Home
Over System iMagazineAS/400 linksSearchContact
Vorige
Remain

Hoe staat het ervoor met System i Security anno 2008?

Is mijn IBM System i compatibel met de beveiligingsvoorschriften die de overheid en de markt voorschrijven? Zijn mijn gegevens veilig achter de muren van de System i? Zijn we in staat om fraude, diefstal van gegevens, en ander misleidend gedrag op te sporen? Hoe kan ik mijn systeem op de meest efficiënte en economische manier beveiligen?

Als u een hoofd uitvoerende of IT-manager bent met de verantwoordelijkheid voor System i-servers, dan bent u al vertrouwd met deze beveiligingsgerelateerde vragen. De PowerTech Group onderzocht meer dan 200 System i-servers voor haar System i Security Study 2008. De resultaten en de aanwezigheid van System i-kwetsbaarheden, leidden ons tot de conclusie dat als je een System i hebt, uw organisatie waarschijnlijk te kampen heeft met soortgelijke interne zwakheden.

PowerTech’s System i Security Study 2008 beoordeelt de System i op zes kritische audit-gebieden:

  • Krachtige gebruikersprofielen:
    Wie heeft macht en wie houdt die mensen in de gaten?
  • Gebruikersnaam- en wachtwoordbeheer:
    Zijn gebruikersnamen en wachtwoorden beschermd?
  • Data Access:
    Hoe zijn de afzonderlijke objecten en bestanden beschermd?
  • Netwerk toegangscontrole en auditing:
    Kunnen gegevens via het netwerk worden bereikt en kunnen deze activiteiten worden gedetecteerd?
  • Systeem-auditing:
    ouden wij controle op de naleving?
  • Waarden systeembeveiliging:
    Houden we vast aan fundamentele System i security-aanbevelingen?

Krachtige gebruikers
Er zijn acht soorten speciale bevoegdheden in OS/400. Afbeelding 1 toont het gemiddeld aantal gebruikersprofielen voor elke speciale autoriteit. Van alle speciale bevoegdheden, biedt er één de gebruiker onbeperkte mogelijkheden om ieder bestand en programma op het systeem te bekijken, wijzigen en verwijderen. Zoals de grafiek laat zien, is deze krachtige bevoegdheid (*ALLOBJ-autoriteit) aan een onaanvaardbaar hoog aantal gebruikers toegekend.

Hoewel het moeilijk is om een harde vuistregel te stellen voor alle omgevingen, zijn deskundigen het erover eens dat het aantal gebruikers met deze speciale bevoegdheid zo laag mogelijk moet worden gehouden. Als vuistregel nemen we aan dat het een goede veiligheidstoepassing is om niet meer dan tien gebruikers met deze speciale bevoegdheid te hebben op ieder systeem. Slechts zeven van de onderzochte systemen had minder dan tien gebruikers met een *ALLOBJ-autoriteit.

Wachtwoordbeheer en gebruikers beveiliging
Gebruikersnaam- en wachtwoordbeveiliging zijn van cruciaal belang, omdat zij de meest voor de hand liggende en gemakkelijk uitgebuite methode vertegenwoordigen die gebruikt kunnen worden om uw systeem te schaden. Zonder goede gebruiker- en wachtwoordbeveiligingsmaatregelen te treffen, zijn de inspanningen om andere gebieden van een System i-netwerk te beveiligen grotendeels ineffectief, omdat je er niet zeker van kunt zijn dat de gebruiker die zich heeft aangemeld dezelfde gebruiker is aan wie het ID en wachtwoord waren toegewezen.

Veel bedrijven hebben het beleid om hun gebruikersaccounts of profielen te baseren op een standaard formaat, zoals de eerste initiaal gevolgd door de achternaam (bijvoorbeeld jjansen, tdevries). Een hacker, of kwaadwillende werknemer, kan zo profielnamen raden en standaard wachtwoorden proberen. Het is zelfs makkelijker voor een werknemer die de interne normen begrijpt voor gebruikersprofielnamen om de accountnamen te raden en standaard wachtwoorden te proberen, vooral als zij op de hoogte zijn van de accounts die zijn aangemaakt, maar nog niet zijn gebruikt.

Over het algemeen laten de resultaten zien dat de procedures voor wachtwoordbeheer zwak zijn en veel gebruikersnamen kwetsbaar zijn voor diefstal van identiteit.

Datatoegang
Om de risico’s van ongeautoriseerde programmaveranderingen en databasewijzigingen te verminderen, raden auditors aan dat de gemiddelde gebruiker (in OS/400 is de term *PUBLIC een standaard indicator voor de gemiddelde gebruiker) niet moet worden toegestaan om de productiedatabases en broncode te lezen of te wijzigen.

PowerTech’s bevindingen tonen aan dat System i-gebruikers veel te veel bibliotheken hebben waartoe de gemiddelde gebruiker toegang heeft. De statistieken voor DB2/400-bibliotheken wijzen op een gebrek aan adequate controle over de gegevens, die vaak ook kritische financiële bedrijfsinformatie bevatten.

De resultaten tonen aan dat vrijwel iedere systeemgebruiker toegang heeft tot gegevens die tot ver buiten hun aangetoonde behoefte reiken. Auditors kijken of het bedrijf beschikt over een adequate scheiding van taken en of er adequate controles zijn om de scheiding van taken af te dwingen. Dit betekent dat de taak die gelieerd is aan een bedrijfsproces verdeeld moet worden over meerdere gebruikers. Als bevoegdheid op objectniveau niet zorgvuldig gedefinieerd wordt, kunnen gebruikers controles omzeilen en direct wijzigingen doorvoeren in gegevensbestanden. De studie geeft aan dat de meeste System i-gebruikers stappen zullen moeten ondernemen om de controles op de toegang tot hun gegevens te verbeteren.

Netwerktoegangscontrole en auditing
In de loop der jaren heeft IBM de kracht van de System i uitgebreid door het toevoegen van tools waarmee System i-gegevens toegankelijk zijn via andere platforms, met name van pc’s. Bekende diensten zoals FTP, ODBC, JDBC en DDM zijn kant-en-klaar om data te serveren over het netwerk zodra de machine aan staat. Elke gebruiker die een profiel heeft op het systeem, en geautoriseerd is voor de objecten, heeft de middelen om kritische bedrijfsgegevens op de System i te raadplegen.

Om deze ernstige blootstelling te verminderen, levert IBM interfaces die bekend staan als ‘exit points’, die beheerders in staat stellen om hun systemen te beveiligen. Een ‘exit-programma’ dat is gekoppeld aan een i5/OS-uitgang kan worden gebruikt om zowel de netwerktoegang tot het systeem te controleren als te beperken. System i-gebruikers kunnen hun eigen exit-programma’s schrijven of pakketsoftware aanschaffen voor deze taak. Zonder ingestelde exit-programma’s biedt i5/OS geen enkele audit-trail van de gebruikerstoegang via gemeenschappelijke tools voor netwerktoegang zoals FTP en ODBC.

Slechts 32% van de systemen uit de studie had exit-programma’s beschikbaar dat netwerktoegang tot de System i zou kunnen loggen en controleren. Zelfs op de systemen die exit-programma’s hadden, was de dekking vaak onvolledig. Gemiddeld werden slechts 19% van het totale aantal exit points van netwerktoegang gemonitord door een exit-programma. Zelfs die bedrijven die exit-programma’s hebben geïnstalleerd om hun gegevens te beschermen, verwaarlozen vaak een aantal van de kritische toegangspunten. Het lijkt erop dat veel bedrijven in de System i-gemeenschap zich niet bewust zijn van het grote open netwerkprobleem.


Krachtige gebruikers (speciale bevoegdheden)

Systeem-auditing
Een van de belangrijke beveiligingsvoorzieningen van de System i is zijn vermogen om alle belangrijke veiligheidsgerelateerde gebeurtenissen te loggen in een veilige audit journal die niet kan worden gewijzigd. Ongeveer 30% van de gecontroleerde systemen gebruikte echter niet de audit journal. Deze systemen zouden niet in staat zijn om de recente geschiedenis vast te stellen met vragen als “Wie heeft dit bestand verwijderd?” of “Wie heeft deze gebruiker *ALLOBJ-autoriteit gegeven?” De afwezigheid van de IBM Security Audit Journal duidt op een zeer laag controleniveau van het betreffende systeem.

Als de journal geactiveerd is, wordt het volume van de gegevens zo groot en de inhoud van het logboek zo cryptisch, dat het meeste IT-personeel problemen heeft met het daadwerkelijk monitoren van de activiteiten die gevonden worden in de IBM Security Audit Journal met de tools die beschikbaar zijn in het operating systeem. Om ondersteuning te bieden in deze toezichthoudende taak, bieden een aantal softwareleveranciers controle-instrumenten (auditing-tools) die een rapportage maken van de systeemgegevens die geschreven zijn voor het audit journal. Slechts 14% van alle systemen in de studie lijken dergelijke instrumenten te hebben geïnstalleerd.

Systeembeveiliging
De System i kan worden geconfigureerd op een aantal verschillende beveiligingsniveaus, vertegenwoordigd door systeemwaarde QSECURITY.

  • Level 10: Geen beveiliging.
  • Level 20: Wachtwoordbeveiliging. Elke gebruiker moet in het bezit zijn van een geldig ID en wachtwoord.
  • Level 30: Resourcebeveiliging. Objectniveau bevoegdheid wordt toegepast.
  • Level 40: Operating systeembeveiliging.
  • Level 30-bescherming plus operating systeemintegriteit.
  • Level 50: Uitgebreide operating systeembeveiliging. Level 40-bescherming plus verbeterde operating systeemintegriteit.

Van de 217 gecontroleerde systemen, had 34% het systeembeveiligingsniveau 30 of minder. IBM raadt minimaal een instelling aan van niveau 40 of hoger, omdat er verschillende bekende zwakheden zijn op veiligheidsniveau 30.

Conclusie
De System i werd lange tijd gezien als een van de meest veilige platforms. Maar deskundigen zijn het erover eens dat de veiligheid zo effectief is als het beleid, de procedures en de configuraties die zijn opgezet om een bepaald systeem te beheren. Deze studie wijst op een aantal zeer gemeenschappelijke veiligheidsrisico’s en configuratiebeheertoepassingen die moeten worden beperkt om de gegevens te beschermen die zich op de System i bevinden. In het algemeen heeft de studie aangetoond dat alle organisaties de IT-controles op hun System i-servers kunnen verbeteren.

Opgericht in 1996, en met meer dan 1.000 klanten wereldwijd, is PowerTech hét System i security- en compliancy-bedrijf, met kantoren in de VS en het Verenigd Koninkrijk. Dit is het vijfde jaar dat het bedrijf de jaarlijkse security-studie publiceert. De volledige inhoud van de studie (in het Engels) kan worden gedownload via www.powertech.com/2008.

 

An unknown error occurred:
DBError
../../../../db/reactie.db
Database file could not be found or opened
© Hilarius Media