DOCUMENTO SEGURIDAD : RACF:

1. En primer lugar haremos una inro!u""i#n$ ano %"ni"a "omo no %"ni"a$ para
"ompren!er un po"o me&or 'ue es RACF ( "omo )un"iona. El o*&ei+o es
!isponer !el "ono"imieno pre+io ne"esario para a*or!ar la au!ioria "on
garan,as$ e+ian!o la ena"i#n !e 'ue el ra*a&o lo reali"en personas 'ue siguen
un programa !e ra*a&o sin enen!er realmene 'ue se "ue"e por !e*a&o
-risemene$ algo usual en el mun!o !e la au!ior,a !e sisemas.
/. Segui!amene !aremos un repaso a los 10 errores mas )re"uenes en la
"on)igura"i#n !e seguri!a! RACF. Cumplir esos 10 punos no garani1a 'ue la
seguri!a! !el mona&e sea i!eal$ pero su an2lisis )a"ilia reali1ar una au!ioria
r2pi!a ( !eerminar$ sin la ne"esi!a! !e in+erir una "ani!a! !e re"ursos
enorme$ una primera )oogra),a !el esa!o !el gesor !e seguri!a!.
3. 4ue!a pen!iene$ 'ui12s para oro ar,"ulo )uuro$ ha*lar !e los pasos !e
au!ior,a usuales en RACF$ 'ue son mu"hos m2s 'ue !ie1. Es un ema !enso$ (
nos pue!e lle+ar lle+ar una !e"ena !e ar,"ulos ran'uilamene. De momeno
pon!remos aen"i#n a la inro!u""i#n ( los pro*lemas m2s )re"uenes.
1. INTRODUCCIN Y FUNDAMENTOS TCNICOS DE RACF
En el mun!o !e los mainframes I5M$ Resource Access Control Facility -RACF. es
pro*a*lemene el es2n!ar !e )a"o a la hora !e gesionar la seguri!a! !el sisema. No es
la 6ni"a solu"i#n$ (a 'ue e7isen "ompei!ores "on o)eras similares$ "omo es el "aso !e
ACF/ ( TopSe"re$ !e Compuer Asso"iaes$ aun'ue me are+er,a a !e"ir 'ue el grueso
!e la "lienela !e esos mainframes se suele in"linar por RACF por una ra1#n sen"illa (
o*+ia: es una solu"i#n mu( !e"ene ( la )a"ilia el propio )a*ri"ane$ "on lo 'ue no ha(
'ue an!ar nego"ian!o "on er"eros la presen"ia !e so)8are "r,i"o en el sisema$
espe"ialmene en lo 'ue a implemena"i#n ( manenimieno se re)iere.
RACF es una solu"i#n 'ue ra!i"ionalmene ha propor"iona!o a los sisemas 19OS (
19:M "onrol !e a""eso -aueni"a"i#n ( auori1a"i#n. ( ra1as !e au!ioria. ;a
en!en"ia a"ual ( )uura es$ sin em*argo$ 'ue RACF se o"upe !e oras areas$ "omo por
e&emplo$ ser+i"ios <=I$ ( 'ue pue!a ser emplea!o por oros sisemas a!em2s !e los
mainframes$ "omo por e&emplo los !eri+a!os UNI>.
RACF es "omple&o$ ( au!iarlo no es una area sen"illa. E7isen in)ini!a! !e punos !e
"onrol 'ue po!emos au!iar ( por ano$ el ra*a&o pue!e e7en!erse !urane perio!os
prolonga!os !e iempo si no !e)inimos un al"an"e a"oa!o. Tal ( "omo hemos
men"iona!o aneriormene$ nos "enraremos solo en aspe"os esen"iales$ !e&an!o al
le"or la area !e !o"umenarse ( ampliar el programa !e ra*a&o 'ue a'u, es*o1aremos.
T%"ni"amene ha*lan!o mere"e la pena "omenar 'ue el "onrol !e a""eso ( la au!ioria
la reali1a en primera insan"ia SAF -System Authorisation Facility.. Cuan!o "ual'uier
por"i#n !e "#!igo re'uiere la oma !e !e"isiones rela"iona!as "on la seguri!a!$ se
"onsiu(e lo 'ue se !enomina un puno !e "onrol. Esos punos !e "onrol le pasan a
SAF la in)orma"i#n ne"esaria para 'ue SAF pase a go*ernar la siua"i#n a ra+%s !el
uso !el ser+i"io RACROUTE.
SAF es un "omponene 'ue los gesores !e re"ursos uili1an para po!er !eerminar el
"urso !e a""i#n en a""iones !e "onrol !e a""eso ( au!ioria. Sin em*argo$ lo normal es
'ue ese ser+i"io se "on)igure para !elegar en RACF -o en el gesor !e seguri!a! 'ue se
ha(a es"ogi!o. los "ia!os me"anismos. SAF pue!e )un"ionar sin so)8are saelial !e
apo(o en un mo!o in!epen!iene$ pero eso es e7rema!amene in)re"uene. Es pare !el
sisema operai+o *ase 19OS ( pue!e ser in+o"a!o !es!e numerosas insan"ias en el
sisema$ in"luso por so)8are !e er"eros. Es ha*iual en"onrar en la lieraura
re)eren"ias al router SAF para !enominar al puno 6ni"o !e gesi#n !el "omponene al
'ue se !irigen las pei"iones 'ue !e*en ser pro"esa!as.
;as res )un"ionali!a!es !e seguri!a! 'ue hemos men"iona!o -aueni"a"i#n$
auori1a"i#n ( au!ioria. se "orrespon!en "on res !e)ini"iones !el ser+i"io
RACROUTE "laramene !i)eren"ia!as:
Aueni"a"i#n ( +eri)i"a"i#n: RACROUTE RE4UEST?:ERIF@
Aueni"a"i#n: RACROUTE RE4UEST?AUTA
Au!ioria: RACROUTE RE4UEST?AUDIT
E7isen oros ser+i"ios RACROUTE a!em2s !e los "ia!os$ "omo DEFINE -para
!e)inir$ mo!i)i"ar$ renom*rar o eliminar un re"urso !e RACF.$ DIRAUTA -para
"omparar !os ei'ueas !e seguri!a!.$ E>TRACT -para re"uperar o reempla1ar
!eermina!os "ampos en un per)il RACF.$ FASTAUTA -para "ompro*ar la auori1a"i#n
!e a""eso a un re"urso por pare !e un usuario.$ ;IST -para apro+isionar per)iles.$
SIGNON -para gesionar las lisas !e a""eso rela"iona!as "on +eri)i"a"i#n persisene. $
STAT -para !eerminar si RACF esa a"i+o.$ TO=EN5;D -para "onsruir UTO=ENS$
user tokens$ los oBens !e seguri!a! !e un usuario.$ TO=ENMA< -para mapear un
oBen !el sisema. ( TO=ENE>TR -para e7ra""i#n !e UTO=ENS..
Respe"o a los me"anismos !e au!ioria$ es )re"uene 'ue en sisemas 19OS se ha*le !e
los mensa&es S@S;OG ( los e+enos SMF. Cuan!o los re'uisios !e seguri!a! son
ele+a!os se ha"e in!ispensa*le la "onser+a"i#n !e o!o lo !isponi*le$ lo 'ue suele
generar un pro*lema !e alma"enamieno espe"ialmene rele+ane$ so*re o!o si el
sisema es un sisema ransa""ional$ !on!e los regisros !e au!ioria 'ue !eri+an !e
"ienos o in"luso miles !e opera"iones por segun!o pue!en ( !e he"ho re'uieren
"ani!a!es ingenes !e alma"enamieno$ lo 'ue en la pra"i"a ha"e ne"esario sele""ionar
"on ineligen"ia 'ue e+enos se "onser+aran$ !e&an!o )uera los 'ue no aporan +alor para
la insala"i#n. Normalmene S@S;OG se o"upa !e mensa&es opera"ionales$ aun'ue no
!e*emos !es"arar su uili1a"i#n para la moniori1a"i#n !e seguri!a!.
Respe"o a 'ue ipos !e regisros SMF "onser+ar no e7ise mu"ho "onsenso al respe"o$
o (o al menos no he en"onra!o nun"a una !e)ini"i#n e7a"a. To!o !epen!er2 !e los
re'uisios !e seguri!a! ( opera"i#n !e la ma'uina. As,$ por poner un e&emplo$ !es!e el
puno !e +isa !e seguri!a!$ el ipo 11C D'ue o)re"e esa!,si"as TC<9I<D po!r,a !e
enra!a ser po"o rele+ane para "ieras organi1a"iones$ mienras 'ue oras gra*aran "on
guso los su*ipos 11CDE0 ( 11CDE/$ 'ue regisran rans)eren"ias FT< "omplea!as (
errores !e a""eso +,a FT<. En lo 'ue a esri"amene seguri!a! se re)iere$ los ipos
o"hena son los 'ue suelen ener mas rele+an"ia. El ipo por e7"elen"ia suele ser el F3$
el regisro !e au!ioria para &uegos !e !aos$ sien!o el ipo F/ )re"uene en mainframes
)inan"ieros "on re'uisios "ripogr2)i"os$ "omo por e&emplo$ auoser+i"ios o punos !e
+ena. ;os ipos F0 -pro"esamieno !e pro!u"os !e seguri!a!. ( F1 -ini"iali1a"i#n
RACF. son igualmene ineresanes ( !e*en ser "onsi!era!os. Menos )re"uene es el
ipo FG$ para moniori1ar el su*sisema !e enra!a !e ra*a&os HES3$ aun'ue po!r,a
ser+ir para implemenar "onroles !e a""eso ilegiimo a pro!u""i#n. El ipo FI es
espe"i)i"o al ren!imieno !e ransa""iones OAM$ el ipo FF esa rela"iona!o "on !aos
!e alma"enamieno !e un sisema !eermina!o en un Parallel Sysplex !e pro!u""i#n$ (
el ipo FC esa oriena!o a uso !el sisema ( los pro!u"os !e seguri!a! 'ue lo
"on)orman$ lo 'ue suele ser emplea!o para o*en"i#n !e in)orma"i#n rela"iona!a "on
li"en"ias !e uso.
;a +aria*ili!a! !e las ra1as ( su reper"usi#n ha"e ne"esarios 'ue anes !e ponernos a
e7aminar aspe"os espe",)i"os o*engamos una *uena imagen !e lo 'ue se esa
gra*an!o$ ano S@S;OG "omo SMF. Una +e1 enen!amos 'ue se esa au!ian!o$
esaremos en "on!i"iones !e emiir una me&or opini#n.
2. LAS 10 PROBLEMTICAS MAS USUALES EN LA CONFIGURACIN DE
SEGURIDAD DE RACF
Resula mu( !i),"il sinei1ar en 10 las pro*lem2i"as ha*iuales en un gesor RACF. A
*uen seguro si "ona"as a 10 au!iores !isinos$ pro*a*lemene es"u"har2s 10
+ersiones !isinas$ "on lo 'ue se ha"e realmene !i),"il re!u"ir a un n6mero
!eermina!o los pro*lemas usuales. De enre las mu"has op"iones posi*les me 'ue!o
"on el !e"2logo !e :anguar!$ un )a*ri"ane !e so)8are !e au!ior,a para RACF. De
ma(or a menor gra+e!a!:
1. Modos NOPROTECTALL o PROTECTALL(WARNING !"#$%os. 4ui12s el
peor !e los pro*lemas$ ( *asane )re"uene a!em2s$ por in"re,*le 'ue pare1"a.
Esos mo!os !e proe""i#n permien !isponer !e data sets sin "uso!ia "omplea
!e RACF$ "on lo 'ue po!r,an ser "rea!os ( a""e!i!os. ;a !i)eren"ia enre am*os
es 'ue el mo!o <ROTECTA;;-JARNING. al menos !e&a una ra1a !e
au!ior,a$ mienras 'ue NO<ROTECTA;; ni an si'uiera la !e&a. El "al!o !e
"uli+o i!eal para un programa!or "on "ono"imieno ( ganas !e "olo"ar "#!igo
mali"ioso en e&e"u"i#n.
/. Uso &'"&s$%o d& !#($)*#os +($%$,&-$!dos. Ese pro*lema no s#lo es parimonio
!e RACF$ sino !e mu"hos oros sisemas. Es relai+amene )re"uene$ por mal
!iseKo !e la solu"i#n$ emplear los ari*uos S<ECIA; ( O<ERATIONS en
e7"eso$ "on el peligro 'ue ello "onlle+a: am*os permien a""eso "ompleo a la
*ase !e !aos RACF ( a o!os los data sets !e 19OS. ;os i!eni)i"a!ores !e
usuario "on ari*uo S<ECIA; !e*er,an ser los m,nimos posi*les ( su&eos a
)uere moniori1a"i#n$ ( a'uellos "on ari*uo O<ERATIONS no ienen ra1#n !e
e7isir. Elimina!los$ ( nego"ia! s#lo el uso !e ese ari*uo para usuarios no
humanos 'ue sean pre"isos para a!minisrar la pro!u""i#n.
3. P(o#&""$./ $/!d&"*!d! &/ ,$)(&(0!s APF. ;as li*rer,as A<F -Authorized
Program Facility. se emplean para agrupar programas 'ue "orrer2n en el sisema
"on pri+ilegios espe"iales ( 'ue suelen ener impa"o mu( ele+a!o en el sisema.
Si esas li*rer,as es2n mal proegi!as$ na!a impi!e 'ue alguien "olo'ue en ellas
programas 'ue "orrer2n "on alos ni+eles !e pri+ilegios$ "ausan!o pro*lemas en
el sisema 'ue po!r,an llegar a !esesa*ili1arlo$ a!em2s !e ener "apa"i!a! !e
e+iar los me"anismos !e seguri!a!. Ese pro*lema se pue!e sol+enar$ enre
oras me!i!as$ "on lisas espe",)i"as !e a""eso. Cal!o !e "uli+o para "olo"ar
"#!igo mali"ioso 'ue pase ina!+eri!o.
G. P(&s&/"$! d& &'"&s$%os data sets "o/ 1odo WARNING. El mo!o JARNING$
aun'ue permie la es"riura !e una ra1a !e au!ior,a ( el a+iso en iempo real en
la "onsola !e opera!ores$ no impi!e 'ue se permia el a""eso al re"urso. El mo!o
FAI; suele ser la me&or manera !e a*or!ar el pro*lema$ 'ue siempre represena
un "laro in!i"ai+o !e 'ue la a!minisra"i#n !e seguri!a! es ina!e"ua!a.
I. Co,o"!"$./ 1!,$"$os! d& +(o-(!1!s &/ ,!s #!),!s d& +(o+$&d!d&s d&
+(o-(!1!s "o/ &, !#($)*#o d& s!,#o d& +(o#&""$./ 1&d$!/#& "o/#(!s&2!. En
ese es"enario$ apli"an!o !i"ho ari*uo$ se "onseguir2n data sets 'ue no ser2n
"uso!ia!os por los me"anismos !e a""eso !e RACF$ 'ue!an!o in+ali!a!a la
au!ior,a. O&o.
L. A""&sos */$%&(s!,&s +o( d&3&"#o (UACC $/"o((&"#os &/ data sets "(0#$"os.
Ese es un )allo ,pi"o$ e impli"a 'ue un !eermina!o data set$ si se "on)igura
"on ni+el !e a""eso ina!e"ua!o$ pue!e 'ue!ar e7pueso a "ual'uier usuario "on
"uena en el sisema. ;a siua"i#n i!eal es apli"ar NONE a o!os los !aos "omo
+alor !e UACC$ !e&an!o e7"ep"iones para READ "uan!o sea pre"iso. En el
primer "aso el a""eso uni+ersal ser,a impe!i!o$ ( en el segun!o$ s#lo se
permiir,a la le"ura.
E. T!(&!s &/ &4&"*"$./ "o/ !#($)*#os $/!d&"*!dos o &((./&os d& +($%$,&-$o
(PRI5ILEGE o "o/3$!/6! (TRUSTED. ;a "on"esi#n !e esos ari*uos a las
areas en e&e"u"i#n pue!e ener e)e"os "aasr#)i"os "uan!o la siua"i#n ni es2
&usi)i"a!a ni moniori1a!a. El ari*uo !e pri+ilegio iene "onse"uen"ias an
gra+es "omo la ausen"ia !e au!ior,a$ mienras 'ue el ari*uo !e "on)ian1a s#lo
!e*e oorgarse a areas !el sisema *ase mu( espe",)i"as ( !eermina!as. Es
)re"uene 'ue eso se pase por alo$ mu"ho o&o.
F. A*s&/"$! d& 1o/$#o($6!"$./ 7 -&s#$./ d& $/"$d&/#&s. RACF es2 pensa!o para
!oar al sisema !e una granulari!a! en la seguri!a! e7"ep"ional$ lo 'ue permie
"onsruir me"anismos moniori1a"i#n$ noi)i"a"i#n ( alera igualmene
granulares. <or mu( *ien 'ue se en"uenre el gesor$ no iene uili!a! ninguna si
no es2 respal!a!o por un sisema !e moniori1a"i#n 'ue permia !ee"ar en
iempo ( )orma las pro*lem2i"as.
C. Us*!($os +!(! ,! -&s#$./ d& #(!)!4os &/ +(od*""$./ "o/ &'"&s$%!s
"!+!"$d!d&s. Deri+a am*i%n !e la mala plani)i"a"i#n ( la a!minisra"i#n
ina!e"ua!a. ;os usuarios "on responsa*ili!a! rela"iona!a "on el "onrol !e
ra*a&os en pro!u""i#n ienen 'ue ener sus "apa"i!a!es resringi!as a los
ra*a&os 'ue los aaKen$ !e*i%n!ose impe!ir 'ue esos usuarios engan a""eso a
o!os los data sets !el sisema. A!i"ionalmene$ esos usuarios no !e*er,an ener
el ari*uo O<ERATIONS$ ( en "aso !e ser esri"amene ne"esario$ es
o*ligaoria la moniori1a"i#n.
10. N81&(o d& *s*!($os $/!"#$%os &'"&s$%o. Un pro*lema "om6n "ausa!o por la
ausen"ia !e uan a!minisra"i#n a!e"ua!a$ ( 'ue no re'uiere m2s e7pli"a"i#n. Se
pue!e sol+enar auomai1an!o la elimina"i#n !e usuarios peri#!i"amene.