PART 16-B AS/400 AUDITING ASPECTS Jacques Herman
vrije Universiteit amsterdam 31 March 2003 File 16-B AS400 auditing aspects
© 2003
JH/VU MAR/2003
Programma-overzicht
PROGRAMMA-OVERZICHT
• Inleiding • • • • • •
Beveiligingsmodel Fysieke beveiliging System values Toegangsbeveiliging Datacommunicatie Diversen
AS/400 auditing aspects
2
Page 1 1
JH/VU MAR/2003
Inleiding
Bijzondere karakteristieken van de AS/400 • Object georiënteerd • Integratie van besturingssysteemcomponenten • Goede beveiligingsmogelijkheden • Gebruikersgemak gecombineerd met grote complexiteit
AS/400 auditing aspects
3
JH/VU MAR/2003
Inleiding ...
Omgevingen waar de AS/400 wordt aangetroffen • grote organisaties (gespecialiseerde staf) • kleine organisaties (systeembeheerder) • als afdelingscomputer (deeltijd systeembeheer)
AS/400 auditing aspects
4
Page 2 2
JH/VU MAR/2003
Inleiding ...
Integrated File System (IFS) • QSYS.LIB (AS/400 library structuur) • QDLS (DOS, Windows, OS/2 structuur) • QLANSrv • QOpenSys (Unix POSIX structuur RWX privileges)
AS/400 auditing aspects
5
JH/VU MAR/2003
Inleiding ...
Understand the computer environment Organisatie • Omvang • Complexiteit • Kennisniveau • Management attitude
Als u zelfs maar met één bevinding komt zoek ik meteen een andere IT auditor!
AS/400 auditing aspects
6
Page 3 3
JH/VU MAR/2003
Inleiding ...
Understand the computer environment Applicatie • Standaard pakketten • Maatwerk door derden • Maatwerk eigen ontwikkeling
Nee, we doen nog niet aan E-Commerce AS/400 auditing aspects
7
JH/VU MAR/2003
Inleiding ...
Understand the computer environment Infrastructuur • Model, OS/400 version • File systems • Network environment
Aaah, dus dat is uw AS/400
AS/400 auditing aspects
8
Page 4 4
JH/VU MAR/2003
Programma-overzicht
Programma-overzicht • Inleiding
• Beveiligingsmodel • • • • •
Fysieke beveiliging System values Toegangsbeveiliging Datacommunicatie Diversen
AS/400 auditing aspects
9
JH/VU MAR/2003
Beveiligingsmodel 1
Beveiligingsbeleid Beveiligingsbeleid
Automatiseringsbeleid Automatiseringsbeleid
Beveiligingsplan Beveiligingsplan AO AO//IC IC
Opzet Opzetbeveiliging beveiliging Implementatie Implementatie
Onderhoud Onderhouden entoezicht toezicht AS/400 auditing aspects
10
Page 5 5
JH/VU MAR/2003
Beveiligingsmodel ...
Soorten gebruikers • Eindgebruikers • Systeemontwikkeling • Systeembeheer
Objecten • Systeemobjecten – ontwikkeltools – beheerstools – systeem devices • Applicaties – programma's (source en object) – bestanden (vaste / variable gegevens)
Matrix gebruikers versus objecten AS/400 auditing aspects
11
JH/VU MAR/2003
Audit (2)
Systeembeheer • Naamgevingsconventie – gebruikers- en groepsprofielen – bibliotheken – autorisatielijsten • Scheiding ontwikkeling / test / productie • Back-up procedure • Documentatie ten aanzien van de inrichting
AS/400 auditing aspects
12
Page 6 6
JH/VU MAR/2003
Beveiligingsmodel ...
Implementatie • Beveiligingsniveau (QSECLVL) • Systeemwaarden (QCRTAUT) • Omgevingen (ontwikkel / test / productie) • Gebruikersgroepen (op basis van AO / IC) • Bibliotheken (gelijkwaardige objecten) • Speciale bevoegdheden (zeer beperkt) • Specifieke bevoegdheden (groepsprofielen) • Autorisatielijsten (voor utilities) • Adopted authority (bijzondere functies)
AS/400 auditing aspects
13
JH/VU MAR/2003
Programma-overzicht
Programma-overzicht • Inleiding • Beveiligingsmodel
• Fysieke beveiliging • System values • Toegangsbeveiliging • Datacommunicatie • Diversen
AS/400 auditing aspects
14
Page 7 7
JH/VU MAR/2003
Fysieke beveiliging
Aspecten • Klimaatbeheersing • Inbraak-, brand- en waterpreventie • Fysieke toegangsbeveiliging • Key-lock • Back-up
AS/400 auditing aspects
15
JH/VU MAR/2003
Fysieke beveiliging ...
Computer equipment is protected against environmental hazards • Fysieke locatie • Inbraak -, brand - en waterdetectie • Bekendheid van personeel met instructies bij de diverse (alarm) meldingen
En toch moet die procedure hier ergens liggen AS/400 auditing aspects
16
Page 8 8
JH/VU MAR/2003
Fysieke beveiliging ...
Key-lock • Secure • Auto • Normal – manual IPL the system • Manual – manual IPL and power off the system – dedicated Service Tools – different IPL (including from tape) – change IPL options
AS/400 auditing aspects
17
JH/VU MAR/2003
Fysieke beveiliging ...
Dedicated Service Tools Default wachtwoord
Functies
• Security
QSECOFR
Alle functies (inclusief wijzigen van DST en QSECOFR wachtwoorden)
• Full
22222222
Alle functies behalve wijzigen van wachtwoorden
• Basic
11111111
Basis DST functies
AS/400 auditing aspects
18
Page 9 9
JH/VU MAR/2003
Fysieke beveiliging ...
Computer equipment is protected against unauthorized access – – – – –
Fysieke toegangbeveiliging (badge readers) Bezoekers log Key-lock positie (niet op manual) Sleutelprocedure DST wachtwoordbeheer
AS/400 auditing aspects
19
JH/VU MAR/2003
Fysieke beveiliging ...
Back-up • SAVSTG (disk dump of all permanent data) • SAV – – – – –
ROOT QSYS.LIB QDLS QLANSrv QOpenSYS
• QSYS.LIB – – – – – –
SAVSYS (system libraries) SAVSECDATA (user profiles, security objects) SAVLDO (documents and folders) SAVLIB ({library naam}, *NONSYS, *ALLUSR of *IBM) SAVOBJ (specifieke objecten uit bibliotheken) SAVCHGOBJ (gewijzigde objecten)
AS/400 auditing aspects
20
Page 10 10
JH/VU MAR/2003
Fysieke beveiliging ...
Backup and recovery procedures meet the availability requirements Back-up principes – frequentie – aantal generaties – registratie en identificatie
• Fysieke locatie – dagelijks back-up – disaster location
• (Interne) controles – volledigheid – leesbaarheid – periodieke inventaris
U vraagt zich dus af hoe wij 30 Gb op één floppy kunnen backuppen
AS/400 auditing aspects
21
JH/VU MAR/2003
Programma-overzicht
Programma-overzicht • Inleiding • Beveiligingsmodel • Fysieke beveiliging
• System values • Toegangsbeveiliging • Datacommunicatie • Diversen
AS/400 auditing aspects
22
Page 11 11
JH/VU MAR/2003
Systeemwaarden 1
Ongeveer 100 systeemwaarden (8 typen) *ALC
Geheugentoewijzing
*DATTIM
Datum en tijd
*EDT
Opmaak
*LIBL
Lijst van bibliotheken
*MSG
Berichten en logboek
*SEC
Beveiliging
*STG
Geheugen
*SYSCTL
Systeembesturing
etc. AS/400 auditing aspects
23
JH/VU MAR/2003
Systeemwaarden ...
Veel waarden zijn slechts defaults, bijvoorbeeld • CRTUSRPRF (qdspsgninf, qpwdexpitv, qlmtdevssn) • CRTJOBD (qusrlibl, qdevrcyacn, qtsepool) • CRTDEVDSP (qkbdtype, qprtdev)
AS/400 auditing aspects
24
Page 12 12
JH/VU MAR/2003
Systeemwaarden ...
The selected system values enable effective security • Security level – QSECURITY dient tenminste 30 te zijn • Logging – qaudlvl, qaudctl, qaudendacn, qcrtobjaud • Password control – qpwdminlen, qpwdrqddif, qpwdexpitv, etc. • Session control – qmaxsign, qdspsgninf, qlmtdevssn, qinactitv • QCRTAUT – *EXCLUDE of *USE
AS/400 auditing aspects
25
JH/VU MAR/2003
Programma-overzicht
Programma-overzicht • • • •
Inleiding Beveiligingsmodel Fysieke beveiliging System values
• Toegangsbeveiliging • Datacommunicatie • Diversen
AS/400 auditing aspects
26
Page 13 13
JH/VU MAR/2003
Toegangsbeveiliging
Aspecten van toegangsbeveliging • User profile • Menu security • Object security • Special authorities • Adopted authority • Groepsprofielen versus autorisatielijsten
AS/400 auditing aspects
27
JH/VU MAR/2003
Toegangsbeveiliging ...
User profile • Password – initieel wachtwoord – expiratie interval (gebruik van *SYSVAL) • Gebruikersomgeving – initieel programma – initieel menu – print/job/message queues • Group profile • Speciale rechten – user class, special authorities
wachtwoord
AS/400 auditing aspects
FAKTUUR deze maand Is het
Deze maand is het wachtwoord
Faktuur
28
Page 14 14
JH/VU MAR/2003
Toegangsbeveiliging ...
Individual accountability is ensured • Gebruik van individuele gebruikersprofielen – geen functiegerelateerde profielen (b.v. Sales01) – group profiles: password *NONE – vervuiling (oude wachtwoorden, vreemde namen, etc.) – controle met PZ-gegevens over uitdienstreding – gebruikersprofielen die lange tijd niet gebruikt zijn
• Wachwoorden – wachtwoord gerelateerde systemwaarden – Iidividuele afwijkingen van systeemwaarden
• IBM supplied profiles – wijziging van de default passwords en/of ... – disable gebruikersprofielen AS/400 auditing aspects
29
JH/VU MAR/2003
Toegangsbeveiliging ...
Special privileges are granted on a need-to-have basis
• Business case voor toegekende priviliges – *ALLOBJ and *SECADM – overige special authorities • Toezicht op gebruikt – CHGUSRAUD USRPRF({user profile}) AUDLVL(*CMD)
AS/400 auditing aspects
30
Page 15 15
JH/VU MAR/2003
Toegangsbeveiliging ...
Access authorities are based on a user’s function rather than on the individual person • Structuur en naamgevingsconventies van gebruikersgroepen • Beoordeel deelname aan ‘conflicterende’ gebruikersgroepen • Special privileges bij voorkeur via een groepsprofiel toekennen
AS/400 auditing aspects
31
JH/VU MAR/2003
Toegangsbeveiliging ...
Menu security • User profile (LMTCPB = *YES) • IBM ‘tailored’ menu’s *MAIN of *USER – (gerelateerd aan de user class) • Voordelen – Beveiliging goed op maatwerk te maken – Goed te combineren met andere mogelijkheden • Nadelen – te uitgebreide menu’s doorbreken de beveiliging – andere ‘command-entry’ mogelijkheden – moeilijker te beoordelen
AS/400 auditing aspects
32
Page 16 16
JH/VU MAR/2003
Toegangsbeveiliging ...
Access to resources is granted through pre-established access paths • LMTCPB = *YES voor alle ‘eindgebruikers’ • ‘Beoordeel’ initiële menu’s • Beoordeel de gebruikers waarvoor geen menubeveiliging geldt
AS/400 auditing aspects
33
JH/VU MAR/2003
Toegangsbeveiliging ...
Object security (specific authorities) • Object rights (object als geheel) – opr, mgt, exist, alter, exist, ref • Data rights (inhoud van het object) – read, add, update, delete, execute • Public authority • Default public authority (assigned to newly created objects) – QCRTAUT – LIBCRTAUT
AS/400 auditing aspects
34
Page 17 17
JH/VU MAR/2003
Toegangsbeveiliging ...
Special authorities versus specific authorities • Special authorities – zijn onafhankelijk van objecten (b.v. *SAVSYS) – worden toegekend aan (groepen) gebruikers – gaan boven specifieke bevoegdheden (behalve indien specifiek voor een user *EXCLUDE is gespecificeerd) – *SECADM (kan maximaal zijn eigen bevoegdheden overdragen) • Specific authorities – zijn gekoppeld aan objecten – worden toegekend aan (groepen) gebruikers – onderscheid tussen object authorities and data authorities
AS/400 auditing aspects
35
JH/VU MAR/2003
Toegangsbeveiliging ...
Unauthorized access to resources is prevented • Beoordeel opzet en structuur van bibliotheken – Groeperen van objecten in bibliotheken – Naamgevingsconventie van bibliotheken • Beoordeel de beveiliging van bibliotheken – Rechten van bij voorkeur aan groepen gebruikers toekennen – *Public authority (*exclude’ of ‘*read’) – QCRTAUT en LIBCRTAUT • Afschermen van zeer kritische objecten binnen de bibliotheek • Beveiliging van kritische commando’s, speciale terminals, datacommunicatie lijnen, etc.
AS/400 auditing aspects
36
Page 18 18
JH/VU MAR/2003
Toegangsbeveiliging ...
Adopted authority Principe • Alle objecten (dus ook alle programma’s) hebben een eigenaar • Tijdens de uitvoering van het programma worden de rechten van de eigenaar tijdelijk overgenomen indien tijdens compilatie CRTCLPGM of met CHGPGM USRPRF(*OWNER) is opgegeven • Indien het programma een ander programma oproept, blijven de overgenomen rechten gelden • Indien geen gekwalificeerde namen gebruikt worden voor programma calls ({library name} / {program name}) kan een ongeautoriseerd programma de rechten erven (wijzigingen in de programma search LIBL)
AS/400 auditing aspects
37
JH/VU MAR/2003
Toegangsbeveiliging ...
The use of adapted authority programs does not undermine the access control structure • Rechten van de ‘owner’ van het programma • Functie van het programma • Wie mogen het programma gebruiken (object authority) • Gebruik van gekwalificeerde programmanamen (i.v.m. LIBL) • Documentatie • Formele goedkeuringsprocedure
AS/400 auditing aspects
38
Page 19 19
JH/VU MAR/2003
Toegangsbeveiliging ...
Groepsprofielen versus autorisatielijsten Groepsprofielen • Voor groepen gebruikers met vergelijkbare bevoegdheden – special authorities – specific authorities • Bij voorkeur het groepsprofiel owner van objecten laten zijn
Autorisatielijsten • Voor groepen objecten met vergelijkbare toegangsrechten (voor zover de groepering in bibliotheken onvoldoende is geweest) • Autorisatielijsten blijven bestaan ook als de objecten zijn gewist
AS/400 auditing aspects
39
JH/VU MAR/2003
Toegangsbeveiliging ...
Access to powerful system tools is properly restricted • Afscherming van hulpmiddelen voor programmeurs zoals DFU, PDM, SDA, SEU, COBOL, RPG, SQL, etc. – Zijn alle betrokken programma’s afgeschermd d.m.v. autorisatielijsten? – Wie mogen deze hulpmiddelen gebruiken? – Is er sprake van logging of een andere vorm van toezicht?
Ik ben toch wel benieuwd naar die SQL roll-back functie AS/400 auditing aspects
40
Page 20 20
JH/VU MAR/2003
Programma-overzicht
Programma-overzicht • • • • •
Inleiding Beveiligingsmodel Fysieke beveiliging System values Toegangsbeveiliging
• Datacommunicatie • Diversen
AS/400 auditing aspects
41
JH/VU MAR/2003
Datacommunicatie
DATACOMMUNICATIE Distributed Data Management (DDM) • Vanuit een ‘source’ systeem bestanden op een ‘target’ systeem gebruiken • Submit remote command: batch file met commando’s aanbieden
Display Station Pass Through (DSPT) • Terminal op een ander systeem (S/36, S/38 of AS/400)
SNA Distributed Services (SNADS) • Asynchrone datadistributie, zoals mail en Submit Network Command
AS/400 auditing aspects
42
Page 21 21
JH/VU MAR/2003
Datacommunicatie ...
Datacommunicatie Client Access/400 (PC - AS/400 communicatie) • Terminal emulatie • Virtual printer • Remote Command • File Transfer • Shared Folders TCP/IP • Telnet • FTP • HTTP • SMTP • SLIP AS/400 auditing aspects
43
JH/VU MAR/2003
Datacommunicatie ...
Datacommunication functions should not create unexpected holes in security • Disable alle niet gebruikte protocollen – *REJECT voor diverse protocollen (CHGNETA) – Autostart(*NO) voor diverse TCP/IP protocollen – Verwijder/disable/beperk default profiles • Disable the autoconfiguration (qautovrt=*no) • Beperkt het aantal gebruikers met *IOSYSCFG • Beveilig de commando’s van de diverse communicatie protocollen – STRTCPSRV, STRTCPFTP, STRTCPTELN, STRTCPPTP – FTP, TELNET, LPR, SNDTCPSPLF • Gebruik huurlijnen of dial-back modems AS/400 auditing aspects
44
Page 22 22
JH/VU MAR/2003
Datacommunicatie ...
Users / jobs / commands are properly authenticated Display Station Pass Through (DSPT) CHGSYSVAL QRMTSIG
Only Onlyfor for trusted trustednodes nodes
• • • •
*reject *frcsignon *sameprf *verify
geen DSPT use normal sign-on use same profile and no sign-on same profile or sign-on
AS/400 auditing aspects
45
JH/VU MAR/2003
Datacommunicatie ...
Users / jobs / commands are properly authenticated Only Onlyfor for trusted trustednodes nodes
DDM (submit remote command) • gebruiker logt niet aan op de target • SECURELOC(*YES): zelfde user profile (indien AVI) • SECURELOC(*NO): gebruik default user profile •
CHGNETA(geldt voor het netwerk) • DDMAC(*REJECT) • DDMAC(*object) • DDMAC(programma)
Restrict Restrictdefault default reject alle DDM sessie acces accesprivil. privil. use object security user exit programma + objaut
For Foradditional additional filtering filtering AS/400 auditing aspects
46
Page 23 23
JH/VU MAR/2003
Datacommunicatie ...
Users / jobs / commands are properly authenticated
SNADS (Submit Network Command) Review Reviewjobs jobs before beforesubmit submit
• gebruik een default profile op het “target”system • CHGNETA (geldt voor het hele netwerk)
Restrikt Restriktdefault default acces accesprivil privil
• *JOBACN (*reject)
geen SNADS
• *JOBACN (*file)
input file (job) is queued
• *JOBACN (*search)
tabel met de toegestande jobs
IfIfall allnodes nodes are aretrusted trusted AS/400 auditing aspects
47
JH/VU MAR/2003
Datacommunicatie ...
Users / jobs / commands are properly authenticated TCP/IP Understand that password confidentiality may be compromised (bepaalde systeemwaarden gelden niet meer) • QMAXSIGN: terminals access is not blocked after invalid password count treshold is reached (virtual IP addresses) • QINACTITV: no session time-out • Anonymous FTP user (default profile)
Prevent remote access for *ALLOBJ and *SERVICE users • SYSVAL QLMTSECOFR (0)
Anonymous FTP • Add exit programs for server logon and operations (ADDEXITPGM) • ANONYMOUS user should have PASSWORD(*NONE) • Restrict access of ANONYMOUS user AS/400 auditing aspects
48
Page 24 24
JH/VU MAR/2003
Datacommunicatie ...
Menu Security is not circumvented DDM (submit remote comand) • gebruiker logt niet aan op de target – SECURELOC(*YES): zelfde user profile (indien AVI) – SECURELOC(*NO): gebruik default user profile
• CHGNETA (geldt voor het hele netwerk) – DDMAC(*REJECT)reject alle DDM sessie – DDMAC(*OBJECT) use object security – DDMAC(programma) user exit programma + objaut
Filter Filteron on commands commands AS/400 auditing aspects
49
JH/VU MAR/2003
Datacommunicatie ...
Menu Security is not circumvented SNADS (Submit Network Command) • gebruikt een default profile op het ‘target’ systeem • CHGNETA (geldt voor het hele netwerk) – *JOBACN(*reject) – *JOBACN(*file) Review Reviewjobs jobs before beforesubmit submit
geen SNADS input file (job) is queued
IfIfall allnodes nodes are aretrusted trusted
– *JOBACN(*search)
tabel met de toegestane jobs
AS/400 auditing aspects
50
Page 25 25
JH/VU MAR/2003
Datacommunicatie ...
Menu Security is not circumvented Client Access/400 Functies
CHGNETA
• Remote Command • File Transfer • PSCACC(*reject) • PSCACC(*objaut) • PSCACC(programma)
no file transfer users object rights apply user exit programma + objaut
We hebben het redelijk onder controle, vinden we zelf
Screening Screeningof of funct/comnds. funct/comnds.
AS/400 auditing aspects
51
JH/VU MAR/2003
Datacommunicatie ...
Menu Security is not circumvented TCP / IP Functies • FTP (file transfer) • FTP RCMD (remote command)
File Transfer Protocol Exits • QIBM_QTMF_CLIENT_REQ • QIBM_QTMF_SERVER_REQ • QIBM_QTMF_SVR_LOGON
Client Request Validation Server Request Validation Server Logon
AS/400 auditing aspects
52
Page 26 26
JH/VU MAR/2003
Programma-overzicht
Programma-overzicht • • • • •
Inleiding Beveiligingsmodel Fysieke beveiliging System values Toegangsbeveiliging
• Datacommunicatie
• Diversen
AS/400 auditing aspects
53
JH/VU MAR/2003
Diversen
Security Tools SECTOOLS • Work with profiles • Work with auditing • Reports • General system security
Ja, als je echt scherp gaat kijken. Hij doet het inderdaad iets minder als de rest.
AS/400 auditing aspects
54
Page 27 27
JH/VU MAR/2003
Diversen ...
AS/400 WEB Sites • http: // publib.boulder.ibm.com/pubs/html/as400/online/v4r4eng.htm – OS/400 System Management - OS/400 Security - Reference SC41-5302 • http: // publib.boulder.ibm.com/html/as400/infocenter.html • http: // www.as400.ibm.com
AS/400 auditing aspects
55
Page 28 28