más
Sistema: QSECURITY
Tipo: SEC
Descripción: Nivel de seguridad del sistema
Valor: Establecer en 40 = Seguridad por contraseña, objeto, y sistema
operativo.
Sistema: QLMTDEVSSN
Tipo: SEC
Descripción: Límite sesiones de dispositivo
Valor:Se puede utilizar el valor 0 "no limita" y 1 "limita sesión de
dispositivos". Este valor del sistema controla si un usuario puede iniciar la sesión en
más de una estación de trabajo. Esto no impide
que el usuario utilice trabajos de grupo o efectúe peticiones de sistema (pulsando la tecla
Petición de Sistema) en la misma estación de trabajo. El valor suministrado por defecto
es 0.
El siguiente procedimiento nos servirá para saber si un usuario tiene una clave igual al nombre de usuario, algo nunca recomendado.
Ir a la línea de comandos e ingresar: go sectools Punto 1 "analizar contraseñas por omisión". En acción realizada en perfiles ingresar *NONE. Esto generará un listado en el Spool en donde figuraran los usuarios que tienen una clave igual a su nombre de usuario. Con esto ya podremos tomar las medidas correspondientes.
Este menú, además trae varios items de utilidad para controlar temas referentes a la seguridad como los siguientes:
Como se comentaba en nuestro artículo 49 [1], la mayoría de los AS/400 instalados
dan soporte para encriptación en la transmisión de datos pero, lamentablemente la
mayoría no lo usa.
Lo mas recomendable es que utilice el servicio de encriptación que brinda el equipo
(configuración SSL en Telnet a través del puerto 992 y no por el 23) para sesiones
vía Telnet o bien utilizar el 400 dentro de una VPN donde los datos viajan seguros.
Con una buena política de seguridad y estos pocos puntos, para mi modesto entender este
equipo es uno de los mas seguros que existe.
Lo digo por la arquitectura con la que esta concebido y por como se opera. Es muy difícil
(o casi imposible) ejecutar procedimientos o comandos que pueda comprometer al equipo, ya que todo
lo que se encuentra dentro de un as/400 se maneja como un objeto que tiene un propietario con su
respectivo nivel de autorización para poder ejecutarlo.
Resumiendo: si se implementan correctas políticas de seguridad para los tipos de usuarios con niveles como Secofr, Sysopr, Pgmr, Secadm y, además todos los datos transmitidos al AS/400 viajan encriptados, es realmente muy difícil poder ingresar en este tipo de equipos y hacer daño o poder extraer datos.
Buenos Aires, 23 de septiembre de 2006