Gestione accessi e sicurezza

Transcript

1 Controllo accessi al sistema AS/400 La procedura risiede unicamente sul sistema AS/400 ed ha i seguenti obiettivi: Filtrare tutti gli accessi al sistema Inibire gli accessi non desiderati Tracciare i lavori eseguiti da ogni accesso Affinche sia possibile distinguere gli accessi normali da quelli inconsueti, e necessario che a livello organizzativo si adottino tutte le regole di base per garantire il sistema: In particolare si raccomanda che: I normali utilizzatori di applicazioni siano codificati con possibilita limitate La stragrande maggioranza degli accessi avvenga via TELNET e solo occasionalmente via PASS-THROUGH Ogni utente operi con un profilo utente ed una password specifica a scadenza La conoscenza delle password di servizio sia limitata al personale tecnico La procedura di controllo degli accessi provvede autonomamente a catalogare gli accessi abituali, partendo dal presupposto che gli utenti operino abitualmente dalla stessa sede e dalla stessa stazione di lavoro. Sono classificati come collegamenti inusuali e di conseguenza soggetti a restrizione: Collegamenti con profilo diverso nell ambito della stessa sessione Collegamenti in PASS-THROUGH con possibilita non limitate Collegamenti TELNET da indirizzi sconosciuti con possibilita non limitate Collegamenti da indirizzo diverso da quello abituale Il controllo degli accessi inusuali vuole proteggere da collegamenti con password rubate o da parte di collaboratori o consulenti non piu autorizzati. Pagina 1 di 42

2 Intendiamo con il termine: Accesso: una richiesta di collegamento al sistema AS/400 qualificata da: a) Indirizzo IP di provenienza b) Nome della stazione di lavoro c) Utente Note: Per gli accessi via PASS-THROUGH da un altro sistema il qualificatore (a) non è definito; gli accessi via pass-through devono essere considerati un caso particolare. Il qualificatore (b) è facoltativo Il controllo avviene in due fasi, con possibilità di implementarne una terza come discusso nel seguito. Fase 1 Verifica della provenienza In base all indirizzo IP di provenienza viene verificata l autorizzazione ad accedere al sistema. La definizione delle provenienze è per intervalli di indirizzo e consente di: inibire temporaneamente o stabilmente l accesso da determinate provenienze inibire l accesso da determinate provenienze a certe categorie di utenti (es.programmatori) identificare e instradare diversamente le varie provenienze Poiché la stazione di lavoro puo richiedere il collegamento specificando il proprio nome (qualificatore (b), è stato introdotto un filtro che permette di specificare i nomi ammessi per ogni provenienza Si noti che il nome è determinante per l instradamento del lavoro e pertanto: - in generale questo tipo di connessione è sconsigliato - l instradamento dei nomi ammessi deve essere opportunamento previsto nei sottosistemi interattivi, al pari della nomenclatura automatica. Particolare attenzione va posta ai collegamenti con indirizzo IP assegnato dal sistema; questa modalità è gestita con la provenienza collegamento sconosciuto ; dovrebbe essere limitata il piu possibile e comunque consentire l accesso solo con profili utente generici (possibilità limitate). Fase 2 Verifica dell utente Come detto, l accesso viene instradato ad un sottosistema a seconda del nome della stazione connessa; il nome della stazione è generalmente assegnato dal sistema in base Pagina 2 di 42

3 alla provenienza; se predefinito, deve essere specificamente autorizzato ed avere una corrispondente specifica di instradamento in un sottosistema interattivo. Distinguiamo due tipi di sottosistema: Sottosistema fuori sicurezza Utilizzabile per connessioni locali e che si possano quindi considerare non a rischio Sottosistema in sicurezza Contiene un instradamento particolare che consente di attivare la fase 2 di controllo. Specifiche di instradamento di un sottosistema in sicurezza: Num seq Programma Libreria Valore di confronto Pos.iniz. 20 QCMD QSYS 'QCMDS' 1 30 SEC020 QGPL *ANY La fase 2 di controllo viene attivata solo per sottosistemi in sicurezza e quindi per provenienze che lo richiedono. Per gli accessi via PASS-THROUGH che non sono filtrati dalla fase uno, viene controllata e segnalata l eventuale inibizione a livello sottosistema o in generale per gli accessi PASS-THROUGH. Viene controllata l abilitazione in base al tipo di utente Fase 3 Accesso ristretto I collegamenti da indirizzi inusuali o via pass-through con profili aventi autorizzazione estesa o in generale da indirizzi IP non conosciuti, devono passare attraverso un terzo livello di verifica (restricted access). Questo livello consiste nella richiesta di una password ulteriore e di un dato personale dell utente precedentemente memorizzato; la password puo essere utilizzabile una sola volta, permanente o dinamica in relazione alla data/ora di accesso al sistema. In quest ultimo caso la password è fornita da un programma PC e verificata da un modulo residente su AS/400; il processo garantisce da: Furto di password accessi da persone e postazioni non autorizzate o in orari non previsti (l accesso è consentito solo se si ha il modulo PC) individuazione di password trasmesse su linee telefoniche (se la password è utilizzabile solo alla data/ora fornita dal sistema AS/400 al momento della richiesta di collegamento) Pagina 3 di 42

4 permettendo comunque l accesso controllato al personale tecnico anche da postazioni inusuali. Il modulo PC puo a sua volta contenere una chiave di accesso relativa alla persona cui viene consegnato, attivabile o disattivabile in qualsiasi momento su AS/400. Traccia dei collegamenti Tutti gli accessi (sia consentiti che negati) vengono registrati su un archivio di LOG consultabile attraverso una apposita funzione; per ogni accesso in sicurezza vengono anche registrate le sessioni di lavoro utilizzate. INSTALLAZIONE DEI PROGRAMMI 1) Richiedere la password di utilizzo per il prodotto RR0011, comunicando numero di serie (QSRLNBR), modello del sistema (QMODEL) e processore (QPRCFEAT). 2) Il prodotto è distribuito nel file SECCHK_EXE.SAVF, scaricabile dal sito 3) Aprire una sessione come QSECOFR 4) Creare su AS/400 la libreria RR_SAVF 5) Creare su AS/400 il file di salvataggio RR_SAVF/SECCHK_EXE 6) Trasferire il contenuto del file SECCHK_EXE nel file di salvataggio via FTP come da istruzioni di download ( 7) Digitare il comando:rstlib SAVLIB(SECCHK) DEV(*SAVF) SAVF(RR_SAVF/SECCHK_EXE). 8) Verificare che sia installata la libreria di base RIGHTWARE (oggetti in RIGHT_OBJ), oppure installarla; la libreria è ottenibile dalla pagina di download del sito 9) Modificare il valore di sistema QUSRLIBL inserendo RIGHT_OBJ in una posizione successiva a QTEMP 10) Chiudere e riaprire la sessione. 11) Digitare il comando:setup DSTLIB(SECCHK) TGTLIB(RIGHT_SYS) 12) Inserire la libreria RIGHT_SYS nella lista di librerie del sistema tramite il comando WRKSYSVAL QSYSLIBL. 13) Chiudere e riaprire la sessione. 14) Eseguire il comando SECCHKINI Il comando definisce la EXIT di attivazione QIBM_QTG_DEVINIT al numero programma , specificando il programma SEC001.. Nota: La libreria SECCHK può essere cancellata dal sistema Pagina 4 di 42

5 Modalità di attivazione e gestione 1) Creare con l apposito comando (SECSBS) i sottosistemi necessari (ad esempio QINTER_SEC per gli accessi in sicurezza e QINTER_LOC per gli accessi locali) 2) Definire tramite il comando SECDEF TYPE(*IP) tutti gli accessi TELNET previsti, definendo inizialmente la provenienza Collegamento sconosciuto come abilitata. 3) Aggiungere ai sottosistemi le specifiche di terminale in relazione alle nomenclature previste, tramite il comando SECTERM. 4) Definire le modalità di accesso via PASSTHRU, tramite il comando SECDEF TYPE(*PASSTHRU). 5) Effettuare delle simulazioni di accesso tramite il comando SECDEF TYPE(*TEST). 6) Attivare giornalmente i sottosistemi necessari ad esempio modificando il modulo QSTRUP 7) Effettuare prove di accesso verificando il sottosistema utilizzato, il nome di terminale assegnato e le informazioni registrate nel file di LOG (Comando SECCHK). 8) Sulla base dell analisi del LOG definire i tipi di terminale da non controllare (ad esempio le stampanti) tramite il comando SECDEF TYPE(*EXCLUDE). 9) Definire i nomi di terminale predefiniti ammessi per consentire l accesso con nomi preimpostati dal client, tramite il comando SECDEF TYPE(*SPECIAL). Gli accessi con nomi predefiniti non previsti saranno sostituiti dalla nomenclatura automatica o negati a seconda di quanto specificato alla voce *DEFAULT della definizione accessi predefiniti. 10) Verificare la provenienza degli accessi sconosciuti (UNKNW) e se possibile catalogarli. 11) A regime disattivare gli accessi sconosciuti specificando accesso consentito = no o accesso limitato ad utenti generici. 12) Gli accessi negati vengono comunque registrati. La sezione successiva descrive nel dettaglio le modalità di definizione. Pagina 5 di 42

6 Passi di definizione Creazione dei sottosistemi Devono essere creati uno o più sottosistemi interattivi; i sottosistemi possono essere o non essere in sicurezza a seconda delle specifiche di instradamento definite; in un sottosistema non in sicurezza non sono attivati i filtri descritti in Fase 2. Un esempio di sottosistema non in sicurezza può essere quello relativo ai collegamenti locali. Sono fornite a titolo di esempio le definizioni dei sottosistemi QINTER_LOC e QINTER_SEC. Pagina 6 di 42

7 Definizione accessi IP L archivio di definizione degli accessi (SECIP00F) contiene le informazioni necessarie a verificare ed instradare le richieste di collegamento al sistema. A fronte di un intervallo di indirizzi IP si definiscono i seguenti parametri: Descrizione Descrive la provenienza degli accessi Sequenza Definisce l ordine in cui vengono analizzate le regole di accesso Si consiglia di definire a sequenza 999 il range da a con descrizione Sconosciuto. Accesso consentito S/N Consente la disabilitazione temporanea o permanente degli accessi Indirizzo fisso S/N Definisce se la stazione di lavoro che si collegherà nel range definito ha un indirizzo fisso univoco per il sistema; la definizione condiziona l assegnazione del nome di terminale Pagina 7 di 42

8 Prefisso terminale Definisce l instradamento ad un sottosistema specifico, che dovrà contenere la definizione generica per nome di terminale. Il prefisso indicato ha valore informativo; l informazione effettiva è definita a livello di sottosistema tramite il comando ADDWSE o più comodamente tramite il comando fornito SECTERM. Come ultima sequenza si definirà un collegamento sconosciuto, in cui confluiranno tutti i collegamenti non predefiniti e non previsti. Pagina 8 di 42

9 Pagina 9 di 42

10 Non sono ammesse definizioni conflittuali del tipo: PAR LOCA PARIS LOCAL Il nome di terminale sarà assegnato diversamente a seconda che sia stato specificato indirizzo fisso o no. Esempio 1 : Collegamenti dalla sede di Parigi: indirizzi da a Indirizzo fisso Prefisso terminale PARIS Una stazione di lavoro che si collega da indirizzo assumerà il nome PARIS021 Esempio 2 : Collegamenti dalla sede di Milano: indirizzi da a Indirizzo non fisso Prefisso terminale MILAN La prima stazione di lavoro che si collega assumerà il nome MILAN00001, la seconda MILAN00002 e così via indipendentemente dall indirizzo utilizzato. Pagina 10 di 42

11 Non sono ammessi collegamenti con lo stesso nome, per cui una errata definizione può inibire gli accessi successivi al primo. Sottosistema Contiene facoltativamente l indicazione del sottosistema cui deve essere instradato il lavoro. Il programma di manutenzione provvederà ad aggiungere la specifica al sottosistema indicato, ma non a rimuovere la precedente in caso di modifica. L instradamento effettivo è gestito dalla definizione dei sottosistemi. Il sottosistema QINTER fornito da IBM contiene l instradamento per tipo *ALL che crea una situazione di conflitto e di conseguenza instradamenti casuali. Si consiglia di tenere QINTER disattivato. Pagina 11 di 42

12 E possibile richiedere una visualizzazione parzializzata dei dati. Pagina 12 di 42

13 Definizione accessi PASS-THROUGH Gli accessi via pass-through sono meno controllabili in quanto non hanno un indirizzo di provenienza. E stata creata la possibilita di abilitare gli accessi solo ad utenti predefiniti ed alle condizioni sotto elencate: Nome utente Se specificato *DEFAULT le condizioni inserite valgono per tutti gli utenti non espressamente citati Programma di controllo Se specificato un valore diverso da *NONE all atto del collegamento viene richiamato il programma indicato, che puo eseguire verifiche aggiuntive relativamente al collegamento effettuato Device fisso Se specificato, deve coincidere con il nome richiesto dal sistema di origine Accesso consentito Puo assumere i valori: N=L utente non puo accedere L=L utente puo accedere se ha caratteristiche di limitazione delle possibilita Y=L utente puo accedere comunque Pagina 13 di 42

14 Pagina 14 di 42

15 Attivazione controllo pass-through Il controllo sugli accessi pass-trough puo essere temporaneamente disattivato o, in fase di avviamento, sostituito con un messaggio atto a rilevare chi e perché utilizzi tale tipo di collegamento, in ordine a sostituirlo con un accesso TELNET. La modalità è gestita attraverso l area dati SECPASSTHR. Pagina 15 di 42

16 Nomi predefiniti ammessi In un collegamento TELNET il nome di terminale puo essere predefinito sul CLIENT La gestion normalmente assegna il nome al terminale secondo la nomenclatura prevista dalla definizione degli accessi (vedi sopra). La definizione di accessi con nome predefinito puo essere utilizzata per consentire una nomenclatura diversa o per gestire accessi particolari. Gli accessi con nomi predefiniti possono essere accettati o rifiutati a seconda dei seguenti criteri di codifica: Descrizione Definisce la motivazione della necessita del nome predefinito Sequenza Definisce l ordine in cui gli elementi sono analizzati Intervallo di indirizzo Limita l accettazione del nome predefinito ad una specifica provenienza Nomenclatura Definisce con un nome esatto o generico l accettabilita del nome predefinito Azione Definisce l azione da intraprendere per il collegamento in esame; puo assumere i valori: - A = Accesso consentito - R = Accesso rifiutato - I = Accesso consentito, ma sostituzione del nome predefinito con quello standard - L = Accesso consentito ad utenti con possibilita limitate - Pagina 16 di 42

17 Pagina 17 di 42

18 Esclusione traccia LOG per tipo di device Alcuni tipi di terminale non devono essere sottoposti a verifica (stampanti o apparecchiature particolari) La funzione di definizione mostra tutti i tipi di terminale che abbiano richiesto un accesso e permette di escluderne la verifica. Pagina 18 di 42

19 Aggiunta specifica di terminale L indirizzamento di un accesso ad un sottosistema avviene attraverso la nomenclatura del terminale. Tutti i nomi di terminale previsti dalla definizione, assegnati per default dal sistema (QPADEV*) o ammessi come nomi predefiniti devono essere aggiunti come nomi generici alle specifiche di terminale del sottosistema. Si consiglia di utilizzare sottosistemi diversi da QINTER, tenendo disattivati tutti i sottosistemi interattivi forniti da IBM. Pagina 19 di 42

20 Controllo profili utente Una funzione di lista consente di verificare la definizione corrente dei profili utente, evidenziandone la classe e la limitazione delle possibilità. La funzione è svolta dal comando SECDSPUSR. Pagina 20 di 42

21 Definizione gruppi di allarme Gli accessi possono essere raggruppati mediante l attribuzione di codici di gruppo che comprendono: nomi di terminale (e quindi indirettamente indirizzi IP di provenienza) utenti pass-through specifici nomi di terminale specifici Pagina 21 di 42

22 Un tasto di comando permette la visualizzazione solo delle entità facenti parte del gruppo. La stessa entità può appartenere a più gruppi di attivazione. Pagina 22 di 42

23 Il comando SECALARM permette in caso di emergenza di disattivare immediatamente tutti collegamenti di un gruppo, annullando i lavori in corso. La funzionalità va pertanto intesa come necessità di disattivazione immediata di tutti i collegamenti non desiderati, ma può essere utilizzata anche come strumento di inibizione temporanea di una tipologia di accesso. Le modalità di utilizzo sono descritte nel seguito. Pagina 23 di 42

24 Gestione passwords di secondo livello I normali utenti applicativi non hanno normalmente necessita di eseguire comandi di sistema e si collegano normalmente sempre dalla stessa postazione e sempre con lo stesso profilo utente. Il collegamento piu conveniente e normalmente via TELNET. E possibile sottoporre a verifica di secondo livello le condizioni diverse da quelle sopraelencate: In particolare: Collegamenti con profili utente diversi dalla stessa sessione operativa Collegamenti via pass-through senza limitazione delle possibilita Collegamenti da postazioni inusuali per l utente Accessi da indirizzo sconosciuto (prefisso terminale UNKNW) senza limitazione delle possibilita In tal caso l accesso deve essere consentito solo a persone identificabili indipendentemente dal profilo utente utilizzato e che abbiano pertanto ricevuto specifiche autorizzazioni e password: rientrano in questa categoria: Tecnici e programmatori Consulenti occasionali Persone che operano occasionalmente da sedi o postazioni diverse dalla propria. La definizione si compone di due fasi: Identificazione della persona: Nome utente Identifica la persona indipendentemente dal profilo utente che utilizzera Periodo di validita Specifica l intervallo di date in cui l autorizzazione e valida Domanda / Risposta Permettono l identificazione della persona tramite informazioni non facilmente conoscibili da parte di persone diverse. Attribuzione delle password: Consente di attribuire una password permanente o piu passwords usa e getta alla persona. La password e univoca e attribuita dal sistema. Le password sono stampabili tramite l apposita funzione. La domanda/risposta non e mai stampata. Pagina 24 di 42

25 In fase di avviamento è possibile abilitare le persone ad una richiesta on line di password di secondo livello, al fine di alleggerire la fase di definizione degli accessi speciali. La modalità è definita attraverso l area dati SECUNU. Pagina 25 di 42

26 L esempio che segue mostra la modalità di attribuzione di passwords permanenti o temporanee. La prima definizione definisce in assoluto il periodo di validità e la modalità di identificazione della persona. A fronte della persona possono poi essere attribuite password permanenti o temporanee. Pagina 26 di 42

27 La password attribuita può essere poi stampata. L esempio seguente mostra l attribuzione di passwords usa e getta ; tale definizione garantisce, più che un limite di utilizzo, l impossibilità di furti di password per collegamenti via internet o altro. Ogni password è infatti utilizzabile una volta sola. Pagina 27 di 42

28 Pagina 28 di 42

29 Pagina 29 di 42

30 Simulazione accessi Una volta completate le definizioni, è possibile utilizzare la funzione di simulazione per verificarne la correttezza. La funzione simula i passi di verifica che saranno eseguiti ad ogni accesso al sistema. Se non viene specificato un indirizzo IP, viene assunto un collegamento pass-through. La funzione SLOW consente una lettura passo-passo del processo. Pagina 30 di 42

31 Se il tipo di collegamento lo richiede, viene attivato il filtro di secondo livello. A seconda della scelta, viene attivato l opportuno livello di controllo. Se la fase non viene conclusa positivamente, l accesso viene negato. Pagina 31 di 42

32 Se invece viene fornita la password speciale corretta, si procede all identificazione dell utente. Questo passo garantisce dal furto di password che, come si è visto, possono essere stampate e consegnate all utente che le dovrà utilizzare. La combinazione domanda/risposta non viene infatti mai stampata. Se l esito è positivo, viene data la segnalazione di accesso consentito. Pagina 32 di 42

33 Pagina 33 di 42

34 Modalità di gestione Abilitazione/disabilitazione Per esigenze di manutenzione del sistema o di sicurezza, è possibile in qualsiasi momento disabilitare l accesso al sistema: Per una o piu provenienze Per uno o piu sottosistemi e quindi per tutte le provenienze che ad essi sono instradati Per gli accessi via pass-through Pagina 34 di 42

35 Permette di abilitare/disabilitare l accesso al sistema per tutti gli instradamenti che fanno riferimento ad un sottosistema. La funzione si basa sulla indicazione di sottosistema indicata nella definizione degli accessi; deve essere cura del gestore mantenere le specifiche di terminale del sottosistema allineate con la definizione data Pagina 35 di 42

36 Permette di abilitare/disabilitare l accesso al sistema per una specifica locazione. L abilitazione puo essere generale o limitata a profili con limitazione delle possibilita. L indicazione modifica quanto stabilito in fase di definizione dell accesso. La disabilitazione non comporta automaticamente il termine del sottosistema e quindi non ha effetto su collegamenti in essere. Un effetto diverso può essere ottenuto attraverso la disattivazione per gruppo di attivazione (ALLARME). Pagina 36 di 42

37 LOG analisys Permette di visualizzare, nell ambito dei parametri impostati, la registrazione di tutti gli accessi al sistema. In particolare attraverso questa funzione è possibile visualizzare: accessi da indirizzi non codificati (UNKNW) accessi da indirizzi non consentiti (accessi negati) collegamenti tramite password di secondo livello (concessi o negati) Pagina 37 di 42

38 Per ogni accesso è disponibile il dettaglio delle informazioni registrate Pagina 38 di 42

39 Disattivazione gruppo (ALLARME) Vengono immediatamente disabilitati tutti gli accessi da locazioni, stazioni di lavoro o utenti attinenti al gruppo di allarme specificato. Se richiesto vengono altresi terminati immediatamente tutti i lavori in esecuzione attinenti al gruppo di allarme specificato. Pagina 39 di 42

40 Riattivazione gruppo (ALLARME) Vengono ripristinati i valori di abilitazione precedenti all esecuzione dell allarme relativamente al gruppo di allarme specificato. NOTA: Vengono ripristinati i valori di abilitazione anche per locazioni, stazioni di lavoro e utenti appartenenti a piu gruppi di allarme, anche se disabilitati da un gruppo di allarme diverso da quello ripristinato. Pagina 40 di 42

41 Riferimenti tecnici Archivi SECIP00F Definizione degli accessi IP SECES00F Esclusione LOG per tipo di device SECNM00F Accessi predefiniti SECGR00F Gruppi di allarme SECPT00F Abilitazioni per collegamenti PASS-THROUGH SECAB00F Abilitazione/disabilitazione per sottosistema SECLG00F LOG collegamenti SECS100F Abilitazioni di secondo livello SECS200F Abilitazioni di secondo livello passwords criptate SECS300F Abilitazioni di secondo livello - LOG collegamenti SECS400F Abilitazioni di secondo livello Richieste di abilitazione Flusso della procedura Passo 1 (solo per collegamenti IP) La EXIT QIBM_QTG_DEVINIT (comando WRKREGINF) attiva il programma SEC001. SEC001 Exit collegamenti IP SEC000 Traccia LOG accesso SEC003 Reperisce data sessione SEC004 Reperisce indirizzo IP SEC002 Assegna nome e verifica abilitazione SEC018 Verifica se il nome predefinito è valido SEC008 Individua il device da utilizzare Passo 2 (Per tutti i collegamenti sotto security) I lavori sono instradati, in base al nome del device, ad un sottosistema libero (QINTER_LOC) o sotto sicurezza (QINTER_SEC). Gli accessi via PASSTHRU dovrebbero essere sempre sotto sicurezza. Gli accessi con nome di device predefinito sono filtrati attraverso l archivio SECNM00F. Il sottosistema (QINTER_SEC) instrada i lavori eseguendo il programma SEC020. Se l accesso è autorizzato, il lavoro è reinstradato con QCMD. SEC020 Pagina 41 di 42 Avvio in sicurezza

42 SEC011 Verifica abilitazione SEC014 Traccia LOG sessione SEC013 Verifica se *IP o *PASSTHR SEC010 Reperisce tipo di accesso SEC015 Scrive LOG se colleg. *PASSTHR SEC016 Reperisce data ultimo IPL SEC006 Registra sessione di lavoro SEC017 Avviso di collegamento non possibile Pagina 42 di 42