51 - Consejos para tu AS/400 - 23/09/2006


Autor: Edgardo Ehiyan

Argentina Salud y Vida

Desde hace tiempo, administro un AS/400 en una empresa y me costo averiguar como podía proteger o configurar aceptablemente un equipo como este. A continuación dejo algunos consejos que le pueden servir a algún Administrador que recién empieza, o que hace bastante que esta pero nunca se puso a ver el tema de seguridad en este tipo de equipos.

Valores del Sistema relacionados con la Seguridad (wrksysval)

La pantalla nos mostrara todos los valores del sistema y un menú de opciones en donde podremos visualizar (opción 5) o cambiar el valor del sistema (Opción 2). Veamos los mas relevantes en cuanto a la Seguridad.

Sistema: QMAXSIGN
Tipo: SEC
Descripción: Máximo de intentos de inicio de sesión permitidos
Valor: Recomendable 3 Intentos Permitidos

Nota sobre QMAXSIGN: Si se lo tiene configurado como está recomendado lo que podemos ver es si alguien intenta adivinar la password (ataque por diccionario) de un usuario determinado, usando un dsplog y seleccionando el identificador de mensajes CPF2234 (DSPLOG MSGID (CPF2234)) en donde podremos visualizar la fecha y la hora de "ataque".

Esto sirve a modo de control ya que si un usuario se equivoca tendría que aparecer un log pequeño, pero si aparece varias veces, daría pie para comenzar a sospechar.

Sistema: QMAXSGNACN
Tipo: SEC
Descripción: Acción a tomar en intentos inicio sesión fallidos
Valor: Recomendable la opción 2 - Inhabilita el perfil de Usuario

Sistema: QPWDEXPITV
Tipo: SEC
Descripción: Intervalo de caducidad de contraseña
Valor: Recomendable 60 días. Igualmente esto depende de como lo maneje el Administrador

Sistema: QPWDMINLEN
Tipo: SEC
Descripción: Longitud mínima de contraseña
Valor: recomendable 6 posiciones o más

Sistema: QSECURITY
Tipo: SEC
Descripción: Nivel de seguridad del sistema
Valor: Establecer en 40 = Seguridad por contraseña, objeto, y sistema operativo.

Sistema: QLMTDEVSSN
Tipo: SEC
Descripción: Límite sesiones de dispositivo
Valor:Se puede utilizar el valor 0 "no limita" y 1 "limita sesión de dispositivos". Este valor del sistema controla si un usuario puede iniciar la sesión en más de una estación de trabajo. Esto no impide que el usuario utilice trabajos de grupo o efectúe peticiones de sistema (pulsando la tecla Petición de Sistema) en la misma estación de trabajo. El valor suministrado por defecto es 0.

Trabajando con las herramientas de seguridad

El siguiente procedimiento nos servirá para saber si un usuario tiene una clave igual al nombre de usuario, algo nunca recomendado.

Ir a la línea de comandos e ingresar: go sectools Punto 1 "analizar contraseñas por omisión". En acción realizada en perfiles ingresar *NONE. Esto generará un listado en el Spool en donde figuraran los usuarios que tienen una clave igual a su nombre de usuario. Con esto ya podremos tomar las medidas correspondientes.

Este menú, además trae varios items de utilidad para controlar temas referentes a la seguridad como los siguientes:

  • Visualizar lista de perfiles activos
  • Cambiar lista de perfiles activos
  • Analizar actividad de perfiles
  • Imprimir información interna de perfil
  • Cambiar auditoria de seguridad
  • Visualizar auditoria de seguridad
  • Ver autorizaciones sobre cualquier tipo de objeto que se encuentre en el sistema
  • ... y muchas opciones mas que valen la pena estudiar detenidamente.

Encriptacion y VPN

Como se comentaba en nuestro artículo 49 [1], la mayoría de los AS/400 instalados dan soporte para encriptación en la transmisión de datos pero, lamentablemente la mayoría no lo usa.
Lo mas recomendable es que utilice el servicio de encriptación que brinda el equipo (configuración SSL en Telnet a través del puerto 992 y no por el 23) para sesiones vía Telnet o bien utilizar el 400 dentro de una VPN donde los datos viajan seguros.

Nota:

Con una buena política de seguridad y estos pocos puntos, para mi modesto entender este equipo es uno de los mas seguros que existe.
Lo digo por la arquitectura con la que esta concebido y por como se opera. Es muy difícil (o casi imposible) ejecutar procedimientos o comandos que pueda comprometer al equipo, ya que todo lo que se encuentra dentro de un as/400 se maneja como un objeto que tiene un propietario con su respectivo nivel de autorización para poder ejecutarlo.

Resumiendo: si se implementan correctas políticas de seguridad para los tipos de usuarios con niveles como Secofr, Sysopr, Pgmr, Secadm y, además todos los datos transmitidos al AS/400 viajan encriptados, es realmente muy difícil poder ingresar en este tipo de equipos y hacer daño o poder extraer datos.

Buenos Aires, 23 de septiembre de 2006

Con más de 24 años de experiencia compartiendo la mejor información de Seguridad

Contacto