Consejos y Herramientas para La Seguridad Del Iseries PDF

IBM
iSeries
Consejos y herramientas para la seguridad del iSeries
Versión 5
SC10-3122-05
IBM
iSeries
Versión 5
SC10-3122-05
Nota
Antes de utilizar esta información y el producto al que da soporte, asegúrese de leer la
información de los artículos sobre Seguridad básica que encontrará en línea en el Information
Center. La dirección de URL de Internet es http://www.ibm.com/eserver/iseries/infocenter.
Sexta Edición (Mayo 2001)

| Esta edición sustituye a SC41-5300-04. Esta edición sólo se aplica a las versiones de OS/400 que sean iguales o
| posteriores a V4R1.
© Copyright International Business Machines Corporation 1996, 2001. Reservados todos los derechos.
Contenido
Figuras . . . . . . . . . . . . . . vii Cambio de contraseñas conocidas públicamente . . 31
Establecimiento de los valores de inicio de sesión . 34
Tablas . . . . . . . . . . . . . . . ix Cambio de los mensajes de error de inicio de sesión 35
Planificación de la disponibilidad de los perfiles de
usuario . . . . . . . . . . . . . . . . 36
Acerca de Consejos y herramientas Eliminación de perfiles de usuario inactivos . . . 37
para la seguridad del iSeries 400 Inhabilitación automática de perfiles de usuario 37
(SC41-5300) . . . . . . . . . . . . . xi Eliminación automática de perfiles de usuario . . 38
A quién está dirigido este manual . . . . . . . xi Cómo evitar las contraseñas por omisión . . . . 38
Cómo utilizar esta publicación . . . . . . . . xii Supervisión de la actividad de inicio de sesión y de
| Requisitos e información relacionada . . . . . . xii contraseña . . . . . . . . . . . . . . . 39
Operations Navigator. . . . . . . . . . . xiii Consejos para el almacenamiento de la información
Cómo enviar sus comentarios . . . . . . . . xiii de contraseñas . . . . . . . . . . . . . 40
Resumen de los cambios. . . . . . . xv Capítulo 5. Cómo realizar la puesta a

punto del sistema para utilizar las
Parte 1. Lea esto primero . . . . . . 1 Herramientas de seguridad . . . . . . 41
Iniciación a las Herramientas de seguridad . . . . 41
Seguridad en las Herramientas de seguridad . . 41
Capítulo 1. Mejoras en la seguridad de
Cómo evitar conflictos de archivos . . . . . 41
iSeries 400 . . . . . . . . . . . . . 3 Cómo salvar las Herramientas de seguridad . . 42
| Mejoras de seguridad para la V5R1 . . . . . . . 3 Mandatos y menús de los mandatos de seguridad 42
Mejoras de seguridad para la V4R5 . . . . . . . 4 Opciones del menú Herramientas de seguridad 42
Mejoras de seguridad para la V4R4 . . . . . . . 5 Cómo utilizar el menú Proceso por lotes de la
Mejoras de seguridad para la V4R3 . . . . . . . 6 seguridad . . . . . . . . . . . . . . 45
Mejoras de seguridad para la V4R2 . . . . . . . 7 Mandatos para personalizar la seguridad . . . 52
Mejoras de seguridad para la V4R1 . . . . . . . 9 Valores establecidos por el mandato Configurar
seguridad del sistema . . . . . . . . . . 53
Parte 2. Consejos para la seguridad Acciones del mandato Revocar autorización de
uso público . . . . . . . . . . . . . 55
básica del sistema iSeries 400 . . . 11
Capítulo 2. Elementos básicos de la Parte 3. Consejos para la seguridad

seguridad de iSeries . . . . . . . . . 13 avanzada del sistema . . . . . . . 57
Niveles de seguridad . . . . . . . . . . . 13
Valores globales . . . . . . . . . . . . . 14 Capítulo 6. Utilización de la
Perfiles de usuario . . . . . . . . . . . . 15 autorización sobre objetos para
Perfiles de grupo . . . . . . . . . . . . 15 proteger la información . . . . . . . 59
Seguridad por recursos . . . . . . . . . . 15
¿El sistema aplica siempre la autorización sobre
Acceso limitado a las funciones del programa . . . 16
objetos?. . . . . . . . . . . . . . . . 59
Auditoría de la seguridad . . . . . . . . . 18
El legado de la seguridad de menús . . . . . . 60
Informe de atributos de seguridad del sistema –
Limitaciones del control de acceso a menús. . . 60
ejemplo. . . . . . . . . . . . . . . . 19
Consejos para mejorar el control de acceso a
menús con la seguridad de objetos . . . . . 61
Capítulo 3. Asistente de seguridad y Preparación de un entorno de transición–Ejemplo 61
Asesor de seguridad iSeries 400 . . . 21 Utilización de la seguridad de bibliotecas para
Asistente de seguridad iSeries 400 . . . . . . . 21 complementar la seguridad de menús . . . . 63
Asesor de seguridad iSeries 400 . . . . . . . 23 Consejos para preparar la propiedad de objetos . . 64
Consejos para la autorización sobre objetos para
Capítulo 4. Consejos para controlar el mandatos del sistema y programas . . . . . . 64
inicio de sesión interactivo . . . . . . 25 Consejos para la auditoría de funciones de
seguridad . . . . . . . . . . . . . . . 64
Definición de las normas para las contraseñas . . . 25
Auditoría de la seguridad . . . . . . . . 64
| Niveles de contraseña . . . . . . . . . . . 26
Análisis de perfiles de usuario . . . . . . . 65
| Planificación de cambios de nivel de contraseña 27
© Copyright IBM Corp. 1996, 2001 iii

Consejos para analizar las autorizaciones sobre Limitación de la utilización de la autorización
objetos . . . . . . . . . . . . . . . 67 adoptada . . . . . . . . . . . . . . . 110
Búsqueda de objetos alterados . . . . . . . 67 Evitar que programas nuevos utilicen
Análisis de programas que adoptan autorización adoptada . . . . . . . . . 111
autorizaciones . . . . . . . . . . . . 68 Supervisión de la utilización de programas
Búsqueda de objetos alterados . . . . . . . 68 desencadenantes . . . . . . . . . . . . 113
Consejos para gestionar el diario de auditoría y Comprobación de programas ocultos . . . . . 114
los receptores de diario . . . . . . . . . 69 Evaluación de programas de salida registrados . . 116
Comprobación de programas planificados . . . . 117
Capítulo 7. Consejos para gestionar y Restricción de las posibilidades de salvar y
supervisar la autorización . . . . . . 73 restaurar . . . . . . . . . . . . . . . 117
Comprobación de los objetos de usuario en
Supervisión de la autorización de uso público sobre
bibliotecas protegidas. . . . . . . . . . . 118
objetos . . . . . . . . . . . . . . . . 73
Gestión de la autorización para objetos nuevos . . 74
Supervisión de las listas de autorizaciones . . . . 74 Capítulo 11. Consejos para evitar y
Consejos para utilizar Listas de autorizaciones. . 75 detectar intentos de pirateo . . . . . 121
Herramienta de política de auditorías . . . . 77 Consejos de seguridad física . . . . . . . . 121
Herramienta de política de seguridad . . . . 79 Consejos para supervisar la actividad del perfil de
Supervisión de la autorización privada sobre los usuario . . . . . . . . . . . . . . . 121
objetos . . . . . . . . . . . . . . . . 80 | Consejos para la firma de objetos. . . . . . . 122
Supervisión del acceso a las colas de salida y a las Consejos para supervisar descripciones de
colas de trabajos . . . . . . . . . . . . . 81 subsistema . . . . . . . . . . . . . . 123
Supervisión de autorizaciones especiales. . . . . 82 Consejos para las entradas de trabajo de arranque
Supervisión de entornos de usuario . . . . . . 83 automático . . . . . . . . . . . . . . 124
| Gestión de herramientas de servicio . . . . . . 84 Consejos para nombres y tipos de estaciones de
| Service Tools Server (STS) . . . . . . . . 85 trabajo. . . . . . . . . . . . . . . . 124
| Utilización de perfiles de usuario de Consejos para entradas de cola de trabajos . . . 125
| herramientas de servicio . . . . . . . . . 87 Consejos para entradas de direccionamiento . . . 125
| Utilización de perfiles de dispositivo de Consejos para entradas de comunicaciones y
| herramientas de servicio . . . . . . . . . 91 nombres de ubicación remota . . . . . . . . 125
| Utilización de datos de seguridad de servicio . . 94 Consejos para entradas de trabajo de prearranque 126
| Inicio de sesión en las Herramientas de servicio Consejos para trabajos y descripciones de trabajo 126
| del sistema (SST) . . . . . . . . . . . 98 Consejos para los Nombres de programas de
transacciones con arquitectura . . . . . . . . 127
Capítulo 8. Utilización de seguridad en Peticiones de TPN con arquitectura . . . . . 128
particiones lógicas (LPAR) . . . . . . 99 Métodos para supervisar eventos de seguridad . . 129
Gestión de la seguridad para las particiones lógicas 100
Parte 4. Consejos para las
Capítulo 9. Consejos para la aplicaciones y las
utilización de la Consola de comunicaciones de red . . . . . . 131
operaciones de AS/400 . . . . . . . 103
| Visión general de la seguridad de la Consola de Capítulo 12. Utilización del Sistema de
| operaciones . . . . . . . . . . . . . . 104 Archivos Integrado (IFS) para
| Autenticación del dispositivo de consola . . . 104
| Autenticación de usuario . . . . . . . . 104
proteger los archivos . . . . . . . . 133
| Privacidad de datos . . . . . . . . . . 104 El método de seguridad del Sistema de Archivos
| Integridad de datos . . . . . . . . . . 105 Integrado (IFS) . . . . . . . . . . . . . 133
| Consejos para la utilización de la Consola de Consejos de seguridad para los sistemas de
| operaciones con conectividad LAN . . . . . . 105 archivos raíz (/), QOpenSys y los definidos por el
| Consejos para la protección de la Consola de usuario . . . . . . . . . . . . . . . 135
| operaciones con conectividad LAN . . . . . . 105 Cómo funciona la autorización para los sistemas
| Utilización del asistente de configuración de la de archivos raíz (/), QOpenSys y los definidos
| Consola de operaciones . . . . . . . . . . 106 por el usuario . . . . . . . . . . . . 135
Mandato Imprimir objetos con autorización
privada (PRTPVTAUT) . . . . . . . . . . 138
Capítulo 10. Detección de programas Mandato Imprimir objetos con autorizaciones de
sospechosos . . . . . . . . . . . 107 uso público (PRTPUBAUT) . . . . . . . . . 139
Protección contra los virus informáticos . . . . 107 Restricción del acceso al sistema de archivos
Supervisión de la utilización de autorización QSYS.LIB . . . . . . . . . . . . . . . 140
adoptada . . . . . . . . . . . . . . . 109 Seguridad de los directorios . . . . . . . . 141
iv iSeries 400 Consejos y herramientas para la seguridad del iSeries V5R1

Seguridad para nuevos objetos . . . . . . . 141 Control de los servidores TCP/IP que se inician
Utilización del mandato Crear directorio de automáticamente . . . . . . . . . . . 170
iSeries 400 . . . . . . . . . . . . . 142 Consejos para controlar la utilización de SLIP . . 172
Creación de un directorio con una API . . . . 142 Control de conexiones de marcación SLIP . . . 173
Creación de un archivo continuo con las API Control de las sesiones de marcación . . . . 175
open() o creat() . . . . . . . . . . . . 142 Consideraciones de seguridad para el protocolo
Creación de un objeto utilizando una interfaz de PPP (punto a punto) . . . . . . . . . . . 176
PC . . . . . . . . . . . . . . . . 142 Consejos de seguridad para Telnet . . . . . . 178
Consejos de seguridad para los sistemas de Consejos para evitar el acceso de Telnet . . . 178
archivos QLANSrv y QNetWare . . . . . . . 143 Consejos para controlar el acceso de Telnet . . 179
Consejos de seguridad para el sistema de archivos Consejos de seguridad para el protocolo de
QFileSvr.400 . . . . . . . . . . . . . . 143 transferencia de archivos . . . . . . . . . 183
Consejos de seguridad para el sistema de archivos Consejos para evitar el acceso de FTP . . . . 183
de red . . . . . . . . . . . . . . . . 144 Consejos para controlar el acceso de FTP . . . 184
Consejos para la seguridad del servidor de
Capítulo 13. Consejos para la Protocolo Bootstrap . . . . . . . . . . . 186
seguridad de las comunicaciones Consejos para evitar el acceso BOOTP . . . . 186
Consejos para la seguridad del servidor BOOTP 187
APPC . . . . . . . . . . . . . . . 147 Consejos para la seguridad del servidor Protocolo
Terminología de APPC . . . . . . . . . . 147 de Configuración Dinámica de Sistema Principal
Elementos básicos de las comunicaciones APPC 148 (DHCP) . . . . . . . . . . . . . . . 187
Conceptos básicos de una sesión APPC. . . . . 148 Consejos para evitar el acceso con DHCP . . . 187
Consejos para restringir las sesiones APPC . . 149 Consejos para la seguridad del servidor DHCP 188
Cómo un usuario de APPC obtiene acceso al Consejos para la seguridad del servidor de
sistema destino . . . . . . . . . . . . . 150 Protocolo trivial de transferencia de archivos . . . 189
Métodos que utiliza el sistema para enviar Consejos para evitar el acceso TFTP . . . . . 189
información sobre un usuario . . . . . . . 150 Consejos para la seguridad del servidor TFTP 190
Opciones para repartir la responsabilidad de la Consejos para la seguridad del Servidor de
seguridad en una red. . . . . . . . . . 151 EXECution remoto . . . . . . . . . . . 191
Cómo asigna el sistema de destino un perfil de Consejos para evitar el acceso REXEC . . . . 191
usuario para el trabajo . . . . . . . . . . 152 Consejos para la seguridad del Servidor REXEC 191
Opciones para el paso a través de estación de Consejos de seguridad para el Daemon de ruta . . 192
pantalla . . . . . . . . . . . . . . . 153 Consejos para la seguridad del servidor Sistema de
Consejos para evitar asignaciones inesperadas de nombres de dominio (DNS) . . . . . . . . 193
dispositivos . . . . . . . . . . . . . . 155 Consejos para evitar el acceso con DNS . . . 193
Consejos para el control de los trabajos por lotes y Consejos para la seguridad del servidor DNS 193
los mandatos remotos . . . . . . . . . . 155 Consejos de seguridad para el protocolo simple de
Consejos de seguridad para la evaluación de la transferencia de correo . . . . . . . . . . 194
configuración APPC . . . . . . . . . . . 156 Consejos para evitar el acceso de SMTP . . . 194
Parámetros relativos a la seguridad para los Consejos para controlar el acceso de SMTP . . 195
dispositivos APPC. . . . . . . . . . . 156 Consejos de seguridad para POP (Protocolo de
Parámetros relativos a la seguridad para los Oficina Postal) . . . . . . . . . . . . . 198
controladores APPC . . . . . . . . . . 159 Consejos para evitar el acceso de POP . . . . 198
Parámetros relativos a la seguridad para las Consejos para controlar el acceso de POP . . . 199
descripciones de línea . . . . . . . . . 160 Consejos de seguridad para servicios Web desde el
Consideraciones sobre seguridad de APPC APPN y iSeries 400 . . . . . . . . . . . . . . 200
HPR . . . . . . . . . . . . . . . . 160 Consejos para evitar el acceso . . . . . . . 201
Seguridad a nivel de sesión para APPN y HPR 161 Consejos para controlar el acceso . . . . . . 201
Protección del sistema en un entorno APPN y Consejos de seguridad para utilizar SSL con
HPR . . . . . . . . . . . . . . . 162 IBM HTTP Server para iSeries 400 . . . . . 206
Seguridad de LDAP (Lightweight Directory Access
Capítulo 14. Consejos para la Protocol) . . . . . . . . . . . . . . . 207
seguridad de las comunicaciones Conceptos básicos sobre LDAP . . . . . . 208
TCP/IP . . . . . . . . . . . . . . 167 | Características de seguridad de LDAP . . . . 212
Consejos para evitar procesos TCP/IP . . . . . 167 Consejos de seguridad para el Workstation
Componentes de seguridad de TCP/IP . . . . . 167 Gateway Server . . . . . . . . . . . . 212
Características de Seguridad de paquetes para Consejos para evitar el acceso de WSG . . . . 213
asegurar el tráfico de TCP/IP . . . . . . . 168 Consejos para controlar el acceso de WSG . . . 213
Servidor proxy HTTP. . . . . . . . . . 169 Consejos de seguridad para el Daemon de
Consejos generales para la seguridad del entorno impresora de líneas . . . . . . . . . . . 215
TCP/IP . . . . . . . . . . . . . . . 170 Consejos para evitar el acceso de LPD . . . . 215
Contenido v
Consejos para controlar el acceso de LPD . . . 215 Aplicaciones Java . . . . . . . . . . . . 235
Consejos de seguridad para el Protocolo simple de Applets Java. . . . . . . . . . . . . . 236
gestión de red . . . . . . . . . . . . . 216 Servlets Java. . . . . . . . . . . . . . 236
Consejos para evitar el acceso SNMP . . . . 216 Autenticación y autorización de Java . . . . . 237
Consejos para controlar el acceso de SNMP . . 217
Consejos de seguridad para el servidor INETD . . 217 Capítulo 18. Consideraciones de
Consejos para limitar la posibilidad de vagar por la seguridad para los navegadores . . . 239
red con TCP/IP . . . . . . . . . . . . 218
Riesgo: Daños en el PC local . . . . . . . . 239
Consejos para la seguridad del programa bajo
Riesgo: Acceso a los directorios de iSeries a través
licencia Soporte de servidor de archivos TCP/IP
de unidades correlacionadas . . . . . . . . 239
para OS/400. . . . . . . . . . . . . . 219
Riesgo: Confianza en applets firmados . . . . . 240
| Utilización de VPN para asegurar las aplicaciones
| TCP/IP . . . . . . . . . . . . . . . 220
Capítulo 19. Consejos para la
Capítulo 15. Consejos para la seguridad de Domino para iSeries . . 241
seguridad del PC . . . . . . . . . . 221
Consejos para evitar los virus en el PC . . . . . 221 Parte 5. Consejos y herramientas
Consejos para la seguridad del acceso a datos para la seguridad de Internet en
desde PC . . . . . . . . . . . . . . . 221
iSeries 400 . . . . . . . . . . . . 243
Autorización sobre objetos con acceso desde PC 222
Administración de aplicaciones de Client Access 223
Utilización de SSL con Client Access Express 224 Parte 6. Apéndices . . . . . . . . 245
Seguridad y Operations Navigator . . . . . 225
Consejos para el acceso de ODBC (conectividad de Apéndice. IBM SecureWay: iSeries
base de datos abierta) . . . . . . . . . . 226
400 e Internet . . . . . . . . . . . 247
Consideraciones de seguridad sobre las contraseñas
Seguridad C2 . . . . . . . . . . . . . 247
de sesión de PC . . . . . . . . . . . . 227
Consejos para proteger el iSeries de mandatos y
procedimientos remotos . . . . . . . . . . 229 Avisos . . . . . . . . . . . . . . 249
Consejos para proteger a los PC de mandatos y Marcas registradas. . . . . . . . . . . . 251
procedimientos remotos . . . . . . . . . . 229
Consejos para los servidores de pasarela . . . . 230 Dónde obtener más información y
Consejos para las comunicaciones LAN ayuda. . . . . . . . . . . . . . . 253
inalámbricas. . . . . . . . . . . . . . 231 Acerca de IBM SecureWay . . . . . . . . . 253
Ofertas de servicio . . . . . . . . . . . 253
Capítulo 16. Consejos para el uso de Publicaciones relacionadas . . . . . . . . . 255
los programas de salida de seguridad. 233
Índice. . . . . . . . . . . . . . . 257
Capítulo 17. Consideraciones sobre
seguridad para Java . . . . . . . . 235
vi iSeries 400 Consejos y herramientas para la seguridad del iSeries V5R1

Figuras
1. Administración de aplicaciones . . . . . . 17 | 23. Cambiar seguridad de instalación del sistema
2. Informe de atributos de seguridad del sistema | operativo . . . . . . . . . . . . . 96
- Ejemplo . . . . . . . . . . . . . 19 | 24. Inicio de sesión de SST. . . . . . . . . 98
3. Pantalla de planificación de activación de | 25. Las contraseñas protegen la información del
perfil–Ejemplo . . . . . . . . . . . 36 | perfil de dispositivo de servicio . . . . . 106
4. Informe de usuarios–Ejemplo de información 26. Informe de objetos adoptados por perfil de
de contraseñas . . . . . . . . . . . 39 usuario-Informe completo . . . . . . . 110
5. Menú de entrada de pedidos de ejemplo 60 27. Informe de objetos adoptados por perfil de
6. Ejemplo de informe de objetos con usuario-Informe de modificación . . . . . 110
autorización de uso público . . . . . . . 74 28. Informe de Imprimir programas
7. Informe de autorizaciones privadas para listas desencadenantes-Ejemplo de informe
de autorizaciones . . . . . . . . . . 75 completo . . . . . . . . . . . . . 114
8. Informe Visualizar objetos de lista de 29. Informe de Imprimir programas
autorizaciones. . . . . . . . . . . . 75 desencadenantes-Ejemplo de informe de
9. Informe de autorizaciones privadas–Ejemplo 81 modificación . . . . . . . . . . . . 114
10. Informe Autorización sobre colas–Ejemplo 81 30. Trabajar con información de registro - ejemplo 116
11. Informe de usuarios–Ejemplo 1 . . . . . . 82 31. Informe de Imprimir objetos de
12. Informe de usuarios–Ejemplo 2 . . . . . . 83 usuario-Ejemplo. . . . . . . . . . . 119
13. Imprimir perfil de usuario-Ejemplo de entorno 32. Pantalla Visualizar descripción de subsistema 124
de usuario . . . . . . . . . . . . . 84 33. Informe Descripciones de trabajo con
| 14. Trabajar con entorno DST . . . . . . . . 84 autorización excesiva-Ejemplo . . . . . . 127
| 15. Pantalla Seleccionar tipo de consola . . . . 85 34. Parámetros de descripción de dispositivo
| 16. Pantalla Configurar adaptador de herramientas APPC . . . . . . . . . . . . . . 148
| de servicio . . . . . . . . . . . . . 86 35. Descripciones de dispositivo APPC-Informe
| 17. Pantalla Añadir entrada de tabla de servicios de ejemplo . . . . . . . . . . . . 156
| (ADDSRVTBLE) completada . . . . . . . 87 36. Informe de lista de configuraciones-Ejemplo 157
| 18. Trabajar con perfiles de usuario de 37. Descripciones de controlador APPC-Ejemplo
| herramientas de servicio . . . . . . . . 88 de informe . . . . . . . . . . . . 159
| 19. Trabajar con perfiles de dispositivo de 38. Descripciones de línea de APPC-Ejemplo de
| herramientas de servicio . . . . . . . . 92 informe . . . . . . . . . . . . . 160
| 20. Trabajar con datos de seguridad de 39. Dos redes APPN conectadas . . . . . . 162
| herramientas de servicio . . . . . . . . 95 40. Dos redes APPN conectadas . . . . . . 164
| 21. Restablecer la contraseña por omisión del 41. Una estructura de directorio LDAP básica 210
| sistema operativo . . . . . . . . . . 95 42. iSeries con servidor de pasarela–Ejemplo 230
| 22. Confirmar restablecer la contraseña por
| omisión del sistema . . . . . . . . . . 95
© Copyright IBM Corp. 1996, 2001 vii

viii iSeries 400 Consejos y herramientas para la seguridad del iSeries V5R1
Tablas
1. Valores del sistema para las contraseñas 25 15. Programas de salida proporcionados por el
2. Contraseñas para perfiles proporcionados por sistema. . . . . . . . . . . . . . 115
IBM . . . . . . . . . . . . . . . 33 16. Puntos de salida para la actividad del perfil
3. Contraseñas para Herramientas de Servicio de usuario . . . . . . . . . . . . 122
Dedicado . . . . . . . . . . . . . 34 17. Programas y usuarios para peticiones de TPN 128
4. Valores del sistema de inicio de sesión . . . 34 18. Valores de seguridad en la arquitectura APPC 150
5. Mensajes de error de inicio de sesión . . . . 35 19. Funcionamiento conjunto del valor de
6. Mandatos de las herramientas para perfiles de seguridad de APPC y del valor SECURELOC . 151
usuario . . . . . . . . . . . . . . 43 20. Valores posibles para el parámetro de usuario
7. Mandatos de herramientas para la auditoría de por omisión . . . . . . . . . . . . 152
seguridad . . . . . . . . . . . . . 45 21. Ejemplo de peticiones de inicio de sesión
8. Mandatos de los informes de seguridad 48 mediante paso a través . . . . . . . . 153
9. Mandatos para personalizar el sistema . . . 52 22. Cómo determinan los mandatos de TCP/IP
10. Valores establecidos por el mandato cuáles son los servidores a iniciar . . . . . 171
CFGSYSSEC . . . . . . . . . . . . 53 23. Valores de inicio automático para servidores
11. Mandatos cuya autorización de uso público se TCP/IP . . . . . . . . . . . . . 171
establece con el mandato RVKPUBAUT . . . 55 24. Funcionamiento de QRMTSIGN con TELNET 181
12. Programas cuya autorización de uso público se 25. Fuentes de los programas de salida de
establece con el mandato RVKPUBAUT . . . 56 ejemplo . . . . . . . . . . . . . 233
| 13. Resultados de cifrado . . . . . . . . . 103
14. Ejemplo de Utilizar autorización adoptada
(USEADPAUT) . . . . . . . . . . . 111
© Copyright IBM Corp. 1996, 2001 ix

x iSeries 400 Consejos y herramientas para la seguridad del iSeries V5R1
Acerca de Consejos y herramientas para la seguridad del
iSeries 400 (SC41-5300)
El papel que juegan los sistemas informáticos en las empresas está cambiando
rápidamente. Los directores de IT, los proveedores de software, los administradores
de seguridad y los auditores deben reconsiderar muchos puntos que antes habían
dado por supuestos. La seguridad de iSeries se debe incluir en la lista.
Los sistemas proporcionan un gran número de nuevas funciones que son muy
distintas de las aplicaciones de contabilidad tradicionales. Los usuarios entran en
los sistemas con métodos nuevos: redes LAN, de líneas conmutadas (de
marcación), inalámbricas; en resumen, redes de todo tipo. A menudo, los usuarios
no ven jamás una pantalla de conexión. Numerosas organizaciones se están
convirtiendo en “compañías distribuidas”, ya sea con redes propietarias o con
Internet.
De pronto parece que los sistemas tienen un conjunto de puertas y ventanas

completamente nuevo. Los gestores de sistemas y los administradores de
seguridad tienen motivos para estar muy preocupados por la protección de la
información en este entorno en cambio constante.
Este libro proporciona consejos prácticos para la utilización de las funciones de

seguridad de los sistemas iSeries y para establecer procedimientos operativos que
tengan en cuenta la seguridad. Las recomendaciones de esta publicación son
aplicables a una instalación con riesgos y requisitos de seguridad medios. En este
libro no proporciona una descripción completa de las funciones de seguridad del
iSeries disponibles. Si desea consultar las opciones adicionales o necesita una
información básica más completa, consulte las publicaciones descritas en
″Publicaciones relacionadas″ dentro del tema “Dónde obtener más información y
ayuda” en la página 253.
| En este libro también se describe cómo configurar y utilizar las herramientas de

| seguridad que forman parte de OS/400. “Capítulo 5. Cómo realizar la puesta a
| punto del sistema para utilizar las Herramientas de seguridad” en la página 41 y
| “Mandatos y menús de los mandatos de seguridad” en la página 42 proporcionan
| información de consulta sobre las herramientas de seguridad. En toda la
| publicación se proporcionan ejemplos de la utilización de las mismas.
A quién está dirigido este manual

El responsable de la seguridad de un sistema es el responsable de seguridad o el
administrador de seguridad. Esta función implica las tareas siguientes:
v Puesta a punto y gestión de los perfiles de usuario
v Definición de valores para todo el sistema que afectan a la seguridad
v Administración de autorización sobre objetos
v Aplicación y supervisión de las estrategias de seguridad
Si es el responsable de la administración de la seguridad de uno o varios sistemas

iSeries, este libro está dirigido a usted. En las instrucciones se da por supuesto lo
siguiente:
© Copyright IBM Corp. 1996, 2001 xi

v Está familiarizado con los procedimientos de operación básicos de iSeries, como
el inicio de sesión y la utilización de mandatos.
v Está familiarizado con los elementos básicos de la seguridad del iSeries: niveles
de seguridad, valores del sistema para seguridad, perfiles de usuario y
seguridad de objetos.
| Nota: En el “Capítulo 2. Elementos básicos de la seguridad de iSeries” en la

| página 13 se facilita el resumen de estos elementos. Si estos elementos
| básicos son nuevos para usted, lea el tema Seguridad básica y planificación
| en el iSeries Information Center. Vea “Requisitos e información
| relacionada” para obtener más detalles.
v Ha activado la seguridad en el sistema definiendo el valor del sistema de nivel
de seguridad (QSECURITY) en 30, como mínimo.
| IBM amplía continuamente las funciones de seguridad del iSeries. Para beneficiarse
| de estas mejoras, es necesario evaluar regularmente el paquete de arreglos
| acumulativos que esté disponible en cada momento para el release del que
| disponga. Compruebe si contiene arreglos que conciernan a la seguridad. Además,
| en el “Capítulo 1. Mejoras en la seguridad de iSeries 400” en la página 3 se
| describen las mejoras más importantes para la seguridad del iSeries que ha
| realizado IBM en los releases más recientes del sistema operativo.
Cómo utilizar esta publicación

Si no preparó el sistema para utilizar las herramientas de seguridad o si instaló el
Kit de utilidades de seguridad OS/400 de un release anterior, haga lo siguiente:
1. Empiece por el “Capítulo 3. Asistente de seguridad y Asesor de seguridad
iSeries 400” en la página 21. En él se describe cómo utilizar estas características
para seleccionar las herramientas de seguridad recomendadas y cómo aprender
a utilizarlas.
2. Para una mayor información básica sobre seguridad puede ver el tema Security
Basic, en línea en el Information Center.
Seleccione lo que necesite

Este libro contiene muchos consejos para proteger el iSeries. Es posible que su
sistema sólo necesite protección en ciertas áreas. Utilice este manual para
obtener información sobre los riesgos posibles y sus soluciones. Después
centre su atención en las áreas que sean más importantes para su sistema.
| Requisitos e información relacionada

| Utilice el iSeries Information Center como punto de partida para consultas
| información técnica sobre el iSeries y el AS/400e. El iSeries Information Center es
| su recurso principal para buscar información sobre iSeries 400, ya que incluye
| información que no encontrará en ningún otro lugar. Puede acceder al Information
| Center de dos maneras:
| v Desde el siguiente sitio Web:
| http://www.ibm.com/eserver/iseries/infocenter
| v Desde los CD-ROM que se envían con el pedido del Operating System/400:
| iSeries Information Center, SK3T-7769-00 (SK3T-4091-00). Este paquete también
| incluye las versiones PDF de los manuales del iSeries Information Center, iSeries
xii iSeries 400 Consejos y herramientas para la seguridad del iSeries V5R1
| Information Center: Manuales suplementarios, SK3T-7770-00 (SK3T-4092-00), que
| sustituye al CD-ROM de biblioteca en soporte software.
| El Information Center contiene asesores y temas de importancia como, por

| ejemplo, mandatos CL, interfaces de programas de aplicación de sistemas (API),
| particiones lógicas, clusters, Java, TCP/IP, servidores Web y redes seguras. También
| incluye enlaces con los Libros rojos de IBM relacionados y enlaces de Internet con
| otros sitios Web IBM como, por ejemplo, Technical Studio y la página de
| presentación de IBM.
| Con cada nuevo pedido de hardware, recibirá la siguiente información en

| CD-ROM:
| v iSeries 400 Instalación y biblioteca de servicio, SK3T-7771-00 (SK3T-4096-00). Este
| CD-ROM contiene manuales PDF necesarios para la instalación y el
| mantenimiento del sistema de un servidor IBM ~ iSeries 400.
| v iSeries 400 CD-ROM de instalación y operaciones, SK3T-7768-00 (SK3T-4098-00). Este
| CD-ROM contiene IBM iSeries Client Access Express para Windows y el
| asistente EZ-Setup. Client Access Express ofrece un potente conjunto de
| posibilidades para cliente y servidor para conectar PCs a servidores iSeries. El
| asistente EZ-Setup automatiza muchas de las tareas de puesta a punto del
| iSeries.
|
Operations Navigator
| Operations Navigator de IBM iSeries es una potente interfaz gráfica para la gestión
| de los servidores iSeries y AS/400e. La funcionalidad del Operations Navigator
| incluye la navegación del sistema, configuración, posibilidades de planificación y
| ayuda en línea para guiarle en las tareas. El Operations Navigator hace que la
| operación y la administración del servidor resulte más fácil y productiva y es la
| única interfaz de usuario para las nuevas funciones avanzadas del sistema
| operativo OS/400. También incluye Management Central para la gestión de
| múltiples servidores desde un servidor central.
| Para obtener más información sobre Operations Navigator, consulte el Information

| Center.
Cómo enviar sus comentarios

Sus opiniones nos resultan de gran ayuda para poder proporcionarle la
información más útil y precisa para sus necesidades. Si tiene comentarios sobre
esta publicación o cualquier otra documentación de iSeries, puede enviárnoslos
utilizando el formulario de comentarios del lector.
v Si prefiere enviar los comentarios por correo electrónico, utilice una de estas
direcciones:
– Comentarios sobre publicaciones:
PUBAS400@VNET.IBM.COM
– Comentarios sobre iSeries Information Center:
RCHINFOC@us.ibm.com
v O bien, si prefiere enviar los comentarios por correo, puede utilizar el formulario
de comentarios del lector que lleva impresa la dirección postal en el reverso. Si
envía el formulario de comentarios del lector desde un país que no sea Estados
Unidos, puede entregar el formulario a la sucursal local de IBM o al
representante de IBM para su envío con franqueo pagado.
Acerca de Consejos y herramientas para la seguridad del iSeries 400 (SC41-5300) xiii
v Si prefiere enviar los comentarios por FAX, utilice cualquiera de los números
siguientes:
– Desde España: (93) 321 61 34
– Desde otros países: 34 93 321 61 34
Asegúrese de incluir lo siguiente:
v El nombre del libro.
v El número de publicación del libro.
v El número de página o el tema al que hacen referencia sus comentarios.
xiv iSeries 400 Consejos y herramientas para la seguridad del iSeries V5R1
Resumen de los cambios
| Esta es la sexta edición de Tips and Tools for Securing Your iSeries. Esta edición da
| soporte a las versiones V4R1, V4R2, V4R3, V4R4, V4R5 y V5R1 de OS/400. Para
| ver qué se ofrece en cada uno de estos releases del OS/400 en lo que se refiere a
| nuevas funciones de seguridad, consulte el “Capítulo 1. Mejoras en la seguridad de
| iSeries 400” en la página 3, que proporciona una descripción de la nueva
| información sobre seguridad para cada versión.
| También se han realizado otras modificaciones técnicas y tipográficas de menor

| importancia. Una línea vertical (|), a la izquierda del texto, indica que se ha
| efectuado una modificación o que se ha añadido información.
© Copyright IBM Corp. 1996, 2001 xv

xvi iSeries 400 Consejos y herramientas para la seguridad del iSeries V5R1
Parte 1. Lea esto primero
Por el picor que hay en mis dedos

sé que la infamia se aproxima.
A quienquiera que sea,
abridle los cerrojos.
William Shakespeare: Macbeth
RV3M1202-0
© Copyright IBM Corp. 1996, 2001 1

2 iSeries 400 Consejos y herramientas para la seguridad del iSeries V5R1
Capítulo 1. Mejoras en la seguridad de iSeries 400
| La siguiente información le ofrece una breve visión general de los cambios y las
| adiciones realizados en las características de seguridad para iSeries. Se destacan las
| mejoras en la seguridad para los releases V4R1, V4R2, V4R3, V4R4, V4R5 y V5R1.
| Encontrará consejos más detallados en cada tema individual.
| Nota:
| El iSeries Information Center (IC) es su recurso principal para buscar

| información sobre iSeries 400. La mayoría de nuevas funciones como, por
| ejemplo, la gestión de particiones lógicas, la gestión de certificados digitales,
| etc. están documentados ampliamente en IC solamente. El IC también
| proporciona enlaces con otros recursos de información sobre iSeries 400,
| tales como Technical Studio y la biblioteca en línea.
| Para obtener más información sobre cómo acceder al Information Center,

| consulte el apartado “Requisitos e información relacionada” en la página xii.
|
| Mejoras de seguridad para la V5R1
| v Niveles de contraseña: La V5R1 ofrece cifrado de seguridad por contraseña
| mejorado. Se da soporte a múltiples niveles de seguridad por contraseña
| utilizando algoritmos criptográficos avanzados para proteger las contraseñas de
| usuario. Vea “Niveles de contraseña” en la página 26 para obtener más detalles.
| v Herramientas de servicio del sistema: Un procedimiento de inicio de sesión
| modificado protege el acceso a las herramientas de servicio del sistema. Vea
| “Inicio de sesión en las Herramientas de servicio del sistema (SST)” en la
| página 98 para obtener información sobre el nuevo procedimiento.
| v Servicio de Autenticación de Red: El Servicio de Autenticación de Red (NAS) es
| una herramienta que verifica la identidad de un usuario de una red. NAS
| autentica el usuario y, seguidamente, pasa la identidad autenticada a otros
| servicios de la red. Para obtener información sobre NAS, incluida la
| terminología, los conceptos, el material de consulta, el proceso mediante el que
| se produce la autenticación y las instrucciones de tareas para configurar y
| gestionar NAS, consulte el Information Center (vea “Requisitos e información
| relacionada” en la página xii para conocer detalles).
| v Calidad de servicio (QoS):QoS es una nueva función que le permite solicitar
| prioridad de red y ancho de banda para una aplicación TCP/IP. La prioridad de
| paquetes es de gran importancia si envía aplicaciones que necesiten resultados
| previsibles y fiables como, por ejemplo, multimedia. Para obtener información
| sobre QoS, incluyendo los conceptos, el material de consulta y las instrucciones
| de tareas para configurar y gestionar QoS, consulte el Information Center (vea
| “Requisitos e información relacionada” en la página xii para conocer detalles).
| v Firmas digitales: La mayoría de programas del sistema operativo van firmadas
| digitalmente. El valor del sistema QVFYOBJRST puede utilizarse para evitar que
| se almacenen en su sistema programas no firmados o programas con una firma
| errónea. También se ha añadido soporte que le permitirá firmar sus programas,
| los archivo de salvar y los archivos continuos. La integridad del sistema
| operativo de la V5R1 y la integridad de las opciones y los programas bajo
| licencia del OS/400 están protegidos mediante firma digital. Consulte “Consejos
| para la firma de objetos” en la página 122 para obtener más detalles.

| v Consola de operaciones con conectividad LAN: La V5R1 permite llevar a cabo
| actividades de consola por la LAN (red de área local). La autenticación mejorada
| proporciona seguridad durante este procedimiento. Vea el “Capítulo 9. Consejos
| para la utilización de la Consola de operaciones de AS/400” en la página 103
| para obtener más detalles.
| v Perfiles de usuario de la Herramienta de seguridad: Se controla el acceso a las
| herramientas de servicio mediante un conjunto ampliado de perfiles de usuario.
| Utilice las herramientas de seguridad para mejorar la seguridad de la LAN. Vea
| “Gestión de herramientas de servicio” en la página 84 para obtener más detalles.
| v Servidor HTTP para iSeries 400: Ahora se conoce al Internet Connection Server
| (ICS) como el Servidor HTTP IBM para iSeries 400. Ya no existe un producto
| Servidor HTTP seguro por separado. En su lugar, para habilitar SSL en el iSeries
| 400, debe instalar uno de los siguientes productos criptográficos:
| – 5722–AC2
| – 5722–AC3
| Una vez haya instalado uno de estos productos, SSL estará habilitado para todos
| los productos que utilicen SSL, incluido el Servidor HTTP.
Mejoras de seguridad para la V4R5

v Websphere: IBM WebSphere Application Server es un entorno de aplicaciones de
Java para crear, desplegar y gestionar aplicaciones Web para Internet e intranet.
Este completo conjunto de productos se amplía para ajustarse a sus necesidades
para el servidor de aplicaciones Web, abarcando todos los niveles, desde el
sencillo al avanzado y al de empresa. Existen algunas consideraciones sobre
seguridad que deberá tener en cuenta. Dichas consideraciones se tratan en las
páginas de información sobre el WebSphere Application Server, donde también
puede revisar ejemplos prácticos relacionados con la seguridad para comprender
mejor las posibles opciones. El URL es
http://www.software.ibm.com/webservers/appserv/library.html.
v LDAP:
Los Servicios de Directorio iSeries incluyen las siguientes mejoras y nuevas
características:
– El cliente LADP Windows 95 y Windows NT que se entrega con los Servicios
de Directorio iSeries incluye ahora la Herramienta de gestión de directorios
IBM SecureWay, que proporciona una interfaz gráfica de usuario para trabajar
con el directorio LDAP.
– Ahora se especifican nombres de servidor en el formato más corriente de
URL, en lugar de utilizar nombres DNS. Esto incluye la manera en que se
especifican los servidores en los referentes de LDAP, así como las referencias a
servidores externos en los archivos LDIF.
– Los archivos LDIF tienen un formato mejorado.
– Ahora se utiliza la autenticación de cliente para añadir más seguridad a las
conexiones SSL con el servidor de directorio LDAP.
– Ahora se utiliza la autenticación de cliente para añadir más seguridad a las
conexiones SSL con el servidor de directorio LDAP.
– Ahora puede utilizar listas de control de accesos (ACL) para otorgar
autorización sobre objetos de directorio a los usuarios que se enlacen al
servidor de directorio LDAP con conexiones no anónimas.
– Los Servicios de Directorio iSeries ahora dan soporte a UTC Time y a
Generalized Time. UTC Time utiliza dos dígitos para almacenar el año y no
está considerado como seguro para el año 2000, pero se incluye por razones
históricas. Generalized Time utiliza cuatro dígitos para el año y está
considerado como seguro para el año 2000.

– Se ha mejorado el soporte de alias. Los alias ya no tienen que ser nodos hoja
y pueden combinarse con otras clases de objetos.
Mejoras de la V4R4:
Los Servicios de Directorio iSeries incluyen las siguientes mejoras y nuevas

características para la V4R4:
– Puede ver una lista de los trabajos en ejecución en el servidor.
– Puede publicar información del sistema de iSeries 400 en el servidor de
directorios.
– Cuando publique información de usuario de iSeries 400 en el servidor de
directorios, los Servicios de Directorio de iSeries exportarán automáticamente
las entradas desde el directorio de distribución del sistema al directorio LDAP
– Ahora los objetos de directorios pueden tener múltiples propietarios y pueden
ser también sus propios propietarios.
– El plan del servidor de directorios incluye ahora el soporte para atributos
enteros y booleanos.
– Puede utilizar un carácter ″*″ para un valor de atributo solicitado.
Utilizando el carácter ″*″, puede recuperar todos los atributos no operativos.
Esto hace que el recuperar los atributos operativos y los no operativos en una
búsqueda resulte mucho más fácil. Para hacerlo, tendría que listar en la
búsqueda los atributos operativos de los que desee información, más el
carácter ″*″.
– Puede utilizar alias con el servidor de directorios.
Se ha añadido un nuevo TPN sin arquitectura al sistema iSeries 400. Para obtener
más información, consulte el apartado “Consejos para los Nombres de programas
de transacciones con arquitectura” en la página 127.

v Red privada virtual (VPN): La VPN nativa en OS/400 le permite proteger de
forma selectiva sus aplicaciones de Protocolo de Control de
Transmisión/Protocolo Internet (TCP/IP).
v Soporte adicional de Capa de Sockets Segura (SSL): A partir de la V4R4 puede
utilizar SSL para cifrar las comunicaciones entre clientes Telnet y su servidor
iSeries 400. También a partir de la V4R4, todas las funciones de Client Access
Express excepto MAPI pueden comunicarse por SSL. Client Access Express
permite las comunicaciones SSL con el servidor iSeries 400 a tres niveles de
cifrado (40 bits, 56 bits y 128 bits).
v Los programas de estado del sistema y los objetos que adoptan están permitidos
al cargar archivos PTF: Se ha añadido un nuevo valor, *ALWPTF , al valor del
sistema QALWOBJRST. Cuando especifique este valor, los programas de estado
del sistema y los objetos que adopten autorización tendrán permitida la entrada
en el sistema al cargar archivos PTF.
v Las mejoras de los cortafuegos incluyen el soporte de múltiples dominios y
múltiples sistemas de correo
Una novedad de la V4R4, IBM Firewall para iSeries 400, le permite configurar
múltiples dominios de correo tanto en el lado protegido del cortafuegos como en
el no protegido. Los múltiples dominios de correo crean divisiones dentro de la
red protegida de forma que pueda direccionarse el correo al dominio apropiado.
Los múltiples dominios de correo permiten a las empresas direccionar el correo
utilizando un único relé para conectarse a uno o varios servidores de correo. Las
empresas que necesiten alias de dominio también se beneficiarán de esta mejora.
Capítulo 1. Mejoras en la seguridad de iSeries 400 5

Por ejemplo, la empresa xyz.com también puede tener un dominio registrado
como, por ejemplo, xyz.com.uk; con el país como sufijo final del dominio.

Acceso limitado a las funciones del programa: A partir de la V4R3, puede limitar
el número de usuarios que podrán acceder a las funciones de un programa. La
función de un programa puede ser una aplicación, partes de una aplicación, o
distintas funciones dentro de un programa. Este soporte no sustituye a la
seguridad por recursos, sino que es otro método para ayudarle a controlar el
acceso a su sistema. Administación de aplicaciones de Operations Navigator:
Puede utilizar el soporte de Administración de aplicaciones del OpsNav para
gestionar el acceso de los usuarios a las funciones del programa.
Asesor de seguridad iSeries 400e: El Asesor de seguridad es una herramienta,

basada en el navegador, que proporciona recomendaciones para la mayoría de los
valores principales del sistema que se utilizan. Si es un nuevo usuario de iSeries
400 o su entorno ha cambiado, también puede utilizar el Asesor de seguridad
iSeries 400e para generar una lista de recomendaciones que pueda utilizar para
planificar y crear políticas de seguridad.
Asistente de seguridad iSeries 400: El Asistente de seguridad le ayuda a configurar

la seguridad en el iSeries 400 formulando una serie de preguntas sobre su empresa.
Tras procesar el asistente las respuestas a las preguntas, se visualizará un panel con
información sobre la implementación de la seguridad. Puede utilizar el Asistente
de seguridad iSeries 400 para configurar:
v Valores del sistema y atributos de red relacionados con la seguridad
v Generación de informes relacionados con la seguridad para supervisar el sistema
v Valores por omisión de los mandatos para crear perfiles de usuario
Mandato Imprimir valores internos de perfil (PRTPRFINT): Puede utilizar el

mandato Imprimir valores internos de perfil para imprimir un informe que
contenga información sobre el número de entradas contenidas en un perfil de
usuario.
Mandato Imprimir autorización privada (PRTPVTAUT) e Imprimir autorización

de uso público (PRTPUBAUT) : Ahora puede utilizar los mandatos PRTPVTAUT y
PRTPUBAUT para gestionar autorizaciones para los objetos del sistema de archivos
integrado.
Mandato Restaurar perfil de usuario (RSTUSRPRF): La autorización especial

*ALLOBJ ya no se elimina de los perfiles de usuario en algunos casos. Se elimina
cuando se restaura un perfil de usuario a un sistema con un nivel de seguridad 30
o superior en una de estas situaciones:
v El perfil se salvó en un sistema distinto y el usuario que ejecuta RSTUSRPRFF
no tiene las autorizaciones especiales *ALLOBJ y *SECADM.
v El perfil se salvó en el mismo sistema con el nivel de seguridad 10 ó 20.
La autorización especial *ALLOBJ no se elimina nunca de estos perfiles de usuario
suministrados por IBM:
v QSYS (sistema)
v QSECOFR (responsable de seguridad)
v QLPAUTO (instalación automática de programa bajo licencia)
v QLPINSTALL (instalación de programa bajo licencia)

Filtrado de paquetes de Protocolo Internet (IP): Proporciona la capacidad de
bloquear el tráfico de IP de forma selectiva, basándose en la información de las
cabeceras de los paquetes IP y las específicas del protocolo. Consulte el
Information Center para conocer detalles, bajo el tema Redes (Networking).
Servidor proxy HTTP : El servidor proxy HTTP viene con el Servidor HTTP IBM
para iSeries 400. El servidor proxy recibe las peticiones HTTP de los navegadores
Web, y las vuelve a enviar a los servidores Web. Consulte el Information Center
para conocer más detalles.
NAT (conversión de direcciones de red): La Conversión de direcciones de red (NAT)

modifica las direcciones IP origen o destino de los paquetes que fluyen por el
sistema. Con NAT, podrá utilizar el sistema iSeries 400 como pasarela entre dos
redes que posean esquemas de direccionamiento conflictivos o incompatibles.
También podrá utilizar NAT para ocultar las direcciones IP reales de una red,
sustituyéndolas dinámicamente por otras direcciones distintas. Consulte el
Information Center para conocer más detalles.
VPN en el IBM Firewall para iSeries 400: IBM Firewall para iSeries 400
proporciona teconologías de red privada virtual (VPN). Con las VPN se pueden
crear conexiones cifradas entre el cortafuegos y muchos otros productos
cortafuegos de IBM.
En la V4R3 se introdujo la Conversión de direcciones de red (NAT) para el

cortafuegos como nueva característica.
Servidor HTTP para iSeries 400: Ahora se conoce al Internet Connetion Server
(ICS) como el Servidor HTTP IBM para iSeries 400. Ya no existe un producto
Servidor HTTP Seguro por separado. En su lugar, para habilitar SSL en el iSeries
400, debe instalar uno de los siguientes productos criptográficos:
v 5769–AC1
v 5769–AC2
v 5769–AC3
Una vez haya instalado uno de estos productos, SSL estará habilitado para todos
los productos que utilicen SSL, incluido HTTP Server.

Autorizaciones a nivel de columna para archivos de base de datos : A partir de la
V4R2 puede especificar autorizaciones para campos específicos en un archivo
DB2/400. DB2/400 soporta las autorizaciones a nivel de campo siguientes:
Autorización de actualización:
Puede especificar qué usuarios pueden modificar el valor de un campo.
Autorización de referencias:
Puede controlar qué usuarios pueden especificar un campo como clave
padre en una restricción referencial.
Puede disponer de la posibilidad de otorgar y revocar la autorización a nivel de

campo a través de las sentencias de SQL. Puede utilizar el mandato Visualizar
autorización de objeto (DSPOBJAUT) para ver las autorizaciones a nivel de campo
de un archivo. Para obtener más información sobre las autorizaciones a nivel de
campo, consulte la publicación DB2 UDB for iSeries 400 SQL Reference. Puntos de
salida TELNET: A partir de la V4R2, hay dos puntos de salida disponibles para
TELNET: inicio de sesión y fin de sesión. Estos puntos de salida proporcionan la

posibilidad de controlar y supervisar el acceso mediante TELNET al sistema. Estos
son algunos ejemplos de las posibles acciones que puede llevar a cabo en su
programa de salida TELNET escrito por el usuario:
v Aceptar o denegar una petición de sesión
v Asignar a la petición una descripción específica de dispositivo de iSeries
v Asignar un perfil de usuario específico para la sesión
v Anotar cronológicamente las conexiones y desconexiones del sistema a través del
servidor TELNET
El apartado Consejos de seguridad para Telnet de esta publicación y los artículos sobre
Configuración de TCP/IP y consulta del Information Center proporcionan más
información sobre los nuevos puntos de salida de TELNET. Protocolo punto a
punto (PPP): A partir de la V4R2, TCP/IP incluye soporte para PPP. PPP
proporciona un mejor rendimiento y unas posibilidades de seguridad mejoradas
respecto a SLIP. Con PPP, la autenticación de los usuarios está estructurada y no
depende de los scripts creados por usuario. El cifrado de los nombres de los
usuarios y de las contraseñas está disponible siempre que ambas partes de la
conexión lo soporten. PPP también soporta la validación de direcciones IP. Con
esto se asegura que un usuario tenga una dirección dentro de un rango
especificado como protección frente a la suplantación de IP (IP spoofing). PPP
también proporciona la capacidad de configurar el perfil de conexión para
restablecer periódicamente el reto de protegerse contra la suplantación de sesiones.
El apartado Consideraciones de seguridad para el Protocolo punto a punto de esta

publicación y los artículos sobre Configuración de TCP/IP y consulta del Information
Center proporcionan más información. Puesta de contraseñas en antememoria para
clientes Windows 95 : El clientes Windows 95 para Client Access proporciona la
posibilidad de guardar contraseñas en la antememoria de contraseñas de Windows
95 (con un recuadro de selección Guardar contraseña en el inicio de sesión).
También proporciona la posibilidad de borrar contraseñas de la antememoria (con
un botón Borrar contraseñas ). Ello elimina todas las contraseñas de Client Access
de la antememoria de contraseñas Windows 95. Cuando desinstala Client Access,
el proceso también borra todas las contraseñas de Client Access de la antememoria
de contraseñas de Windows 95. Gestor de certificados digitales : El Gestor de
certificados digitales (DCM) registra los certificados de usuario que cree. También
puede utilizar el DCM para registrar los certificados de usuario que emitan otras
Autoridades certificadoras. DCM asocia automáticamente el certificado registrado
al perfil de usuario iSeries 400 del propietario.
Para utilizar certificados digitales debe tener instalados los Programas de Utilidad
de Conectividad TCP/IP para iSeries (5769-TC1) y el Servidor HTTP IBM para
iSeries (5769-DG1) en su iSeries. También debe instalar un programa bajo licencia
suministrador de acceso criptográfico (5769-AC1, 5769-AC2 o 5769-AC3) para crear
claves de certificado. Estos productos criptográficos determinan la longitud de
clave máxima permitida para los algoritmos criptográficos.
El estándar de la industria para los certificados digitales es el formato X.509. Los

certificados que cree en el Gestor de certificados digitales son compatibles con las
versiones 2 y 3 de X.509. Operations Navigator : Proporciona configuraciones de
seguridad de usuario y grupo para para facilitar la gestión de seguridad digital a
los usuarios de iSeries 400.

Internet Connection Server En la V4R1, el servidor HTTP TCP/IP se convierte en el
Internet Connection Server (ICS). El ICS proporciona tanto funciones mejoradas (a
través del servidor HTTP) como compatibilidad a través de múltiples plataformas
de IBM. También proporciona nuevas posibilidades de seguridad:
v Nuevas directivas le permiten solicitar la autenticación (contraseña e ID de
usuario) antes de aceptar las peticiones para algunos o todos los recursos del
ICS (URL y programas CGI). Puede utilizar perfiles de usuario normales del
iSeries o un nuevo objeto de validación de iSeries para proporcionar la
autenticación.
v Con las nuevas directivas, también puede intercambiar a un perfil de usuario
iSeries diferente antes de acceder a los recursos del ICS (en lugar de utilizar los
perfiles de usuario por omisión que se proporcionan con el servidor).Esta
posibilidad le permite, por ejemplo, beneficiarse de la seguridad de los recursos
de iSeries cuando atiende a varios sitios Web en el mismo sistema.
El tema Web serving with your IBM HTTP Serverque encontrará en el Information
Center proporciona más información sobre las consideraciones de seguridad para
este nuevo servidor.
Internet Connection Secure Server: Con la V4R1, el nuevo Internet Connection

Secure Server (ICSS) proporciona la posibilidad de establecer una conexión segura
entre el iSeries y un navegador habilitado para SSL. El ICSS utiliza el protocolo
SSL (capa de sockets segura) para autenticar servidores y cifrar los datos
transmitidos. (Los navegadores Web más utilizados tienen SSL habilitado). El ICSS
proporciona la base para el comercio electrónico seguro utilizando un servidor
iSeries
El tema Web serving with your IBM HTTP Serverque encontrará en el Information
Center proporciona más información sobre las consideraciones de seguridad para
este nuevo servidor.
Firewall para iSeries 400: El IBM Firewall para iSeries 400 (5769–FW1) es un
producto software que habilita al Integrated Netfinity Server para iSeries 400 en el
iSeries para que realice las funciones de un cortafuegos. El cortafuegos separa la
red interna (protegida) de una red externa (no protegida) (generalmente Internet).
Puede ejecutar el IBM Firewall para iSeries 400 en su sistema iSeries de producción
(para proteger tanto su sistema de producción como otros sistemas conectados).
Para obtener la máxima protección de seguridad, por lo general deberá utilizar un
sistema iSeries dedicado y separado como servidor Internet. También puede elegir
ejecutar el cortafuegos en un sistema iSeries multiuso que ejecute las aplicaciones
de producción y que proporcione servicios de Internet. No obstante, el éxito de
esta implementación depende en gran medida tanto del diseño de la aplicación
como de la meticulosidad de sus normas de configuración.
El IBM Firewall para iSeries 400 proporciona las siguientes posibilidades:

v El filtro de paquetes ofrece soporte para TCP, UDP e ICMP. El filtro dinámico de
paquetes ofrece soporte para RealAudio (Redes progresivas).
v Un servidor de nombres de dominio.
v Servidores proxy para aplicaciones comunes, tales como HTTP, TELNET y FTP.
v Un servidor socks independiente de la aplicación.
v Un servidor de correo.
v Supervisión y registro extensivos.

v Administración a través de un navegador Web.
Para el administrador del sistema, el IBM Firewall para iSeries 400 proporciona la
ventaja de utilizar tecnología y un entorno ya conocido. Proporciona un método
económico para proteger la red interna al conectar con otras redes externas no
protegidas. Technical Studio proporciona información completa sobre cómo
configurar el cortafuegos y cómo utilizar sus posibilidades. El sitio Web del
Firewall para iSeries 400 proporciona información actual, consejos, y respuestas a
las preguntas más frecuentes. Visite el sitio Web en el URL siguiente:
http://www.as400.ibm.com/firewall
Net.Commerce para iSeries: El Internet Connection Server y el Internet Connection

Secure Server proporciona las bases para el comercio electrónico en el iSeries. Dos
programas bajo licencia facilitan las herramientas para desarrollar un centro
comercial de funciones completas en su sitio Web.
v IBM Net.Commerce para iSeries (5798-NC2) proporciona herramientas para
diseñar y administrar su sitio Web. Puede crear y mantener catálogos de
productos y utilizar una metáfora de cesta de la compra para los visitantes de su
sitio Web.
Para obtener la información más actualizada acerca de las ofertas de correo

electrónico de IBM, visite el sitio Web siguiente:
http://www.internet.ibm.com/commercepoint/net.commerce/
Puntos de salida TCP/IP: A partir de la V4R1, más aplicaciones TCP/IP utilizan

los puntos de salida que anteriormente sólo estaban disponibles para el servidor
FTP. Ahora puede utilizar programas de salida para controlar la actividad de los
servidores REXEC y TFTP.
Para obtener más información sobre los Programas de salida del Protocolo de
Configuración Dinámica de Sistema Principal, consulte ese tema en el Information
Center. El artículo “TCP/IP User Exits” de esta publicación proporciona más
información sobre cómo utilizar los puntos de salida FTP.

Parte 2. Consejos para la seguridad básica del sistema
iSeries 400
La curiosidad es una de las características permanentes y Cuando nos paramos a pensar, solemos perder nuestra
ciertas de una mente inquieta. oportunidad.
Samuel Johnson: The Rambler Publilius Syrus: Máxima 185
RV3M1203-0

Capítulo 2. Elementos básicos de la seguridad de iSeries
Este tema proporciona una breve revisión de los elementos básicos que trabajan
conjuntamente para proporcionar seguridad en iSeries. En otras secciones de esta
publicación se va más allá de lo básico para proporcionarle consejos para utilizar
esos elementos de seguridad de forma que satisfagan las necesidades de su
organización.
Niveles de seguridad
Puede elegir la seguridad que desea que tenga el sistema estableciendo el valor del
sistema de nivel de seguridad (QSECURITY). El sistema ofrece cinco niveles de
seguridad:
Nivel 10:
El sistema no tiene seguridad de ningún tipo. No se precisan contraseñas.
Si el perfil de usuario especificado no existe en el sistema cuando se inicia
una sesión, el sistema crea uno nuevo.
ATENCIÓN:
A partir de la V4R3 y en futuros releases, no podrá establecer

el valor del sistema QSECURITY en 10. Si su sistema tiene
actualmente un nivel de seguridad 10, seguirá teniendo el
nivel 10 cuando instale la Versión 4 Release 3. Si cambia el
nivel de seguridad por otro valor, no podrá regresar al nivel
10. Dado que el nivel 10 no proporciona protección de
seguridad, IBM no recomienda el nivel de seguridad 10. IBM
no proporcionará soporte para los problemas que se
produzcan con un nivel de seguridad 10, a menos que
dicho problema también pueda aparecer con un nivel de
seguridad más alto.
Nivel 20:
El sistema precisa un ID de usuario y una contraseña para el inicio de la
sesión. Este nivel también recibe el nombre de seguridad de inicio de
sesión.Por omisión, todos los usuarios tienen acceso a todos los objetos, ya
que poseen la autorización especial *ALLOBJ.
Nivel 30:
sesión. Los usuarios deben tener autorización para la utilización de los
objetos, ya que no tienen ninguna autorización por omisión. Esto también
se conoce como seguridad de recursos.
Nivel 40:
sesión. Además de la seguridad de recursos, el sistema proporciona
funciones de protección de integridad. Estas funciones están dirigidas a
proteger el sistema y los objetos del mismo contra una mala utilización por
parte de los usuarios experimentados. En la mayoría de las instalaciones, el
nivel 40 es el nivel de seguridad recomendable. Cuando se recibe un
sistema iSeries nuevo con el release V3R7 o posterior, el nivel de seguridad
está establecido en 40.

Nivel 50:
sesión. El sistema impone tanto la seguridad por recursos como la
protección de integridad del nivel 40, pero añade protección de integridad
mejorada, como lo siguiente:
v Validación de parámetros para las interfaces con el sistema operativo.
v Restricción del manejo de mensajes entre los programas de estado del
sistema y los programas de estado de los usuarios.
El nivel de seguridad 50 está pensado para los sistemas iSeries con altos
requisitos de seguridad.
Nota: El nivel 50 es el nivel necesario para la certificación de C2 (y para la

certificación de FIPS-140). Para obtener más información, revise la
publicación Security–Enabling for C2.
El capítulo 2 de la publicación iSeries Security Reference proporciona más

información sobre los niveles de seguridad y describe cómo ir de un nivel de
seguridad a otro.
Valores globales
Su sistema tiene valores globales que afectan a la manera en que su trabajo entra
en el sistema y cómo aparece el sistema ante los demás usuarios del sistema. Estos
valores incluyen lo siguiente:
Valores del sistema:
Los valores del sistema se utilizan para controlar la seguridad en el
sistema. Estos valores se dividen en cuatro grupos:
v Valores del sistema de seguridad general
v Otros valores del sistema relacionados con la seguridad
v Valores del sistema que controlan contraseñas
v Valores del sistema que controlan auditorías
Varios temas de esta publicación tratan de las implicaciones de seguridad
de ciertos valores del sistema. El capítulo 3 de la publicación iSeries
Security Reference describe todos los valores del sistema importantes para la
seguridad.
Atributos de red:
Los atributos de red controlan el modo en que el sistema participa (o
decide no participar) en una red con otros sistemas. Puede obtener más
información acerca de los atributos de red leyendo la publicación .
Descripciones de subsistema y otros elementos de gestión de trabajo:
Los elementos de gestión de trabajo determinan la manera en que el
trabajo entra en el sistema y el entorno en el que el trabajo se lleva a cabo.
Varios temas de esta publicación tratan de las implicaciones de seguridad
de ciertos valores de la gestión de trabajo. El manual proporciona
información completa.
Configuración de comunicaciones:
La configuración de las comunicaciones también afecta a la manera en que
el trabajo entra en el sistema. Varios temas de esta publicación
proporcionan sugerencias para proteger el sistema cuando forma parte de
una red.

Perfiles de usuario
Cada usuario del sistema debe tener un perfil de usuario. En el nivel de seguridad
10 (que no se soporta a partir de la V4R3), el sistema crea automáticamente un
perfil la primera vez que un usuario inicia una sesión. En los niveles de seguridad
superiores, es necesario crear perfiles de usuario para que los usuarios puedan
conectarse.
| Los perfiles de usuario también pueden utilizarse para controlar el acceso a

| herramientas de servicio tales como DASD y vuelcos del almacenamiento principal.
| Vea “Gestión de herramientas de servicio” en la página 84 para obtener más
| información.
| El perfil de usuario es una herramienta potente y flexible. Controla las acciones

| que el usuario puede llevar a cabo y personaliza la manera en que el usuario ve el
| sistema. La publicación iSeries Security Reference describe todos los parámetros del
| perfil de usuario.
Perfiles de grupo
Un perfil de grupo es un tipo especial de perfil de usuario. Puede utilizarlo para
definir la autorización de un grupo de usuarios, en lugar de dar autorización a
cada usuario de uno en uno. También puede utilizar un perfil de grupo como
patrón al crear perfiles de usuario individuales utilizando la función copiar perfil,
o bien, si utiliza Operations Navigator, puede utilizar el menú Políticas de
seguridad para editar las autorizaciones de usuario.
El capítulo 5 y el capítulo 7 del manual iSeries Security Reference proporcionan

información acerca de la planificación y la utilización de perfiles de grupo.
Seguridad por recursos

La seguridad por recursos en el sistema le permite indicar quién puede utilizar los
objetos y de qué manera. La posibilidad de acceder a un objeto recibe el nombre
de autorización. Al establecer la autorización sobre objetos, puede resultar
necesario ir con cuidado para otorgar a los usuarios suficiente autorización para
realizar su trabajo, pero sin otorgarles autorización para examinar y modificar el
sistema. La autorización sobre objetos otorga permisos al usuario para un objeto
específico y puede especificar lo que se permite al usuario hacer con el objeto. Un
recurso de objeto puede limitarse mediante autorizaciones de usuario específicas
detalladas, por ejemplo añadir registro o modificar registros. Pueden utilizarse
recursos del sistema para otorgar al usuario acceso subconjuntos de autorizaciones
específicas definidas por el sistema: *ALL, *CHANGE, *USE y *EXCLUDE.
Los archivos, programas, bibliotecas y directorios son los objetos del sistema más
corrientes que requieren protección de seguridad por recursos, pero puede
especificar autorización para cualquier objeto individual del sistema.
En el Capítulo 6. Utilización de la autorización sobre objetos para proteger la

información, se trata la importancia de trabajar con la autorización sobre objetos en
el sistema. El capítulo 5 del manual iSeries Security Reference describe las opciones
para la puesta a punto de la seguridad de los recursos.
Capítulo 2. Elementos básicos de la seguridad de iSeries 15

Acceso limitado a las funciones del programa
El acceso limitado a las funciones del programa le permite proporcionar seguridad
para el programa cuando no se tiene un objeto iSeries 400 a proteger para el
programa. Antes de añadirse el soporte para el acceso limitado a las funciones del
programa a la V4R3, podía conseguir el mismo resultado creando una lista de
autorizaciones u otro objeto y comparando la autorización con el objeto para
controlar el acceso a la función del programa. Ahora puede utilizar el acceso
limitado a las funciones del programa para tener un control más fácil del acceso a
una aplicación, a partes de una aplicación o a las funciones de un programa.
Existen dos métodos que puede utilizar para gestionar el acceso de los usuarios a
funciones de aplicaciones mediante el Operations Navigator. El primero utiliza el
soporte de Administración de las aplicaciones:
1. Pulse con el botón de la derecha en el iSeries que está ejecutando la aplicación.
2. Pulse Administración de las aplicaciones. Se abrirá una ventana que contiene
listas de las funciones registradas para el Operations Navigator, aplicaciones de
sistema principal y aplicaciones de cliente (vea la Figura 1 en la página 17).
3. Desde la ventana Administración de las aplicaciones, cambie el valor de uso
por omisión y el indicador de permitir *ALLOBJ como lo desee. El valor por
omisión para las autorizaciones de aplicaciones es *ALLOBJ. Si desea
personalizar el acceso a los programas de aplicación, puede especificar qué
programas tienen autorización. Puede hacerlo pulsando en las opciones de
autorización que aparezcan en la pantalla. Se implementará entonces la nueva
configuración.
Nota: Cuando una función tiene una lista de usuarios a los que se ha otorgado
o denegado el acceso a la función, la columna Uso personalizado
contiene una X.
4. Resalte una función para habilitar el botón Personalizar.
5. Pulse el botón Personalizar para visualizar el recuadro de diálogo Personalizar
uso.
6. En del recuadro de diálogo Personalizar uso, modifique la lista de usuarios y
grupos a los que se ha permitido o denegado el acceso a la función.

Figura 1. Administración de aplicaciones
El segundo método para gestionar el acceso de los usuarios implica el soporte para
Usuarios y Grupos del Operations Navigator:
1. Acceda a la ventana Propiedades para un usuario o grupo.
2. Pulse el botón Posibilidades.
3. Elija la pestaña Aplicaciones. Se visualizará una lista de las funciones
registradas y el acceso (o uso) que el usuario o grupo tiene para cada función.
La columna Uso derivado de muestra de dónde proviene el acceso.
4. En la ventana Posibilidades, modifique los valores del usuario para las
funciones listadas. Desde este ventana también puede hacer lo siguiente:
v Cambiar los valores para todas las funciones de un grupo jerárquico,
modificando el valor de la función ″padre″.
v Gestionar el acceso a las funciones utilizando perfiles de grupo.
Vea “Seguridad y Operations Navigator” en la página 225 para obtener más
información sobre los temas de seguridad del Operations Navigator.
Si se dedica a escribir aplicaciones, puede utilizar las API del acceso limitado a las
funciones del programa para efectuar lo siguiente:
v Registrar una función
v Recuperar información acerca de la función
v Definir quién puede utilizar la función y quién no
v Comprobar si al usuario se le permite utilizar la función

Nota: Este soporte no sustituye la seguridad por recursos. El acceso limitado a las
funciones del programa no evita que un usuario acceda a un recurso (como
un archivo o programa) desde otra interfaz.
Para utilizar este soporte dentro de una aplicación, el suministrador de la

aplicación deberá registrar las funciones cuando se instale la aplicación. La función
registrada se corresponde con un bloque de código dentro de la aplicación, que
contiene funciones específicas. Cuando el usuario ejecuta la aplicación, la
aplicación llama a la API antes de llamar al bloque de código. La API llama a la
API de comprobación de uso para saber si al usuario se le permite utilizar la
función. Si se le permite el uso de la función registrada, se ejecuta el bloque de
código. Si no se le permite el uso de la función, se niega al usuario la ejecución del
bloque de código.
Nota: Las API implican el registro de un ID de función de 20 caracteres en la base

de datos de registro (WRKREGINF). Aunque no hay puntos de salida
relacionados con los ID de función utilizados por las API de acceso limitado
a las funciones, es necesario tener puntos de salida. Para poder registrar
algo en el registro, debe proporcionar un nombre con formato de punto de
salida. Para hacerlo, la API ″crear nuevo ID de FUNCION″ crea un nombre
ficticio y lo utiliza para todos los ″ID de FUNCION″ que se registren. Dado
que se trata de un nombre con formato ficticio, no se llama a ningún
programa de punto de salida.
El administrador del sistema especifica quién tiene acceso permitido a una función.
El administrador puede utilizar la API para gestionar el acceso a las funciones del
programa, o bien utilizar la GUI de la Administración de aplicaciones del
Operations Navigator. La publicación iSeries 400 System API Reference proporciona
información sobre las API de acceso limitado a las funciones del programa. Para
obtener información adicional sobre el control del acceso a funciones, vea
“Seguridad y Operations Navigator” en la página 225.
Auditoría de la seguridad
Los motivos para realizar una auditoría de la seguridad del sistema pueden ser
diversos:
v Para evaluar si el plan de seguridad es completo.
v Para asegurarse de que los controles de seguridad planificados están en
funcionamiento. Este tipo de auditoría suele realizarla el responsable de
seguridad como parte de la administración diaria de la seguridad. También se
lleva a cabo, a veces más detalladamente, como parte de una revisión periódica
de la seguridad por parte de auditores internos o externos.
v Para asegurarse de que la seguridad del sistema sigue el ritmo de los cambios
que se realizan en el entorno del sistema. Estos son algunos ejemplos de los
cambios que afectan a la seguridad:
– Objetos nuevos creados por usuarios del sistema
– Usuarios nuevos admitidos en el sistema
– Cambio de la propiedad de objetos (autorización no ajustada)
– Cambio de responsibilidades (grupo de usuarios modificado)
– Autorización temporal (no revocada a tiempo)
– Instalación de nuevos productos

v Para prepararse para un evento futuro como, por ejemplo, instalar una nueva
aplicación, ir a un nivel de seguridad superior o configurar una red de
comunicaciones.
Las técnicas descritas aquí son apropiadas para todas esas situaciones. Los
elementos para los que realice la auditoría y la frecuencia con que lo haga
dependerán del tamaño y de las necesidades de seguridad de su organización.
La auditoría de seguridad implica el uso de mandatos en el sistema iSeries y el

acceso a información de anotaciones y diarios en el sistema. Puede interesarle crear
un perfil especial para que lo utilice quien tenga que realizar una auditoría de
seguridad de su sistema. El perfil del auditor necesitará la autorización especial
*AUDIT para poder modificar las características de auditoría de su sistema.
Algunas de las tareas de auditoría sugeridas en este capítulo requieren un perfil de
usuario con la autorización especial *ALLOBJ y *SECADM. Asegúrese de establecer
la contraseña para el perfil de auditor como *NONE al finalizar el periodo de
auditoría.
Para obtener más detalles sobre la auditoría de seguridad vea el capítulo 9 de la

publicación Seguridad, Manual de consulta.
Informe de atributos de seguridad del sistema – ejemplo

La Figura 2 muestra un ejemplo de la salida del mandato Imprimir atributos de
seguridad del sistema (PRTSYSSECA). El informe muestra la configuración de los
valores del sistema y los atributos de red relativos a seguridad que se recomiendan
para los sistemas con necesidades de seguridad normales. También muestra los
valores actuales del sistema.
Nota: La columna Valor actual del informe muestra el valor actual del sistema.
Compárelo con el valor recomendado para ver dónde puede haber riesgos
de seguridad.
Atributos de seguridad del sistema
Nombre de valor
del sistema Valor actual Valor recomendado
QALWOBJRST *NONE *NONE
QALWUSRDMN *ALL QTEMP
QATNPGM QEZMAIN QSYS *NONE
QAUDENDACN *NOTIFY *NOTIFY
QAUDFRCLVL *SYS *SYS
QAUDCTL *AUDLVL *AUDLVL *OBJAUD
QAUDLVL *SECURITY *AUTFAIL *CREATE
*DELETE *SECURITY
*SAVRST *NOQTEMP
Figura 2. Informe de atributos de seguridad del sistema - Ejemplo (Pieza 1 de 4)

QAUTOCFG 0 0
QAUTOVRT 9999 0
QCMNRCYLMT 0 0 0 0
QCRTAUT *CHANGE Control a nivel de biblioteca.
QCRTOBJAUD *NONE Control a nivel de biblioteca.
QDEVRCYACN *DSCMSG *DSCMSG
QDSCJOBITV 120 120
QDSPSGNINF 1 1
QINACTITV 60 60
QINACTMSGQ *ENDJOB *ENDJOB
QLMTDEVSSN 0 1
QLMTSECOFR 0 1
QMAXSGNACN 2 3
QMAXSIGN 3 3
QPWDEXPITV 60 60
QPWDLMTAJC 1 1
QPWDLMTCHR *NONE AEIOU@$#
QPWDLMTREP 1 2
QPWDMAXLEN 8 8
QPWDMINLEN 6 6
QPWDPOSDIF 1 1
QPWDRQDDGT 1 1
QPWDRQDDIF 0 1
QPWDVLDPGM *NONE *NONE
QRETSVRSEC 0 0
QRMTIPL 0 0
QRMTSIGN *FRCSIGNON *FRCSIGNON
QSECURITY 50 50
QSRVDMP *DMPUSRJOB *NONE
Atributos de seguridad del sistema
Nombre de
atributo de red Valor actual Valor recomendado
DDMACC *OBJAUT *REJECT
JOBACN *FILE *REJECT
PCSACC *OBJAUT *REJECT

Capítulo 3. Asistente de seguridad y Asesor de seguridad
iSeries 400
Las herramientas Asistente de seguridad y Asesor de seguridad iSeries 400 pueden
ayudarle a decidir qué valores de seguridad debe poner en vigor en su sistema
iSeries. Utilizando el Asistente de seguridad iSeries en Operations Navigator
generará informes que mostrarán sus necesidades de seguridad según las
respuestas seleccionadas, lo que puede utilizar para configurar la seguridad del
sistema.
El Asesor de seguridad es la versión en línea del Asistente de seguridad. Está

ubicado en el Technical Studio y le permite seleccionar opciones basándose en sus
necesidades de seguridad, generando un informe que sugiere las características
necesarias para asegurar su sitio.
Asistente de seguridad iSeries 400

| La decisión sobre qué valores de seguridad del sistema iSeries debería utilizar para
| su empresa puede ser muy compleja. Si no está familiarizado con el iSeries ni con
| la implementación de la seguridad en los servidores iSeries, o bien el entorno en el
| que ejecuta el iSeries ha cambiado recientemente, el Asistente de seguridad iSeries
| 400 puede ayudarle a tomar decisiones.
¿Qué es un Asistente?
v Un asistente es una herramienta diseñada para que la utilice un usuario
inexperto para instalar o configurar algún elemento en un sistema.
v El asistente solicita información al usuario formulando preguntas. La respuesta a
cada pregunta determina qué pregunta se formula a continuación.
| v Cuando el asistente ha realizado todas las preguntas, se presenta al usuario un
| diálogo de finalización. El usuario pulsará entonces el botón Finalizar para
| instalar y configurar el elemento.
Finalidades del Asistente de seguridad
La finalidad del Asistente de seguridad iSeries 400 es configurar lo siguiente,

basándose en las respuestas de un usuario.
v Valores del sistema y atributos de red relacionados con la seguridad
v Informes para supervisión del sistema relacionados con la seguridad.
v El asistente genera un Informe de información para el administrador y un
Informe de información para el usuario:
– El Informe de información para el administrador contiene los valores de
seguridad recomendados y los procedimientos que deberán seguirse antes de
poner en vigor dichas recomendaciones.
– El Informe de información para el usuario contiene información que puede
utilizarse para la política de seguridad de la empresa. Por ejemplo, en este
informe se incluyen las normas para componer contraseñas.
v El asistente proporciona valores recomendados para los diversos elementos del
sistema relacionados con la seguridad.
Objetivos del Asistente de seguridad
| v Los objetivos del Asistente de seguridad son:

| – Determinar cuáles deben ser los valores de la seguridad del sistema,
| basándose en las respuestas de los usuarios a las preguntas del asistente y, a
| continuación, implementar dichos valores cuando sea conveniente.
| – El asistente genera informes de información detallada que incluyen lo
| siguiente.
| - Informe que explica las recomendaciones del Asistente.
| - Informe que detalla los procedimientos que deberán seguirse antes de la
| implementación.
| - Informe que lista información importante que debe distribuirse a los
| usuarios del sistema.
v Estos elementos ponen en vigor en el sistema la política de seguridad básica.
v El asistente recomienda informes de diario de auditoría que deberá planificar
para que se ejecuten periódicamente. Una vez planificados, estos informes
ayudan a lo siguiente:
– Asegurar que se siguen las políticas de seguridad.
– Asegurar que las políticas de seguridad sólo se modifican con su aprobación.
– Planificar informes para supervisar los eventos del sistema relacionados con
la seguridad.
v El asistente le pertmite guardar las recomendaciones o aplicarlas todas o parte
de ellas al sistema.
| Nota: El Asistente de seguridad puede utilizarse más de una vez en el mismo

| sistema para permitir a los usuarios que tengan una instalación más antigua
| revisar su seguridad actual. El Asistente de seguridad puede utilizarse en los
| sistemas de la V3R7 (cuando apareció el Operations Navigator) y
| posteriores.
Para acceder al Asistente de seguridad, haga lo siguiente:

1. Efectúe una doble pulsación en el icono Operations Navigator para abrir el
Operations Navigator.
| Nota: Para poder utilizar el Operations Navigator de iSeries deberá tener

| instalado Client Access en su PC Windows 95/NT y tener una conexión
| iSeries con dicho PC. El usuario del Asistente debe estar conectado a un
| iSeries. El usuario debe tener un ID de usuario que tenga las
| autorizaciones especiales *ALLOBJ, *SECADM, *AUDIT y *IOSYSCFG.
| Para obtener ayuda sobre la conexión del PC Windows 95/NT al sistema
| iSeries, consulte el tema Client Access Express en el Information Center
| (vea “Requisitos e información relacionada” en la página xii para obtener
| detalles).
| 2. Expanda la carpeta Seguridad y seleccione Configurar la seguridad del
| servidor para iniciar el Asistente de seguridad.
| v Cuando un usuario inicia la opción Seguridad del Operations Navigator, se
| envía una petición al iSeries para comprobar la autorización especial del
| usuario.
| v Si el usuario no tuviera todas las autorizaciones especiales necesarias
| (*ALLOBJ, *AUDIT, *IOSYSCFG, *SECADM), no podrá ver la opción
| Configurar y no podrá acceder al Asistente de seguridad.
| 3. Suponiendo que el usuario tenga la autorización necesaria:
| v Se recuperan las respuestas anteriores del asistente.
| v Se recuperan los valores de seguridad actuales.
El Asistente de seguridad le presentará una de tres pantallas de bienvenida. La

pantalla que vea dependerá de cuál de estas condiciones se cumpla:

v No se ha ejecutado nunca el asistente para el iSeries destino.
v El asistente se ha ejecutado antes y los cambios en la seguridad se han diferido.
v El asistente se ha ejecutado antes y los cambios en la seguridad entraron en
vigor.
Si no está utilizando el Operations Navigator, igualmente puede obtener ayuda

para planificar las necesidades de seguridad. El Asesor de seguridad es una
versión en línea del Asistente de seguridad, con una diferencia. El asesor no
configurará el sistema automáticamente. Sin embargo, generará un informe sobre
las opciones de seguridad recomendadas basándose en sus respuestas. Para
acceder al Asesor de seguridad lleve su navegador de Internet al siguiente URL:
http://www.as400.ibm.com/tstudio/secure1/index_av.htm
El Asesor de seguridad forma parte de iSeries 400 Technical Studio.
Asesor de seguridad iSeries 400

El Asesor de seguridad es una versión en línea del Asistente de seguridad.
Formula las mismas preguntas que el Asistente de seguridad y, según sus
respuestas, genera las mismas recomendaciones. Las diferencias principales entre
ambas herramientas son:
v El Asesor de seguridad no hace lo siguiente—
– Generar informes.
– Comparar los valores actuales con los valores recomendados.
– Establecer cualquier valor del sistema automáticamente.
v No puede aplicar recomendaciones desde el Asesor de seguridad.
El Asesor de seguridad genera un programa CL en el que puede cortar y pegar y

editar para su propio uso, con el fin de automatizar la configuración de la
seguridad. También puede enlazar directamente con la documentación de iSeries
400 desde el Asesor de seguridad. Esta documentación proporciona información
acerca del valor del sistema o informe que le ayudará a determinar si dicho valor
es el apropiado para su entorno.
Para acceder al Asesor de seguridad lleve su navegador de Internet al siguiente

URL:
http://www.as400.ibm.com/tstudio/secure1/index_av.htm
El Asesor de seguridad forma parte de iSeries Technical Studio. Este sitio Web da
respuesta a muchas de las preguntas sobre seguridad y ofrece información puntual
sobre talleres, clases y otros recursos. El URL para la dirección de Technical Studio
es:
http://www.as400.ibm.com/techstudio
El URL para la sección de Seguridad iSeries de Technical Studio es:

http://www.AS400.ibm.com/tstudio/secure1/secdex.htm
Capítulo 3. Asistente de seguridad y Asesor de seguridad iSeries 400 23

Capítulo 4. Consejos para controlar el inicio de sesión
interactivo
Cuando se plantee restringir la entrada al sistema, comience con lo más obvio: la
pantalla Inicio de sesión. A continuación se enumeran las opciones que puede
utilizar para dificultar a extraños la entrada y posible conexión a su sistema
utilizando la pantalla Inicio de sesión.
v Definición de normas para las contraseñas.
v Modificación de las contraseñas conocidas.
v Definición de normas para el inicio de sesión.
Definición de las normas para las contraseñas

Para proteger la entrada al sistema, efectúe lo siguiente:
v Adopte una política que establezca que las contraseñas no deben ser obvias y
que no se deben compartir.
v Establezca valores del sistema para facilitar su aplicación. En la Tabla 1 se
muestran los valores del sistema recomendados.
La combinación de valores en la Tabla 1 es muy restrictiva y está pensada para

reducir de forma significativa la posibilidad de que haya contraseñas fácilmente
deducibles. Sin embargo, los usuarios pueden encontrar difícil y frustrante el
seleccionar una contraseña que cumpla estas restricciones.
Considere la posibilidad de proporcionar a los usuarios lo siguiente:

1. Una lista de los criterios para las contraseñas.
2. Ejemplos de contraseñas válidas y no válidas.
3. Sugerencias para escoger una contraseña adecuada.
Puede ejecutar el mandato Configurar seguridad del sistema (CFGSYSSEC) para

fijar estos valores. Puede utilizar el mandato Imprimir atributos de seguridad del
sistema (PRTSYSSECA) para imprimir la definición actual de estos valores del
sistema.
Puede leer más acerca de estos valores del sistema en el Capítulo 3 de la

publicación iSeries Security Reference. El apartado “Valores establecidos por el
mandato Configurar seguridad del sistema” en la página 53 proporciona más
información sobre el mandato CFGSYSSEC.
Tabla 1. Valores del sistema para las contraseñas
Nombre de valor del
sistema Descripción Valor recomendado
QPWDEXPITV Frecuencia con la que los usuarios del sistema deben 60 (días)
cambiar las contraseñas. Puede especificar un valor
distinto para cada usuario en el perfil de usuario.
QPWDLMTAJC Indica si el sistema impedirá que haya caracteres 1 (sí)
adyacentes iguales.
2
QPWDLMTCHR Caracteres que no pueden utilizarse en las contraseñas. AEIOU#$@
QPWDLMTREP Indica si el sistema impedirá que aparezca el mismo 2 (no se permiten de
carácter más de una vez en la contraseña. forma consecutiva)
| QPWDLVL Indica si las contraseñas de perfil de usuario están 03
| limitadas a 10 caracteres o a un máximo de 128.

Tabla 1. Valores del sistema para las contraseñas (continuación)
Nombre de valor del
sistema Descripción Valor recomendado
QPWDMAXLEN Número máximo de caracteres de una contraseña. 8

QPWDMINLEN El número mínimo de caracteres de que debe constar una 6
contraseña.
QPWDPOSDIF Indica si todos los caracteres de una contraseña deben ser 1 (sí)
distintos del carácter que ocupaba la misma posición en la
contraseña anterior.
QPWDRQDDGT Indica si la contraseña debe tener un carácter numérico 1 (sí)
como mínimo.
QPWDRQDDIF Tiempo que debe esperar un usuario para poder volver a 5 o menos (intervalos de
utilizar la misma contraseña.2 caducidad)1
QPWDVLDPGM Indica a qué programa de salida se llama para validar una *NONE
contraseña recién asignada.
Notas:
1. El valor del sistema QPWDEXPITV especifica la frecuencia con la que debe cambiarse la contraseña (por
ejemplo, cada 60 días). Recibe el nombre de intervalo de caducidad. El valor del sistema QPWDRQDDIF
especifica los intervalos de caducidad que deben pasar para que se pueda volver a utilizar la contraseña. En el
Capítulo 3 de la publicación iSeries Security Reference se proporciona más información acerca del funcionamiento
conjunto de estos valores del sistema.
| 2. QPWDLMTCHR no se impone en los niveles de contraseña 2 ó 3. Vea “Niveles de contraseña” para conocer más
| detalles.
| 3. Consulte “Planificación de cambios de nivel de contraseña” en la página 27 para determinar el nivel de
| contraseña adecuado a sus necesidades.
| Niveles de contraseña
| La V5R1 ofrece una mayor seguridad en las contraseñas mediante el valor del
| sistema QPWDLVL. En los releases anteriores, los usuarios estaban limitados a
| contraseñas de un máximo de 10 caracteres y con un rango de caracteres limitado.
| Ahora los usuarios pueden seleccionar una contraseña (o frase de paso) con un
| máximo de 128 caracteres, dependiendo del nivel de contraseña en el que esté
| establecido el sistema. Los niveles de contraseña soportados por la V5R1 son:
| v Nivel 0: Los sistemas de la V5R1 se envían con este nivel. En el nivel 0, las
| contraseñas no tienen más de 10 caracteres de longitud y contienen solamente
| los caraceteres A-Z, 0–9, #, @, $, y _ . Las contraseñas del nivel 0 son menos
| seguras que las de los niveles de contraseña superiores.
| v Nivel 1: Las mismas normas que en el nivel de contraseña 0, pero no se guardan
| las contraseñas para iSeries NetServer.
| v Nivel 2: Las contraseñas de este nivel son seguras y este nivel puede utilizarse
| para pruebas. Las contraseñas se salvan para un usuario en el nivel 0 ó 1 si son
| de 10 caracteres o menos y el juego de caracteres de nivel 0 ó 1. Las contraseñas
| (o frases de paso) de este nivel tienen las siguientes características:
| – un máximo de 128 caracteres de longitud.
| – se componen de cualquier carácter disponible en el teclado.
| – no pueden constar completamente de blancos; los blancos se eliminan del
| final de la contraseña.
| – son sensibles a mayúsculas y minúsculas.

| v Nivel 3: Las contraseñas de este nivel son las más seguras y utilizan los
| algoritmos de cifrado más avanzados disponibles. Las contraseñas de este nivel
| tienen las mismas características que en el nivel 2. Las contraseñas para iSeries
| NetServer no se guardan en este nivel.
| Los niveles de contraseña 2 y 3 solamente deberán utilizarse si todos los sistemas

| de una red utilizan la V5R1 y el nivel de contraseña 2 ó 3. Si un solo sistema de la
| red no está utilizando la V5R1, los niveles de contraseña 2 y 3 no estarán
| disponibles para todos los usuarios.
| De forma similar, todos los usuarios deben conectarse utilizando el mismo nivel de
| contraseña. Los niveles de contraseña son globales; los usuarios no pueden elegir
| el nivel en el que les gustaría proteger su contraseña.
| Planificación de cambios de nivel de contraseña

| El cambio de niveles de contraseña debe planificarse cuidadosamente. Es posible
| que las operaciones que se efectúen con otros sistemas fallen o que los usuarios no
| puedan iniciar la sesión en el sistema si no ha planificado el cambio de nivel de
| contraseña correctamente. Antes de modificar el valor del sistema QPWDLVL,
| asegúrese de que ha salvado los datos de seguridad utilizando el mandato
| SAVSECDTA o SAVSYS. Si tiene una copia de seguridad actualizada, podrá
| restablecer las contraseñas para todos los perfiles de usuario si resulta necesario
| volver a un nivel de contraseña inferior.
| Los productos que utilice en el sistema y en los clientes con los que el sistema
| intercambie información podrían tener problemas cuando el valor del sistema de
| nivel de contraseña (QPWDLVL) esté establecido en 2 ó 3. Cualquier producto o
| cliente que envíe contraseñas al sistema en formato cifrado, en lugar de en el texto
| claro que un usuario entra en una pantalla de inicio de sesión, deberá actualizarse
| para trabajar con las nuevas normas de cifrado de contraseñas para QPWDLVL 2 ó
| 3. El envío de contraseñas cifradas se denomina sustitución de contraseña. La
| sustitución de contraseña se utiliza para evitar que se capture una contraseña
| durante la transmisión por una red. No se aceptarán las sustituciones de
| contraseñas generadas por clientes antiguos que no soporten el nuevo algoritmo
| para QPWDLVL 2 ó 3, incluso si los caracteres específicos tecleados son correctos.
| Esto también es aplicable al acceso de cualquier iSeries a otro iSeries igual que
| utilice los valores cifrados para realizar autenticación de un sistema a otro.
| El problema se agrava por el hecho de que algunos de los productos afectados (es
| decir, Java Toolbox) se proporcionan como middleware. Un producto de terceros
| que incorpore una versión anterior de uno de estos productos no funcionará
| correctamente hasta que se reconstruya utilizando una versión actualizada del
| middleware.
| Dado este y otros ejemplos prácticos, es fácil ver por qué es necesaria una
| planificación minuciosa antes de modificar el valor del sistema QPWDLVL.
| Consideraciones para cambiar QPWDLVL de 0 a 1

| El nivel de contraseña 1 permite a un sistema, que no tiene necesidad de
| comunicarse con el producto Windows 95/98/ME AS/400 Client Support para
| Entorno de Red Windows (AS/400 NetServer), hacer que se eliminen las
| contraseñas de NetServer del sistema. Eliminar las contraseñas cifradas
| innecesarias del sistema aumenta la seguridad global del sistema.
Capítulo 4. Consejos para controlar el inicio de sesión interactivo 27

| En QPWDLVL 1, todos los mecanismos actuales de contraseña y autenticación de
| contraseña anteriores a la V5R1 seguirán funcionando. Hay pocas probabilidades
| de interrupciones, excepto en las funciones/servicios que requieran contraseñas de
| NetServer.
| Las funciones/servicios que requieren la contraseña NetServer incluyen:

| v Soporte AS/400 para Entorno de Red Windows, Windows 95/98/ME edition,
| (AS/400 NetServer)
| Consideraciones para cambiar QPWDLVL de 0 ó 1 a 2

| El nivel de contraseña 2 introduce el uso de contraseñas sensibles a mayúsculas y
| minúsculas de hasta 128 caracteres (también denominadas frases de paso) y
| proporciona la capacidad máxima de volver a QPWDLVL 0 ó 1.
| Independientemente del nivel de contraseña del sistema, las contraseñas del nivel 2
| y 3 se crean siempre que se modifica una contraseña o un usuario inicia la sesión
| en el sistema. La creación de una contraseña de nivel 2 y 3 mientras el sistema aún
| sigue en el nivel de contraseña 0 ó 1 ayuda a prepararse para el cambio al nivel de
| contraseña 2 ó 3.
| Antes de cambiar QPWDLVL a 2, el administrador del sistema deberá utilizar los

| mandatos DSPAUTUSR o PRTUSRPRF TYPE(*PWDINFO) para localizar todos los
| perfiles de usuario que no tengan una contraseña utilizable en el nivel de
| contraseña 2. Dependiendo de los perfiles localizados, al administrador puede
| interesarle utilizar uno de los siguientes mecanismos para hacer que se añada una
| contraseña de nivel de contraseña 2 y 3 a los perfiles.
| v Cambiar la contraseña para el perfil de usuario utilizando el mandato CL
| CHGUSRPRF o CHGPWD o la API QSYCHGPW. Esto provocará que el sistema
| cambie la contraseña utilizable en los niveles de contraseña 0 y 1; el sistema
| también creará dos contraseñas equivalentes sensibles a mayúsculas y
| minúsculas que son utilizables en los niveles de contraseña 2 y 3. Se crea
| además una versión en mayúsculas y otra en minúsculas de la contraseña para
| su uso en el nivel de contraseña 2 ó 3.
| Por ejemplo, cambiar la contraseña a C4D2RB4Y da como resultado que el
| sistema genere las contraseñas C4D2RB4Y y c4d2rb4y del nivel de contraseña 2.
| v Iniciar la sesión en el sistema mediante un mecanismo que presente la
| contraseña en texto claro (no se utiliza la sustitución de contraseña). Si la
| contraseña es válida y el perfil de usuario no tiene una contraseña utilizable en
| los niveles de contraseña 2 y 3, el sistema crea dos contraseñas equivalentes
| sensibles a mayúsculas y minúsculas utilizables en los niveles de contraseña 2 y
| 3. Se crea además una versión en mayúsculas y otra en minúsculas de la
| contraseña para su uso en el nivel de contraseña 2 ó 3.
| La ausencia de una contraseña utilizable en el nivel de contraseña 2 ó 3 puede ser

| un problema cuando el perfil de usuario tampoco tenga una contraseña utilizable
| en los niveles de contraseña 0 y 1, o cuando el usuario intente iniciar la sesión a
| través de un producto que utilice sustitución de contraseña. En estos casos, el
| usuario no podrá iniciar la sesión cuando se cambie el nivel de contraseña a 2.
| Si un perfil de usuario no tiene una contraseña utilizable en los niveles de

| contraseña 2 y 3, pero tiene una contraseña utilizable en los niveles de contraseña 0
| y 1 y el usuario inicia la sesión a través de un producto que envíe contraseñas de
| texto claro, el sistema validará el usuario ante la contraseña del nivel de contraseña

| 0 y creará dos contraseñas del nivel de contraseña 2 (tal como se describe más
| arriba) para el perfil de usuario. Los siguientes inicios de sesión se validarán ante
| las contraseñas del nivel de contraseña 2.
| Cualquier cliente/servicio que utilice sustitución de contraseña no funcionará

| correctamente en QPWDLVL 2 si no se ha actualizado el cliente/servicio para que
| utilice el nuevo esquema de sustitución de contraseña. El administrador deberá
| comprobar si es necesario un cliente/servicio que no se haya actualizado al nuevo
| esquema de sustitución de contraseña.
| Los clientes/servicios que utilizan la sustitución de contraseña incluyen:

| v TELNET
| v Client Access
| v iSeries Host Servers
| v QFileSrv.400
| v Soporte AS/400 NetServer Print
| v DDM
| v DRDA
| v SNA LU6.2
| Es altamente recomendable salvar los datos de seguridad antes de cambiar a

| QPWDLVL 2. Ello puede ayudar a que el retorno a QPWDLVL 0 ó 1 sea más fácil,
| si fuera necesario.
| Se recomienda también que no se cambien los demás valores del sistema para
| contraseñas, QPWDMINLEN y QPWDMAXLEN, hasta que se hayan realizado
| pruebas en QPWDLVL 2. Esto facilitará el retorno a QPWDLVL 1 ó 0, si es
| necesario. No obstante, el valor del sistema QPWDVLDPGM debe especificar
| *REGFAC o *NONE para que el sistema pueda permitir que se cambie QPWDLVL
| a 2. Por consiguiente, si utiliza un programa de validación de contraseñas, puede
| interesarle escribir uno nuevo que pueda registrarse para el punto de salida
| QIBM_QSY_VLD_PASSWRD utilizando el mandato ADDEXITPGM.
| Las contraseñas NetServer siguen estando soportadas en QPWDLVL 2, por lo que

| cualquier función/servicio que requiera una contraseña NetServer deberá seguir
| funcionando correctamente.
| Una vez el administrador se sienta cómodo ejecutando el sistema en QPWDLVL 2,

| puede empezar a cambiar los valores del sistema de las contraseñas para la
| explotación de contraseñas más largas. No obstante, el administrador debe tener en
| cuenta que las contraseñas más largas pueden provocar estos efectos:
| v Si se especifican contraseñas de más de 10 caracteres, se borrará la contraseña
| del nivel de contraseña 0 y 1. Este perfil de usuario no podrá iniciar la sesión si
| se devuelve el sistema al nivel de contraseña 0 ó 1.
| v Si las contraseñas contienen caracteres especiales o no siguen las normas de
| composición para nombres de objeto simples (excluida la sensibilidad a
| mayúsculas y minúsculas), se borrará la contraseña del nivel de contraseña 0 y
| 1.
| v Si se especifican contraseñas de más de 14 caracteres, se borrará la contraseña
| NetServer del perfil de usuario.
| v Los valores del sistema para contraseñas solamente son aplicables al nuevo valor
| de nivel de contraseña 2 y no a los valores de contraseña de los niveles de
| contraseña 0 y 1 generados por el sistema o de NetServer (si se han generado).

| Consideraciones para cambiar QPWDLVL de 2 a 3
| Tras ejecutar el sistema en QPWDLVL 2 durante algún tiempo, el administrador
| puede considerar el ir a QPWDLVL 3 para maximizar la protección de seguridad
| por contraseñas.
| En QPWDLVL 3 se borran todas las contraseñas de NetServer, por lo que un

| sistema no debería pasar a QPWDLVL 3 hasta que no haya necesidad de utilizar
| contraseñas de NetServer.
| En QPWDLVL 3 se borran todas las contraseñas de los niveles de contraseña 0 y 1.

| El administrador puede utilizar los mandatos DSPAUTUSR o PRTUSRPRF para
| localizar los perfiles de usuario que no tengan asociados contraseñas del nivel de
| contraseñas 2 ó 3.
| Cambio a un nivel de contraseña inferior

| Aunque es posible volver a un valor de QPWDLVL inferior, no puede esperarse
| que resulte una operación sin problemas. La idea general es que se trata de un
| proceso en una dirección solamente, de los valores de QPWDLVL inferiores a los
| valores de QPWDLVL superiores. No obstante, pueden darse casos en los que deba
| reinstaurarse un valor de QPWDLVL inferior.
| Las secciones siguientes tratan las tareas necesarias para volver a un nivel de
| contraseña inferior.
| Consideraciones para cambiar de QPWDLVL 3 a 2: Este cambio es relativamente

| fácil. Una vez QPWDLVL esté establecido en 2, el administrador debe determinar
| si algún perfil de usuario debe contener contraseñas NetServer o contraseñas del
| nivel de contraseña 0 ó 1 y, si hay alguno, cambiar la contraseña del perfil de
| usuario a un valor permitido.
| Adicionalmente, puede ser necesario volver a cambiar los valores del sistema para
| contraseñas a valores compatibles con contraseñas NetServer y de nivel de
| contraseña 0 ó 1, si son necesarias dichas contraseñas.
| Consideraciones para cambiar de QPWDLVL 3 a 1 ó 0: Debido a las altas

| probabilidades de provocar problemas en el sistema (por ejemplo, que nadie pueda
| iniciar la sesión al haberse borrado todas las contraseñas de los niveles de
| contraseña 0 y 1), este cambio no está soportado directamente. Para cambiar de
| QPWDLVL 3 a QPWDLVL 1 ó 0, el sistema debe pasar primero por el cambio
| intermedio a QPWDLVL 2.
| Consideraciones para cambiar de QPWDLVL 2 a 1: Antes de cambiar QPWDLVL

| a 1, el administrador deberá utilizar los mandatos DSPAUTUSR o PRTUSRPRF
| TYPE(*PWDINFO) para localizar los perfiles de usuario que no tengan una
| contraseña del nivel de contraseña 0 ó 1. Si el perfil de usuario va a necesitar una
| contraseña una vez de haya cambiado el QPWDLVL, el administrador deberá
| asegurarse de que se crea una contraseña del nivel de contraseña 0 y 1 para el
| perfil, utilizando uno de los siguientes mecanismos:
| v Cambiar la contraseña para el perfil de usuario utilizando el mandato CL
| CHGUSRPRF o CHGPWD o la API QSYCHGPW. Esto provocará que el sistema
| cambie la contraseña utilizable en los niveles de contraseña 2 y 3; el sistema
| también creará una contraseña equivalente en mayúsculas que sea utilizable en
| los niveles de contraseña 0 y 1. El sistema sólo será capaz de crear la contraseña
| de los niveles de contraseña 0 y 1 si se cumplen las siguientes condiciones:
| – La contraseña tiene 10 caracteres o menos de longitud.

| – La contraseña puede convertirse a los caracteres EBCDIC en mayúsculas A-Z,
| 0-9, @, #, $ y subrayado.
| – La contraseña no empieza por un carácter numérico o subrayado.
| Por ejemplo, cambiar la contraseña a un valor de DíaLluvia daría como

| resultado que el sistema generase una contraseña de los niveles de contraseña 0
| y 1 de DIALLUVIA. Pero cambiar el valor de contraseña a Días de Lluvia de
| Abril provocaría que el sistema borrase la contraseña de los niveles de
| contraseña 0 y 1 (debido a que la contraseña es demasiado larga y contiene
| espacios en blanco).
| No se genera ningún mensaje ni indicación si no ha podido crearse la contraseña

| del nivel de contraseña 0 ó 1.
| v Iniciar la sesión en el sistema mediante un mecanismo que presente la
| contraseña en texto claro (no se utiliza la sustitución de contraseña). Si la
| contraseña es válida y perfil de usuario no tiene una contraseña utilizable en los
| niveles de contraseña 0 y 1, el sistema crea una contraseña equivalente en
| mayúsculas que sea utilizable en los niveles de contraseña 0 y 1. El sistema sólo
| será capaz de crear la contraseña de los niveles de contraseña 0 y 1 si se
| cumplen las condiciones listadas más arriba.
| El administrador podrá entonces cambiar QPWDLVL a 1. Se borrarán todas las

| contraseñas de NetServer cuando entre en vigor el cambio en QPWDLVL 1 (la
| siguiente IPL).
| Consideraciones para cambiar de QPWDLVL 2 a 0: Las consideraciones son las

| mismas que para cambiar de QPWDLVL 2 a 1, excepto que se conservan todas las
| contraseñas de NetServer cuando el cambio entra en vigor.
| Consideraciones para cambiar de QPWDLVL 1 a 0: Tras cambiar QPWDLVL a 0,

| el administrador deberá utilizar los mandatos DSPAUTUSR o PRTUSRPRF para
| localizar los perfiles de usuario que no tengan una contraseña NetServer. Si el
| perfil de usuario requiere una contraseña NetServer, ésta puede crearse
| modificando la contraseña del usuario o iniciando la sesión mediante un
| mecanismo que presente la contraseña en texto claro.
| El administrador podrá entonces cambiar QPWDLVL a 0.
Cambio de contraseñas conocidas públicamente

Efectúe lo siguiente para impedir el acceso al iSeries con contraseñas que pueden
seguir existiendo en el sistema.
__ Paso 1. Asegúrese de que ningún perfil de usuario tiene la contraseña por
omisión (que coincide con el nombre del perfil de usuario). Puede
utilizar el mandato Analizar contraseñas por omisión (ANZDFTPWD).
(Vea el apartado “Cómo evitar las contraseñas por omisión” en la
página 38.)
__ Paso 2. Intente iniciar la sesión en el sistema con las combinaciones de perfiles
de usuario y contraseñas enumeradas en la Tabla 2 en la página 33.
Estas contraseñas están publicadas y son la primera elección de
cualquiera que intente entrar en su sistema sin permiso. Si puede
iniciar la sesión, utilice el mandato Cambiar perfil de usuario
(CHGUSRPRF) para cambiar la contraseña por el valor recomendado.

__ Paso 3. Ahora arranque las Herramientas de Servicio Dedicado (DST) e intente
iniciar la sesión con las contraseñas que se muestran en la Tabla 3 en la
página 34.
Puede arrancar las DST mediante uno de estos métodos:
v Haga una IPL con el sistema en la modalidad Manual y seleccione
Herramientas de Servicio Dedicado desde el menú IPL o Instalar el
Sistema.
v Ponga la consola en modalidad DST efectuando lo siguiente:
__ Paso a. Asegúrese de que todos los trabajos de la consola han
finalizado.
__ Paso b. Ponga la unidad del sistema en modalidad manual.
__ Paso c. Utilice el panel del sistema para seleccionar la función
21.
__ Paso d. Pulse el botón Intro del panel del sistema.
__ Paso e. En el menú IPL o instalar el sistema, seleccione DST.
__ Paso 4. Si puede iniciar la sesión en DST con alguna de estas contraseñas,
cambie las contraseñas del modo siguiente:
__ Paso a. En el menú Herramientas de servicio dedicado (DST),
seleccione la opción 5 (Trabajar con entorno DST):
__ Paso b. En el menú Trabajar con entorno DST, seleccione la opción
11 (Cambiar contraseñas DST).
Nota: Los números de opción de menú pueden ser

diferentes en su sistema, según el release de OS/400
que esté ejecutando.
Recuerde las contraseñas nuevas

Anote las contraseñas elegidas y guárdelas en lugar
seguro. Ud. o su servicio técnico de hardware puede
necesitar estas contraseñas en el futuro para trabajar
en el sistema.
__ Paso c. En el menú Cambiar contraseñas DST, seleccione la opción

3 (Cambiar contraseña de función de seguridad DST).
Nota: La función completa de DST tiene el ID de usuario

QSECOFR. Si lo desea puede cambiar este ID de
usuario, pero asegúrese de anotar bien el nuevo ID.
__ Paso d. En la pantalla Cambiar contraseña de función de
seguridad DST, escriba una contraseña nueva. Debe
escribirla dos veces para verificarla. No se visualiza al
teclearla.
__ Paso e. Pulse la tecla Intro.
__ Paso f. En el menú Cambiar contraseñas DST, seleccione la opción
2 (Cambiar contraseña de función completa DST).
Nota: La función completa de DST tiene el ID de usuario

22222222. Si lo desea puede cambiar este ID de

__ Paso g. En la pantalla Cambiar contraseña de función completa
DST, escriba una contraseña nueva. Debe escribirla dos
veces para verificarla. No se visualiza al teclearla.
__ Paso h. Pulse la tecla Intro.
__ Paso i. En el menú Cambiar contraseñas DST, seleccione la opción
1 (Cambiar contraseña de función básica DST).
Nota: La función básica de DST tiene el ID de usuario

11111111. Si lo desea puede cambiar este ID de
__ Paso j. En la pantalla Cambiar contraseña de función básica,
escriba una contraseña nueva. Debe escribirla dos veces
para verificarla. No se visualiza al teclearla.
__ Paso k. Pulse la tecla Intro.
__ Paso l. Pulse F3 hasta que vea el menú Herramientas de servicio
dedicado (DST).
__ Paso 5. Finalmente, asegúrese de que no puede iniciarse la sesión pulsando la
tecla Intro en la pantalla Inicio de sesión sin entrar un ID de usuario y
una contraseña. Pruebe en varias pantallas. Si puede iniciar la sesión
sin entrar información alguna en la pantalla Inicio de sesión, efectúe
una de estas acciones:
v Cambie el valor de seguridad por 40 ó 50 (valor del sistema
QSECURITY).
Nota: Las aplicaciones se pueden ejecutar de modo diferente al

cambiar al nivel de seguridad 40 ó 50 de un nivel de
seguridad inferior. Revise la información en el Capítulo 2 de
la publicación iSeries Security Reference antes de cambiar al
nivel de seguridad 40 ó 50.
v Cambie todas las entradas de estación de trabajo para subsistemas
interactivos de modo que señalen a las descripciones de trabajos en
las que se especifica USER(*RQD).
Tabla 2. Contraseñas para perfiles proporcionados por IBM
ID de usuario Contraseña Valor recomendado
QSECOFR QSECOFR1 Valor no deducible, conocido únicamente por el

administrador de seguridad. Anote la contraseña
elegida y guárdela en un lugar seguro.
QSYSOPR QSYSOPR *NONE2
QPGMR QPGMR *NONE2
QUSER QUSER *NONE2, 3
QSRV QSRV *NONE2
QSRVBAS QSRVBAS *NONE2

Tabla 2. Contraseñas para perfiles proporcionados por IBM (continuación)
ID de usuario Contraseña Valor recomendado
Notas:
1. A partir de la V3R2, el sistema se envía con el valor Establecer contraseña como caducada
para QSECOFR fijado en *YES. La primera vez que se inicia la sesión en un sistema
nuevo, debe cambiar la contraseña de QSECOFR.
2. El sistema necesita estos perfiles de usuario para las funciones del sistema, pero no
debe permitir que los usuarios inicien la sesión con estos perfiles. Para sistemas nuevos
instalados con la V3R1 o un release posterior, esta contraseña se envía como *NONE.
Cuando se ejecuta el mandato CFGSYSSEC, el sistema establece estas contraseñas como
*NONE.
3. Para ejecutar Client Access AS/400 para Windows 95/NT utilizando TCP/IP, el perfil
de usuario QUSER debe estar habilitado y tener contraseña. Si ejecuta la herramienta
de seguridad CHGSYSSEC, tendrá que asignar una contraseña al perfil QUSER.
Tabla 3. Contraseñas para Herramientas de Servicio Dedicado

ID de
Nivel de DST usuario1 Contraseña Valor recomendado
Funciones básicas 11111111 11111111 Un valor no deducible, conocido

únicamente por el administrador de
seguridad.2
| Todas las 22222222 222222223 Un valor no deducible, conocido
funciones únicamente por el administrador de
seguridad.2
| Funciones de QSECOFR QSECOFR3 Un valor no deducible, conocido
seguridad únicamente por el administrador de
seguridad.2
| Posibilidad de QSRV QSRV3 Un valor no deducible, conocido
| servicio únicamente por el administrador de
| seguridad.2
Notas:
1. Para los releases del sistema operativo PowerPC AS (RISC) sólo se requiere un ID de
usuario.
2. Si el representante de servicio de hardware necesita conectarse con esta contraseña e ID
de usuario, cambie la contraseña para un nuevo valor una vez que el servicio técnico
de hardware haya terminado.
| 3. El perfil de usuario de las herramientas de servicio caducará en cuanto se haya
| utilizado por primera vez.
| Nota: Las contraseñas DST sólo pueden modificarse mediante un dispositivo

| autenticado. Esto también se cumple para todas las contraseñas y los ID de
| usuario correspondientes que sean idénticos. Para obtener más información
| sobre los dispositivos autenticados, consulte el apartado Configuración de
| Consola de operaciones.
Establecimiento de los valores de inicio de sesión

En la Tabla 4 en la página 35 se muestran diversos valores que se pueden definir
para que a una persona no autorizada le resulte más difícil la conexión al sistema.
Si ejecuta el mandato CFGSYSSEC, estos valores del sistema tomarán los valores
recomendados. Puede leer más acerca de estos valores del sistema en el Capítulo 3
de la publicación iSeries Security Reference.

Tabla 4. Valores del sistema de inicio de sesión
Nombre de valor del Valor
sistema Descripción recomendado
QAUTOCFG Indica si el sistema configura automáticamente 0 (No)

nuevos dispositivos.
QAUTOVRT Número de descripciones de dispositivos 0
virtuales que el sistema creará automáticamente
si no hay ningún dispositivo disponible para su
utilización
QDEVRCYACN Qué hace el sistema cuando se vuelve a *DSCMSG
conectar un dispositivo después de un error.1
QDSCJOBITV Cuánto tiempo espera el sistema antes de 120
finalizar un trabajo desconectado.
QDSPSGNINF Indica si el sistema visualizará información 1 (Sí)
acerca de la actividad de inicio de sesión previa
cuando un usuario se conecta.
QINACTITV Cuánto tiempo espera el sistema antes de 60
realizar alguna acción cuando un trabajo
interactivo está inactivo.
QINACTMSG Qué acción lleva a cabo el sistema cuando se *DSCJOB
alcanza el período de tiempo de QINACTITV.
QLMTDEVSSN Indica si el sistema impedirá a los usuarios 1 (Sí)
iniciar una sesión en más de una estación de
trabajo simultáneamente.
QLMTSECOFR Indica si los usuarios que disponen de la 1 (Sí)2
autorización especial *ALLOBJ o *SERVICE
pueden iniciar la sesión solamente en
estaciones de trabajo determinadas.
QMAXSIGN Número máximo de intentos consecutivos de 3
inicio de sesión incorrectos (el perfil de usuario
o la contraseña son incorrectos).
QMAXSGNACN Acción que el sistema lleva a cabo cuando se 3 (Inhabilitar el
alcanza el límite de QMAXSIGN. perfil de usuario y
el dispositivo)
Notas:
1. A partir de la V4R2, el sistema puede desconectar y volver a conectar sesiones TELNET
cuando se ha asignado explícitamente la descripción de dispositivo para la sesión.
2. Si establece este valor del sistema en 1 (Sí), será necesario otorgar autorización sobre los
dispositivos explícitamente a los usuarios que disponen de las autorizaciones especiales
*ALLOBJ o *SERVICE. El modo más sencillo de hacerlo es proporcionar al perfil de
usuario QSECOFR la autorización *CHANGE sobre dispositivos determinados.
Cambio de los mensajes de error de inicio de sesión

A los piratas informáticos les resulta muy útil saber si van por buen camino
cuando tratan de entrar en un sistema sin permiso. Cuando en la pantalla Inicio de
sesión se visualiza un mensaje de error que dice Contraseña incorrecta, el pirata
informático sabe que el ID de usuario sí es correcto. Puede intentar despistarle
utilizando el mandato Cambiar descripción de mensaje (CHGMSGD) para
modificar el texto de dos mensajes de error de inicio de sesión. La Tabla 5 en la
página 36 contiene el texto que se recomienda utilizar.

Tabla 5. Mensajes de error de inicio de sesión
ID de mensaje Texto original Texto recomendado
CPF1107 CPF1107 – Contraseña incorrecta La información de inicio de sesión no
para perfil de usuario. es correcta.
Nota: No incluya el ID de mensaje en
el texto.
CPF1120 CPF1120 – El usuario XXXXX no La información de inicio de sesión no
existe. es correcta.
Nota: No incluya el ID de mensaje en
el texto.
Planificación de la disponibilidad de los perfiles de usuario

Es posible que desee que algunos perfiles de usuario estén disponibles solamente a
determinadas horas del día o en ciertos días de la semana. Por ejemplo, si tiene un
perfil configurado para un supervisor de seguridad, puede habilitarlo solamente
durante las horas de trabajo previstas del supervisor. También puede inhabilitar
perfiles de usuario con autorización especial *ALLOBJ (incluido el perfil de usuario
QSECOFR) durante el horario no de oficina.
Puede utilizar el mandato Cambiar entrada de planificación de activación

(CHGACTSCDE) para establecer que los perfiles de usuarios se puedan habilitar e
inhabilitar automáticamente. Para cada perfil de usuario que desee planificar, debe
crear una entrada que defina la planificación del perfil de usuario.
Por ejemplo, si desea que el perfil QSECOFR esté disponible únicamente entre las 7
de la mañana y las 10 de la noche, escribirá lo siguiente en la pantalla
CHGACTSCDE:
Cambiar entrada de planificación de activación (CHGACTSCDE)
Teclee elecciones, pulse Intro.
Perfil de usuario . . . . >. . . QSECOFR Nombre

Hora habilitación . . . . >. . . '7:00' Hora, *NONE
Hora inhabilitación . . . >. . . '22:00' Hora, *NONE
Días . . . . . . . . . . . >. . . *MON *ALL, *MON, *TUE, *WED...
> *TUE
> *WED
> *THU
+ para más valores > *FRI
Figura 3. Pantalla de planificación de activación de perfil–Ejemplo
De hecho, quizá desee disponer del perfil QSECOFR sólo para un número limitado
de horas cada día. Puede utilizar otro perfil de usuario con la clase *SECOFR para
realizar la mayoría de las funciones. De este modo, evitará arriesgar un perfil de
usuario conocido ante los piratas informáticos.
Puede utilizar periódicamente el mandato Visualizar entradas de diario de

auditoría (DSPAUDJRNE) para imprimir las entradas CP (Cambiar perfil) de diario
de auditoría. Utilice estas entradas para verificar que el sistema habilita e inhabilita
los perfiles de usuario según la planificación efectuada.

Otro método para asegurarse de que los perfiles de usuario se inhabilitan de
acuerdo con lo planificado es la utilización del mandato Imprimir perfil de usuario
(PRTUSRPRF). Cuando se especifica *PWDINFO para el tipo de informe, el
informe incluye el estado de cada perfil de usuario seleccionado. Si, por ejemplo,
inhabilita regularmente todos los perfiles de usuario que tienen la autorización
especial *ALLOBJ, puede planificar el mandato siguiente para que se ejecute
inmediatamente después de la inhabilitación de los perfiles:
PRTUSRPRF TYPE(*PWDINFO) SELECT(*SPCAUT) SPCAUT(*ALLOBJ)
Eliminación de perfiles de usuario inactivos

El sistema debe contener solamente los perfiles de usuario que sean necesarios. Si
ya no necesita un perfil de usuario porque el usuario ya no trabaja en su
organización o porque ocupa otro cargo en la misma, elimine el perfil de usuario.
Si alguien está ausente de la organización durante un amplio período de tiempo,
inhabilite (desactive) el perfil de usuario correspondiente. Los perfiles de usuario
innecesarios pueden constituir un modo de entrar en el sistema sin autorización
para ello.
Si está utilizando el Operations Navigator, lo conseguirá realizando los cambios

mediante la función de seguridad Listas de autorizaciones (vea la información
sobre el Operations Navigator en la tercera sección de esta publicación).
Inhabilitación automática de perfiles de usuario

Puede utilizar el mandato Analizar actividad de perfil (ANZPRFACT) para
inhabilitar regularmente los perfiles de usuario que han estado inactivos durante
un número determinado de días. Cuando se utiliza el mandato ANZPRFACT, se
especifica el número de días de inactividad que buscará el sistema. El sistema
consulta la fecha del último uso, la fecha de restauración y la fecha de creación del
perfil de usuario.
Una vez haya especificado un valor para el mandato ANZPRFACT, el sistema

planificará un trabajo para que se ejecute semanalmente a la 1 del mediodía
(empezando el día después de que se especificara un valor por primera vez). El
trabajo examina todos los perfiles e inhabilita los perfiles inactivos. No es preciso
que utilice de nuevo el mandato ANZPRFACT, a menos que desee cambiar el
número de días de inactividad.
Puede utilizar el mandato Cambiar lista de perfiles activos (CHGACTPRFL) para

hacer que algunos perfiles estén exceptuados del proceso de ANZPRFACT. El
mandato CHGACTPRFL crea una lista de perfiles de usuario que el mandato
ANZPRFACT no inhabilitará, independientemente del tiempo que hayan estado
inactivos.
Cuando el sistema ejecuta el mandato ANZPRFACT graba una entrada CP en el

diario de auditoría para cada perfil de usuario que se inhabilita. Puede utilizar el
mandato DSPAUDJRNE para listar los perfiles de usuario que se acaban de
inhabilitar.
Nota: El sistema solamente graba entradas de auditoría si en el valor QAUDCTL

se especifica *AUDLVL y en el valor del sistema QAUDLVL se especifica
*SECURITY.
Otro método para asegurarse de que los perfiles de usuario se inhabilitan de

acuerdo con lo planificado es la utilización del mandato Imprimir perfil de usuario

(PRTUSRPRF). Cuando se especifica *PWDINFO para el tipo de informe, se incluye
en éste el estado de todos los perfiles de usuario seleccionados.
Eliminación automática de perfiles de usuario

Puede utilizar el mandato Cambiar entrada de planificación de caducidad
(CHGEXPSCDE) para gestionar la eliminación o la inhabilitación de perfiles de
usuario. Si sabe que un usuario estará ausente durante un amplio período de
tiempo, puede planificar la eliminación o la inhabilitación del perfil de usuario
correspondiente.
La primera vez que se utiliza el mandato CHGEXPSCDE, se crea una entrada de

planificación de trabajo que se ejecuta cada día un minuto después de la
medianoche. El trabajo consulta el archivo QASECEXP para determinar si se ha
planificado la eliminación de perfiles de usuario ese día.
Con el mandato CHGEXPSCDE, puede inhabilitar o suprimir un perfil de usuario.

Si opta por suprimirlo, debe indicar qué acciones llevará a cabo el sistema con los
objetos propiedad del usuario. Antes de planificar la supresión de un perfil de
usuario, es necesario investigar los objetos que son propiedad de ese usuario. Por
ejemplo, si el usuario es propietario de programas que adoptan autorización,
¿desea que estos programas adopten la autorización del nuevo propietario? ¿O el
nuevo propietario tiene más autorización de la necesaria (por ejemplo, autorización
especial)? Quizá necesite crear un nuevo perfil de usuario con autorizaciones
especiales para poseer programas para los que se necesita autorización.
También es necesario averiguar si se producirán problemas en las aplicaciones al

suprimir ese perfil de usuario. Por ejemplo, ¿en alguna de las descripciones de
trabajo se especifica ese perfil de usuario como usuario por omisión?
Puede utilizar el mandato Visualizar planificación de caducidad (DSPEXPSCD)

para visualizar la lista de perfiles que se han planificado para su inhabilitación o
eliminación.
Puede utilizar el mandato Visualizar usuarios autorizados (DSPAUTUSR) para

obtener una lista de todos los perfiles de usuario del sistema. Utilice el mandato
Suprimir perfil de usuario (DLTUSRPRF) para suprimir los perfiles antiguos.
Nota de seguridad: Los perfiles de usuario se inhabilitan estableciendo su estado

como *DISABLED. Cuando se inhabilita un perfil, deja de
estar disponible para su uso interactivo. No puede iniciar la
sesión ni cambiar un trabajo utilizando un perfil de usuario
inhabilitado. Los trabajos de proceso por lotes sí se pueden
ejecutar bajo un perfil de usuario que esté inhabilitado.
Cómo evitar las contraseñas por omisión

Cuando se crea un nuevo perfil de usuario, se toma como contraseña por omisión
el mismo nombre del perfil. Ello proporciona una oportunidad de entrar en el
sistema sin permiso, si el intruso conoce su método de asignación de nombres de
perfil y sabe que se unirá un nuevo miembro a su organización.
Cuando cree perfiles de usuario nuevos, considere la posibilidad de asignarles

contraseñas exclusivas y no deducibles en lugar de utilizar la contraseña por
omisión. Informe al nuevo usuario de cuál es su contraseña de forma confidencial;
por ejemplo, en una carta de bienvenida al sistema en la que se indica cuáles son

sus métodos de seguridad. Haga que el usuario cambie la contraseña la primera
vez que inicie la sesión estableciendo el perfil de usuario con el valor
PWDEXP(*YES).
Puede utilizar el mandato Analizar contraseñas por omisión (ANZDFTPWD) para

comprobar si en el sistema hay perfiles de usuario con contraseñas por omisión.
Cuando imprima el informe, tendrá la opción de especificar que el sistema debe
emprender alguna acción (como la inhabilitación del perfil de usuario) si la
contraseña coincide con el nombre del perfil de usuario. El mandato ANZDFTPWD
imprime una lista de los perfiles que encontró y las acciones que llevó a cabo.
Nota: Las contraseñas se almacenan en el sistema en un formato cifrado

irreversible. No se pueden descifrar. El sistema cifra la contraseña
especificada y la compara con la contraseña almacenada, tal como
comprobaría una contraseña cuando iniciara la sesión en el sistema. Si está
realizando una auditoría de las anomalías de autorización (*AUTFAIL), el
sistema grabará una entrada de diario de auditoría PW para cada perfil de
usuario que no tenga una contraseña por omisión (para los sistemas con
V4R1 o releases anteriores). A partir de la V4R2, el sistema no graba
entradas de diario de auditoría PW cuando se ejecuta el mandato
ANZDFTPWD.
Supervisión de la actividad de inicio de sesión y de contraseña

Si le preocupan los intentos de entrar en el sistema sin autorización, puede utilizar
el mandato PRTUSRPRF para supervisar la actividad de inicio de sesión y de
contraseña. La Figura 4 muestra un ejemplo del informe que se genera:
Información de perfil de usuario

SYSTEM4
Tipo de informe . . . . . . . : *PWDINFO
Seleccionar por . . . . . . . : *SPCAUT
Autorizaciones especiales . . : *ALLOBJ *SERVICE
Valor del sistema QPWDEXPITV . : 60
Perfil Inic. sesión Sin Inic. ses. Contraseña Intervalo Contraseña
usuario Estado no válidos contraseña anteriores cambiada caducidad caducada
USERA *DISABLED 1 07/19/95 05/25/95 *SYSVAL *YES
USERB *ENABLED 2 06/30/95 03/02/95 *SYSVAL *YES
USERX *DISABLED 0 X / / 11/28/95 *SYSVAL *NO
USERY *ENABLED 0 04/25/95 04/25/95 120 *YES
Figura 4. Informe de usuarios–Ejemplo de información de contraseñas
A continuación se enumeran varias sugerencias para utilizar este informe:

v Determine si el intervalo de caducidad de la contraseña para algunos perfiles de
usuario es superior al valor del sistema y si ello está justificado. Por ejemplo, en
el informe, USERY tiene un intervalo de caducidad de contraseña de 120 días.
v Ejecute este informe regularmente para supervisar los intentos de inicio de
sesión no satisfactorios. Aquellas personas que intenten entrar sin permiso en su
sistema pueden darse cuenta de que el sistema lleva a cabo alguna acción tras
un cierto número de intentos no satisfactorios. Cada noche, el intruso potencial
podría intentar el inicio de sesión menos veces de las especificadas en el valor
QMAXSIGN para evitar que se descubra su intención. Sin embargo, si ejecuta
este informe cada mañana y observa que determinados perfiles suelen tener
intentos de inicio de sesión no satisfactorios, puede empezar a pensar que
pueden surgir problemas.
v Identifique los perfiles de usuario que no se han utilizado o cuyas contraseñas
no se han cambiado durante mucho tiempo.

Consejos para el almacenamiento de la información de contraseñas
Para dar soporte a algunos requisitos de comunicaciones y funciones de red, el
iSeries proporciona un método seguro para almacenar las contraseñas que se
pueden descifrar.El sistema utiliza estas contraseñas, por ejemplo, para establecer
una conexión SLIP con otro sistema. (En el apartado “Seguridad y sesiones de
marcación” en la página 175 se describe esta utilización de las contraseñas
almacenadas.)
El iSeries almacena estas contraseñas especiales en un área segura que no es

accesible a las interfaces ni a los programas de usuario. Solamente las funciones
del sistema con autorización explícita pueden establecer y recuperar estas
contraseñas.
Por ejemplo, cuando se utiliza una contraseña almacenada para las conexiones
SLIP de marcación, la contraseña se establece con el mandato del sistema que crea
el perfil de configuración (WRKTCPPTP). Es preciso tener *IOSYSCFG para utilizar
este mandato. Un script de conexión codificado de forma especial recupera la
contraseña y la descifra durante el procedimiento de marcación. La contraseña
descifrada no es visible para el usuario ni en ninguna anotación de trabajo.
Como administrador de seguridad, debe decidir si permitirá que en el sistema se

almacenen las contraseñas que se puedan descifrar. Para especificarlo, utilice el
valor del sistema Retener datos de seguridad del servidor (QRETSVRSEC). El valor
por omisión es 0 (No). Por lo tanto, el sistema no almacenará contraseñas que
pueden descifrarse si no establece explícitamente este valor del sistema.
Si tiene requisitos de comunicaciones o de redes para las contraseñas almacenadas,

debe definir los métodos adecuados y comprender los métodos y las prácticas de
las organizaciones con las que se comunica. Por ejemplo, cuando se utiliza SLIP
para comunicarse con otro iSeries, en ambos sistemas debe tenerse en cuenta la
preparación de perfiles de usuario especiales para establecer las sesiones. Dichos
perfiles deben tener autorización limitada sobre el sistema. De este modo se limita
el efecto sobre el sistema si una contraseña almacenada está comprometida en un
sistema asociado.

Capítulo 5. Cómo realizar la puesta a punto del sistema para
utilizar las Herramientas de seguridad
Este capítulo describe cómo realizar la puesta a punto del sistema para utilizar las
herramientas de seguridad que forman parte del Operating System/400.
Iniciación a las Herramientas de seguridad

Cuando instala el OS/400, las herramientas de seguridad están listas para ser
utilizadas. Los temas que siguen proporcionan sugerencias para los procedimientos
operativos con las herramientas de seguridad.
Seguridad en las Herramientas de seguridad

Cuando se instala OS/400, los objetos asociados con las herramientas de seguridad
están protegidos. Para trabajar con las herramientas de seguridad de una forma
correcta, evite hacer cambios de autorización a los objetos de herramientas de
seguridad.
A continuación se indican los requisitos y valores de seguridad para los objetos de

herramientas de seguridad:
v Los programas y mandatos de las herramientas de seguridad están en la
biblioteca del producto QSYS. Los mandatos y los programas se entregan con la
autorización de uso público de *EXCLUDE. Muchos de los mandatos de las
herramientas de seguridad crean archivos en la biblioteca QUSRSYS. Cuando el
sistema crea estos archivos, la autorización de uso público para los archivos es
*EXCLUDE.
Los archivos que contienen información para producir informes cambiados
tienen nombres que empiezan por QSEC. Los archivos que contienen información
para gestionar perfiles de usuario tienen nombres que empiezan por QASEC. Estos
archivos contienen información confidencial acerca del sistema. Por tanto, no
debe cambiar la autorización de uso público sobre los archivos.
v Las herramientas de seguridad utilizan la puesta a punto normal del sistema
para dirigir la salida impresa. Estos informes contienen información confidencial
acerca del sistema. Para dirigir la salida a una cola de salida protegida, haga los
cambios oportunos en el perfil de usuario o descripción de trabajo para los
usuarios que ejecutarán las herramientas de seguridad.
v Debido a sus funciones de seguridad y a que tienen acceso a muchos objetos del
sistema, los mandatos de las herramientas de seguridad requieren autorización
especial *ALLOBJ. Algunos de los mandatos también requieren autorización
especial *SECADM, *AUDIT o *IOSYSCFG. Para asegurarse de que los mandatos
se ejecutan satisfactoriamente, debe iniciar la sesión como responsable de
seguridad cuando utilice las herramientas de seguridad. Por tanto, no es
necesario que otorgue autorización privada a ningún mandato de las
herramientas de seguridad.
Cómo evitar conflictos de archivos

Muchos de los mandatos de informe de las herramientas de seguridad crean un
archivo de base de datos que se puede utilizar para imprimir una versión
modificada del informe. El apartado Mandatos y menús de los mandatos de
seguridad le indica el nombre de archivo para cada mandato. Sólo puede ejecutar

un mandato a la vez desde un trabajo. Actualmente la mayoría de los mandatos
tienen métodos para hacer que esto se cumpla. Si ejecuta un mandato cuando otro
trabajo aún no ha terminado de ejecutarlo, recibirá un mensaje de error.
Muchos trabajos de impresión son trabajos de larga ejecución. Hay que tener
cuidado para evitar conflictos de archivo cuando los informes se someten a
procesos por lotes o cuando se añaden al planificador de trabajos. Por ejemplo, es
posible que desee imprimir dos versiones del informe PRTUSRPRF con diferentes
criterios de selección. Si está sometiendo informes a proceso por lotes, debe utilizar
una cola de trabajos que no ejecute más de un trabajo al mismo tiempo, para
asegurarse de que los trabajos de informes se ejecutan secuencialmente.
Si está utilizando un planificador de trabajos, debe planificar los dos trabajos con
suficiente separación para que la primera versión finalice antes de que se inicie el
segundo trabajo.
Cómo salvar las Herramientas de seguridad

Los programas de las herramientas de seguridad se guardan siempre que se
ejecute el mandato Salvar sistema (SAVSYS) o una opción del menú Salvar que
ejecuta el mandato SAVSYS.
| Los archivos de las herramientas de seguridad están en la biblioteca QUSRSYS.

| Esta biblioteca se debe salvar como parte de los procedimientos operativos que se
| realizan habitualmente. La biblioteca QUSRSYS contiene datos para muchos
| programas bajo licencia del sistema. Consulte el Information Center para obtener
| más información sobre qué mandatos y opciones salvan la biblioteca QUSRSYS.
Mandatos y menús de los mandatos de seguridad

Este apartado describe los mandatos y los menús para las herramientas de
seguridad. A lo largo de este manual encontrará ejemplos sobre el modo de utilizar
los mandatos.
Existen dos menús disponibles para las herramientas de seguridad:

v El menú SECTOOLS (Herramientas de seguridad) para ejecutar mandatos de
forma interactiva.
v El menú SECBATCH (Someter o planificar informes de seguridad para procesar
por lotes) para ejecutar los mandatos del informe por lotes. El menú SECBATCH
está dividido en dos partes. La primera parte del menú utiliza el mandato
Someter trabajo (SBMJOB) para someter informes para el proceso por lotes
inmediato.
La segunda parte del menú utiliza el mandato Añadir entrada de planificación
de trabajos (ADDJOBSCDE). Se utiliza para planificar los informes de seguridad
para ejecutarlos regularmente a la hora y el día especificados.
Opciones del menú Herramientas de seguridad

A continuación, aparece la parte del menú SECTOOLS que está relacionada con los
perfiles de usuario. Para acceder a este menú, escriba GO SECTOOLS

SECTOOLS Herramientas de seguridad
Seleccione una de las siguientes opciones:
Trabajar con perfiles

1. Analizar contraseñas por omisión
2. Visualizar lista de perfiles activos

3. Cambiar lista de perfiles activos
4. Analizar actividad de perfil
5. Visualizar planificación de activación

6. Cambiar entrada de planificación de activación
7. Visualizar planificación de caducidad

8. Cambiar entrada de planificación de caducidad
9. Imprimir información interna de perfil
La Tabla 6 describe las opciones de menú y los mandatos asociados:

Tabla 6. Mandatos de las herramientas para perfiles de usuario
Opción de1 Archivo de base de
menú Nombre de mandato Descripción datos utilizado
1 ANZDFTPWD Utilice el mandato Analizar contraseñas por QASECPWD2
omisión para informar y emprender una
acción en los perfiles de usuario que tienen
una contraseña que es igual que el nombre de
perfil de usuario.
2 DSPACTPRFL Utilice el mandato Visualizar lista de perfiles QASECIDL2
activos para visualizar o imprimir la lista de
perfiles de usuario que están exentos del
proceso de ANZPRFACT.
3 CHGACTPRFL Utilice el mandato Cambiar lista de perfiles QASECIDL2
activos para añadir y eliminar perfiles de
usuario de la lista de exenciones para el
mandato ANZPRFACT. Un perfil de usuario
que se encuentra en la lista de perfiles activos
está permanentemente activo (hasta que se
elimine el perfil de la lista). El mandato
ANZPRFACT no inhabilita un perfil que se
encuentre en la lista de perfiles activos, por
mucho tiempo que el perfil haya permanecido
inactivo.
4 ANZPRFACT Utilice el mandato Analizar actividad de perfil QASECIDL2
para inhabilitar los perfiles de usuario que no
se han utilizado durante un número
especificado de días. Después de utilizar el
mandato ANZPRFACT para especificar el
número de días, el sistema ejecuta el trabajo
ANZPRFACT por la noche.
Puede utilizar el mandato CHGACTPRFL para

impedir que los perfiles de usuario se
inhabiliten.
Capítulo 5. Cómo realizar la puesta a punto del sistema para utilizar las Herramientas de seguridad 43
Tabla 6. Mandatos de las herramientas para perfiles de usuario (continuación)
5 DSPACTSCD Utilice el mandato Visualizar planificación de QASECACT2
activación de perfil para visualizar o imprimir
información sobre la planificación para
habilitar e inhabilitar los perfiles de usuario
específicos. La planificación se crea con el
mandato CHGACTSCDE.
6 CHGACTSCDE Utilice el mandato Cambiar entrada de QASECACT2
planificación de activación para que un perfil
de usuario esté disponible para iniciar la
sesión solamente en determinados momentos
del día o de la semana. Para cada perfil de
usuario que se planifica, el sistema crea
entradas de planificación de trabajos para las
horas de habilitación e inhabilitación.
7 DSPEXPSCD Utilice el mandato Visualizar planificación de QASECEXP2
caducidad para visualizar o imprimir la lista
de los perfiles de usuario que se han
planificado para la inhabilitación o eliminación
del sistema en el futuro. El mandato
CHGEXPSCDE se utiliza para preparar la
caducidad de los perfiles de usuario.
8 CHGEXPSCDE Utilice el mandato Cambiar entrada de QASECEXP2
planificación de caducidad para planificar la
eliminación de un perfil de usuario. Puede
eliminarlo temporalmente (inhabilitándolo) o
puede suprimirlo del sistema. Este mandato
utiliza una entrada de planificación de trabajos
que se ejecuta cada día a las 00:01 (1 minuto
después de la medianoche). El trabajo examina
el archivo QASECEXP para determinar si
algún perfil de usuario se ha establecido para
que caduque ese día.
Utilice el mandato DSPEXPSCD para

visualizar los perfiles de usuario cuya
caducidad se ha planificado.
9 PRTPRFINT Utilice el mandato Imprimir información
interna de perfil para imprimir un informe
que contiene información sobre el número de
entradas contenidas en un perfil de usuario. El
número de entradas determina el tamaño del
perfil de usuario.
Notas:
1. Las opciones pertenecen al menú SECTOOLS.
2. Este archivo está en la biblioteca QUSRSYS.
Puede avanzar páginas en el menú para ver las opciones adicionales. La Tabla 7 en
la página 45 describe las opciones de menú y los mandatos asociados para las
auditorías de seguridad:

Tabla 7. Mandatos de herramientas para la auditoría de seguridad
10 CHGSECAUD Utilice el mandato Cambiar auditoría de
seguridad para poner a punto la auditoría de
seguridad y cambiar los valores del sistema
que la controlan. Cuando se ejecuta el
mandato CHGSECAUD, el sistema crea el
diario de auditoría de seguridad (QAUDJRN),
en caso de que no exista.
El mandato CHGSECAUD proporciona

opciones que simplifican la definición del
valor del sistema QAUDLVL (nivel de
auditoría). Puede especificar *ALL para activar
todos los posibles valores del nivel de
auditoría. También puede especificar *DFTSET
para activar los valores utilizados más
comúnmente (*AUTFAIL, *CREATE, *DELETE,
*SECURITY y *SAVRST).
Nota: Si utiliza las herramientas de seguridad
para poner a punto la auditoría, asegúrese de
planificar la gestión de los receptores de diario
de auditoría. De lo contrario podrá encontrarse
rápidamente con problemas relativos a la
utilización del disco.
11 DSPSECAUD Utilice el mandato Visualizar auditoría de
seguridad para visualizar información sobre el
diario de auditoría de seguridad y los valores
del sistema que controlan la auditoría de
seguridad.
Notas:
Cómo utilizar el menú Proceso por lotes de la seguridad

A continuación, le presentamos la primera parte del menú SECBATCH:
SECBATCH Someter o planificar informes seguridad para procesar por lotes
Sistema:
Someter informes para procesar por lotes

1. Adopción de objetos
2. Entradas de diario de auditoría
3. Autorizaciones de la lista de autorizaciones
4. Autorización de mandato
5. Autorización de uso privado sobre mandato
6. Seguridad de comunicaciones
7. Autorización sobre directorio
8. Autorización de uso privado sobre directorio
9. Autorización sobre documento
10. Autorización de uso privado sobre documento
11. Autorización sobre archivo
12. Autorización de uso privado sobre archivo
13. Autorización sobre carpeta
Cuando se selecciona una opción de este menú, aparece una pantalla Someter
trabajo (SBMJOB) parecida a la siguiente:
Someter trabajo (SBMJOB)
Mandato a ejecutar . . . . . . . PRTADPOBJ USRPRF(*ALL)___________________
___________________________________________________________________________
___________________________________________________________________________
___________________________________________________________________________
___________________________________________________________________________
___________________________________________________________________________
_________________________________________________________ ...
Nombre de trabajo . . . . . . . *JOBD Nombre, *JOBD
Descripción de trabajo . . . . . *USRPRF Nombre, *USRPRF
Biblioteca . . . . . . . . . . Nombre, *LIBL, *CURLIB
Cola de trabajos . . . . . . . . *JOBD Nombre, *JOBD
Biblioteca . . . . . . . . . . Nombre, *LIBL, *CURLIB
Prioridad de trabajo (en JOBQ) . *JOBD 1-9, *JOBD
Prioridad de salida (en OUTQ) . *JOBD 1-9, *JOBD
Dispositivo de impresión . . . . *CURRENT Nombre, *CURRENT, *USRPRF...
Si desea modificar las opciones por omisión del mandato, puede pulsar F4
(Solicitud) en la línea Mandato a ejecutar.
Para ver Someter informes a proceso por lotes, avance página en el menú
SECBATCH. Utilizando las opciones de esta parte del menú, puede por ejemplo,
preparar el sistema para que ejecute con regularidad las versiones modificadas de
los informes.
SECBATCH Someter o planificar informes seguridad para procesar por lotes
Sistema:
28. Objetos de usuario

29. Información de perfil de usuario
30. Información interna de perfil de usuario
31. Comprobar integridad de objeto
Planificar informes de proceso por lotes

40. Adoptar objetos
41. Entradas de diario de auditoría
42. Autorizaciones de lista de autorizaciones
43. Autorización sobre mandato
44. Autorización de uso privado sobre mandato
45. Seguridad de comunicaciones
46. Autorización sobre directorio
Puede avanzar páginas para ver más opciones de menú. Cuando se selecciona una
opción de esta parte del menú, se visualiza la pantalla Añadir entrada de
planificación de trabajos (ADDJOBSCDE):

Añadir entrada de planificación de trabajos (ADDJOBSCDE)
Nombre de trabajo . . . . . . . Name, *JOBD

Mandato a ejecutar . . . . . . . > PRTADPOBJ USRPRF(*ALL)__________________
___________________________________________________________________________
___________________________________________________________________________
___________________________________________________________________________
___________________________________________________________________________
___________________________________________________________________________
_________________________________________________________ ...
Frecuencia . . . . . . . . . . . *ONCE, *WEEKLY, *MONTHLY
Fecha planificación . . . . . . *CURRENT Date, *CURRENT, *MONTHST
Día planificación . . . . . . . *NONE *NONE, *ALL, *MON, *TUE.
+ para más valores
Hora planificación . . . . . . . *CURRENT Time, *CURRENT
Puede situar el cursor en la línea Mandato a ejecutar y pulsar F4 (Solicitud) para

elegir diferentes valores para el informe. Debe asignar un nombre de trabajo que
tenga sentido para poder reconocer la entrada cuando se visualizan entradas de
planificación de trabajos.
Opciones del menú Proceso por lotes de seguridad

La Tabla 8 en la página 48 describe las opciones de menú y los mandatos asociados
para los informes de seguridad.
Cuando ejecuta los informes de seguridad, el sistema sólo imprime información

que se ajusta a los criterios de selección que ha especificado y a los criterios de
selección de la herramienta. Por ejemplo, las descripciones de trabajo que
especifican un nombre de perfil de usuario son significativas para la seguridad.
Por consiguiente, el informe de descripción de trabajo (PRTJOBDAUT) sólo
imprime descripciones de trabajos de la biblioteca especificada si la autorización de
uso público para la descripción de trabajo no es *EXCLUDE y si la descripción de
trabajo especifica un nombre de perfil de usuario en el parámetro USER.
Asimismo, cuando se imprime información sobre el subsistema (mandato

PRTSBSDAUT), el sistema solamente imprime información acerca de un subsistema
cuando la descripción del subsistema contiene una entrada de comunicaciones que
especifica un perfil de usuario.
Si un informe determinado imprime menos información de la prevista, consulte la

información de ayuda en línea para averiguar cuáles son los criterios de selección
del informe.
Tabla 8. Mandatos de los informes de seguridad
Opción de1 Archivo de base de datos
menú Nombre de mandato Descripción utilizado
1, 40 PRTADPOBJ Utilice el mandato Imprimir objetos que adoptan QSECADPOLD2
para imprimir una lista de objetos que adoptan la
autorización del perfil de usuario especificado.
Puede especificar un solo perfil, un nombre de
perfil genérico (como por ejemplo, todos los
perfiles que empiezan por Q) o todos los perfiles
de usuario del sistema.
Este informe tiene dos versiones. El informe

completo lista todos los objetos adoptados que
cumplen los criterios de selección. El informe de
modificaciones lista las diferencias entre los
objetos que se encuentran actualmente en el
sistema y los objetos que había en el sistema la
última vez que se ejecutó el informe.
| 2, 41 DSPAUDJRNE Utilice el mandato Visualizar entradas de diario QASYxxJ43
| de auditoría para visualizar o imprimir
| información acerca de las entradas del diario de
| auditoría de seguridad. Puede seleccionar tipos
| de entrada específicos, usuarios específicos y un
| período de tiempo.
3, 42 PRTPVTAUT *AUTL Cuando se utiliza el mandato Imprimir QSECATLOLD2
autorizaciones privadas para los objetos *AUTL,
se recibe una lista de todas las listas de
autorizaciones del sistema. El informe incluye a
los usuarios que reciben autorización para cada
lista así como qué clase de autorización tienen los
usuarios sobre la lista. Utilice esta información
para ayudarle a analizar las fuentes de la
autorización de objetos en el sistema.
Este informe contiene tres versiones. El informe

completo contiene todas las listas de
autorizaciones del sistema. El informe de
modificación lista las adiciones y los cambios en
la autorización desde que se ejecutó por última
vez el informe. El informe de supresión lista los
usuarios cuya autorización en la lista de
autorizaciones se ha suprimido desde que se
ejecutó por última vez el informe.
Cuando se imprime el informe completo, tiene la

opción de imprimir una lista de objetos que cada
lista de autorizaciones protege. El sistema creará
un informe por separado para cada lista de
autorizaciones.

Tabla 8. Mandatos de los informes de seguridad (continuación)
6, 45 PRTCMNSEC Utilice el mandato Imprimir seguridad de QSECCMNOLD2
comunicaciones para imprimir los valores
relativos a la seguridad para objetos que afectan
a las comunicaciones del sistema. Estos valores
afectan el modo en que los usuarios y los trabajos
pueden entrar en el sistema.
Este mandato genera dos informes: un informe

que visualiza los valores de la listas de
configuraciones del sistema y un informe que
lista los parámetros relativos a la seguridad para
descripciones de línea, controladores y
descripciones de dispositivo. Cada uno de estos
informes contiene una versión completa y una
modificada.
15, 54 PRTJOBDAUT Utilice el mandato Imprimir autorización de QSECJBDOLD2
descripción de trabajo para imprimir una lista de
descripciones de trabajos que especifican un
perfil de usuario y tienen una autorización de
uso público que no es *EXCLUDE. El informe
muestra las autorizaciones especiales del perfil de
usuario que está especificado en la descripción
del trabajo.

completo lista todos los objetos de descripción de
trabajo que cumplen con los criterios de
selección. El informe de modificaciones lista las
diferencias entre los objetos de descripción de
trabajo que se encuentran actualmente en el
sistema y los objetos de descripción de trabajo
que se encontraban en el sistema la última vez
que se ejecutó el informe.
Vea la nota 4 PRTPUBAUT Utilice el mandato Imprimir objetos con QPBxxxxxx5
autorización de uso público para imprimir una
lista de objetos cuya autorización de uso público
no es *EXCLUDE. Cuando se ejecuta el mandato,
se especifica el tipo de objeto y la biblioteca o las
bibliotecas del informe. Utilice el mandato
PRTPUBAUT para imprimir información acerca
de los objetos a los que cada usuario del sistema
puede acceder.

completo lista todos los objetos que cumplen los
criterios de selección. El informe de modificación
lista las diferencias entre los objetos especificados
que se encuentran actualmente en el sistema y
los objetos (del mismo tipo en la misma
biblioteca) que estaban en el sistema la última
vez que se ejecutó el informe.
Vea la nota 5. PRTPVTAUT Utilice el mandato Imprimir autorizaciones QPVxxxxxx5
privadas para imprimir una lista de las
autorizaciones privadas sobre los objetos del tipo
especificado en la biblioteca especificada. Utilice
este informe para ayudarle a determinar las
fuentes de autorización sobre los objetos.
Este informe contiene tres versiones. El informe

completo lista todos los objetos que cumplen los
criterios de selección. El informe de modificación
lista las diferencias entre los objetos especificados
que se encuentran actualmente en el sistema y
los objetos (del mismo tipo en la misma
biblioteca) que estaban en el sistema la última
vez que se ejecutó el informe. El informe de
supresión lista los usuarios cuya autorización
sobre un objeto se ha suprimido desde que se
imprimió por última vez el informe.
24, 63 PRTQAUT Utilice el mandato Imprimir informe de colas QSECQOLD2
para imprimir los valores de seguridad de las
colas de salida y las colas de trabajos del sistema.
Estos valores controlan quién puede visualizar y
cambiar las entradas en la cola de salida o en la
cola de trabajos.

completo lista todos los objetos de cola de salida
y de cola de trabajo que cumplen con los criterios
de selección. El informe de modificaciones lista
las diferencias entre los objetos de la cola de
salida y de la cola de trabajo que se encuentran
actualmente en el sistema y los objetos de la cola
de salida y de la cola de trabajo que se
encontraban en el sistema la última vez que se
ejecutó el informe.
25, 64 PRTSBSDAUT Utilice el mandato Imprimir descripción de QSECSBDOLD2
subsistema para imprimir las entradas de
comunicaciones relativas a la seguridad de las
descripciones de subsistema del sistema. Estos
valores controlan el modo en que se puede entrar
el trabajo en el sistema y cómo se ejecutan los
trabajos. El informe solamente imprime una
descripción de subsistema si contiene entradas de
comunicaciones que especifican un nombre de
perfil de usuario.

completo lista todos los objetos de descripción de
subsistema que cumplen con los criterios de
selección. El informe de modificaciones lista las
diferencias entre los objetos de descripción del
subsistema y los objetos de descripción del
subsistema que se encontraban en el sistema la
última vez que se ejecutó el informe.

26, 65 PRTSYSSECA Utilice el mandato Imprimir atributos de
seguridad del sistema para imprimir una lista de
valores del sistema y atributos de red
importantes para la seguridad. El informe
muestra el valor actual y el recomendado.
27, 66 PRTTRGPGM Utilice el mandato Imprimir programas QSECTRGOLD2
desencadenantes para imprimir una lista de los
programas desencadenates que están asociados
con los archivos de base de datos del sistema.

completo lista cada programa desencadenate que
está asignado y cumple los criterios de selección.
El informe de modificación lista los programas
desencadenantes que se han asignado desde que
se ejecutó el informe por última vez.
28, 67 PRTUSROBJ Utilice el informe Imprimir objetos de usuario QSECPUOLD2
para imprimir una lista de los objetos de usuario
(objetos no suministrados por IBM) que se
encuentran en una biblioteca. Puede utilizar este
informe para imprimir una lista de los objetos de
usuario que están en una biblioteca (como por
ejemplo, QSYS) que se encuentra en la parte del
sistema de la lista de bibliotecas.

completo lista todos los objetos de usuario que
cumplen con los criterios de selección. El informe
de modificaciones lista las diferencias entre los
objetos de usuario que se encuentran actualmente
en el sistema y los objetos de usuario que se
encontraban en el sistema la última vez que se
ejecutó el informe.
29, 68 PRTUSRPRF Utilice el mandato Imprimir perfil de usuario
para analizar los perfiles de usuario que cumplen
los criterios especificados. Puede seleccionar los
perfiles de usuario en función de las
autorizaciones especiales, la clase de usuario o
una discrepancia entre las autorizaciones
especiales y la clase de usuario. Puede imprimir
información de autorización, información de
entorno, información de contraseña o
información de nivel de contraseña.
30, 69 PRTPRFINT Utilice el mandato Imprimir información interna
de perfil para imprimir un informe de la
información interna sobre el número de entradas.
31, 70 CHKOBJITG Utilice el mandato Comprobar integridad de
objetos para determinar si los objetos operativos
(como por ejemplo, los programas) se han
cambiado sin utilizar un compilador. Este
mandato le puede ayudar a detectar intentos de
introducir un programa de virus en el sistema o
de cambiar un programa para seguir
instrucciones no autorizadas. La publicación
iSeries Security Reference proporciona más
información acerca del mandato CHKOBJITG.
Notas:
1. Las opciones pertenecen al menú SECBATCH.
| 2. Este archivo está en la biblioteca QUSRSYS.
3. xx es el tipo de entrada de diario de dos caracteres. Por ejemplo, el archivo de salida modelo para las entradas
de diario AE es QSYS/QASYAEJ4. Los archivos de salida del modelo se describen en el Apéndice F del manual
iSeries Security Reference.
4. El menú SECBATCH contiene opciones para los tipos de objetos que normalmente conciernen a los
administradores de seguridad. Por ejemplo, utilice las opciones 11 o 50 para ejecutar el mandato PRTPUBAUT
en los objetos tipo *FILE. Utilice las opciones generales (18 y 57) para especificar el tipo de objeto.
5. El menú SECBATCH contiene opciones para los tipos de objetos que normalmente conciernen a los
administradores de seguridad. Por ejemplo, las opciones 12 o 51 ejecutan el mandato PRTPVTAUT en los
archivos tipo *FILE. Utilice las opciones generales (19 y 58) para especificar el tipo de objeto.
6. xxxxxx en el nombre del archivo es el tipo de objeto. Por ejemplo, el archivo de los objetos de programa recibe el
nombre de QPBPGM para las autorizaciones de uso público y QPVPGM para las autorizaciones privadas. Los
archivos están en la biblioteca QUSRSYS.
El archivo contiene un miembro para cada biblioteca para la que se ha impreso el informe. El nombre de
miembro es el mismo que el nombre de biblioteca.
Mandatos para personalizar la seguridad

La Tabla 9 describe los mandatos que puede utilizar para personalizar la seguridad
en su sistema. Estos mandatos se encuentran en el menú SECTOOLS.
Tabla 9. Mandatos para personalizar el sistema
60 CFGSYSSEC Utilice el mandato Configurar seguridad del sistema
para establecer los valores del sistema relativos a la
seguridad en sus valores recomendados. El mandato
también establece la auditoría de seguridad en el
sistema. El apartado “Valores establecidos por el
mandato Configurar seguridad del sistema” en la
página 53 describe las acciones del mandato.
Nota: Para obtener recomendaciones sobre seguridad
personalizadas para su situación concreta, ejecute el
Asistente de seguridad iSeries 400 o el Asesor de
seguridad iSeries 400 en lugar de ejecutar este
mandato. Vea el “Capítulo 3. Asistente de seguridad y
Asesor de seguridad iSeries 400” en la página 21 para
obtener información sobre estas herramientas.

Tabla 9. Mandatos para personalizar el sistema (continuación)
61 RVKPUBAUT Utilice el mandato Revocar autorización de uso
público para establecer la autorización de uso público
en *EXCLUDE para un conjunto de mandatos
relativos a la seguridad en el sistema. El apartado
“Acciones del mandato Revocar autorización de uso
público” en la página 55 lista las acciones que el
mandato RVKPUBAUT lleva a cabo.
Notas:
Valores establecidos por el mandato Configurar seguridad del

sistema
La Tabla 10 lista los valores del sistema que se establecen al ejecutar el mandato
CFGSYSSEC. El mandato CFGSYSSEC ejecuta un programa que se denomina
QSYS/QSECCFGS.
Tabla 10. Valores establecidos por el mandato CFGSYSSEC
Nombre de valor del
sistema Valor Descripción del valor del sistema
QAUTOCFG 0 (No) Configuración automática de nuevos dispositivos
QAUTOVRT 0 Número de descripciones de dispositivos virtuales que el sistema
creará automáticamente si no hay ningún dispositivo disponible
para su utilización
QALWOBJRST *NONE Si se pueden restaurar los programas de estado del sistema y los
programas que adoptan autorización
QDEVRCYACN *DSCMSG (Desconectar Acción del sistema cuando se restablecen las comunicaciones
con mensaje)
QDSCJOBITV 120 Período de tiempo antes de que el sistema emprenda una acción
en un trabajo desconectado
QDSPSGNINF 1 (Sí) Si los usuarios visualizan la pantalla de información de inicio de
sesión
QINACTITV 60 Período de tiempo antes de que el sistema emprenda una acción
en un trabajo interactivo inactivo
QINACTMSGQ *ENDJOB Acción que el sistema emprende para un trabajo inactivo
QLMTDEVSSN 1 (Sí) Si los usuarios se ven limitados a iniciar la sesión en un
dispositivo cada vez
QLMTSECOFR 1 (Sí) Si los usuarios *ALLOBJ y *SERVICE tienen como límites los
dispositivos especificados
QMAXSIGN 3 Cuántos intentos de inicio de sesión consecutivos e insatisfactorios
se permiten
QMAXSGNACN 3 (Ambos) Si el sistema inhabilita la estación de trabajo o el perfil de usuario
cuando se alcanza el límite QMAXSIGN
QRMTSIGN *FRCSIGNON Cómo maneja el sistema un intento de inicio de sesión remoto
(paso a través o TELNET).
QRMTSVRATR 0 (Desactivar) Permite analizar remotamente el sistema.
Tabla 10. Valores establecidos por el mandato CFGSYSSEC (continuación)
Nombre de valor del
sistema Valor Descripción del valor del sistema
1
QSECURITY 50 El nivel de seguridad que se aplica
QPWDEXPITV 60 Con qué frecuencia los usuarios deben cambiar sus contraseñas
QPWDMINLEN 6 Longitud mínima de las contraseñas
QPWDMAXLEN 8 Longitud máxima de las contraseñas
QPWDPOSDIF 1 (Sí) Si cada posición en una contraseña nueva debe ser diferente de la
misma posición en la última contraseña
QPWDLMTCHR Vea la nota 2 Caracteres que no se permiten en las contraseñas
QPWDLMTAJC 1 (Sí) Si los números adyacentes están prohibidos en las contraseñas
QPWDLMTREP 2 (No se puede repetir Si los caracteres repetidos están prohibidos en las contraseñas
consecutivamente)
QPWDRQDDGT 1 (Sí) Si las contraseñas deben tener como mínimo un número
QPWDRQDDIF 1 (32 contraseñas Cuántas contraseñas exclusivas se necesitan antes de que se pueda
exclusivas) repetir una contraseña
QPWDVLDPGM *NONE El programa de salida de usuario que el sistema invoca antes de
validar las contraseñas
Notas:
1. Si actualmente está ejecutando con un valor QSECURITY de 40 o inferior, asegúrese de revisar la información
del Capítulo 2 de la publicación iSeries Security Reference antes de cambiar a un nivel de seguridad superior.
2. Los caracteres restringidos se almacenan en el ID de mensaje CPXB302 del archivo de mensajes
QSYS/QCPFMSG. Se entregan como AEIOU@$#. Puede utilizar el mandato Cambiar descripción de mensaje
(CHGMSGD) para cambiar los caracteres restringidos. El valor del sistema QPWDLMTCHR no se aplica en los
niveles de contraseña 2 ó 3.
El mandato CFGSYSSEC también establece la contraseña en *NONE para los

siguientes perfiles de usuario suministrados por IBM:
QSYSOPR
QPGMR
QUSER
QSRV
QSRVBAS
Por último, el mandato CFGSYSSEC define la auditoría de seguridad mediante el

mandato Cambiar auditoría de seguridad (CHGSECAUD). El mandato
CFGSYSSEC activa la auditoría de acción y objeto, además especifica el conjunto
de acciones que se auditarán por omisión en el mandato CHGSECAUD.
Modificación del programa

Si algunos de estos valores no son adecuados para su instalación, puede crear su
propia versión del programa que procese el mandato. Haga lo siguiente:
__ Paso 1. Utilice el mandato Recuperar fuente CL (RTVCLSRC) para copiar la
fuente para el programa que se ejecuta al utilizar el mandato
CFGSYSSEC. El programa que se recupera es QSYS/QSECCFGS.
Cuando lo recupere, déle un nombre distinto.

__ Paso 2. Edite el programa y efectúe las modificaciones. A continuación,
compílelo. Cuando lo compile, asegúrese de que no sustituye el
programa QSYS/QSECCFGS suministrado por IBM. Su programa
deberá tener otro nombre.
__ Paso 3. Utilice el mandato Cambiar mandato (CHGCMD) para cambiar el
programa de modo que procese el parámetro de procesar mandato
(PGM) para el mandato CFGSYSSEC. Establezca el valor PGM con el
nombre de su programa. Por ejemplo, si crea un programa en la
biblioteca QGPL que se denomina MYSECCFG, deberá escribir lo
siguiente:
CHGCMD CMD(QSYS/CFGSYSSEC) PGM(QGPL/MYSECCFG)
Nota: Si modifica el programa QSYS/QSECCFGS, IBM no puede

garantizar ni dar por supuesto su fiabilidad, mantenimiento,
rendimiento o funcionamiento. Las garantías implícitas de
comercialización e idoneidad para una finalidad determinada
están excluidas expresamente.
Acciones del mandato Revocar autorización de uso público

Puede utilizar el mandato Revocar autorización de uso público (RVKPUBAUT)
para establecer la autorización de uso público en *EXCLUDE para un conjunto de
mandatos y programas. El mandato RVKPUBAUT ejecuta un programa que se
denomina QSYS/QSECRVKP. Tal como se entrega, el programa QSECRVKP revoca
la autorización de uso público (estableciendo la autorización de uso público en
*EXCLUDE) para los mandatos que aparecen listados en la Tabla 11 y las interfaces
de programación de aplicaciones (API) que aparecen listadas en la Tabla 12 en la
página 56. Cuando se recibe el sistema, estos mandatos y estas API tienen la
autorización de uso público establecida en *USE.
Los mandatos que aparecen listados en la Tabla 11 y las API listadas en la Tabla 12
en la página 56 realizan funciones en el sistema que pueden permitir que se
realicen acciones no permitidas. Como administrador de seguridad, debe autorizar
explícitamente a los usuarios para que ejecuten estos mandatos y programas en
lugar de ponerlos a disposición de todos los usuarios del sistema.
Si ejecuta el mandato RVKPUBAUT, especifique la biblioteca que contiene los

mandatos. El valor por omisión es la biblioteca QSYS. Si dispone de más de un
idioma nacional en el sistema, debe ejecutar el mandato para cada biblioteca
QSYSxxx.
Tabla 11. Mandatos cuya autorización de uso público se establece con el mandato
RVKPUBAUT
ADDAJE CHGJOBQE RMVCMNE
ADDCFGLE CHGPJE RMVJOBQE
ADDCMNE CHGRTGE RMVPJE
ADDJOBQE CHGSBSD RMVRTGE
ADDPJE CHGWSE RMVWSE
ADDRTGE CPYCFGL RSTLIB
ADDWSE CRTCFGL RSTOBJ
CHGAJE CRTCTLAPPC RSTS36F
CHGCFGL CRTDEVAPPC RSTS36FLR
CHGCFGLE CRTSBSD RSTS36LIBM
CHGCMNE ENDRMTSPT STRRMTSPT
CHGCTLAPPC RMVAJE STRSBS
CHGDEVAPPC RMVCFGLE WRKCFGL
Las API de la Tabla 12 se encuentran todas en la biblioteca QSYS:
Tabla 12. Programas cuya autorización de uso público se establece con el mandato
RVKPUBAUT
QTIENDSUP
QTISTRSUP
QWTCTLTR
QWTSETTR
QY2FTML
En la V3R7, al ejecutar el mandato RVKPUBAUT, el sistema establece autorización

de uso público en *USE para el directorio raíz (a menos que ya sea *USE o
inferior).
Modificación del programa

Si algunos de estos valores no son adecuados para su instalación, puede crear su
propia versión del programa que procesa el mandato. Haga lo siguiente:
__ Paso 1. Utilice el mandato Recuperar fuente CL (RTVCLSRC) para copiar el
fuente del programa que se ejecuta al utilizar el mandato
RVKPUBAUT. El programa que se recupera es QSYS/QSECRVKP.
Cuando lo recupere, déle un nombre distinto.
__ Paso 2. Edite el programa y efectúe las modificaciones. A continuación,
compílelo. Cuando lo compile, asegúrese de que no sustituye el
programa QSYS/QSECRVKP suministrado por IBM. Su programa
deberá tener otro nombre.
__ Paso 3. Utilice el mandato Cambiar mandato (CHGCMD) para cambiar el
programa de modo que procese el parámetro de procesar mandato
(PGM) para el mandato RVKPUBAUT. Establezca el valor PGM con el
nombre de su programa. Por ejemplo, si crea un programa en la
biblioteca QGPL que se denomina MYRVKPGM, deberá escribir lo
siguiente:
CHGCMD CMD(QSYS/RVKPUBAUT) PGM(QGPL/MYRVKPGM)
Nota: Si modifica el programa QSYS/QSECRVKP, IBM no puede

garantizar ni dar por supuesto su fiabilidad, mantenimiento,
rendimiento o función. Las garantías implícitas de
comercialización e idoneidad para una finalidad determinada
están excluidas expresamente.

Parte 3. Consejos para la seguridad avanzada del sistema
Si todo aquel que es bueno fuera también listo,

y todo aquel que es listo también fuera bueno,
el mundo podría ser sin duda visto
como un lugar mucho más placentero.
Elizabeth Wordsworth
RV3M1204-0

Capítulo 6. Utilización de la autorización sobre objetos para
proteger la información
El reto de un administrador de seguridad es proteger la información de la
organización sin contrariar a los usuarios del sistema. Debe asegurarse de que los
usuarios tengan autorización suficiente para realizar los trabajos sin tener que
otorgarles una autorización que les permita examinar el sistema y hacer cambios
no autorizados.
Consejo de seguridad
| Las autorizaciones demasiado estrictas pueden dar un mal resultado. Frente a
| restricciones demasiado estrictas en las autorizaciones los usuarios reaccionan
| a veces compartiendo contraseñas entre ellos.
El sistema operativo OS/400 proporciona seguridad de objetos integrada. Los

usuarios deben utilizar las interfaces que proporciona el sistema para acceder a los
objetos. Por ejemplo, si quiere acceder a un archivo de base de datos, debe utilizar
mandatos o programas pensados para acceder a archivos de base de datos. No
puede utilizar un mandato destinado a acceder a una cola de mensajes o a unas
anotaciones de trabajo.
Siempre que se utiliza una interfaz del sistema para acceder a un objeto, el sistema
verifica si tiene autoridad sobre el objeto requerido por la interfaz. La autorización
sobre objetos es una herramienta poderosa y flexible para proteger las partidas del
sistema. El reto de un administrador de seguridad es establecer un esquema de
seguridad de objetos efectivo que pueda gestionar y mantener.
¿El sistema aplica siempre la autorización sobre objetos?

La respuesta es sí y no. Siempre que se intenta acceder a un objeto, el sistema
operativo comprueba la autorización que se tiene sobre el objeto. Sin embargo, si el
nivel de seguridad del sistema (valor del sistema QSECURITY) se establece en 10 ó
20, todos los usuarios están automáticamente autorizados para acceder a todos los
objetos ya que todos los perfiles de usuario tienen autorización especial *ALLOBJ.
Consejo acerca de la autorización sobre objeto: Si no está seguro de que está

utilizando la autorización sobre objetos, compruebe el valor del sistema
QSECURITY (nivel de seguridad). Si QSECURITY es 10 ó 20, no está utilizando la
seguridad sobre objetos.
Debe realizar una planificación y una preparación antes de cambiar a un nivel de

seguridad 30 o superior. De lo contrario, los usuarios no serán capaces de acceder
a la información necesaria.
| El tema Seguridad y planificación básica del sistema del Information Center

| proporciona un método para analizar sus aplicaciones y decidir cómo configurará
| la seguridad sobre objetos. Si aún no está utilizando la seguridad sobre objetos o si
| su esquema de seguridad sobre objetos se ha quedado anticuado, lea este tema
| como iniciación.

El legado de la seguridad de menús
El iSeries estaba diseñado originariamente como un producto de continuación del
S/36 y del S/38. Muchas instalaciones de iSeries eran instalaciones de S/36 o
instalaciones de S/38. Para controlar lo que los usuarios podían hacer, los
administradores de seguridad de los primeros sistemas utilizaban a menudo una
técnica llamada seguridad de menús o control de acceso a menús.
El control de acceso a menús significa que cuando un usuario inicia la sesión, el

usuario obtiene un menú como el siguiente:
OEMENU Menú de Entrada de Pedidos
1. Trabajar con registros de clientes

2. Trabajar con pedidos
3. Trabajar con historial de pedidos
4. Trabajar con precios
5. Trabajar con contratos
Seleccione el número de opción: ___
Figura 5. Menú de entrada de pedidos de ejemplo
El usuario puede realizar solamente las funciones que están en el menú. El usuario
no puede acceder a una línea de mandatos del sistema para llevar a cabo funciones
que no estén en el menú. En teoría, el administrador de seguridad no tiene que
preocuparse de la autorización sobre los objetos ya que los menús y los programas
controlan lo que pueden hacer los usuarios.
El iSeries proporciona diversas opciones de perfil de usuario como ayuda para el

control de acceso a menús; puede utilizar:
v El parámetro Menú inicial (INLMNU) para controlar qué menú verá primero el
usuario tras iniciar la sesión.
v El parámetro Programa inicial (INLPGM) para ejecutar un programa de
configuración antes de que el usuario vea un menú. O bien puede utilizar el
parámetro INLPGM para restringir a un usuario a la utilización de un único
programa.
v El parámetro Limitar posibilidades (LMTCPB) para restringir a un usuario a un
conjunto limitado de mandatos. También evita que el usuario especifique un
programa o menú inicial distinto en la pantalla Inicio de sesión. (El parámetro
LMTCPB sólo limita mandatos entrados desde la línea de mandatos).
Limitaciones del control de acceso a menús

Los sistemas informáticos y los usuarios de sistemas informáticos han cambiado
mucho en los últimos años. Se dispone de muchas herramientas tales como
programas de consulta y hojas de cálculo, de forma que los usuarios pueden
programar por su cuenta para quitar carga de trabajo a los departamentos de
desarrollo de software. Algunas herramientas, tales como SQL o ODBC,
proporcionan la posibilidad de ver y cambiar información. Habilitar estas
herramientas dentro de una estructura de menús es muy difícil.
Las estaciones de trabajo de función fija (“pantalla verde”) se están sustituyendo

rápidamente por PC y redes de sistema a sistema. Si el sistema forma parte de una
red, los usuarios pueden entrar en él sin haber visto nunca una pantalla de inicio
de sesión o un menú.

El administrador de seguridad que intenta imponer el control de acceso a menús
se encuentra con dos problemas fundamentales:
v Si se tiene éxito en la limitación de menús para los usuarios, estos estarán
probablemente descontentos porque su capacidad de utilizar herramientas
modernas estará limitada.
v Si no se tiene éxito, se estará poniendo en peligro información confidencial de
gran importancia que el control de acceso a menús debería proteger. Cuando el
sistema participa en una red, la capacidad de imponer el control de acceso a
menús disminuye. Por ejemplo, el parámetro LMTCPB se aplica sólo a los
mandatos que se entran desde una línea de mandatos de una sesión interactiva.
El parámetro LMTCPB no afecta a las peticiones de sesiones de comunicación,
tales como la transferencia de archivos de PC, FTP o los mandatos remotos.
Consejos para mejorar el control de acceso a menús con la

seguridad de objetos
Con las numerosas opciones nuevas disponibles para conectar sistemas, un
esquema de seguridad del iSeries viable para el futuro no puede basarse
únicamente en el control de acceso a menús.En este tema se proporcionan
sugerencias para avanzar hacia un entorno de seguridad que complemente el
control de acceso a menús.
El tema Seguridad básica del sistema y planificación del Information Center describe
una técnica para analizar la autorización que los usuarios deben tener sobre los
objetos para ejecutar las aplicaciones actuales. Asigne los usuarios a los grupos y
dé a los grupos la autorización adecuada. Este acercamiento es razonable y lógico.
Sin embargo, si el sistema ha estado funcionando durante muchos años y tiene
muchas aplicaciones, la tarea de analizar las aplicaciones y configurar las
autorizaciones sobre objetos parece excesiva.
Consejo de autorización sobre objetos: Sus menús actuales combinados con

programas que adoptan la autorización de los propietarios de los programas
pueden proporcionar un paso más allá del control de acceso de menú. Asegúrese
de proteger tanto los programas que adoptan autorización como los perfiles de
usuario que los poseen.
Probablemente será capaz de utilizar los menús actuales como ayuda para
configurar un entorno de transición mientras se analizan gradualmente las
aplicaciones y los objetos. A continuación sigue un ejemplo que utiliza el menú
Entrada de Pedidos (OEMENU) (Figura 5 en la página 60) y los archivos y
programas asociados al mismo.
Preparación de un entorno de transición–Ejemplo

Este ejemplo empieza con las suposiciones y los requisitos siguientes:
v Todos los archivos están en la biblioteca ORDERLIB.
v No conoce los nombres de todos los archivos. Tampoco sabe qué autorización
necesitan las opciones de menú para los distintos archivos.
v El menú y los programas que llama están en una biblioteca llamada
ORDERPGM.
v Quiere que todos los que puedan iniciar la sesión en el sistema sean capaces de
ver información en todos los archivos de pedidos, archivos de clientes y archivos
de artículos (con consultas u hojas de cálculo, por ejemplo).
Capítulo 6. Utilización de la autorización sobre objetos para proteger la información 61

v Sólo los usuarios cuyo menú de inicio de sesión sea el menú OEMENU deben
tener capacidad para cambiar los archivos. Y, para hacerlo, deben utilizar los
programas del menú.
v Los usuarios del sistema que no son administradores de seguridad no tienen
autorización especial *ALLOBJ o *SECADM.
Haga lo siguiente para cambiar este entorno de control de acceso a menú para
ajustarse a la necesidad de consultas:
__ Paso 1. Haga una lista de los usuarios cuyo menú inicial sea OEMENU.
Puede utilizar el mandato Imprimir perfil de usuario (PRTUSRPRF
*ENVINFO) para listar el entorno de cada perfil de usuario del
sistema. El informe incluye el menú inicial, el programa inicial y la
biblioteca actual. La Figura 13 en la página 84 muestra un ejemplo del
informe.
__ Paso 2. Asegúrese de que el objeto OEMENU (puede ser un objeto *PGM o un
objeto *MENU) es propiedad de un perfil de usuario que no se utiliza
para el inicio de sesión. El perfil de usuario debe inhabilitarse o tener
una contraseña *NONE. Para este ejemplo suponga que OEOWNER
posee el objeto de programa OEMENU.
__ Paso 3. Asegúrese de que el perfil de usuario que posee el programa
OEMENU no es un perfil de grupo. Puede utilizar el mandato
siguiente:
DSPUSRPRF USRPRF(OEOWNER) TYPE(*GRPMBR)
__ Paso 4. Cambie el programa OEMENU para adoptar la autorización del perfil
de usuario OEOWNER. (Utilice el mandato CHGPGM para cambiar el
parámetro USRPRF por *OWNER.)
Nota: Los objetos *MENU no pueden adoptar autorización. Si

OEMENU es un objeto *MENU, puede adaptar este ejemplo
llevando a cabo una de las acciones siguientes:
v Cree un programa para visualizar el menú.
v Utilice la autorización adoptada para los programas que se
ejecutan cuando el usuario selecciona opciones del menú
OEMENU.
__ Paso 5. Establezca la autorización de uso público de todos los archivos de
ORDERLIB en *USE tecleando los dos mandatos siguientes:
RVKOBJAUT OBJ(ORDERLIB/*ALL) OBJTYPE(*FILE) USER(*PUBLIC)
AUT(*ALL)
GRTOBJAUT OBJ(ORDERLIB/*ALL) OBJTYPE(*FILE) USER(*PUBLIC)
AUT(*USE)
Recuerde que si selecciona la autorización *USE, los usuarios pueden

copiar el archivo utilizando la transferencia de archivos de PC o FTP.
__ Paso 6. Proporcione autorización *ALL sobre los archivos al perfil que posee el
programa tecleando lo siguiente:
GRTOBJAUT OBJ(ORDERLIB/*ALL) OBJTYPE(*FILE) USER(OEOWNER)
AUT(*ALL)
Para la mayoría de las aplicaciones es suficiente la autorización

*CHANGE sobre los archivos. Sin embargo, las aplicaciones pueden
realizar funciones, tales como borrar archivos físicos, que necesitan una
autorización superior a *CHANGE. Es posible que deba analizar las
aplicaciones y proporcionar sólo la autorización mínima necesaria para
cada aplicación. Sin embargo, durante el período de transición,

adoptando la autorización *ALL, se evitan anomalías en las
aplicaciones que puedan deberse a una autorización insuficiente.
__ Paso 7. Restrinja la autorización para los programas de la biblioteca de
pedidos tecleando lo siguiente:
GRTOBJAUT OBJ(ORDERPGM/*ALL) OBJTYPE(*PGM) USER(*PUBLIC)
AUT(*EXCLUDE)
__ Paso 8. Otorgue al perfil OEOWNER autorización sobre los programas de la
biblioteca tecleando lo siguiente:
GRTOBJAUT OBJ(ORDERPGM/*ALL) OBJTYPE(*PGM) USER(OEOWNER)
AUT(*USE)
__ Paso 9. Otorgue a los usuarios identificados en el paso 1 autorización sobre el
programa de menú tecleando lo siguiente para cada usuario:
GRTOBJAUT OBJ(ORDERPGM/OEMENU) OBJTYPE(*PGM)
USER(nombre de perfil de usuario) AUT(*USE)
Cuando haya terminado estos pasos, todos los usuarios del sistema que no se
hayan excluido explícitamente serán capaces de acceder (pero no de cambiar) a los
archivos de la biblioteca ORDERLIB. Los usuarios con autorización sobre el
programa OEMENU tendrán capacidad de utilizar los programas que están en el
menú para actualizar archivos de la biblioteca ORDERLIB. Sólo los usuarios que
tengan autorización sobre el programa OEMENU serán capaces de cambiar los
archivos de esta biblioteca. Una combinación de seguridad de objetos y control de
acceso a menú protege los archivos.
Al completar pasos similares para todas las bibliotecas que contienen datos de
usuario, se habrá creado un esquema simple para controlar las actualizaciones de
base de datos. Este método evita que los usuarios del sistema actualicen archivos
de base de datos, excepto cuando utilicen los menús y programas aprobados. Al
mismo tiempo, los archivos de base de datos quedan disponibles para que los
usuarios los vean, los analicen y los copien mediante herramientas de soporte de
decisiones o mediante enlaces desde otro sistema o desde un PC.
Consejo de autorización sobre objetos: Cuando el sistema participa en una red, la

autorización *USE puede proporcionar más autorización de la esperada. Por
ejemplo, con FTP, puede hacer una copia de un archivo en otro sistema
(incluyendo un PC) si tiene autorización *USE sobre el archivo.
Utilización de la seguridad de bibliotecas para complementar

la seguridad de menús
Para acceder a un objeto de biblioteca debe tener autorización sobre el objeto y
sobre la biblioteca. La mayoría de las operaciones necesitan la autorización
*EXECUTE o la autorización *USE sobre la biblioteca.
Dependiendo de la situación, puede ser capaz de utilizar la autorización de

biblioteca como una manera simple de asegurar objetos. Por ejemplo, suponga que
en el ejemplo del menú de Entrada de pedidos, todos los que tengan autorización
sobre el menú de Entrada de pedidos puedan utilizar todos los programas de la
biblioteca ORDERPGM. En lugar de asegurar los programas individuales, puede
establecer la autorización de uso público sobre la biblioteca ORDERPGM en
*EXCLUDE. Puede otorgar entonces autorización *USE sobre la biblioteca a perfiles
de usuario específicos, lo que les permitirá utilizar los programas de la biblioteca.
(Esto da por supuesto que la autorización de uso público para los programas es
*USE o mayor).

La autorización sobre bibliotecas puede ser un método simple y eficiente de
administrar la autorización sobre objetos. Sin embargo debe asegurarse de que
conoce el contenido de las bibliotecas que se aseguran de forma que no
proporcione acceso no intencionado a los objetos.
Consejos para preparar la propiedad de objetos

La propiedad de objetos en el sistema es una parte importante del esquema de
autorización sobre objetos. Por omisión, el propietario de un objeto tiene
autorización *ALL sobre el objeto. El capítulo 5 de la publicación iSeries Security
Reference proporciona recomendaciones y ejemplos para planificar la propiedad de
los objetos. A continuación se proporcionan algunos consejos:
v Por lo general, los perfiles de grupo no deben ser propietarios de objetos. Si un
perfil de grupo posee un objeto, todos los miembros del grupo tendrán
autorización *ALL sobre el objeto a menos que el miembro del grupo esté
excluido de forma explícita.
v Si utiliza la autorización adoptada, considere si los perfiles de usuario de los
propios programas deben poseer también objetos de aplicación tales como
archivos. Probablemente no querrá que los usuarios que ejecutan los programas
que adoptan autorización tengan autorización *ALL sobre los archivos.
| Si está utilizando el Operations Navigator, lo conseguirá completando los cambios

| utilizando la función de políticas de seguridad. Para obtener más información,
| consulte el iSeries Information Center (vea “Requisitos e información relacionada”
| en la página xii para conocer más detalles).
Consejos para la autorización sobre objetos para mandatos del

sistema y programas
A continuación se proporcionan varias sugerencias para cuando se restringe la
autorización a los objetos proporcionados por IBM:
v Cuando se tiene más de un idioma nacional en el sistema, el sistema tiene más
de una biblioteca del sistema (QSYS). El sistema tiene una biblioteca QSYSxxxx
para cada idioma nacional del sistema. Si va a utilizar la autorización sobre
objetos para controlar los mandatos del sistema, acuérdese de asegurar el
mandato en la biblioteca QSYS y en todas las bibliotecas QSYSxxx del sistema.
v La biblioteca del System/38 proporciona a veces un mandato cuya función es
equivalente a los mandatos que quiere restringir. Asegúrese de restringir el
mandato equivalente en la biblioteca QSYS38.
v Si tiene el entorno System/36, puede necesitar restringir programas adicionales.
Por ejemplo, el programa QY2FTML proporciona transferencia de archivos del
System/36.
Consejos para la auditoría de funciones de seguridad
Auditoría de la seguridad
Este capítulo describe técnicas para realizar una auditoría de la eficacia de la
seguridad en su sistema. Los motivos para realizar una auditoría de la seguridad
del sistema pueden ser diversos:
v Para evaluar si el plan de seguridad es completo.
v Para asegurarse de que los controles de seguridad planificados están en
funcionamiento. Este tipo de auditoría suele realizarla el responsable de

seguridad como parte de la administración diaria de la seguridad. También se
lleva a cabo, a veces más detalladamente, como parte de una revisión periódica
de la seguridad por parte de auditores internos o externos.
v Para asegurarse de que la seguridad del sistema sigue el ritmo de los cambios
que se realizan en el entorno del sistema. Estos son algunos ejemplos de los
cambios que afectan a la seguridad:
– Objetos nuevos creados por usuarios del sistema
– Usuarios nuevos admitidos en el sistema
– Cambio de la propiedad de objetos (autorización no ajustada)
– Cambio de responsibilidades (grupo de usuarios modificado)
– Autorización temporal (no revocada a tiempo)
– Instalación de nuevos productos
v Para prepararse para un evento futuro como, por ejemplo, instalar una nueva
aplicación, ir a un nivel de seguridad superior o configurar una red de
comunicaciones.
Las técnicas descritas en este capítulo son apropiadas para todas esas situaciones.
Los elementos para los que realice la auditoría y la frecuencia con que lo haga
dependerán del tamaño y de las necesidades de seguridad de su organización. La
finalidad de este capítulo es averiguar qué información hay disponible, cómo
obtenerla y por qué es necesaria, en lugar de ofrecer directrices sobre la frecuencia
de las auditorías.
Este capítulo consta de tres partes:

v Una lista de comprobación de los elementos de seguridad que pueden
planificarse y auditarse.
v Información sobre la puesta a punto y la utilización del diario de auditoría
proporcionado por el sistema.
v Otras técnicas disponibles para reunir información sobre seguridad en el sistema.
La auditoría de seguridad implica el uso de mandatos en el sistema iSeries y el

acceso a información de anotaciones y diarios en el sistema. Puede interesarle crear
un perfil especial para que lo utilice quien tenga que realizar una auditoría de
seguridad de su sistema. El perfil del auditor necesitará la autorización especial
*AUDIT para poder modificar las características de auditoría de su sistema.
Algunas de las tareas de auditoría sugeridas en este capítulo requieren un perfil de
usuario con la autorización especial *ALLOBJ y *SECADM. Asegúrese de establecer
la contraseña para el perfil de auditor como *NONE al finalizar el periodo de
auditoría.

Análisis de perfiles de usuario

Puede visualizar o imprimir una lista completa de todos los usuarios del sistema
con el mandato Visualizar usuarios autorizados (DSPAUTUSR). La lista puede
ordenarse por nombre de perfil o nombre de perfil de grupo. A continuación se
proporciona un ejemplo del orden del perfil de grupo:

Visualizar usuarios autorizados
Perfil Perfil Último Sin

Grupo usuario cambio contraseña Texto
DPTSM contraseña
ANDERSOR 08/04/9x Roger Anders
VINCENTM 09/15/9x Mark Vincent
DPTWH
ANDERSOR 08/04/9x Roger Anders
WAGNERR 09/06/9x Rose Wagner
QSECOFR JONESS 09/20/9x Sharon Jones
HARRISOK 08/29/9x Ken Harrison
*NO GROUP
DPTSM 09/05/9x X Ventas y Marketing
DPTWH 08/13/9x X Almacén
RICHARDS 09/05/9x Janet Richards
SMITHJ 09/18/9x John Smith
Impresión de perfiles de usuario seleccionados

Puede utilizar el mandato Visualizar perfil de usuario (DSPUSRPRF) para crear un
archivo de salida, que puede procesar utilizando una herramienta de consulta.
DSPUSRPRF USRPRF(*ALL) +
TYPE(*BASIC) OUTPUT(*OUTFILE)
Puede utilizar una herramienta de consulta para crear diversos informes de análisis
de su archivo de salida, por ejemplo:
v Una lista de todos los usuarios que tienen las autorizaciones especiales *ALLOBJ
y *SPLCTL.
v Una lista de todos los usuarios ordenados por un campo de perfil de usuario,
por ejemplo programa inicial o clase de usuario.
Puede crear programas de consulta para generar distintos informes del archivo de
salida. Por ejemplo:
v Listar todos los perfiles de usuarios que tengan autorizaciones especiales,
seleccionando registros en los que el campo UPSPAU no sea *NONE.
v Listar todos los usuarios a los que les esté permitido entrar mandatos,
seleccionando registros en los que el campo Limitar posibilidades (denominado
UPLTCP en el archivo de salida de base de datos modelo) sea *NO o *PARTIAL.
v Listar todos los usuarios que tengan un menú inicial o programa inicial concreto.
v Listar los usuarios inactivos fijándose en el campo de fecha de último inicio de
sesión.
Examen de perfiles de usuario de gran tamaño

Los perfiles de usuario con un gran número de autorizaciones, que parecen estar
repartidos por el sistema al azar, pueden reflejar una falta de planificación de la
seguridad. A continuación se muestra un método para localizar los perfiles de
usuario de gran tamaño y cómo evaluarlos:
1. Utilice el mandato Visualizar descripción de objeto (DSPOBJD) para crear un
archivo de salida que contenga información sobre todos los perfiles de usuario
del sistema:
DSPOBJD OBJ(*ALL) OBJTYPE(*USRPRF) +
DETAIL(*BASIC) OUTPUT(*OUTFILE)

2. Cree un programa de consulta para listar el nombre y el tamaño de cada perfil
de usuario, en secuencia descendente por su tamaño.
3. Imprima información detallada sobre los perfiles de usuario más grandes y
evalúe las autorizaciones y los objetos que poseen para ver si son los
apropiados:
DSPUSRPRF USRPRF(nombre-perfil-usuario) +
TYPE(*OBJAUT) OUTPUT(*PRINT)
DSPUSRPRF USRPRF(nombre-perfil-usuario) +
TYPE(*OBJOWN) OUTPUT(*PRINT)
Algunos perfiles de usuario suministrados por IBM son de gran tamaño debido
al número de objetos que poseen. No suele ser necesario listarlos y analizarlos.
No obstante, deberá comprbar si hay programas que adoptan la autorización de
los perfiles de usuario suministrados por IBM que tengan la autorización
especial *ALLOBJ, por ejemplo QSECOFR y QSYS.
Consejos para analizar las autorizaciones sobre objetos

Puede utilizar el siguiente método para determinar quién tiene autorización sobre
las bibliotecas del sistema:
1. Utilice el mandato DSPOBJD para listar todas las bibliotecas del sistema:
DSPOBJD OBJ(*ALL) OBJTYPE(*LIB) OUTPUT(*PRINT)
2. Utilice el mandato Visualizar autorización sobre objeto (DSPOBJAUT) para
listar las autorizaciones sobre una biblioteca específica:
DSPOBJAUT OBJ(nombre-biblioteca) OBJTYPE(*LIB) +
OUTPUT(*PRINT)
3. Utilice el mandato Visualizar biblioteca (DSPLIB) para listar los objetos de la
biblioteca:
DSPLIB LIB(nombre-biblioteca) OUTPUT(*PRINT)
Utilizando estos informes, puede determinar qué hay en una biblioteca y quién
tiene acceso a la misma. Si es necesario, puede utilizar el mandato DSPOBJAUT
para ver también la autorización para objetos seleccionados de la biblioteca.
Búsqueda de objetos alterados

Puede utilizar el mandato Comprobar integridad de objetos (CHKOBJITG) para
buscar objetos que hayan sido alterados. Un objeto alterado suele ser una
indicación de que alguien intenta entrar en su sistema. Puede interesarle ejecutar
este mandato después de que alguien haya realizado alguna de las siguientes
acciones:
v Restaurar programas al sistema
v Utilizar herramientas de servicio dedicado (DST)
Cuando ejecute el mandato, el sistema creará un archivo de base de datos que

contendrá información sobre cualquier posible problema de integridad. Puede
comprobar los objetos propiedad de un perfil, de varios perfiles distintos o de
todos los perfiles. Puede buscar objetos cuyo dominio haya sido alterado. También
puede volver a calcular los valores de validación de programas para buscar objetos
de los tipos *PGM, *SRVPGM, *MODULE y *SQLPKG que se hayan alterado.

Para ejecutar el programa CHKOBJITG es necesaria la autorización especial
*AUDIT. El mandato puede tardar en ejecutarse debido a las exploraciones y
cálculos que realiza. Deberá ejecutarlo en un momento en que el sistema no esté
muy ocupado.
Nota: Los perfiles que poseen muchos objetos con muchas autorizaciones privadas
pueden llegar a tener un gran tamaño. El tamaño de un perfil de propietario
afecta al rendimiento cuando se visualiza y se trabaja con la autorización
sobre objetos de propiedad y cuando se salvan o se restauran perfiles. Las
operaciones del sistema también pueden resultar afectadas. Para evitar
repercusiones en el rendimiento o en las operaciones del sistema, distribuya
la propiedad de los objetos entre múltiples perfiles. No asigne todos los
objetos (o casi todos) a un único perfil de propietario.
Análisis de programas que adoptan autorizaciones

Los programas que adoptan la autorización de un usuario con la autorización
especial *ALLOBJ representan un riesgo para la seguridad. Puede utilizarse el
siguiente método para buscar e inspeccionar esos programa:
1. Para cada usuario con la autorización especial *ALLOBJ, utilice el mandato
Visualizar programas que adoptan (DSPPGMADP) para listar los programas
que adoptan la autorización de ese usuario:
DSPPGMADP
USRPRF(nombre perfil usuario) +
OUTPUT(*PRINT)
Nota: El tema “Impresión de perfiles de usuario seleccionados” en la página 66

muestra cómo listar usuarios con autorización *ALLOBJ.
2. Utilice el mandato DSPOBJAUT para determinar quién tiene autorización para
utilizar cada programa que adopta y qué autorización de uso público existe
para el programa:
DSPOBJAUT OBJ(nombre-biblioteca/nombre-programa) +
OBJTYPE(*PGM) OUTPUT(*PRINT)
3. Inspeccione el código fuente y la descripción de programa para evaluar lo
siguiente:
v Si se impide al usuario del programa un exceso de funciones, por ejemplo
utilizar una línea de mandatos, mientras trabaja con el perfil adoptado.
v Si el programa adopta el nivel de autorización mínimo necesario para la
función deseada. Las aplicaciones que utilizan anomalía de programa pueden
diseñarse utilizando el mismo perfil de propietario para los objetos y los
programas. Cuando la autorización del propietario del programa es
adoptada, el usuario tiene autorización total (*ALL) sobre los objetos de la
aplicación. En muchos casos, el perfil de propietario no necesita ninguna
autorización especial.
4. Verifique cuándo se modificó el programa por última vez, utilizando el
mandato DSPOBJD:
DSPOBJD OBJ(nombre-biblioteca/nombre-programa) +
OBJTYPE(*PGM) DETAIL(*FULL)
Búsqueda de objetos alterados

Puede utilizar el mandato Comprobar integridad de objetos (CHKOBJITG) para
buscar objetos que hayan sido alterados. Un objeto alterado suele ser una
indicación de que alguien intenta entrar en su sistema. Puede interesarle ejecutar
este mandato después de que alguien haya realizado alguna de las siguientes
acciones:

v Restaurar programas al sistema
v Utilizar herramientas de servicio dedicado (DST)
Cuando ejecute el mandato, el sistema creará un archivo de base de datos que

contendrá información sobre cualquier posible problema de integridad. Puede
comprobar los objetos propiedad de un perfil, de varios perfiles distintos o de
todos los perfiles. Puede buscar objetos cuyo dominio haya sido alterado. También
puede volver a calcular los valores de validación de programas para buscar objetos
de los tipos *PGM, *SRVPGM, *MODULE y *SQLPKG que se hayan alterado.
Para ejecutar el programa CHKOBJITG es necesaria la autorización especial

*AUDIT. El mandato puede tardar en ejecutarse debido a las exploraciones y
cálculos que realiza. Deberá ejecutarlo en un momento en que el sistema no esté
muy ocupado.
Nota: Los perfiles que poseen muchos objetos con muchas autorizaciones privadas
pueden llegar a tener un gran tamaño. El tamaño de un perfil de propietario
afecta al rendimiento cuando se visualiza y se trabaja con la autorización de
objetos propiedad y cuando se salvan o se restauran perfiles. Las
operaciones del sistema también pueden resultar afectadas. Para evitar
repercusiones en el rendimiento o en las operaciones del sistema, distribuya
la propiedad de los objetos entre múltiples perfiles. No asigne todos los
objetos (o casi todos) a un único perfil de propietario.

Consejos para gestionar el diario de auditoría y los receptores

de diario
| El diario de auditoría, QSYS/QAUDJRN, está pensado solamente para la auditoría
| de seguridad. No deben registrarse objetos en el diario de auditoría. El control de
| compromiso no deberá utilizar el diario de auditoría. No deben enviarse entradas
| de usuario a este diario utilizando el mandato Enviar entrada de diario
| (SNDJRNE) o la API Enviar entrada de diario (QJOSJRNE).
Se utiliza una protección especial por bloqueo para asegurar que el sistema puede
grabar entradas de auditoría en el diario de auditoría. Cuando la auditoría está
activa (el valor del sistema QAUDCTL no es *NONE), el trabajo árbitro del sistema
(QSYSARB) mantiene un bloqueo en el diario QSYS/QAUDJRN. No podrá realizar
determinadas operaciones en el diario de auditoría mientras la auditoría esté
activa, por ejemplo:
v Mandato DLTJRN
| v Mandato ENDJRNxxx
v Mandato APYJRNCHG
v Mandato RMVJRNCHG
v Mandato DMPOBJ o DMPSYSOBJ
v Mover el diario
v Restaurar el diario
v Operaciones que funcionen con autorización, por ejemplo el mandato
GRTOBJAUT
v Mandato WRKJRN

La información grabada en las entradas de diario de seguridad está descrita en el
Seguridad, Manual de consulta. Todas las entradas de seguridad del diario de
auditoría tienen un código de diario T. En el diario QAUDJRN, aparte de entradas
de seguridad, aparecen entradas del sistema. Son entradas con un código de diario
J, relacionadas con la carga del programa inicial (IPL) y operaciones generales
realizadas en los receptores de diario (por ejemplo, salvar el receptor).
Si se producen daños en el diario o en su receptor actual de forma que no pueden

registrarse las entradas de auditoría, el valor del sistema QAUDENDACN
determina la acción que llevará a cabo el sistema. La recuperación de un diario o
un receptor de diario dañados es igual que para los demás diarios.
Puede interesarle hacer que el sistema gestione el cambio de receptores de diario.

Especifique MNGRCV(*SYSTEM) al crear el diario QAUDJRN, o bien modifique el
diario para que tenga ese valor. Si especifica MNGRCV(*SYSTEM), el sistema
desconecta automáticamente el receptor cuando llega al umbral de tamaño y crea y
conecta un nuevo receptor de diario. Esto se denomina gestión de cambio de
diario del sistema.
| Si especifica MNGRCV(*USER) para QAUDJRN, se enviará un mensaje a la cola de

| mensajes del umbral especificado para el diario cuando el receptor de diario
| alcance un umbral de almacenamiento. El mensaje indica que el receptor ha
| alcanzado el umbral. Utilice el mandato CHGJRN para desconectar el receptor y
| conectar un nuevo receptor de diario. Esto evita que haya mensajes de error de
| Entrada no registrada journaled. Si recibe un mensaje, debe utilizar el mandato
| CHGJRN para que continúe la auditoría de seguridad.
La cola de mensajes por omisión para un diario es QSYSOPR. Si su instalación

tiene un gran volumen de mensajes en la cola de mensajes QSYSOPR, puede
interesarle asociar una cola de mensajes distinta, por ejemplo AUDMSG, al diario
QAUDJRN. Puede utilizar un programa de manejo de mensajes para supervisar la
cola de mensajes AUDMSG. Cuando se recibe un aviso de umbral de diario
(CPF7099), puede conectar un nuevo receptor automáticamente. Si utiliza la gestión
de cambio de diario del sistema, se enviará el mensaje CPF7020 a la cola de
mensajes del diario cuando se complete un cambio de diario del sistema. Puede
supervisar la aparición de este mensaje para saber cuándo debe realizar una
operación de salvar los receptores de diario desconectados.
Atención: La función de limpieza automática suministrada utilizando menús de

Operational Assistant no realiza la limpieza de los receptores QAUDJRN. Deberá
desconectar, salvar y suprimir receptores QAUDJRN regularmente para evitar
problemas de espacio de disco.
Consulte la publicación Copia de seguridad y recuperación para obtener información

completa sobre la gestión de diarios y receptores de diario.
Nota: El diario QAUDJRN se crea durante una IPL, si no existe, y el valor del
sistema QAUDCTL se establece en un valor que no sea *NONE. Esto ocurre
solamente tras una situación inusual como, por ejemplo, sustituir un
dispositivo de disco o borrar una agrupación de almacenamiento auxiliar.
Salvar y suprimir receptores de diario de auditoría

Visión general:

Finalidad:
Conectar un nuevo receptor de diario de auditoría; Salvar
y suprimir el receptor antiguo
Método:
CHGJRN QSYS/QAUDJRN JRNRCV(*GEN) SAVOBJ
(para salvar el receptor antiguo) DLTJRNRCV (para
suprimir el receptor antiguo)
Autorización:
Autorización *ALL para el receptor de diario, autorización
*USE para el diario
Entrada de diario:
J (entrada del sistema en QAUDJRN)
Deberá desconectar el receptor de diario de auditoría actual regularmente y

conectar uno nuevo por dos motivos:
v El análisis de entradas de diario resulta más fácil si cada receptor de diario
contiene las entradas durante un período de tiempo específico razonable.
v Los receptores de diario de gran tamaño pueden afectar al rendimiento del
sistema, además de ocupar un espacio valioso en el almacenamiento auxiliar.
El método recomendado es hacer que el sistema gestione los receptores

automáticamente. Puede especificarlo utilizando el parámetro Gestionar receptor al
crear el diario.
Si ha configurado la auditoría de acciones y la auditoría de objetos para anotar

muchos eventos distintos, puede ser necesario especificar un valor de umbral alto
para el receptor de diario. Si está gestionando los receptores manualmente, puede
ser necesario cambiar los receptores de diario cada día. Si anota solamente unos
cuantos eventos, puede interesarle cambiar los receptores para que concuerden con
la planificación de copia de seguridad para la biblioteca que contiene el receptor de
diario.
| Utilice el mandato CHGJRN para desconectar un receptor y conectar uno nuevo.
Receptores de diario gestionados por el sistema: Si hace que el sistema gestione

los receptores, utilice el siguiente procedimiento para salvar todos los receptores
QAUDJRN desconectados y suprimirlos:
1. Teclee WRKJRNA QAUDJRN. La pantalla le mostrará el receptor conectado
actualmente. No salve ni suprima este receptor.
2. Utilice F15 para trabajar con el directorio de receptores. Se muestran todos los
receptores que han estado asociados con el diario y su estado.
3. Utilice el mandato SAVOBJ para salvar cada receptor, excepto el receptor
conectado actualmente, que no se ha salvado todavía.
4. Utilice el mandato DLTJRNRCV para suprimir cada receptor después de
salvarlo.
Nota: Una alternativa al procedimiento anterior podría ser utilizar la cola de

mensajes de diario y buscar el mensaje CPF7020, que indica que el cambio
de diario del sistema se ha completado satisfactoriamente. Consulte el Copia
de seguridad y recuperación para obtener más información sobre este soporte.

Receptores de diario gestionados por el usuario: Si elige gestionar los receptores
de diario manualmente, utilice el siguiente procedimiento para desconectar, salvar
y suprimir un receptor de diario:
1. Teclee CHGJRN JRN(QAUDJRN) JRNRCV(*GEN). Este mandato hace lo siguiente:
a. Desconecta el receptor conectado actualmente.
b. Crea un nuevo receptor con el siguiente número de secuencia.
c. Conecta el nuevo receptor al diario.
Por ejemplo, si el receptor actual es AUDRCV0003, el sistema crea y conecta un

nuevo receptor denominado AUDRCV0004.
El mandato Trabajar con atributos de diario (WRKJRNA) le indica qué receptor

está conectado actualmente: WRKJRNA QAUDJRN.
2. Utilice el mandato Salvar objeto (SAVOBJ) para salvar el receptor de diario
desconectado. Especifique el tipo de objeto *JRNRCV.
3. Utilice el mandato Suprimir receptor de diario (DLTJRNRCV) para suprimir el
receptor. Si intenta suprimir el receptor sin salvarlo, recibirá un mensaje de
aviso.


Capítulo 7. Consejos para gestionar y supervisar la
autorización
Hay disponible un conjunto de informes de seguridad para ayudarle a hacer un
seguimiento de cómo está configurada la autorización en su sistema. Al ejecutar
estos informes de forma inicial, puede imprimirlo todo (autorización para todos los
archivos o para todos los programas, por ejemplo).
Después de haber establecido la base de información, puede ejecutar regularmente

las versiones cambiadas de informe. La versiones cambiadas ayudan a identificar
cambios relevantes para la seguridad en el sistema a los que se deba prestar
atención. Por ejemplo, puede ejecutar el informe que muestre la autorización de
uso público para los archivos cada semana. Puede pedir sólo la versión cambiada
del informe. En él se mostrarán los archivos nuevos en el sistema que están
disponibles para todo el mundo y los archivos existentes cuya autorización de uso
público haya cambiado desde el último informe.
Hay dos menús disponibles para ejecutar herramientas de seguridad:

v Utilice el menú SECTOOLS para ejecutar programas interactivamente.
v Utilice el menú SECBATCH para ejecutar programas por lotes. El menú
SECBATCH tiene dos partes: una para someter los trabajos inmediatamente a la
cola de trabajos y la otra para colocar los trabajos en el planificador de trabajos.
| Si está utilizando el Operations Navigator, lo conseguirá completando los cambios

| utilizando la función de políticas de seguridad. Para obtener más información,
| consulte el iSeries Information Center (vea “Requisitos e información relacionada”
| en la página xii para conocer más detalles).
Supervisión de la autorización de uso público sobre objetos

Por motivos de simplicidad y rendimiento, la mayoría de los sistemas están
preparados de tal modo que la mayor parte de los objetos están disponibles para
muchos usuarios. A los usuarios se les deniega explícitamente el acceso a ciertos
objetos confidenciales en lugar de tener autorización expresa para utilizar todos los
objetos. Algunos sistemas con requisitos de seguridad más restrictivos tienen el
enfoque opuesto y proporcionan autorización sobre objetos explícitamente. En estos
sistemas, la mayoría de los objetos se crean con la autorización de uso público
*EXCLUDE.
iSeries es un sistema basado en objetos con numerosos tipos de objetos.La mayor

parte de ellos no contienen información confidencial ni realizan funciones
relacionadas con la seguridad. Como administrador de seguridad de un iSeries con
los requisitos de seguridad habituales, tal vez desee concentrar su atención en los
objetos que precisan protección, como los archivos de base de datos y los
programas.Para los demás tipos de objetos, puede establecer una autorización de
uso público suficiente para las aplicaciones, que es *USE para la mayor parte de
tipos de objetos.
Puede utilizar el mandato Imprimir autorización de uso público (PRTPUBAUT)

para imprimir información sobre los objetos a los que los usuarios públicos pueden
acceder. (Un usuario público es aquel que tiene autorización de inicio de sesión y
que no tiene autorización explícita sobre un objeto.) Al utilizar el mandato

PRTPUBAUT, puede especificar los tipos de objeto y las bibliotecas o directorios
que desee examinar. En los menús SECBATCH y SECTOOLS hay opciones para
imprimir el Informe de objetos con autorización de uso público de los tipos de
objetos que suelen tener consideraciones de seguridad.
La Figura 6 muestra un ejemplo del Informe de objetos con autorización de uso

público correspondiente a los objetos *FILE en la biblioteca CUSTLIB:
Objetos con autorización de uso público (informe completo)

SYSTEM4
Tipo de objeto . . . . . . . . : *FILE
Biblioteca especificada . . . : CUSTLIB
Lista de ----------Objeto----------- ------------Datos-----------
Bibliot. Objeto Propiet. autoriz. Autoriz. Oper Gest Exist Alter Ref Lect Añad Act Supr Ejecutar
CUSTLIB CUSTMAST AROWNER *NONE *USE X X X
CUSTLIB ORDERS AROWNER *NONE *CHANGE X X X X X X
CUSTLIB PRICES AROWNER *NONE *USE X X X
CUSTLIB TAXES AROWNER *NONE *CHANGE X X X X X X
Figura 6. Ejemplo de informe de objetos con autorización de uso público
Puede imprimir la versión modificada de este informe regularmente para ver qué
objetos precisan su atención.
Gestión de la autorización para objetos nuevos

OS/400 proporciona funciones para ayudarle a gestionar la autorización y la
propiedad de nuevos objetos del sistema. Cuando un usuario crea un objeto nuevo,
el sistema determina lo siguiente:
v Quién será el propietario del objeto
v Cuál es la autorización pública para el objeto
v Si el objeto tendrá autorizaciones privadas
v Dónde colocar el objeto (qué biblioteca o directorio)
v Si se auditará el acceso al objeto
El sistema utiliza valores del sistema, parámetros de biblioteca y parámetros de

perfil de usuario para tomar estas decisiones. “Assigning Authority and
Ownership to New Objects ” en el capítulo 5 de la publicación iSeries Security
Reference proporciona numerosos ejemplos de las opciones disponibles.
Puede utilizar el mandato PRTUSRPRF para imprimir los parámetros de perfil de

usuario que afectan a la propiedad y a la autorización para objetos nuevos. La
Figura 11 en la página 82 muestra un ejemplo de este informe.
Supervisión de las listas de autorizaciones
Opciones del menú SECBATCH:

3 para someter inmediatamente 42 para utilizar el planificador de trabajos
Puede agrupar los objetos con requisitos de seguridad similares utilizando una
lista de autorizaciones. Conceptualmente, una lista de autorizaciones contiene una
lista de los usuarios y las autorizaciones que estos tienen sobre los objetos
protegidos por la lista. Las listas de autorizaciones constituyen un modo eficaz de
gestionar la autorización de objetos similares del sistema. Sin embargo, en algunos
casos, dificultan el seguimiento de las autorizaciones sobre los objetos.

Puede utilizar el mandato Imprimir autorización privada (PRTPVTAUT) para
imprimir información acerca de las autorizaciones sobre la lista de autorizaciones.
La Figura 7 muestra un ejemplo del informe.
Autorizaciones privadas (informe completo)

SYSTEM4
Lista Grupo Gest ----------Objeto----------- ------------Datos-----------
autoriz. Propiet. primario Usuario Autoriz. List. Opr Gest Exist Alter Ref Lect Añ. Act. Supr Ejecutar
LIST1 QSECOFR *NONE *PUBLIC *EXCLUDE
LIST2 BUDNIKR *NONE BUDNIKR *ALL X X X X X X X X X X X
*PUBLIC *CHANGE X X X X X X
LIST3 QSECOFR *NONE *PUBLIC *EXCLUDE
LIST4 CJWLDR *NONE CJWLDR *ALL X X X X X X X X X X X
GROUP1 *ALL X X X X X X X X X X
*PUBLIC *EXCLUDE
Figura 7. Informe de autorizaciones privadas para listas de autorizaciones
Este informe contiene la misma información que la pantalla Editar lista de

autorizaciones (EDTAUTL). La ventaja del informe es que concentra la información
acerca de todas las listas de autorizaciones. Si, por ejemplo, está realizando la
puesta a punto de un grupo nuevo de objetos, puede buscar rápidamente en el
informe si hay alguna lista de autorizaciones que cumpla los requisitos para estos
objetos.
Puede imprimir una versión modificada del informe para ver las listas de
autorizaciones nuevas o las que han sufrido cambios en las autorizaciones desde la
última vez que se imprimió el informe. También tiene la opción de imprimir una
lista de los objetos protegidos por cada lista de autorizaciones. La Figura 8 muestra
un ejemplo del informe correspondiente a una lista de autorizaciones:
Visualizar objetos de lista de autorizaciones

Lista de autorizaciones . . . . . : CUSTAUTL
Biblioteca . . . . . . . . . . . : QSYS
Propietario . . . . . . . . . . . : AROWNER
Grupo primario . . . . . . . . . . : *NONE
Grupo
Objeto Biblioteca Tipo Propietario primario Texto
CUSTMAS CUSTLIB *FILE AROWNER *NONE
CUSTORD CUSTORD *FILE OEOWNER *NONE
Figura 8. Informe Visualizar objetos de lista de autorizaciones
Puede utilizar este informe, por ejemplo, para ver el efecto de la adición de un
nuevo usuario a una lista de autorizaciones (qué autorizaciones recibirá el usuario).
Consejos para utilizar Listas de autorizaciones

Operations Navigator proporciona funciones de seguridad diseñadas para ayudarle
a desarrollar un plan y una política de seguridad y para configurar el sistema para
ajustarse a las necesidades de su empresa. Una de las funciones disponibles es el
uso de listas de autorizaciones.
Las listas de autorizaciones tienen las siguientes características.

v Una lista de autorizaciones agrupa los objetos con requisitos de seguridad
similares.
v Una lista de autorizaciones contiene conceptualmente una lista de usuarios y
grupos y la autorización que cada uno tiene sobre los objetos protegidos por la
lista.
Capítulo 7. Consejos para gestionar y supervisar la autorización 75

v Cada usuario y grupo puede tener una autorización distinta sobre el conjunto de
objetos que la lista protege.
v La autorización puede entregarse mediante la lista, en lugar de a grupos y
usuarios individuales.
Las tareas que pueden realizarse utilizando listas de autorizaciones incluyen las
siguientes.
v Crear una lista de autorizaciones
v Modificar una lista de autorizaciones.
v Añadir usuarios y grupos.
v Modificar permisos de usuarios.
v Visualizar objetos protegidos.
Para utilizar esta función haga lo siguiente.

1. Inicie el programa Operations Navigator.
2. Inicie la sesión en iSeries.
3. Seleccione Seguridad y pulse en el recuadro + .
4. Verá Listas de autorizaciones y Políticas. Pulse el botón derecho del ratón para
obtener el menú.
5. Seleccione Lista de autorizaciones nueva y pulse el botón izquierdo del ratón.
Aparecerá una ventana. La Lista de autorizaciones nueva le permite efectuar lo
siguiente.
v Uso: Permite el acceso a los atributos del objeto y el uso del objeto. El
público puede ver los objetos pero no puede modificarlos.
v Cambio: Permite cambiar el contenido del objeto (con algunas excepciones).
v Total: Permite todas las operaciones sobre el objeto, excepto las limitadas al
propietario. El usuario o grupo puede controlar la existencia del objeto,
especificar la seguridad para el objeto, modificar el objeto y realizar
funciones básicas sobre el objeto. El usuario o grupo también puede cambiar
la propiedad del objeto.
v Exclusión: Se prohiben todas las operaciones sobre el objeto. No se permite
el acceso al objeto ni operaciones sobre el mismo para los usuarios y grupos
que tengan este permiso. Especifica que no se permite al público el uso del
objeto.
Al trabajar con listas de autorizaciones le interesa otorgar permisos tanto para los
objetos como para los datos. Los permisos sobre objetos que puede elegir se
enumeran a continuación.
v Operativo: Proporciona el permiso para ver la descripción de un objeto y utilizar
el objeto tal como determina el permiso de datos que el usuario o grupo tiene
sobre ese objeto.
v Gestión: Proporciona el permiso para especificar la seguridad para el objeto,
mover o redenominar el objeto y añadir miembros a los archivos de base de
datos.
v Existencia: Proporciona el permiso para controlar la existencia y la propiedad
del objeto. El usuario o grupo puede suprimir el objeto, liberar almacenamiento
del objeto, efectuar operaciones de salvar y restaurar para el objeto y transferir
la propiedad del objeto. Si un usuario o un grupo tiene un permiso de salvar
especial, el usuario o grupo no necesitará el permiso de existencia para el objeto.
v Alteración (utilizado solamente para archivos de base de datos y paquetes SQL):
Proporciona el permiso necesario para alterar los atributos de un objeto. Si el
usuario o grupo tiene este permiso sobre un archivo de base de datos, el usuario
o grupo puede añadir o eliminar desencadenantes, añadir o eliminar
restricciones referenciales y de unicidad, así como modificar los atributos del
archivo de base de datos. Si el usuario o grupo tiene este permiso sobre un

paquete SQL, el usuario o grupo puede modificar los atributos del paquete SQL.
Actualmente, este permiso se utiliza solamente para archivos de base de datos y
paquetes SQL.
v Referencia (utilizado solamente para archivos de base de datos y paquetes SQL):
Proporciona el permiso necesario para referenciar un objeto desde otro objeto, de
forma que las operaciones sobre ese objeto puedan ser restringidas por el otro
objeto. Si el usuario o grupo tiene este permiso sobre un archivo físico, el
usuario o grupo puede añadir restricciones referenciales en las que el archivo
físico sea el padre. Actualmente, este permiso se utiliza solamente para los
archivos de base de datos.
Los permisos sobre datos que puede elegir se enumeran a continuación.

v Lectura: Proporciona el permiso necesario para obtener y visualizar el contenido
del objeto, por ejemplo ver registros de un archivo.
v Adición: Proporciona el permiso para añadir entradas a un objeto, por ejemplo
añadir mensajes a una cola de mensajes o añadir registros a un archivo.
v Actualización: Proporciona el permiso para cambiar las entradas de un objeto,
por ejemplo cambiar registros de un archivo.
v Supresión: Proporciona el permiso para eliminar entradas de un objeto, por
ejemplo eliminar mensajes de una cola de mensajes o suprimir registros de un
archivo.
v Ejecución: Proporciona el permiso necesario para ejecutar un programa, un
programa de servicio o un paquete SQL. El usuario también puede ubicar un
objeto en una biblioteca o directorio.
Para obtener más información sobre cada proceso a medida que cree o edite sus
listas de autorizaciones, consulte las pantallas de ayuda en línea para cada paso.
Herramienta de política de auditorías

El Operations navigator tiene dos áreas de políticas. Son las siguientes:
v Política de auditorías
v y Política de seguridad.
Para crear y utilizar políticas dentro del Operations navigator, deberá hacer lo
siguiente.
4. Verá Políticas en el menú; pulse con el botón derecho del ratón para obtener el
menú de políticas.
5. Seleccione Explorar y pulse en el título con el botón izquierdo del ratón. Así
obtendrá una lista de las políticas y sus nombres. Por ejemplo: Política de
auditorías y Política de seguridad con una descripción de cada una.
La política de auditorías es la función por la que el sistema hace una auditoría del
acceso a un objeto y crea una entrada en el diario de auditoría. La política de
auditorías hace un seguimiento de todos los usuarios que acceden a un objeto
importante del sistema, así como un seguimiento de todos los objetos a los que
accede un usuario concreto.
Para llegar a la ventana de propiedades de políticas de auditorías puede efectuar

una doble pulsación con el botón izquierdo del ratón en Políticas de auditorías , o
bien puede pulsar con el botón derecho del ratón para obtener un menú y

seleccionar Propiedades. La ventama Propiedades de Políticas de auditorías le
permitirá seleccionar y activar funciones de auditoría. Entre las acciones de
auditoría se encuentran las siguientes.
v Violación del filtro APPN: Realiza auditorías de las violaciones detectadas por
el cortafuegos de APPN. Se realizan auditorías de las violaciones del filtro de
búsqueda de directorios y del filtro de punto final.
v Anomalía de autorización: Realiza auditorías de los intentos no satisfactorios de
iniciar la sesión en el sistema y de acceder a objetos. Anomalías de autorización
puede utilizarse de forma regular para supervisar a los usuarios que intentan
realizar funciones no autorizadas en el sistema. También pueden utilizarse como
ayuda para la migración a un nivel de seguridad superior y para probar la
seguridad por recursos para una aplicación nueva.
v Tareas de trabajo: Realiza auditorías de las acciones que afectan a un trabajo,
por ejemplo iniciar o detener el trabajo, retenerlo, liberarlo, cancelarlo o
modificarlo. Tareas de trabajo puede utilizarse para supervisar quién está
ejecutando trabajos de proceso por lotes.
v Creación de objetos: Realiza auditorías sobre la creación o la sustitución de un
objeto. Creación de objetos puede utilizarse para supervisar cuándo se crean o se
vuelven a compilar programas.
v Supresión de objetos: Realiza la auditoría sobre la supresión de un objeto.
v Gestión de objetos: Realiza la auditoría sobre la operación de redenominar o
mover un objeto. Gestión de objetos puede utilizarse para detectar la copia de
información confidencial trasladando el objeto a una biblioteca distinta.
v Restauración de objetos: Realiza la auditoría sobre el objeto restaurado.
Restauración de objetos puede utilizarse para detectar intentos de restaurar
objetos no autorizados.
v Tareas de oficina: Realiza la auditoría de cambios en el directorio de
distribución del sistema y la apertura de las anotaciones de correo. Las acciones
realizadas sobre elementos específicos de las anotaciones de correo no se
registran. Tareas de oficina puede utilizarse para detectar intentos de modificar
el direccionamiento del correo o para supervisar si se abren las anotaciones de
correo de otro usuario.
v Tareas ópticas: Realiza auditorías de funciones ópticas, por ejemplo añadir o
extraer un cartucho óptico, o modificar la lista de autorizaciones utilizada para
proteger un volumen óptico. Otras funciones incluyen copiar, mover o
redenominar un archivo óptico, guardar o liberar un archivo óptico retenido, etc.
v Funciones de impresión: Realiza auditorías de la impresión de un archivo en
spool, la impresión directamente desde un programa, o el envío de un archivo
en spool a una impresora remota. Funciones de impresión puede utilizarse para
detectar la impresión de información confidencial.
v Adopción de programas: Realiza la auditoría del uso de autorización adoptada
para obtener el acceso a un objeto. Adopción de programas puede utilizarse para
probar dónde y cuándo una aplicación nueva utiliza la autorización adoptada.
v Tareas de seguridad: Realiza auditorías de eventos relativos a la seguridad
como, por ejemplo, modificar un perfil de usuario o un valor del sistema. Tareas
de seguridad puede utilizarse para mantener un registro de todas las actividades
de seguridad.
v Tareas de servicio: Realiza auditorías del uso de herramientas de servicio tales
como Volcar objeto e Iniciar copiar pantalla. Tareas de servicio puede utilizarse
para detectar intentos de esquivar la seguridad utilizando herramientas de
servicio.
v Gestión de spool: Realiza auditorías de las acciones llevadas a cabo sobre los
archivos en spool, incluida la creación, la copia y el envío. Gestión de spool
puede utilizarse para detectar intentos de imprimir o enviar datos
confidenciales.

v Violación de la integridad del sistema: Realiza auditorías de las violaciones del
dominio del programa cuando un programa provoca un error de integridad.
Violación de la integridad del sistema puede utilizarse como ayuda para la
migración a un nivel de seguridad superior o para probar una aplicación nueva.
v Gestión del sistema: Realiza auditorías de las actividades de gestión del sistema,
por ejemplo modificar una lista de respuestas o la planificación de encendido y
apagado. Gestión del sistema puede utilizarse para detectar intentos de utilizar
funciones de gestión del sistema para esquivar los controles de seguridad.
| Cuando se cree la ventana de nuevos objetos, verá qué se ha creado y podrá

| realizar cambios y pulsar Aceptar para aceptar el nuevo objeto. Si aparece una
| ventana que indica ″El diario QAUDJRN no existe en la biblioteca QSYS″, utilice el
| mandato CL CHGSECAUD para crear el diario de auditoría de seguridad
| (QUADJRN), si no existe.
Si desea realizar una auditoría sobre un único usuario, puede hacerlo volviendo a
la pantalla del menú principal.
1. En el menú principal seleccione Usuarios y grupos.
2. Expanda la ventana y pulse en Todos los usuarios.
3. Seleccione el usuario que desee supervisar y pulse con el botón de la derecha
para obtener el menú desplegable. Seleccione Propiedades.
4. En el menú Propiedades seleccione y pulse en Posibilidades.
5. El siguiente menú le ofrece la opción de realiza la auditoría de un único
usuario. Efectúe sus selecciones de auditoría y seleccione Aceptar.
Ahora podrá supervisar el uso que hace esa persona del sistema.
Herramienta de política de seguridad

Las políticas de seguridad se utilizan para administrar los valores del sistema
relacionados con la seguridad. Para definir y mantener las políticas de seguridad
es necesario seguir los siguientes pasos.
4. Verá Listas de autorizaciones y Políticas. Pulse el botón derecho del ratón para
obtener el menú.
5. Seleccione Políticas y pulse con el botón izquierdo del ratón. Aparecerá una
ventana.
6. Efectúe una doble pulsación en el archivo Políticas de seguridad. Eso le llevará
a una ventana denominada Propiedades de Política de seguridad en la que
deberá dar el nombre de su iSeries.
7. Una vez realizadas sus selecciones, pulse Aceptar para que se apliquen a sus
políticas.
8. Las siguientes funciones de seguridad de Operations Navigator sustituyen a
estas interfaces de línea de mandatos.
Valores de seguridad Interfaz de línea de mandatos

Pestaña de controles de seguridad
Nivel de seguridad QSECURITY
Acciones de seguridad QALWOBJRST; QRMTSRVATR;
*ALWSYSSTT; *ALWPGMADP;
*ALWPFT;QRETSVRSEC

Autorización por omisión para los objetos de QCRTAUT
nueva creación en el sistema de archivos
QSYS.LIB
Inicio de sesión en el sistema
Intentos de inicio de sesión incorrectos QMAXSIGN; QMAXSGNACN;
QDSPSGNINF; QLMTDEVSSN;
QLMTSECOFR
Permitir autoconfiguración de QUATOVRT; QAUTOCFG
Caducidad de contraseña QPWDEXPITV
Pantalla de contraseña
Longitudes de contraseña QPWDMINLEN; QPWDMAXLEN
Caracteres de contraseña QPWDDLMTAJC; QPWMINLEN;
QPWDLMTREP; QPWDLMTCHR
Contraseñas anteriores QPWDPOSIF; QPWDRQDDIF
Tiempo de espera
Trabajos inactivos QINACTITV; QINACTMSGQ
Trabajos de desconexión QDSCJOBITV
Acción de error de dispositivo
Acción a llevar a cabo cuando se produce un QDEVRCYACN
error de dispositivo en la estación de trabajo:
Inicio de sesión remoto
Utilizar TELNET para la pantalla de inicio QRMTSIGN
de sesión remoto
Nota: Si marca Utilizar paso a través para
inicio de sesión remoto; se utilizará el valor
tanto para PassThrough como para Telnet.
Objetos no disponibles
Permitir estos objetos en: QALWUSRDMN
Supervisión de la autorización privada sobre los objetos


imprimir una lista de todas las autorizaciones privadas correspondientes a los
objetos de un tipo determinado de una biblioteca especificada.
Puede utilizar este informe para detectar las nuevas autorizaciones sobre
objetos. También puede serle útil para evitar que la estructura de
autorizaciones privadas se convierta en complicada e imposible de gestionar.
La Figura 9 en la página 81 muestra un ejemplo del informe:

Autorizaciones privadas (informe completo)
5769SS1 VxRxMx 000000 TESTSYS 00/00/00 00:00:00
Directorio . . . . . . . . . . : /qibm
Autorización *PUBLIC . . . . : *RX
Tipo de objeto . . . . . . . . : *DIR
Grupo Lista
Objeto Propietario Primario Autoriz. Usuario Datos -----------Objeto-----------
ProdData QSYS *NONE *NONE Autorización Mgt Exist Alter Ref
*PUBLIC *RX
QSYS *RWX X X X X
UserData QSYS *NONE *NONE *PUBLIC *RX
QSYS *RWX X X X X
include QSYS *NONE *NONE *PUBLIC *RX
QSYS *RWX X X X X
locales QLPINSTALL *NONE *NONE *PUBLIC *RX
QLPINSTA *RWX X X X X
Figura 9. Informe de autorizaciones privadas–Ejemplo
Supervisión del acceso a las colas de salida y a las colas de trabajos

En algunos casos, los administradores de seguridad hacen un gran trabajo a fin de
proteger el acceso a los archivos, pero se olvidan de lo que sucede cuando el
contenido de un archivo se imprime. iSeries proporciona funciones para proteger
las colas de salida y las colas de trabajos confidenciales. Puede proteger una cola
de salida para que los usuarios no autorizados no puedan, por ejemplo, ver o
copiar los archivos en spool confidenciales que están a la espera de imprimirse.
También puede proteger las colas de trabajos para que los usuarios no autorizados
no puedan redirigir un trabajo confidencial a una cola de salida no confidencial ni
cancelar el trabajo.

El tema Seguridad básica del sistema y planificación del Information Center y las
publicaciones iSeries Security Reference, describen cómo proteger las colas de
salida y las colas de trabajos.
Puede utilizar el mandato Imprimir autorización sobre cola (PRTQAUT) para

imprimir los valores de seguridad correspondientes a las colas de trabajos y
de salida del sistema. A continuación puede evaluar la impresión de trabajos
que contienen información confidencial y asegurarse de que van a parar a
colas de salida y de trabajos que están protegidas. La Figura 10 muestra un
ejemplo del informe PRTQAUT:
Autorización sobre colas (informe completo)

SYSTEM4
Biblioteca especificada . . . : *ALL
Biblioteca Objeto Tipo Propietario Autorización DSPDTA OPRCTL AUTCHK
BASQLIB OUTQ1 *OUTQ BASMLYR *USE *NO *YES *OWNER
BASQLIB OUTQ2 *OUTQ BASMLYR *ALL *YES *YES *OWNER
BASQLIB OUTQ3 *OUTQ BASMLYR *CHANGE *OWNER *YES *OWNER
BASQLIB OUTQ4 *OUTQ BASMLYR *EXCLUDE *NO *NO *OWNER
BASQLIB OUTQ5 *OUTQ BASMLYR *EXCLUDE *NO *NO *DTAAUT
BASQLIB JOBQ2 *JOBQ BASMLYR *CHANGE *NONE *NO *OWNER
BASQLIB JOBQ3 *JOBQ BASMLYR *EXCLUDE *NONE *NO *DTAAUT
Figura 10. Informe Autorización sobre colas–Ejemplo

Para las colas de salida y de trabajos que considera susceptibles de seguridad,
puede comparar los valores de seguridad con la información del Apéndice D de la
publicación iSeries Security Reference. Las tablas del Apéndice D indican qué valores
son necesarios para realizar distintas funciones de cola de salida y de trabajos.
Supervisión de autorizaciones especiales

Si los usuarios del sistema tienen autorizaciones especiales innecesarias, sus
esfuerzos para desarrollar un esquema de autorización sobre objeto adecuado
pueden ser inútiles. La autorización sobre objeto no tiene ningún significado si un
perfil de usuario tiene la autorización especial *ALLOBJ. Un usuario que tenga la
autorización especial *SPLCTL puede ver todos los archivos en spool del sistema,
independientemente de los esfuerzos que realice para proteger las colas de salida.
Los usuarios con la autorización especial *JOBCTL, pueden afectar las operaciones
del sistema y redirigir los trabajos. Los usuarios con la autorización especial
*SERVICE pueden utilizar las herramientas de servicio para acceder a los datos sin
pasar por el sistema operativo.

Puede utilizar el mandato Imprimir perfil de usuario (PRTUSRPRF) para

imprimir información acerca de las autorizaciones especiales y las clases de
usuario correspondientes a los perfiles de usuario del sistema. Cuando se
ejecuta el informe, se dispone de varias opciones:
v Todos los perfiles de usuario
v Perfiles de usuario con autorizaciones especiales específicas
v Perfiles de usuario que tengan clases de usuario específicas
v Perfiles de usuario con discrepancias entre la clase de usuario y las
autorizaciones especiales.
La Figura 11 muestra un ejemplo del informe que contiene las autorizaciones

especiales para todos los perfiles de usuario:

Tipo de informe . . . . . . . : *AUTINFO
Seleccionar por . . . . . . . : *SPCAUT
Autorizaciones especiales . . : *ALL
-----------Autorizaciones especiales---------
*IO Tipo
Perfil Perfiles *ALL *AUD SYS *JOB *SAV *SEC *SER *SPL Clase Autoriz. autoriz. Posibilidad
usuario grupo OBJ IT CFG CTL SYS ADM VICE CTL usuario Propiet grupo grupo limitada
USERA *NONE X X X X X X X X *SECOFR *USRPRF *NONE *PRIVATE *NO
USERB *NONE X X *PGMR *USRPRF *NONE *PRIVATE *NO
USERC *NONE X X X X X X X X *SECOFR *USRPRF *NONE *PRIVATE *NO
USERD *NONE *USER *USRPRF *NONE *PRIVATE *NO
Figura 11. Informe de usuarios–Ejemplo 1
Además de las autorizaciones especiales, el informe contiene lo siguiente:

v Si el perfil de usuario tiene posibilidades limitadas.
v Si el usuario o el grupo de usuarios es propietario de los objetos nuevos que
cree el usuario.
v Qué autorización recibirá automáticamente el grupo de usuarios sobre los
nuevos objetos creados por el usuario.

La Figura 12 muestra un ejemplo del informe correspondiente a las autorizaciones
especiales y clases de usuario con discrepancias:

Tipo de informe . . . . . . . : *AUTINFO
Seleccionar por . . . . . . . : *MISMATCH
--------------------------------Autorizaciones especiales---------
*IO Tipo
Perfil Perfiles *ALL *AUD SYS *JOB *SAV *SEC *SER *SPL Clase Autoriz. autoriz. Posibilidad
usuario grupo OBJ IT CFG CTL SYS ADM VICE CTL usuario Propiet grupo grupo limitada
USERX *NONE X X X X *SYSOPR *USRPRF *NONE *PRIVATE *NO
USERY *NONE X *USER *USRPRF *NONE *PRIVATE *NO
USERZ X *USER *USRPRF *NONE *PRIVATE *NO
QPGMR X X
Figura 12. Informe de usuarios–Ejemplo 2
En la Figura 12, observe lo siguiente:

v USERX tiene una clase de usuario de operador del sistema (*SYSOPR), pero
tiene las autorizaciones especiales *ALLOBJ y *SPLCTL.
v USERY tiene una clase de usuario (*USER), pero tiene la autorización especial
*SECADM.
v USERZ también tiene una clase de usuario (*USER), pero tiene la autorización
especial *SECADM. También puede ver que USERZ es un miembro del grupo
QPGMR, que tiene las autorizaciones especiales *JOBCTL y *SAVSYS.
Puede ejecutar estos informes regularmente para supervisar la administración de

perfiles de usuario.
Supervisión de entornos de usuario

Una de las funciones del perfil de usuario es la definición del entorno del usuario,
que comprende la cola de salida, el menú inicial y la descripción del trabajo. El
entorno del usuario tiene efectos sobre el modo en que el usuario ve el sistema y,
hasta cierto punto, sobre las acciones que el usuario puede realizar. El usuario debe
tener autorización sobre los objetos que están especificados en el perfil de usuario.
Sin embargo, si su esquema de seguridad aún está en curso o no es muy
restrictivo, el entorno de usuario definido en un perfil de usuario puede producir
resultados no deseados. A continuación encontrará varios ejemplos:

v La descripción de trabajo de usuario puede especificar un perfil de usuario
con más autorización que el usuario.
v El usuario puede tener un menú inicial sin línea de mandatos. Sin
embargo, el programa de manejo de la tecla de atención del usuario puede
proporcionar una.
v El usuario puede tener autorización para ejecutar informes confidenciales.
Sin embargo, la salida del usuario puede dirigirse a una cola de salida que
esté disponible para los usuarios que no deberían ver los informes.
Puede utilizar la opción *ENVINFO del mandato Imprimir perfil de usuario

(PRTUSRPRF) para supervisar los entornos que están definidos para los
usuarios del sistema. La Figura 13 en la página 84 muestra un ejemplo del
informe:

Tipo de informe . . . . . . . : *ENVINFO
Seleccionar por . . . . . . . : *USRCLS
Menú Programa Descripción Cola Cola Programa
Perfil Biblioteca inicial/ inicial/ trabajo/ mensajes/ salida/ atención/
usuario actual biblioteca biblioteca biblioteca biblioteca biblioteca bibliot.
AUDSECOFR AUDITOR MAIN *NONE QDFTJOBD QSYSOPR *WRKSTN *SYSVAL
*LIBL QGPL QSYS
USERA *CRTDFT OEMENU *NONE QDFTJOBD USERA *WRKSTN *SYSVAL
*LIBL QGPL QUSRSYS
USERB *CRTDFT INVMENU *NONE QDFTJOBD USERB *WRKSTN *SYSVAL
*LIBL QGPL QUSRSYS
USERC *CRTDFT PAYROLL *NONE QDFTJOBD USERC PAYROLL *SYSVAL
*LIBL QGPL QUSRSYS PRPGMLIB
Figura 13. Imprimir perfil de usuario-Ejemplo de entorno de usuario
| Gestión de herramientas de servicio

| Las herramientas de servicio (DST) se utilizan para:
| v diagnosticar problemas del sistema
| v añadir recursos de hardware al sistema
| v gestionar DASD o memoria
| v gestionar actividades de LPAR (partición lógica)
| v revisar el LIC y las anotaciones de actividad de productos
| v efectuar vuelcos del almacenamiento principal
| Las herramientas de servicio pueden utilizarse para tomarle el pulso al sistema, es
| decir, ver cómo está funcionando el sistema en ese momento. Esas herramientas no
| han cambiado, pero sí lo que puede hacer con ellas.
| Ahora existen nuevas maneras de gestionar la seguridad de las herramientas de

| servicio en el sistema:
| v Perfiles de usuario de herramientas de servicio
| v Perfiles de dispositivo de herramientas de servicio
| v Datos de seguridad de herramientas de servicio
| Se puede acceder a estas nuevas funciones a través de la pantalla Trabajar con

| entorno DST, como se muestra aquí:
|
Trabajar con entorno DST

Sistema: ____________
1. Herramientas de servicio activas

2. Dispositivos del sistema
3. Perfiles de usuario de herramientas de servicio
4. Valores del sistema
5. Perfiles de dispositivo de herramientas de servicio
6. Datos de seguridad de herramientas de servicio
Selección
Figura 14. Trabajar con entorno DST

| Una vez creado un Perfil de usuario de herramienta de servicio, inicie la sesión
| utilizando el procedimiento descrito en “Inicio de sesión en las Herramientas de
| servicio del sistema (SST)” en la página 98.
| Service Tools Server (STS)

| El Service Tools Server (STS) le permite utilizar el PC para realizar funciones de
| DST a través de TCP/IP. Para poder utilizar el STS para realizar actividades de
| LPAR basadas en GUI o de Gestión de disco, es necesario hacer que el STS esté
| disponible. El STS puede configurarse para DST, para OS/400 o para ambos. Una
| vez configurado, los usuarios autorizados podrán realizar funciones de LPAR o de
| Gestión de disco utilizando el Operations Navigator.
| Nota: No le será posible acceder a ninguna función DST disponible en el

| Operations Navigator hasta que haya configurado el STS para DST o para
| OS/400.
| Configuración del Service Tools Server para DST

| En la V5R1, el STS puede configurarse para estar disponible cuando el sistema está
| en DST. Si utiliza solamente la Consola de operaciones con conectividad LAN para
| realizar actividades de DST, no será necesario volver a configurar el STS, ya que lo
| tendrá disponible cuando el sistema esté en DST. De lo contrario, puede habilitar el
| STS mediante DST, dedicando una tarjeta de interfaz de red al STS. Para habilitar
| el STS con su propia tarjeta de interfaz de red:
| 1. Desde la pantalla Utilizar herramientas de servicio dedicado (DST), seleccione 5
| (Trabajar con entorno DST) y pulse Intro. Aparecerá la pantalla Trabajar con
| entorno DST (vea Figura 14 en la página 84).
| 2. Desde la pantalla Trabajar con entorno DST, seleccione 2 (Dispositivos del
| sistema) y pulse Intro. Aparecerá la pantalla Trabajar con dispositivos del
| sistema.
| 3. Desde la pantalla Trabajar con dispositivos del sistema, seleccione 6 (Modalidad
| de consola) y pulse Intro. Aparecerá la pantalla Seleccionar tipo de consola.
|
|
| Seleccionar tipo de consola
| Sistema: ____________
| Seleccione una de las siguientes opciones:
|
| 1. Twinaxial
| 2. Consola de operaciones(Directo)
| 3. Consola de operaciones(LAN)
|
|
|
|
| Selección
||
|
| Figura 15. Pantalla Seleccionar tipo de consola
|
| 4. Desde la pantalla Seleccionar tipo de consola, pulse F11 (Configurar). Aparecerá
| la pantalla Configurar adaptador de herramientas de servicio.
| 5. En la pantalla Configurar adaptador de herramientas de servicio, entre la
| información sobre el Adaptador de LAN y TCP/IP. Pulse F1 (Ayuda) para
| conocer el tipo de información necesaria en cada campo.
|

| Configurar adaptador de herramientas de servicio
| Sistema: ____________
| Teclee elecciones, pulse Intro para verificar la entrada.
|
| Nombre de recurso..............: CMN03_______
| Tipo de adaptador..............: 2724________
| Modelo de adaptador............: 001_________
| Número de serie del adaptador..: 12-1234567__
|
| Dirección Internet.............. ____________
| Dir. direccionador primario..... ____________
| Dir. direccionador secundario... ____________
| Máscara de subred............... ____________
| Nombre del sistema.............. ____________
| Nodo............................ 000000000000 (0 es el valor por omisión)
| Dúplex.......................... AUTO________ HALF, FULL, AUTO
| Velocidad de red................ AUTO________ 4,10,15,100,AUTO
|
|
| F3=Salir F5=Cargar F6=Borrar F7=Almacenar F12=Cancelar
| F13=Desactivar F14=Activar
|
|
|
| Figura 16. Pantalla Configurar adaptador de herramientas de servicio
|
| 6. Pulse F7 (Almacenar) para comprometer los cambios.
| 7. Pulse F14 (Activar) para activar el adaptador.
| El STS ya está listo para su uso con un Perfil de usuario de herramientas de

| servicio válido (vea “Creación de un perfil de usuario de herramientas de servicio”
| en la página 88).
| Configuración del Service Tools Server para OS/400

| Debe añadir el STS a la tabla de servicios para poder acceder a las funciones de
| DST en el OS/400 utilizando TCP/IP y Operations Navigator. El STS puede
| añadirse antes de configurar la red de área local (LAN).
| Para añadir el STS a la tabla de servicios:

| 1. En cualquier línea de mandatos, teclee ADDSRVTBLE (Añadir entrada de tabla
| de servicios) y pulse Intro. Aparecerá la pantalla Añadir entrada de tabla de
| servicios.
| 2. Entre la siguiente información en los campos suministrados:
| v Servicio: as-sts
| v Puerto: 3000
| v Protocolo: tcp
| v Texto ’descriptivo’: ’Service Tools Server’
| Este campo es opcional, pero se recomienda que entre una descripción de la
| entrada de la tabla.
| 3. Pulse F10 (Parámetros adicionales).
| 4. Entre AS-STS en el campo Alias. El Alias debe estar en mayúsculas, ya que
| algunas búsquedas en la tabla de servicios son sensibles a las mayúsculas y
| minúsculas.
|

| Añadir entrada de tabla de servicios (ADDSRVTBLE)
|
| Teclee elecciones, pulse Intro.
|
| Servicio . . . . . . . as-sts
| Puerto . . . . . . . . 3000 1-65535
| Protocolo . . . . . . . tcp
| Texto 'descriptivo' . . 'Service Tools Server'
|
| Parámetros adicionales
|
| Aliases . . . . . . . . 'AS-STS'
| + para más valores
|
|
|
|
| Figura 17. Pantalla Añadir entrada de tabla de servicios (ADDSRVTBLE) completada
|
| 5. Pulse Intro para añadir la entrada a la tabla.
| 6. Pulse F3 para salir de la pantalla Añadir entrada de tabla de servicios.
| Una vez se ha añadido STS a la tabla de servicios, los usuarios autorizados (vea
| “Creación de un perfil de usuario de herramientas de servicio” en la página 88)
| podrán acceder a herramientas de servicio de LPAR y de Gestión de disco
| utilizando el Operations Navigator y TCP/IP.
| Utilización de perfiles de usuario de herramientas de servicio

| En el pasado, los usuarios autorizados podían acceder a cualquier herramienta de
| servicio del sistema si tenían un ID de usuario y una contraseña válidos. Los
| usuarios que necesitaban acceder solamente a una herramienta podían acceder a
| todas ellas. Esto planteaba un riesgo de seguridad potencial: por ejemplo, la
| herramienta Visualizar/Alterar/Volcar es muy potente y solamente deberán
| utilizarla un número reducido de usuario. No obstante, estaba disponible para
| cualquier usuario con autorización para utilizar otras herramientas, por ejemplo la
| gestión de DASD.
| Ahora puede crear perfiles definidos por el usuario a los que puede otorgarse un
| privilegio funcional sobre las herramientas de servicio. Se pueden otorgar a los
| usuarios privilegios sobre herramientas específicas, por ejemplo la gestión de
| DASD o LPAR, o sobre un grupo de herramientas. Puede definir hasta 96 perfiles
| de usuario distintos (lo que hará un total de 100, incluidos los cuatro
| suministrados por IBM), lo que le permitirá gestionar el acceso a herramientas de
| servicio de una manera más eficaz.
| IBM continúa suministrando perfiles de usuario estándar: QSECOFR (que tiene

| acceso a todas las herramientas de servicio y puede trabajar con los UID y
| contraseñas y cambiarlos), 11111111 (que tiene privilegios de acceso básicos) y
| 2222222 (más avanzado que 11111111, pero sin todas las posibilidades de
| QSECOFR). IBM ha añadido también un nuevo perfil de usuario (QSRV) que tiene
| una funcionalidad similar a la de 22222222, pero sin la capacidad de
| Visualizar/Alterar/Volcar.
| Nota: Todos los perfiles de usuario de herramientas de servicio suministrados por

| IBM (excepto 11111111) caducarán una vez se hayan utilizado por primera
| vez. Deberá cambiar de inmediato las contraseñas para estos perfiles (vea
| “Cambio de un perfil de usuario de herramientas de servicio” en la
| página 89).

| Trabajar con perfiles de usuario de herramientas de servicio
| Los Perfiles de usuario de herramientas de servicio no se componen solamente de
| un ID de usuario y una contraseña. También tienen una fecha de caducidad, lo que
| le permite minimizar el riesgo de seguridad en el sistema. Por ejemplo, puede
| crear un perfil para un técnico de servicio que sea válido durante poco tiempo,
| otorgando a ese técnico el acceso solamente a las herramientas de servicio
| necesarias. El perfil también puede inhabilitarse si el usuario asociado con él deja
| la empresa, reduciendo así la posibilidad de que un antiguo empleado acceda a las
| herramientas de servicio con fines indefinidos. Cada perfil de usuario tiene
| asociada también una lista de privilegios funcionales. Puede seleccionar la lista de
| privilegios funcionales de las herramientas específicas a las que cada perfil de
| usuario tendrá acceso y otorgar o revocar privilegios funcionales cuando lo desee.
|
| Consejo:
| Utilice los perfiles de usuario de herramientas de servicio para gestionar el
| acceso a herramientas de servicio clave. Cree un perfil que maneje las tareas
| del QSECOFR. Cuando esa persona esté de vacaciones, podrá utilizarse el
| perfil alternativo para realizar esas tareas.
|
|
| Desde la pantalla Trabajar con entorno DST, pulse 3 (Perfiles de usuario de

| herramientas de servicio) para trabajar con Perfiles de usuario de herramientas de
| servicio.
|
| Trabajar con perfiles de usuario de herramientas de servicio
| Sistema: _______________
|
| Teclee opción, pulse Intro.
| 1=Crear 2=Cambiar contraseña 3=Suprimir 4=Visualizar
| 5=Habilitar 6=Inhabilitar 7=Cambiar privilegios 8=Cambiar descripción
|
| Perfil
| Opción Usuario Descripción Estado
|
| ____ ____________ _________________________________________________________ ________
| ____ ____________ _________________________________________________________ ________
| ____ ____________ _________________________________________________________ ________
| ____ ____________ _________________________________________________________ ________
| ____ ____________ _________________________________________________________ ________
| ____ ____________ _________________________________________________________ ________
| ____ ____________ _________________________________________________________ ________
| ____ ____________ _________________________________________________________ ________
| Más...
|
| F3=Salir F5=Renovar F12=Cancelar
||
|
| Figura 18. Trabajar con perfiles de usuario de herramientas de servicio
|
| Desde la pantalla mostrada en Figura 18, puede crear, modificar, suprimir y
| visualizar perfiles de usuario. En este release, el acceso a la gestión de DASD y las
| funciones LPAR tienen GUI como base; puede accederse a todas las demás
| herramientas mediante pantalla verde.
| Creación de un perfil de usuario de herramientas de servicio: Para crear un

| Perfil de usuario de herramientas de servicio:
| 1. Entre el nombre del nuevo usuario de herramientas de servicio en el espacio
| suministrado.

| 2. Seleccione 1 (Crear) en la pantalla Trabajar con perfiles de usuario de
| herramientas de servicio. Aparecerá la pantalla Crear perfil de usuario de
| herramientas de servicio.
| 3. Entre información sobre el nuevo perfil de usuario:
| v Frase de paso: El nuevo perfil de usuario utilizará esta frase de paso. Esta
| frase debe tener al menos un carácter de longitud. No se permiten otras
| normas de composición de frases de paso.
| v Permita el acceso al perfil antes de la recuperación de la gestión del
| almacenamiento: el valor por omisión para este campo es 2 (No).
| v Establezca una contraseña que debe caducar: el valor por omisión para este
| campo es 1 (Sí).
| v Descripción: Este es un campo opcional que puede utilizarse para
| información más detallada sobre el propietario del perfil de usuario, por
| ejemplo el nombre, departamento y número de teléfono.
| 4. Una vez se haya entrado toda la información sobre el perfil de usuario, puede
| elegir entre dos opciones:
| v Para crear el perfil con los privilegios por omisión, pulse Intro.
| v Para modificar los privilegios por omisión, pulse F5 para ir a la pantalla
| Cambiar privilegios de usuario de herramientas de servicio. Esta pantalla
| lista todas las herramientas de servicio a las que puede otorgarse privilegio.
| Para cambiar un privilegio, vea “Cambio de un perfil de usuario de
| herramientas de servicio” para obtener más información.
| Para aprender a iniciar la sesión en las herramientas de servicio del sistema (SST),
| vea “Inicio de sesión en las Herramientas de servicio del sistema (SST)” en la
| página 98.
| Cambio de un perfil de usuario de herramientas de servicio: Para cambiar un

| perfil de usuario de herramientas de servicio:
| 1. En la pantalla Trabajar con perfiles de usuario de herramientas de servicio,
| seleccione el perfil de usuario a modificar y pulse 7 (Cambiar privilegios) en el
| campo de opción. Aparecerá la pantalla Cambiar privilegios de usuario de
| a. Entre 1 (Revocar) en el campo de opción, junto a los privilegios funcionales
| que desee eliminar del perfil de usuario.
| b. Entre 2 (Otorgar) en el campo de opción, junto a los privilegios funcionales
| que desee añadir al perfil de usuario.
| 2. Pulse Intro para habilitar estos cambios. Si pulsa F3 (Salir) antes de pulsar
| Intro, los cambios no entrarán en vigor y se restablecerán los valores por
| omisión del perfil de usuario. Si pulsa F9 (Valores por omisión), se
| restablecerán los valores por omisión de los privilegios funcionales.
| Para modificar una contraseña de perfil de usuario de herramientas de servicio:

| seleccione el perfil de usuario a modificar y pulse 2 (Cambiar contraseña) en el
| campo de opción.
| a. Si tiene el privilegio de administración del sistema para modificar los
| perfiles de usuario de herramientas de servicio de otras personas, aparecerá
| la pantalla Cambiar contraseña de usuario de herramientas de servicio de
| otro usuario. Complete los siguientes campos:
| v Nombre de perfil de usuario de herramientas de servicio: Entre el nombre
| de perfil de usuario que desee modificar.

| v Contraseña nueva: Entre una frase de paso nueva.
| v Establecer contraseña como caducada: seleccione 1 (Sí) o 2 (No) en este
| campo. El valor por omisión es 1 (Sí).
| b. Si no tiene el privilegio de administración del sistema para modificar los
| perfiles de usuario de herramientas de servicio de otras personas, aparecerá
| la pantalla Cambiar contraseña de usuario de herramientas de servicio.
| Complete los siguientes campos:
| v Contraseña actual: Entre la frase de paso que se está utilizando
| actualmente para el perfil de usuario.
| v Contraseña nueva: Entre una frase de paso nueva.
| v Contraseña nueva (para verificar): Vuelva a entrar la frase de paso nueva.
| 2. Pulse Intro para ejecutar el cambio.
| Para modificar una descripción de perfil de usuario de herramientas de servicio:

| seleccione la descripción de perfil de usuario a cambiar y pulse 8 (Cambiar
| descripción) en el campo de opción.
| 2. En el campo Descripción, entre una nueva descripción para el perfil de usuario.
| Esta puede incluir el nombre del usuario, el departamento y el número de
| teléfono.
| Supresión de un perfil de usuario de herramientas de servicio: Para suprimir un

| perfil de usuario de herramientas de servicio:
| seleccione el perfil de usuario que desee suprimir y pulse 3 (Suprimir) en el
| campo de opción. Aparecerá la pantalla Suprimir perfil de usuario de
| 2. Se le solicitará confirmación de su elección de suprimir el perfil de usuario.
| v Pulse Intro para suprimir el perfil.
| v Pulse F12 (Cancelar) para cancelar la acción y volver a la pantalla Trabajar
| con perfiles de usuario de herramientas de servicio.
| Visualización de un perfil de usuario de herramientas de servicio: Para

| visualizar un perfil de usuario de herramientas de servicio:
| seleccione el perfil de usuario que desee visualizar y pulse 4 (Visualizar).
| Aparecerá la pantalla Visualizar perfil de usuario de herramientas de servicio.
| Esta pantalla muestra información relacionada con el perfil de usuario:
| v Inicio de sesión anterior (fecha y hora)
| v Intentos de inicio de sesión no válidos
| v Estado
| v Fecha del último cambio de contraseña
| v Permitir acceso al perfil antes de la recuperación de la gestión del
| almacenamiento (Sí o No)
| v Fecha de caducidad de la contraseña (fecha)
| v Contraseña establecida para caducar (Sí o No)
| 2. Pulse F5 (Visualizar privilegios) para ver los privilegios funcionales asociados
| con este perfil. Aparecerá la pantalla Visualizar privilegios de usuario de
| herramientas de servicio. Esta pantalla lista todos los privilegios funcionales y
| el estado del usuario para cada uno de ellos. No puede realizar cambios en el
| perfil de usuario desde esta pantalla.

| Habilitación o inhabilitación de un perfil de usuario de herramientas de
| servicio:
| v Para habilitar un perfil de usuario de herramientas de servicio:
| seleccione el perfil de usuario que desee habilitar y entre 5 (Habilitar) en el
| campo de opción. Aparecerá la pantalla Habilitar perfil de usuario de
| 2. Pulse Intro para confirmar la elección de habilitar el perfil de usuario que ha
| seleccionado.
| v Para inhabilitar un perfil de usuario de herramientas de servicio:
| seleccione el perfil de usuario que desee inhabilitar y entre 6 (Inhabilitar) en
| el campo de opción. Aparecerá la pantalla Inhabilitar perfil de usuario de
| 2. Pulse Intro para confirmar la elección de inhabilitar el perfil de usuario que
| ha seleccionado.
| Utilización de perfiles de dispositivo de herramientas de

| servicio
| Una novedad de este release es la mejora de la seguridad para la nueva Consola
| de operaciones con base LAN (vea “Consejos para la utilización de la Consola de
| operaciones con conectividad LAN” en la página 105). Los perfiles de dispositivo
| permiten que cualquier dispositivo de Consola de operaciones de una LAN actúe
| como la consola. Así se elimina la limitación de proximidad física al iSeries y se
| permite una disposición de consola más flexible para ajustarse a sus necesidades
| de empresa.
| Nota: Cualquier dispositivo de Consola de operaciones puede ser una consola,

| pero solamente las configuraciones con base LAN utilizan el perfil de
| usuario de herramientas de servicio.
| Dado que cualquier dispositivo de Consola de operaciones puede ser la consola,

| las funciones de consola pueden repartirse entre múltiples dispositivos de la LAN.
| Por ejemplo, un dispositivo puede tener el privilegio funcional para realizar
| funciones de LPAR solamente, mientras otro realiza la gestión de DASD. Puede
| crearse un máximo de 50 perfiles de dispositivo para manejar actividades de
| consola en la LAN y cualquier dispositivo que intente actuar como consola en la
| LAN será autenticado por el iSeries antes de realizarse las funciones de consola.
| Esta autenticación implica la confirmación de que el dispositivo tiene el privilegio
| funcional para realizar las funciones de consola que solicita, así como confirmar
| que se trata de un dispositivo autorizado en la LAN.
| Desde la pantalla Trabajar con entorno DST, seleccione 5 (Perfiles de dispositivo de

| herramientas de servicio).

| Trabajar con perfiles de dispositivo de herramientas de servicio
|
|
| Trabajar con perfiles de dispositivo de herramientas de servicio
| Sistema: ___________
| 1=Crear 2=Restablecer contraseña 3=Suprimir
| 4=Visualizar 5=Habilitar 6=Inhabilitar
| 7=Cambiar atributos 8=Cambiar descripción
|
| Perfil
| Opción Dispositivo Descripción Estado
|
| ____ _____________ ________________________________________________ _________
| ____ _____________ ________________________________________________ _________
| ____ _____________ ________________________________________________ _________
| ____ _____________ ________________________________________________ _________
| ____ _____________ ________________________________________________ _________
| ____ _____________ ________________________________________________ _________
| ____ _____________ ________________________________________________ _________
| ____ _____________ ________________________________________________ _________
| Más...
| F3=Salir F5=Renovar F12=Cancelar
||
|
| Figura 19. Trabajar con perfiles de dispositivo de herramientas de servicio
|
| Creación de un perfil de dispositivo de herramientas de servicio: Para crear un
| perfil de dispositivo de herramientas de servicio:
| 1. Seleccione 1 (Crear) en la pantalla Trabajar con perfiles de dispositivo de
| herramientas de servicio. Aparecerá la pantalla Crear perfil de dispositivo de
| 2. Entre el nombre del nuevo perfil de dispositivo de herramientas de servicio en
| el espacio suministrado.
| 3. Entre información sobre el nuevo perfil de dispositivo:
| v Frase de paso: El nuevo perfil de dispositivo utilizará esta frase de paso.
| v Descripción: Este es un campo opcional que puede utilizarse para
| información más detallada sobre el propietario del perfil de dispositivo, por
| ejemplo el nombre, departamento y número de teléfono.
| 4. Una vez se haya entrado toda la información sobre el perfil de usuario, puede
| elegir entre dos opciones:
| v Para crear el perfil con los atributos por omisión, pulse Intro.
| v Para modificar los atributos por omisión, pulse F5 para ir a la pantalla
| Cambiar atributos de dispositivo de herramientas de servicio. Esta pantalla
| lista todas las herramientas de servicio a las que puede otorgarse privilegio.
| Para cambiar un privilegio, vea “Cambio de un perfil de dispositivo de
| herramientas de servicio” en la página 93 para obtener más información.
| Restablecimiento de un perfil de dispositivo de herramientas de servicio: Para

| restablecer un atributo de dispositivo de herramientas de servicio:
| 1. En la pantalla Trabajar con perfiles de dispositivo de herramientas de servicio,
| seleccione el perfil de usuario y pulse 2 (Restablecer contraseña) en el campo
| de opción. Aparecerá la pantalla Restablecer contraseña de dispositivo de
| 2. Pulse Intro para confirmar el restablecimiento de la contraseña.
| Nota: Se restablecerá la contraseña con el nombre de perfil de dispositivo.

| 3. Restablezca la contraseña en el PC. Consulte el apéndice ″Resincronización de
| las contraseñas de perfil de dispositivo del PC y del iSeries″ de la publicación
| Configuración de Consola de operaciones.
| Cambio de un perfil de dispositivo de herramientas de servicio: Para modificar

| atributos de dispositivo de herramientas de servicio:
| seleccione el perfil de usuario a modificar y pulse 7 (Cambiar atributos) en el
| campo de opción. Aparecerá la pantalla Cambiar atributos de dispositivo de
| a. Entre 1 (Revocar) en el campo de opción, junto al atributo de servicio que
| desee eliminar del perfil de usuario.
| b. Entre 2 (Otorgar) en el campo de opción, junto al atributo de servicio que
| desee añadir al perfil de usuario.
| 2. Pulse Intro para ejecutar estos cambios. Si pulsa F3 (Salir) antes de pulsar Intro,
| los cambios no entrarán en vigor y se restablecerán los valores por omisión a
| los atributos de dispositivo. Si pulsa F5 (Restablecer) antes de pulsar Intro, se
| restablecerán los valores por omisión a los atributos de dispositivo.
| Para modificar una descripción de perfil de dispositivo de herramientas de

| servicio:
| seleccione la descripción de perfil de dispositivo a cambiar y pulse 8 (Cambiar
| descripción) en el campo de opción.
| 2. En el campo Descripción, entre una nueva descripción para el perfil de usuario.
| Esta puede incluir el nombre del usuario, el departamento y el número de
| teléfono.
| Supresión de un perfil de dispositivo de herramientas de

| servicio
| Para suprimir un perfil de dispositivo de herramientas de servicio:
| seleccione el perfil de dispositivo que desee suprimir y pulse 3 (Suprimir) en el
| campo de opción. Aparecerá la pantalla Suprimir perfil de dispositivo de
| 2. Se le solicitará confirmación de su elección de suprimir el perfil de dispositivo.
| v Pulse Intro para suprimir el perfil.
| v Pulse F12 (Cancelar) para cancelar la acción y volver a la pantalla Trabajar
| con perfiles de dispositivo de herramientas de servicio.
| Visualización de un perfil de dispositivo de herramientas de

| servicio
| Para visualizar un perfil de dispositivo de herramientas de servicio:
| seleccione el perfil de dispositivo que desee visualizar y pulse 4 (Visualizar).
| Aparecerá la pantalla Visualizar perfil de dispositivo de herramientas de
| servicio. Esta pantalla muestra información relacionada con el perfil de
| dispositivo:
| v Estado
| v Descripción
| 2. Pulse F5 (Visualizar atributos) para ver los atributos asociados con este perfil.
| Aparecerá la pantalla Visualizar atributos de dispositivo de herramientas de

| servicio. Esta pantalla lista todos los atributos de dispositivo y el estado del
| perfil para cada uno de ellos. No puede realizar cambios en los atributos de
| dispositivo desde esta pantalla.
| Habilitación o inhabilitación de un perfil de dispositivo de

| herramientas de servicio
| v Para habilitar un perfil de dispositivo de herramientas de servicio:
| 1. En la pantalla Trabajar con perfiles de dispositivo de herramientas de
| servicio, seleccione el perfil de dispositivo que desee habilitar y entre 5
| (Habilitar) en el campo de opción. Aparecerá la pantalla Habilitar perfil de
| dispositivo de herramientas de servicio.
| 2. Pulse Intro para confirmar la elección de habilitar el perfil de dispositivo que
| ha seleccionado.
| v Para inhabilitar un perfil de dispositivo de herramientas de servicio:
| 1. En la pantalla Trabajar con perfiles de dispositivo de herramientas de
| servicio, seleccione el perfil de dispositivo que desee inhabilitar y entre 6
| (Inhabilitar) en el campo de opción. Aparecerá la pantalla Inhabilitar perfil
| de dispositivo de herramientas de servicio.
| 2. Pulse Intro para confirmar la elección de inhabilitar el perfil de dispositivo
| que ha seleccionado.
| Utilización de datos de seguridad de servicio

| Una vez tenga un plan de seguridad preparado, será necesario poder supervisar su
| eficacia y ver dónde hace falta realizar alteraciones para ajustar la seguridad del
| sistema. La información que puede reunir de los Datos de seguridad de servicio le
| ayudarán en ese cometido. Las opciones disponibles desde esta pantalla también le
| permiten alterar la seguridad clave de contraseñas y del sistema operativo.
| Desde la pantalla Trabajar con entorno DST, seleccione la opción 6 (Datos de

| servicio de herramientas de servicio).
| Trabajar con datos de seguridad de servicio

| Las opciones que tiene disponibles en la pantalla Datos de seguridad de servicio le
| permiten ver las anotaciones de seguridad del sistema para hacer un seguimiento
| de las actividades relacionadas con la seguridad que se llevan a cabo en su iSeries
| (vea “Trabajar con anotaciones de seguridad de herramientas de servicio” en la
| página 96). También puede salvar y restaurar datos de seguridad, establecer y
| modificar niveles de contraseña, restablecer la contraseña por omisión del sistema
| operativo y cambiar la seguridad de instalación del sistema operativo.
|

| Trabajar con datos de seguridad de herramientas de servicio
| Sistema: ____________
| Seleccione una de las siguientes opciones:
|
| 1. Restablecer la contraseña por omisión del sistema operativo
| 2. Cambiar la seguridad de instalación del sistema operativo
| 3. Trabajar con anotaciones de seguridad de herramientas de servicio
| 4. Restaurar datos de seguridad de herramientas de servicio
| 5. Salvar datos de seguridad de herramientas de servicio
| 6. Nivel de contraseña
|
|
| Selección
|
|
|
| Figura 20. Trabajar con datos de seguridad de herramientas de servicio
|
| Restablecimiento de la contraseña por omisión del sistema operativo: Para
| restablecer la contraseña por omisión del sistema operativo:
| 1. Desde la pantalla Trabajar con datos de seguridad de herramientas de servicio,
| seleccione 1 (Restablecer la contraseña por omisión del sistema operativo).
| Aparecerá la pantalla Confirmar restablecer la contraseña por omisión del
| sistema.
|
| Confirmar restablecer la contraseña por omisión del sistema
| Sistema: ____________
| Pulse Intro para confirmar la elección de restablecer la contraseña de inicio
| de sesión del responsable de seguridad del sistema operativo. La contraseña
| se restablecerá al valor por omisión asignado cuando se envió el sistema.
| Pulse F12 para volver y cambiar su elección.
|
|
|
|
| F12=Cancelar
| Alteración temporal de la contraseña del sistema operativo no en vigor
|
|
|
| Figura 21. Restablecer la contraseña por omisión del sistema operativo
|
| 2. Pulse Intro para confirmar restablecer. Aparecerá un mensaje de confirmación.
|
| Confirmar restablecer la contraseña por omisión del sistema
| Sistema: ____________
| Pulse Intro para confirmar la elección de restablecer la contraseña de inicio
| de sesión del responsable de seguridad del sistema operativo. La contraseña
| se restablecerá al valor por omisión asignado cuando se envió el sistema.
| Pulse F12 para volver y cambiar su elección.
|
|
|
|
| F12=Cancelar
| Alteración temporal de la contraseña del sistema operativo establecida
||
|
| Figura 22. Confirmar restablecer la contraseña por omisión del sistema
|
| La contraseña por omisión del sistema es QSECOFR. Deberá cambiar esta
| contraseña por omisión de inmediato. Las contraseñas por omisión son

| ampliamente conocidas, por lo que el no cambiar este valor por omisión representa
| un aumento significativo de la vulnerabilidad de la seguridad del sistema.
| Cambio de la seguridad de instalación del sistema operativo: Para cambiar la

| seguridad de instalación del sistema operativo:
| seleccione 2 (cambiar seguridad de instalación del sistema operativo).
| Aparecerá la pantalla Cambiar seguridad de instalación del sistema operativo.
|
| Cambiar seguridad de instalación del sistema operativo
| Sistema: ____________
|
| Proteger instalación del sistema operativo . . 1=Protegido
| 2=No protegido
|
|
|
|
| F3=Salir F12=Cancelar
| Instalación del sistema operativo no protegida actualmente
||
|
| Figura 23. Cambiar seguridad de instalación del sistema operativo
|
| 2. Seleccione la opción 1 (Protegido). Volverá a aparecer la pantalla Trabajar con
| datos de seguridad de herramientas de servicio, con el mensaje ″Instalación del
| sistema operativo protegida″.
| Repita este procedimiento y seleccione la opción 2 de la pantalla Cambiar
| seguridad de instalación del sistema operativo para cambiar de un estado
| protegido de instalación del sistema operativo a un estado no protegido.
| Trabajar con anotaciones de seguridad de herramientas de servicio: Para trabajar

| con las anotaciones de seguridad de herramientas de servicio:
| Cada vez que un usuario inicia la sesión utilizando un perfil de usuario de

| herramientas de servicio, el evento queda anotado. Estas anotaciones pueden
| ayudarle a rastrear métodos de acceso inusuales u otros riesgos de seguridad
| potenciales.
| seleccione 3 (Trabajar con anotaciones de seguridad de herramientas de
| servicio). Aparecerá la pantalla Trabajar con anotaciones de seguridad de
| herramientas de servicio. Esta pantalla muestra la actividad relacionada con la
| seguridad por fecha y hora.
| 2. (opcional) Pulse F6 (Imprimir) para imprimir estas anotaciones.
| 3. (opcional) Pulse 5 (Visualizar detalles) en el campo de opción de la actividad en
| la que esté interesado.
| v Si la actividad está relacionada con un privilegio de otorgar o revocar,
| aparecerá la pantalla Visualizar detalles de anotaciones de seguridad de
| herramientas de servicio, mostrando la siguiente información:
| – Hora de la actividad
| – Descripción de la actividad
| – Perfil del modificador
| – Perfil afectado
| – Descripción del privilegio

| v Si la actividad está relacionada con habilitar o inhabilitar un perfil, aparecerá
| la pantalla Visualizar detalles de anotaciones de seguridad de herramientas
| de servicio, mostrando la siguiente información:
| – Perfil del modificador
| v Si la actividad está relacionada con cualquier otro tipo de evento, aparecerá
| la pantalla Visualizar detalles de anotaciones de seguridad de herramientas
| de servicio, mostrando la siguiente información:
| Restauración de datos de seguridad de herramientas de servicio: Para restaurar

| los datos de seguridad de herramientas de servicio:
| seleccione 4 (Restaurar datos de seguridad de herramientas de servicio).
| Aparecerá la pantalla Seleccionar tipo de soporte.
| 2. Seleccione una de las opciones disponibles:
| v Cinta
| a. Pulse Intro para restaurar. Aparecerá la pantalla Trabajar con dispositivos
| de cinta.
| b. Puede elegir seleccionar, deseleccionar o visualizar detalles en cualquiera
| de los dispositivos de cinta que aparezcan. Si elige seleccionar, continúe
| en el Paso 3.
| v Óptico
| a. Pulse Intro para restaurar. Aparecerá la pantalla Trabajar con dispositivos
| ópticos.
| de los dispositivos ópticos que aparezcan. Si elige seleccionar, continúe en
| el Paso 3.
| 3. Las instrucciones para seleccionar el dispositivo del que desee restaurar datos
| de seguridad son las mismas para los dispositivos de cinta que para los ópticos.
| a. Entre la opción 1 (Seleccionar) en el campo de opción, junto al recurso con
| el que desee trabajar. Aparecerá la pantalla Restaurar perfiles de usuario de
| b. Seleccione una de estas opciones:
| v Para restaurar todos los perfiles de usuario de herramientas de servicio:
| 1) Seleccione la opción 1.
| 2) Pulse Intro. Se restaurarán todos los perfiles.
| v Para elegir los perfiles de usuario de herramientas de servicio que desee
| restaurar:
| 1) Seleccione la opción 2 y pulse Intro. Aparecerá la pantalla Seleccionar
| perfil de usuario de herramientas de servicio a restaurar.
| 2) Entre la opción 1 (Seleccionar) en el campo de opción, junto al perfil
| que desee restaurar.
| Salvar datos de seguridad de herramientas de servicio: Para salvar los datos de

| seguridad de herramientas de servicio:

| seleccione 5 (Salvar datos de seguridad de herramientas de servicio). Aparecerá
| la pantalla Salvar datos de seguridad de herramientas de servicio.
| 2. Seleccione una de las opciones disponibles:
| v Cinta
| a. Pulse Intro para salvar. Aparecerá la pantalla Trabajar con dispositivos de
| cinta.
| de los dispositivos de cinta que aparezcan. Entre el valor de opción
| apropiado en el campo de opción, junto al dispositivo de cinta en el que
| desee salvar los datos de seguridad.
| v Óptico
| a. Pulse Intro para salvar. Aparecerá la pantalla Trabajar con dispositivos
| ópticos.
| de los dispositivos ópticos que aparezcan. Entre el valor de opción
| apropiado en el campo de opción, junto al dispositivo óptico en el que
| desee salvar los datos de seguridad.
| Confirmación del nivel de contraseña: Para confirmar el nivel de contraseña:

| seleccione 6 (Nivel de contraseña). Aparecerá la pantalla Confirmación para
| establecer el nivel de contraseña.
| 2. Observe los mensajes del sistema que aparezcan.
| 3. Pulse Intro para confirmar el cambio de nivel de contraseña.
| Inicio de sesión en las Herramientas de servicio del sistema

| (SST)
| En la V5R1, el procedimiento de inicio de sesión para acceder a las Herramientas
| de servicio del sistema (SST) ha cambiado ligeramente para proporcionar una
| mayor seguridad para el área de herramientas de servicio. Para acceder a SST:
| 1. Teclee STRSST (Iniciar SST) en la línea de mandatos. Aparecerá la pantalla
| Inicio de sesión de SST.
|
|
| Inicio de sesión de SST
|
|
| Perfil de usuario: ________________________
|
| Contraseña de usuario: ________________________
|
||
|
| Figura 24. Inicio de sesión de SST
|
| 2. Entre la siguiente información:
| v Perfil de usuario: este perfil debe crearse desde el entorno DST (vea
| “Creación de un perfil de usuario de herramientas de servicio” en la
| página 88).
| v Contraseña: la frase de paso asociada con este perfil de usuario.
| 3. Pulse Intro.

|
Capítulo 8. Utilización de seguridad en particiones lógicas

(LPAR)
Tener múltiples particiones lógicas en un solo sistema iSeries 400 podría ser
beneficioso en los siguientes casos.
v Mantenimiento de sistemas independientes: Dedicando una parte de los
recursos (unidad de almacenamiento de disco, procesadores, memoria y
dispositivos de E/S) a una partición se consigue un aislamiento lógico del
software. Las particiones lógicas también tienen una cierta tolerancia a las
anomalías de hardware, si se configuran correctamente. Las cargas de trabajos
interactivos y de proceso por lotes, que juntas en una sola máquina es posible
que no se procesasen correctamente, pueden aislarse y ejecutarse con eficacia en
particiones separadas.
v Consolidación : Un sistema con particiones lógicas puede reducir el número de
sistemas iSeries 400 necesarios dentro de una empresa. Puede consolidar varios
sistemas en un único sistema con particiones lógicas. Esto elimina la necesidad
de equipos adicionales y los gastos que conllevan. Puede desplazar los recursos
de una partición lógica a otra a medida que cambien sus necesidades.
v Creación de un entorno mixto de producción y prueba: Puede crear un entorno
que combine la producción y las pruebas. Puede crear una única partición de
producción en la partición primaria. Para múltiples particiones de producción,
vea Creación de un entorno de múltiples particiones de producción más abajo.
Una partición lógica puede ser una partición de prueba o de producción. Una
partición de producción ejecuta las principales aplicaciones comerciales. Una
anomalía en una partición de producción podría alterar las operaciones
comerciales de forma significativa y costarle tiempo y dinero. Una partición de
prueba realiza pruebas en el software. Una anomalía en una partición de prueba,
aunque no está planificado necesariamente, no interrumpirá las operaciones
comerciales normales.
v Creación de un entorno de múltiples particiones de producción: Solamente
debe crear múltiples particiones de producción en las particiones secundarias. En
esta situación dedicará la partición primaria a la gestión de particiones.
v Copia de seguridad en activo: Cuando una partición secundaria duplica otra
partición lógica dentro del mismo sistema, conmutar a la copia de seguridad
durante la anomalía de la partición no provocaría grandes molestias. Esta
configuración también minimiza el efecto de los períodos de salvar prolongados.
Puede tener la partición de copia de seguridad fuera de línea y salvar mientras
la otra partición lógica continúa realizando trabajos de producción. Necesitará
software especial para utilizar esta estrategia de copia de seguridad urgente.
v Cluster integrado: Utilizando OptiConnect/400 y un software de aplicaciones de
alta disponibilidad, el sistema con particiones puede ejecutarse como un cluster
integrado. Puede utilizar un cluster integrado para proteger su sistema de la
mayoría de anomalías no planificadas dentro de una partición secundaria.
| Nota: Al configurar una partición secundaria es necesario realizar consideraciones

| adicionales para las ubicaciones de tarjetas. Si el procesador de
| entrada/salida (IOP) que seleccione para la consola también tiene una tarjeta
| de LAN y dicha tarjeta LAN no está pensada para que se utilice con la
| Consola de operaciones, se activará para que la utilice la consola y usted no
| podrá utilizarla para sus fines. Para obtener más información sobre cómo
| trabajar con la Consola de operaciones, consulte “Capítulo 9. Consejos para
| la utilización de la Consola de operaciones de AS/400” en la página 103.

| Consulte ″Particiones lógicas″ en el iSeries Information Center para obtener
| información detallada sobre este tema.
Gestión de la seguridad para las particiones lógicas

Las tareas relacionadas con la seguridad que realice en un sistema con particiones
serán las mismas que en un sistema sin particiones lógicas. No obstante, al crear
particiones lógicas, trabaja con más de un sistema independiente. Por consiguiente,
tendrá que realizar las mismas tareas en cada partición lógica en lugar de
realizarlas una sola vez en un sistema sin particiones lógicas.
Estas son algunas de las normas básicas a recordar al tratar la seguridad en las
particiones lógicas:
v Se añaden los usuarios a las particiones lógicas del sistema de una partición en
una. Es necesario añadir los usuarios a cada partición lógica a la que desee que
accedan.
| v Limite el número de personas que tengan autorización para ir a las herramientas
| de servicio dedicado (DST) y a las herramientas de servicio del sistema (SST) en
| la partición primaria. Consulte el tema ″Gestión de particiones lógicas con
| Operations Navigator junto con DST y SST″ en el iSeries Information Center
| para obtener más información sobre DST y SST. Consulte “Gestión de
| herramientas de servicio” en la página 84 para obtener información sobre el uso
| de perfiles de usuario de herramientas de servicio para controlar el acceso a las
| actividades de las particiones.
| Nota: Debe inicializar el Service Tools Server (STS) antes de utilizar el

| Operations Navigator para acceder a funciones LPAR. Vea “Service Tools
| Server (STS)” en la página 85 para obtener instrucciones.
| v Las particiones secundarias no pueden ver ni utilizar el almacenamiento
principal y las unidades de discos de otra partición lógica.
v Las particiones secundarias solamente pueden ver sus propios recursos de
hardware.
v La partición primaria puede ver todos los recursos de hardware del sistema en
las pantallas Trabajar con particiones del sistema de DST y SST.
v El sistema operativo de la partición primaria sigue viendo solamente sus
recursos disponibles.
v El panel de control del sistema controla la partición primaria. Cuando establece
la modalidad del panel en Protegido (Secure), no pueden llevarse a cabo
acciones en la pantalla Trabajar con estado de las particiones desde SST. Para
forzar DST desde el panel de control del sistema, debe cambiar la modalidad a
Manual.
v Cuando establece la modalidad de operación de una partición secundaria como
protegida, restringe el uso de Trabajar con estado de las particiones de las
siguientes maneras:
– Solamente puede utilizar DST en la partición secundaria para cambiar el
estado de la partición; no puede utilizar SST para cambiar el estado de
particiones.
– Solamente puede forzar DST en la partición secundaria desde la pantalla
Trabajar con estado de las particiones de la partición primaria utilizando DST
o SST.
– Solamente puede utilizar DST en la partición primaria para cambiar la
modalidad de una partición secundaria de protegida a cualquier otro valor.
Una vez la modalidad de una partición secundaria ya no es la de protegida, puede
utilizar DST y SST en la partición secundaria para cambiar el estado de la
partición.
Para obtener más información sobre la seguridad en el iSeries 400, consulte el

Manual de consulta de seguridad y las páginas sobre Seguridad básica del sistema
y planificación del iSeries Information Center.
Capítulo 8. Utilización de seguridad en particiones lógicas (LPAR) 101

Capítulo 9. Consejos para la utilización de la Consola de
operaciones de AS/400
| En la V4R3, IBM introdujo la Consola de operaciones de AS/400, que le permite
| utilizar su PC para acceder al sistema iSeries y controlarlo. En la V4R4 se añadió
| soporte para que un PC remoto pudiera establecer conexión con un iSeries sin un
| dispositivo de consola y convertirse en consola. Cuando utilice la Consola de
| operaciones, tenga en cuenta lo siguiente:
| v Desde la Consola de operaciones puede llevar a cabo las mismas tareas que
| realizaba desde una consola tradicional. Por ejemplo, los perfiles de usuario que
| tienen autorización especial *SERVICE o *ALLOBJ pueden iniciar la sesión en la
| Consola de operaciones, incluso si están inhabilitados.
| v La Consola de operaciones utiliza perfiles de usuario y contraseñas de
| herramientas de servicio para habilitar la conexión con iSeries 400. Esto hace que
| sea de especial importancia modificar sus perfiles de usuario y contraseñas de
| herramientas de servicio. Es posible que los intrusos estén familiarizados con los
| ID de usuario y las contraseñas por omisión de los perfiles de usuario de
| herramientas de servicio, por lo que podrían utilizarlos para intentar establecer
| una sesión de consola remota en el iSeries. Vea “Cambio de contraseñas
| conocidas públicamente” en la página 31 y “Cómo evitar las contraseñas por
| omisión” en la página 38 para obtener consejos sobre las contraseñas.
| v Para proteger su información al utilizar la Consola remota, utilice la opción de
| retorno de llamada de las Redes de marcación Windows.
| v Al configurar una partición secundaria es necesario realizar consideraciones
| adicionales para las ubicaciones de tarjetas. Si el procesador de entrada/salida
| (IOP) que seleccione para la consola también tiene una tarjeta de LAN y dicha
| tarjeta LAN no está pensada para que se utilice con la Consola de operaciones,
| la consola la activará y puede que usted no pueda utilizarla.
| En la V5R1, se ha mejorado la Consola de operaciones para permitir que se

| realicen actividades de consola en una red de área local (LAN). La mejora en la
| autenticación y el cifrado de datos proporciona seguridad de red para los
| procedimientos de consola. Para utilizar la Consola de operaciones con
| conectividad LAN, se recomienda encarecidamente que instale los siguientes
| productos:
| v Cryptographic Access Provider, 5722–AC2 ó 5722–AC3 en el iSeries 400
| v Client Encryption, 5722–CE2 ó 5722–CE3 en el PC Consola de operaciones
| Para que se cifren los datos de la consola, el iSeries debe tener instalado uno de los
| productos Cryptographic Access Provider y el PC debe tener instalado uno de los
| productos Client Encryption.
| Nota: Si no se instala ningún producto criptográfico no habrá cifrado de datos.
| La tabla siguiente resume los resultados de cifrado de los productos disponibles:

| Tabla 13. Resultados de cifrado
| Cryptographic Access Client Encryption en el PC Cifrado de datos resultante
| Provider en el iSeries 400 Consola de operaciones
| NONE NONE NONE
| 5722–AC2 5722–CE2 56 bits

| Tabla 13. Resultados de cifrado (continuación)
| Cryptographic Access Client Encryption en el PC Cifrado de datos resultante
| Provider en el iSeries 400 Consola de operaciones
| 5722–AC2 5722–CE3 56 bits
| 5722–AC3 5722–CE2 56 bits
| 5722–AC3 5722–CE3 128 bits
|
| Para obtener información adicional sobre la puesta a punto y la administración de

AS/400 Consola de operaciones, vea Configuración de Consola de operaciones.
| Visión general de la seguridad de la Consola de operaciones

| La seguridad de la Consola de operaciones consta de:
| v autenticación del dispositivo de consola
| v autenticación de usuario
| v privacidad de los datos
| v integridad de los datos
| La Consola de operaciones con conectividad directa tiene implícitas la
| autenticación de dispositivo, la privacidad de datos y la integridad de datos
| debido a su conexión punto a punto. La seguridad de autenticación de usuario es
| necesaria para iniciar la sesión en la pantalla de la consola.
| Autenticación del dispositivo de consola

| La autenticación del dispositivo de consola asegura qué dispositivo físico es la
| consola. La Consola de operaciones con conectividad directa utiliza una conexión
| física similar a una consola twinaxial. La Consola de operaciones que utiliza una
| conexión directa puede protegerse físicamente de forma similar a una conexión
| twinaxial para controlar el acceso al dispositivo de consola físico.
| La Consola de operaciones con conectividad LAN utiliza una versión de la capa de

| sockets segura (SSL) que soporta la autenticación de dispositivos y usuarios pero
| sin utilizar certificados. Para esta forma de conexión, la autenticación de
| dispositivo se basa en un perfil de dispositivo de herramientas de servicio. Vea
| “Utilización de perfiles de dispositivo de herramientas de servicio” en la página 91
| para obtener información sobre la utilización de perfiles de dispositivo de
| herramientas de servicio. Consulte la página 105 para obtener más detalles.
| Autenticación de usuario
| La autenticación de usuario proporciona una garantía sobre quién está utilizando
| el dispositivo de consola. Todos los temas relacionados con la autenticación de
| usuario son los mismos, independientemente del tipo de consola.
| Privacidad de datos
| La privacidad de datos proporciona la seguridad de que los datos de la consola
| solamente podrá leerlos el destinatario correcto. La Consola de operaciones con
| conectividad directa utiliza una conexión física similar a una consola twinaxial o
| una conexión de red segura para que la conectividad de la LAN proteja los datos
| de la consola. La Consola de operaciones que utiliza una conexión directa tiene la
| misma privacidad de datos que una conexión twinaxial. Si la conexión física es
| segura, los datos de la consola permanecen protegidos.
| La Consola de operaciones con conectividad LAN utiliza una conexión de red
| segura si están instalados los productos criptográficos adecuados (ACx y CEx). La
| sesión de consola utiliza el cifrado más potente posible dependiendo de los
| productos criptográficos instalados en el iSeries y en el PC que ejecute la Consola
| de operaciones.
| Nota: Si no se instala ningún producto criptográfico, no habrá cifrado de datos.
| Integridad de datos
| La integridad de datos proporciona la seguridad de que los datos de la consola no
| han cambiado por el camino hasta el destinatario. La Consola de operaciones con
| conectividad directa utiliza una conexión física similar a una consola twinaxial o
| una conexión de red segura para que la conectividad de la LAN proteja los datos
| de la consola. La Consola de operaciones que utiliza una conexión directa tiene la
| misma integridad de datos que una conexión twinaxial. Si la conexión física es
| segura, los datos de la consola permanecen protegidos.
| La Consola de operaciones con conectividad LAN utiliza una conexión de red

| segura si están instalados los productos criptográficos adecuados (ACx y CEx). La
| sesión de consola utiliza el cifrado más potente posible dependiendo de los
| productos criptográficos instalados en el iSeries y en el PC que ejecute la Consola
| de operaciones.
| Nota: Si no se instala ningún producto criptográfico, no habrá cifrado de datos.

|
| Consejos para la utilización de la Consola de operaciones con
| conectividad LAN
| Nota: Cualquier dispositivo de Consola de operaciones puede ser una consola,
| pero solamente las configuraciones con base LAN utilizan el perfil de
| usuario de herramientas de servicio.
| El iSeries se entrega con un perfil de dispositivo de herramientas de servicio por

| omisión QCONSOLE, con una contraseña por omisión QCONSOLE. La Consola de
| operaciones con conectividad LAN cambiará la contraseña durante cada conexión
| satisfactoria. Vea “Utilización del asistente de configuración de la Consola de
| operaciones” en la página 106 para obtener más información.
| Para obtener información adicional sobre la Consola de operaciones con

| conectividad LAN de iSeries 400, consulte el Information Center (vea “Requisitos e
| información relacionada” en la página xii para conocer más detalles).
| Consejos para la protección de la Consola de operaciones con

| conectividad LAN
| Al utilizar la Consola de operaciones con conectividad LAN, se recomienda llevar
| a cabo las siguientes acciones:
| v Cree otro perfil de dispositivo de herramientas de servicio con atributos de
| consola y guarde la información del perfil en un lugar seguro.
| v Instale Cryptographic Access Provider, 5722–AC2 ó 5722–AC3 en el iSeries 400 y
| Client Encryption, 5722–CE2 ó 5722–CE3 en el PC Consola de operaciones.
| v Elija una contraseña de información de dispositivo de servicio que no sea trivial.
| Para obtener más información sobre las contraseñas de dispositivo de
Capítulo 9. Consejos para la utilización de la Consola de operaciones de AS/400 105

| herramientas de servicio, vea “Utilización de perfiles de dispositivo de
| herramientas de servicio” en la página 91.
| v Proteja el PC Consola de operaciones de la misma manera que protegería una
| consola twinaxial o una Consola de operaciones con conectividad directa.
|
| Utilización del asistente de configuración de la Consola de
| operaciones
| El asistente de configuración añadirá la información necesaria al PC al utilizar la
| Consola de operaciones con conectividad LAN. El asistente de configuración
| solicita el perfil de dispositivo de herramientas de servicio, la contraseña de perfil
| de dispositivo de herramientas de servicio y una contraseña para proteger la
| información del perfil de dispositivo de herramientas de servicio.
|
|
|
| Figura 25. Las contraseñas protegen la información del perfil de dispositivo de servicio
|
| Nota: La contraseña de la información del perfil de dispositivo de herramientas de
| servicio se utiliza para bloquear y desbloquear la información del perfil de
| dispositivo de herramientas de servicio (perfil de dispositivo de
| herramientas de servicio y contraseña) en el PC.
| Al establecer una conexión de red, el asistente de configuración de la Consola de

| operaciones le solicitará la contraseña de la información de dispositivo de servicio
| para acceder al perfil de dispositivo de herramientas de servicio y contraseña que
| están cifrados. También se le solicitará una identificación de usuario y contraseña
| de herramientas de servicio válidos.
Capítulo 10. Detección de programas sospechosos
Las últimas tendencias en la utilización de sistemas informáticos han aumentado la
probabilidad de que el sistema tenga programas de fuentes no fiables o programas
que llevan a cabo funciones desconocidas. Ejemplos de esto son:
v Un usuario de PC a menudo obtiene programas de otros usuarios de PC. Si el
PC está conectado al sistema iSeries, el programa puede afectar al iSeries.
v Los usuarios que se conectan a redes también pueden obtener programas, por
ejemplo, de los tablones de anuncios.
v Los piratas informáticos se han vuelto cada vez más activos y famosos. A
menudo publican sus métodos y sus resultados. Esto puede llevar a su imitación
por parte de programadores que son normalmente respetuosos con la ley.
Estas tendencias han conducido a un problema en la seguridad de los sistemas que

se denomina virus informático. Un virus es un programa que puede modificar
otros programas para incluir una copia de sí mismo. Los demás programas quedan
entonces infectados por el virus. Además, el virus puede realizar otras operaciones
que pueden ocupar recursos del sistema o destruir datos.
La arquitectura del iSeries proporciona cierta protección contra las características

infecciosas de un virus informático. Esto se describe en el apartado “Protección
contra los virus informáticos”. Un administrador de seguridad de iSeries debe
preocuparse más de los programas que realizan funciones no autorizadas. Los
temas restantes de este capítulo describen las maneras en que alguien con
intenciones poco fiables puede preparar programas dañinos para ejecutarlos en el
sistema. Los temas proporcionan consejos para evitar que los programas lleven a
cabo funciones no autorizadas.
La autorización sobre objetos es siempre la primera línea de defensa. Si no
tiene un buen plan para proteger los objetos, el sistema estará indefenso. En
este capítulo se tratan las maneras en que un usuario autorizado puede
intentar sacar partido de los agujeros del esquema de autorización de objetos.
Protección contra los virus informáticos

Un sistema que tiene una infección por virus tiene un programa que puede
cambiar otros programas. La arquitectura del iSeries, basada en objetos, hace más
difícil que alguien produzca y disperse este tipo de virus en esta arquitectura que
en otras arquitecturas de sistemas. En el iSeries, puede utilizar mandatos
específicos e instrucciones para trabajar en cada tipo de objeto. No puede utilizar
una instrucción de archivo para cambiar un objeto de programa operativo (que es
lo que hacen la mayoría de los creadores de virus). Tampoco puede crear
fácilmente un programa que cambie otro objeto de programa. Para hacer esto es
necesario un tiempo, un esfuerzo y una habilidad considerables y también es
necesario tener acceso a herramientas y documentación que no están disponibles
generalmente.
Sin embargo, debido a que hay funciones nuevas del iSeries que están disponibles
para participar en el entorno de sistemas abiertos, algunas de las funciones de

protección basadas en objetos del iSeries ya no se aplican. Por ejemplo, con el
sistema de archivos integrado, los usuarios pueden manipular directamente
algunos objetos en los directorios, tales como archivos continuos.
Además, a pesar de que la arquitectura del iSeries dificulta que un virus se

disperse entre programas del iSeries, su arquitectura no evita que un iSeries sea un
portador del virus.Como servidor de archivos, el iSeries puede almacenar
programas que comparten muchos usuarios de PC.Alguno de estos programas
puede contener un virus que el sistema iSeries no detecte.Para evitar que este tipo
de virus infecte los PC conectados al servidor del iSeries, debe utilizar software de
detección de virus para PC.
Existen varias funciones en el iSeries para evitar que nadie utilice un lenguaje de
bajo nivel con soporte para punteros para alterar un programa objeto operativo:
v Si el sistema funciona a un nivel de seguridad 40 o superior, la protección de
integridad incluye protecciones contra el cambio de los objetos de programa. Por
ejemplo, no se puede ejecutar satisfactoriamente un programa que contiene
instrucciones de máquina bloqueadas (protegidas).
v En un nivel de seguridad 40 o superior, el valor de validación del programa
también esta pensado como protección de una operación de restaurar de un
programa salvado (y potencialmente cambiado) en otro sistema. En el capítulo 2
de la publicación iSeries Security Reference se describen las funciones de
protección de la seguridad para el nivel de seguridad 40 y superior, incluyendo
valores de validación del programa.
Nota: El valor de validación del programa no es infalible y no sustituye a la

vigilancia de la evaluación de los programas que se restauran en el
sistema.
Algunas herramientas también están disponibles para ayudarle a detectar la

introducción de un programa alterado en el sistema:
v Puede utilizar el mandato Comprobar integridad de objetos (CHKOBJITG) para
explorar los objetos (objetos operables) que cumplan los valores de búsqueda,
para asegurarse de que esos objetos no fueron alterados. Esto es parecido a una
función de detección de virus.
v Puede utilizar la función de auditoría de seguridad para supervisar los
programas cambiados o restaurados. Los valores *PGMFAIL, *SAVRST y
*SECURITY para el valor del sistema de nivel de autorización proporcionan
registros de auditoría que pueden ayudarle a detectar intentos de introducir un
programa de tipo virus en el sistema. En el capítulo 9 y en el Apéndice F de la
publicación iSeries Security Reference se proporciona más información acerca de
los valores de auditoría y las entradas de diario de auditoría.
v Puede utilizar el parámetro Forzar creación (FRCCRT) del mandato Cambiar
programa (CHGPGM) para volver a crear cualquier programa que se haya
restaurado en el sistema. El sistema utiliza la plantilla del programa
(información observable) para volver a crearlo. Si el objeto de programa se ha
cambiado después de compilarlo, el sistema vuelve a crear el objeto cambiado y
lo sustituye. Si la plantilla del programa contiene instrucciones bloqueadas
(protegidas) y trabaja con el nivel de seguridad 40 o superior, el sistema no
volverá a crear el programa de forma satisfactoria.
| v Puede utilizar el valor del sistema QVFYOBJRST (verificar objetos en
| restauración) para evitar la restauración de programas que no tengan una firma
| digital o que no tengan una firma digital válida. Cuando una firma digital no es
| válida, significa que se ha modificado el programa desde que lo firmó su
| desarrollador. Existen APIs que le permiten firmar sus propios programas,
| archivos de salvar y archivos continuos.
| Para obtener más información sobre la firma y cómo puede utilizarse para proteger
| el sistema ante ataques, consulte “Consejos para la firma de objetos” en la
| página 122.
Supervisión de la utilización de autorización adoptada

En iSeries, puede crear un programa que adopte la autorización de su
propietario.Esto significa que cualquier usuario que ejecute el programa tendrá las
mismas autorizaciones (privadas y especiales) que el perfil de usuario propietario
del programa.
La autorización adoptada es una herramienta de seguridad de gran utilidad si se

utiliza correctamente. En “Consejos para mejorar el control de acceso a menús con
la seguridad de objetos” en la página 61, por ejemplo, se describe cómo se
combinan las autorizaciones adoptadas y los menús para ir más allá del control de
acceso a los menús. Puede utilizar la autorización adoptada para impedir la
modificación de los archivos importantes fuera de los programas de aplicación
aprobados al tiempo que se permite la realización de consultas en ellos.
Como administrador de seguridad, debe asegurarse de que la autorización

adoptada se utiliza correctamente:
v Los programas deben adoptar la autorización de un perfil de usuario que sólo
tenga autorización para realizar las funciones necesarias. Debe tener especial
cuidado con los programas que adoptan la autorización de un perfil de usuario
que tenga la autorización especial *ALLOBJ o que sea propietario de objetos
importantes.
v Los programas que adoptan autorización deben tener funciones limitadas y
específicas, y no deben proporcionar la posibilidad de entrar mandatos.
v Los programas que adoptan autorización deben estar protegidos de forma
adecuada.
v El uso excesivo de la autorización adoptada puede tener un efecto negativo en el
rendimiento del sistema. Para obtener información que le ayude a evitar
problemas de rendimiento, revise los diagramas de flujo de comprobación de
autorización y las sugerencias para la utilización de la autorización adoptada
que se incluye en Capítulo 5 de la publicación iSeries Security Reference.

Puede utilizar el mandato Imprimir objetos que adoptan (PRTADPOBJ)

(opción 21 del menú SECTOOLS) para que le resulte más fácil supervisar la
utilización de la autorización adoptada en el sistema.
La Figura 26 en la página 110 muestra un ejemplo de la salida de este

mandato:
Capítulo 10. Detección de programas sospechosos 109

Objetos adoptados por perfil de usuario (informe completo)
Perfil de usuario . . . . . . : CJWLDR

Autorizaciones especiales . . : *ALLOBJ *AUDIT *IOSYSCFG *JOBCTL
*SAVSYS *SECADM *SERVICE *SPLCTL
----------Objeto------------- -----Biblioteca------
Autoriz. Autoriz. Autoriz.
Nombre Tipo uso públ. Nombre uso públ. privadas
PGM1 *PGM *USE LIB1 *USE Y
PGM2 *PGM *CHANGE LIB2 *USE N
Figura 26. Informe de objetos adoptados por perfil de usuario-Informe completo
La Figura 26 muestra información para un perfil de usuario, CJWLDR. Muestra las

autorizaciones especiales de CJWLDR y los programas que adoptan la autorización
de CJWLDR. En este ejemplo, cualquiera que tenga acceso a una línea de mandatos
puede ejecutar los programas que adoptan la autorización de CJWLDR, ya que los
programas tienen autorización de uso público *USE. Este ejemplo evidencia un
serio riesgo de seguridad potencial a causa de las autorizaciones especiales de
CJWLDR.
Después de establecer una base de información, puede imprimir regularmente la

versión modificada del informe de objetos adoptados. En él figuran los programas
nuevos que adoptan autorización y los programas que se han modificado para que
adoptasen la autorización desde la última vez que se generó el informe. La
Figura 27 muestra un ejemplo del informe de modificación:
Objetos adoptados por perfil de usuario (informe de modificación)

Perfil de usuario . . . . . . : CJWLDR
Autorizaciones especiales . . : *ALLOBJ *AUDIT *IOSYSCFG *JOBCTL
*SAVSYS *SECADM *SERVICE *SPLCTL
Última modificación del informe: 01/21/96 14:23:53
----------Objeto------------- ------Biblioteca--------
Autoriz. Autoriz. Autoriz.
Nombre Tipo uso públ. Nombre uso públ. privadas
PGMX *PGM *CHANGE LIB3 *CHANGE Y
PGMY *PGM *USE LIB4 *USE N
Figura 27. Informe de objetos adoptados por perfil de usuario-Informe de modificación
Si sospecha que la autorización adoptada se está utilizando de modo incorrecto en

el sistema, puede definir el valor del sistema QAUDLVL de modo que incluya
*PGMADP. Cuando este valor está activo, el sistema crea una entrada de diario de
auditoría cada vez que se arranca o se finaliza un programa que adopta la
autorización. La entrada incluye el nombre del usuario que ha arrancado el
programa y el nombre del programa.
Limitación de la utilización de la autorización adoptada

Cuando se ejecuta un programa de iSeries, el programa puede utilizar autorización
adoptada para tener acceso a objetos de dos maneras distintas:
v El programa en sí puede adoptar la autorización del propietario. Esto se
especifica en el parámetro Perfil de usuario (USRPRF) del programa o del
programa de servicio.
v El programa puede utilizar (heredar) la autorización adoptada de un programa
anterior que aún esté en la pila de llamadas del trabajo. Un programa puede
heredar la autorización adoptada de programas anteriores incluso aunque el
programa mismo no adopte autorización. El parámetro Utilizar autorización
adoptada (USEADPAUT) de un programa o de un programa de servicio controla
si el programa hereda la autorización adoptada de los programas anteriores de
la pila de programas.
A continuación se proporciona un ejemplo de cómo funciona la utilización de la

autorización adoptada de programas anteriores.
Suponga que el perfil de usuario ICOWNER tiene autorización *CHANGE sobre el

archivo ITEM y que la autorización de uso público sobre el archivo ITEM es *USE.
Ningún otro perfil tiene una autorización definida explícitamente sobre el archivo
ITEM. En Tabla 14 se muestran los atributos para tres programas que utilizan el
archivo ITEM:
Tabla 14. Ejemplo de Utilizar autorización adoptada (USEADPAUT)
Nombre del Propietario del
programa programa Valor del USRPRF Valor del USEADPAUT
PGMA ICOWNER *OWNER *YES

PGMB ICOWNER *USER *YES
PGMC ICOWNER *USER *NO
Ejemplo 1–Adoptar autorización:

1. USERA ejecuta el programa PGMA.
2. El programa PGMA intenta abrir el archivo ITEM con la posibilidad de
actualización.
Resultado: El intento es satisfactorio. USERA tiene acceso *CHANGE para el

archivo ITEM porque PGMA adopta la autorización de ICOWNER.
Ejemplo 2–Utilizar la autorización adoptada;:

2. El programa PGMA llama al programa PGMB.
3. El programa PGMB intenta abrir el archivo ITEM con posibilidad de
actualización.
Resultado: El intento es satisfactorio. A pesar de que el programa PGMB no adopta

autorización (*USRPRF es *USER), permite que se utilice una autorización
adoptada anteriormente (*USEADPAUT es *YES). El programa PGMA está todavía
en la pila de programas. Por lo tanto USERA obtiene acceso *CHANGE al archivo
ITEM porque PGMA adopta la autorización de ICOWNER.
Ejemplo 3–No utilizar la autorización adoptada:

2. El programa PGMA llama al programa PGMC.
3. El programa PGMC intenta abrir el archivo ITEM con posibilidad de
actualización.
Resultado: Anomalía en la autorización. El programa PGMC no adopta la

autorización. El programa PGMC tampoco permite la utilización de autorizaciones
adoptadas de programas anteriores. A pesar de que PGMA está todavía en la pila
de llamadas, su autorización adoptada no se utiliza.
Evitar que programas nuevos utilicen autorización adoptada

El paso de la autorización adoptada a programas posteriores de la pila proporciona
una oportunidad para un programador experto de crear un programa caballo de

Troya. El programa caballo de Troya puede apoyarse en programas anteriores de la
pila para obtener la autorización que necesita para realizar acciones no permitidas.
Para evitarlo, se pueden limitar los usuarios con permiso para crear programas que
utilicen la autorización adoptada de programas anteriores.
Al crear un nuevo programa, el sistema establece automáticamente el parámetro

USEADPAUT en *YES. Si no quiere que el programa herede autorización adoptada,
debe utilizar el mandato Cambiar programa (CHGPGM) o el mandato Cambiar
programa de servicio (CHGSRVPGM) para establecer el parámetro USEADPAUT
en *NO.
Con la V3R2 y V3R7, puede utilizar una lista de autorizaciones y el valor del
sistema de uso de autorización adoptada (QUSEADPAUT) para controlar quién
puede crear programas que hereden la autorización adoptada. Al especificar un
nombre de lista de autorizaciones en el valor del sistema QUSEADPAUT, el
sistema utiliza esta lista de autorizaciones para determinar cómo crear nuevos
programas.
Cuando un usuario crea un programa o un programa de servicio, el sistema

comprueba la autorización del usuario sobre la lista de autorizaciones. Si el usuario
tiene autorización *USE, el parámetro USEADPAUT para el nuevo programa se
establece en *YES. Si el usuario no tiene la autorización *USE, el parámetro
USEADPAUT se establece en *NO. La autorización del usuario sobre la lista de
autorizaciones no puede proceder de una autorización adoptada.
La lista de autorizaciones que se especifique en el valor del sistema QUSEADPAUT

controla también si un usuario puede utilizar un mandato CHGxxx para establecer
el valor USEADPAUT para un programa o un programa de servicio.
Notas:
1. No es necesario denominar la lista de autorizaciones como QUESADPAUT.
Puede crear una lista de autorizaciones con otro nombre. Después especifique
dicha lista para el valor del sistema QUSEADPAUT. En los mandatos de este
ejemplo, sustituya el nombre por el de su lista de autorización.
2. El valor del sistema QUSEADPAUT no afecta a los programas existentes en el
sistema. Utilice el mandato CGHPGM o CHGSRVPGM para establecer el
parámetro USEADPAUT para los programas existentes.
Entorno más restrictivo: Si desea que la mayoría de los usuarios creen programas
nuevos con el parámetro USEADPAUT establecido en *NO, haga lo siguiente:
1. Para establecer la autorización de uso público para la lista de autorizaciones en
*EXCLUDE, teclee lo siguiente:
CHGAUTLE AUTL(QUSEADPAUT) USER(*PUBLIC)
AUT(*EXCLUDE)
2. Para configurar usuarios específicos que puedan crear programas que utilicen
la autorización adoptada de programas anteriores, teclee lo siguiente:
ADDAUTLE AUTL(QUSEADPAUT) USER(nombre-usuario)
AUT(*USE)
Entorno menos restrictivo: Si desea que la mayoría de los usuarios creen

programas nuevos con el parámetro USEADPAUT establecido en *YES, haga lo
siguiente:
1. Deje la autorización de uso público para la lista de autorizaciones establecida
en *USE.
2. Para evitar que determinados usuarios creen programas que utilicen la
autorización adoptada de programas anteriores, teclee lo siguiente:
ADDAUTLE AUTL(QUSEADPAUT)
USER(nombre-usuario) AUT(*EXCLUDE)
Supervisión de la utilización de programas desencadenantes

DB2 UDB proporciona la posibilidad de asociar programas desencadenantes con
archivos de base de datos. La posibilidad de tener programas desencadenantes es
común en el mercado para los gestores de bases de datos de alta funcionalidad.
Cuando se asocia un programa desencadenante con un archivo de base de datos,

debe especificarse cuándo se ejecutará el programa. Por ejemplo, puede preparar el
archivo de pedidos de clientes para que se ejecute un programa desencadenante
siempre que se añade un registro al archivo. Cuando el saldo pendiente del cliente
sobrepasa el límite de crédito, el programa desencadenante puede imprimir una
carta de aviso al cliente y enviar el mensaje al director de créditos.
Los programas desencadenantes son un método eficaz para proporcionar funciones

de aplicación y para gestionar la información. Los programas desencadenantes
también proporcionan la posibilidad de que alguien malintencionado pueda crear
programas “Caballo de Troya” en su sistema. Puede haber un programa
destructivo en espera de ejecutarse cuando se produzca un evento determinado en
un archivo de bases de datos del sistema.
Nota: El caballo de Troya era un caballo de madera hueco de gran tamaño que
estaba lleno de soldados griegos. El caballo fue introducido dentro de las
murallas de Troya, los soldados salieron del caballo y lucharon contra los
Troyanos. En el mundo informático, un programa que oculta funciones
destructivas a menudo recibe el nombre de ″caballo de Troya″.

Cuando el sistema sale de fábrica, la posibilidad de añadir un programa

desencadenante a un archivo de base de datos está restringida. Si gestiona la
autorización sobre objeto cuidadosamente, el usuario normal no tendrá
autorización suficiente para añadir un programa desencadenante a un archivo
de base de datos. (En el Apéndice D de la publicación iSeries Security Reference
se indican la autorización necesaria o todos los mandatos, incluyendo el
mandato Añadir desencadenante de archivos físicos (ADDPFTRG)).
Puede utilizar el mandato Imprimir programas desencadenantes

(PRTTRGPGM) para imprimir una lista de todos los programas
desencadenantes de una biblioteca determinada o de todas las bibliotecas. La
Figura 28 en la página 114 muestra un ejemplo del informe:

Programas desencadenantes (informe completo)
Biblioteca especificada . . . : CUSTLIB

Biblioteca Programa Hora Evento Condición
Biblioteca Archivo Desencadenante Desencadenante Desencadenante Desencadenante Desencadenante
CUSTLIB MB106 ARPGMLIB INITADDR Antes Actualización Siempre
CUSTLIB MB107 ARPGMLIB INITNAME Antes Actualización Siempre
Figura 28. Informe de Imprimir programas desencadenantes-Ejemplo de informe completo
Puede utilizar el informe inicial como base para evaluar los programas
desencadenantes que ya existen en el sistema. Después puede imprimir el informe
de modificación regularmente para ver si se han añadido nuevos programas
desencadenantes en el sistema.
Cuando evalúe los programas desencadenantes, tenga en cuenta lo siguiente:

v Quién ha creado el programa. Puede utilizar el mandato Visualizar descripción
de objeto (DSPOBJD) para determinarlo.
v Qué hace el programa. Tendrá que ver el programa fuente o consultar al creador
del programa para averiguarlo. Por ejemplo, ¿comprueba el programa
desencadenante quién es el usuario? Quizá el programa desencadenante está a la
espera de un usuario determinado (QSECOFR) para obtener el acceso a los
recursos del sistema.
Después de establecer una base de información, puede imprimir el informe de

modificación regularmente para supervisar los nuevos programas desencadenantes
que se hayan añadido al sistema. La Figura 29 muestra un ejemplo del informe de
modificación:
Programas desencadenantes (informe de modificación)

Biblioteca especifica . . . . . . : LIBX
Última modificación del informe: 96/01/21 14:33:37
Biblioteca Programa Hora Evento Condición
Biblioteca Archivo Desenc. Desenc. Desenc. Desenc. Desenc.
INVLIB MB108 INVPGM NEWPRICE Después Suprimir Siempre
INVLIB MB110 INVPGM NEWDSCNT Después Suprimir Siempre
Figura 29. Informe de Imprimir programas desencadenantes-Ejemplo de informe de modificación
Comprobación de programas ocultos

Los programas desencadenantes no son la única forma posible de introducir un
caballo de Troya en el sistema. Los programas desencadenantes son un ejemplo de
un programa de salida. Cuando se produce un evento determinado, tal como la
actualización de un archivo en el caso de un programa desencadenante, el sistema
ejecuta el programa de salida asociado al evento.
La Tabla 15 en la página 115 describe otros ejemplos de programas de salida que

pueden estar en el sistema. Debe utilizar los mismos métodos para evaluar la
utilización y el contenido de estos programas de salida que utiliza para programas
desencadenantes.
Nota: La Tabla 15 en la página 115 no es una lista completa de los programas de

salida posibles.
Tabla 15. Programas de salida proporcionados por el sistema
Nombre del programa Cuándo se ejecuta el programa
Nombre especificado por el usuario en el Cuando un usuario intenta abrir un archivo DDM en el sistema o efectúa
atributo de red DDMACC. una conexión DRDA.
Nombre especificado por el usuario en el Cuando un usuario intenta utilizar las funciones de Client Access
atributo de red PCSACC. mediante Original Clients para acceder a objetos en el sistema.
Nombre especificado por el usuario en el Cuando un usuario ejecuta la función Cambiar contraseña
valor del sistema QPWDVLDPGM.
Nombre especificado por el usuario en el Cuando un usuario intenta iniciar la sesión de forma interactiva desde
valor del sistema QRMTSIGN. un sistema remoto.
QSYS/QEZUSRCLNP Cuando se ejecuta la función de limpieza automática.
Nombre especificado por el usuario en el Cuando utiliza la función de copia de seguridad de Operation Assistant.
parámetro EXITPGM del mandato
CHGBCKUP.
Nombres especificados por el usuario en Antes y después de salvar, restaurar o suprimir el producto creado con el
el mandato CRTPRDLOD. mandato.
Nombre especificado por el usuario en el Si se especifica un programa por omisión para un mensaje, el sistema
parámetro DFTPGM del mandato ejecuta el programa cuando se emite el mensaje. Debido al gran número
CHGMSGD. de descripciones de mensaje en un sistema típico, la utilización de
programas por omisión es difícil de supervisar. Para evitar que los
usuarios públicos añadan programas por omisión para mensajes,
considere la posibilidad de establecer la autorización de uso público para
archivos de mensajes (objetos *MSGF) en *USE.
Nombre especificado por el usuario en el Cuando el usuario pulsa una tecla de función durante la sesión de
parámetro FKEYPGM del mandato emulación de dispositivo 3270. El sistema devuelve el control a la sesión
STREML3270. de emulación de dispositivo 3270 cuando finaliza el programa de salida.
Nombre especificado por el usuario en el Para procesar datos recogidos por los mandatos siguientes:
parámetro EXITPGM de los mandatos de STRPFRMON, ENDPFRMON, ADDPFRCOL y CHGPFRCOL. El
supervisión del rendimiento. programa se ejecuta cuando finaliza la recogida de datos.
| Nombre especificado por el usuario en el Para cada entrada de diario o grupo de entradas de diario que se han
| parámetro EXITPGM del mandato leído del diario y receptor de diario especificados.
| RCVJRNE.
Nombre especificado por el usuario en la Durante una operación COMMIT o ROLLBACK.
API QTNADDCR.
Nombres especificados por el usuario en Para realizar las funciones del sistema de archivos.
la API QHFRGFS.
Nombre especificado por el usuario en el Para determinar qué imprimir en la página separadora antes o después
parámetro SEPPGM de una descripción de un archivo en spool o de un trabajo de impresión.
de dispositivo de impresora.
QGPL/QUSCLSXT Cuando se cierra un archivo de base de datos para permitir la captura de
información de uso del archivo.
Nombre especificado por el usuario en el Cuando se graba un registro en una archivo de base de datos y no se
parámetro FMTSLR de un archivo lógico. incluye un nombre de formato de registro en el programa de lenguaje de
alto nivel. El programa selector recibe el registro como entrada,
determina el formato de registro utilizado y lo devuelve a la base de
datos.
Nombre especificado por el usuario que Cuando un usuario pulsa la tecla Atención.
se especifica en el valor del sistema
QATNPGM, el parámetro ATNPGM en
un perfil de usuario o el parámetro PGM
del mandato SETATNPGM.

Tabla 15. Programas de salida proporcionados por el sistema (continuación)
Nombre del programa Cuándo se ejecuta el programa
Nombre especificado por el usuario en el Antes de empezar el procedimiento de Rastreo de trabajo.
parámetro EXITPGM del mandato
TRCJOB.
En el caso de los mandatos que permiten especificar un programa de salida, debe

asegurarse de que el valor por omisión del mandato no se ha cambiado para
especificar un programa de salida. También debe asegurarse de que la autorización
de uso público para estos mandatos no sea suficiente para cambiar el valor por
omisión del mandato. El mandato CHGCMDDFT necesita autorización *OBJMGT
para el mandato. El usuario no necesita autorización *OBJMGT para ejecutar un
mandato.
Evaluación de programas de salida registrados

Puede utilizar la función de registro del sistema para registrar programas de salida
que deben ejecutarse cuando tienen lugar determinados eventos. Para listar la
información de registro en el sistema, teclee WRKREGINF OUTPUT(*PRINT). La
Figura 30 muestra un ejemplo del informe:
Trabajar con Información de Registro

Punto de salida . . . . . . . . . . . : QIBM_QGW_NJEOUTBOUND
Formato de punto de salida . . . . . . : NJEO0100
Punto de salida registrado . . . . . . : *YES
Permitir quitar registro . . . . . . . : *YES
Núm. máx. de programas de salida . . . : *NOMAX
Núm. actual de programas de salida . . : 0
Proceso previo para añadir . . . . . . : *NONE
Biblioteca . . . . . . . . . . . . . :
Formato . . . . . . . . . . . . . . :
Proceso previo para eliminar . . . . . : *NONE
Biblioteca . . . . . . . . . . . . . :
Formato . . . . . . . . . . . . . . :
Proceso previo para recuperar . . . . : *NONE
Biblioteca . . . . . . . . . . . . . :
Figura 30. Trabajar con información de registro - ejemplo
Para cada punto de salida del sistema, el informe muestra si hay programas de
salida registrados actualmente. Cuando un punto de salida tiene programas
registrados actualmente, puede seleccionar la opción 8 (Visualizar programas) de la
versión de pantalla de WRKREGINF para visualizar información acerca de los
programas:
Trabajar con Información de Registro
Teclee opciones, pulse Intro.

5=Visualizar punto de salida 8=Trabajar con programas de salida
Formato
Punto de punto
Opc de salida salida Registrado Texto
QIBM_QGW_NJEOUTBOUND NJEO0100 *YES Entrada de trabajo de red ext
8 QIBM_QHQ_DTAQ DTAQ0100 *YES Servidor de cola de datos
QIBM_QLZP_LICENSE LICM0100 *YES Servidor de gestión de licenc
QIBM_QMF_MESSAGE MESS0100 *YES Servidor de mensajes original
QIBM_QNPS_ENTRY ENTR0100 *YES Servidor de impresión de red
QIBM_QNPS_SPLF SPLF0100 *YES Servidor de impresión de red
QIBM_QNS_CRADDACT ADDA0100 *YES Añadir actividad de descripci
QIBM_QNS_CRCHGACT CHGA0100 *YES Cambiar actividad de descripc
Utilice el mismo método para evaluar estos programas de salida que el utilizado
para otros programas de salida y programas desencadenantes.
Comprobación de programas planificados

| iSeries proporciona numerosos métodos para planificar trabajos para que se
| ejecuten más tarde, incluyendo el planificador de trabajos. Normalmente estos
| métodos no representan un riesgo para la seguridad porque el usuario que
| planifica el trabajo debe tener la misma autorización que se necesita para someter
| el trabajo a proceso por lotes.
Sin embargo debe comprobar periódicamente los trabajos planificados. Un usuario

descontento que ya no esté en la organización puede utilizar este método para
planificar un siniestro.
Restricción de las posibilidades de salvar y restaurar

La mayoría de los usuarios no necesitan salvar ni restaurar objetos en el sistema.
Los mandatos de salvar proporcionan la posibilidad de copiar elementos
importantes de la organización a soportes de almacenamiento o a otro sistema. La
mayoría de los mandatos de salvar soportan archivos de salvar que pueden
enviarse a otro sistema (utilizando el mandato de archivo SNDNETF) sin tener
acceso a un soporte de almacenamiento o a un dispositivo de salvar/restaurar.
Los mandatos para restaurar proporcionan la oportunidad de restaurar objetos no

autorizados, tales como programas mandatos y archivos en el sistema. También
puede restaurar información sin tener acceso a soportes de almacenamiento o a un
dispositivo de salvar/restaurar utilizando archivos de salvar. Los archivos de
salvar se pueden enviar desde otro sistema utilizando el mandato SNDNETF o
utilizando la función FTP.
A continuación se proporcionan sugerencias para restringir las operaciones de

salvar y restaurar en el sistema:
v Controle qué usuarios tienen autorización especial *SAVSYS. La autorización
especial *SAVSYS permite al usuario salvar y restaurar objetos incluso cuando el
usuario no tiene la autorización necesaria sobre los objetos.
| v Controle el acceso físico para salvar y restaurar dispositivos.
v Restrinja el acceso a los mandatos de salvar y restaurar. Cuando instale los
programas bajo licencia de OS/400, la autorización de uso público para los
mandatos RSTxxx es *EXCLUDE. La autorización de uso público para los

mandatos SAVxxx es *USE. Considere la posibilidad de cambiar la autorización
de uso público de los mandatos SAVxxx por *EXCLUDE. Limite cuidadosamente
los usuarios que autoriza a utilizar los mandatos RSTxxx.
v Utilice el valor del sistema QALWOBJRST para restringir la restauración de
programas de estado del sistema, programas que adoptan autorizaciones y
objetos que tienen errores de validación.
| v Utilice el valor del sistema QVFYOBJRST para controlar la restauración de
| objetos firmados en el sistema.
v Utilice la auditoría de seguridad para supervisar las operaciones de restauración.
Incluya *SAVRST en el valor del sistema QAUDLVL e imprima periódicamente
registros de auditoría creados por operaciones de restauración. (En el Capítulo 9
y en el Apéndice F de la publicación iSeries Security Reference se proporciona
información acerca de las operaciones de entradas de auditoría).
Comprobación de los objetos de usuario en bibliotecas protegidas

Todos los trabajos de iSeries tienen una lista de bibliotecas. Esta lista determina la
secuencia en la que el sistema buscará un objeto si no se especifica un nombre de
biblioteca con el nombre de objeto. Por ejemplo, cuando llama a un programa sin
especificar dónde está el programa, el sistema busca en la lista de bibliotecas por
orden y ejecuta la primera copia del programa que localice.
En la publicación iSeries Security Reference se proporciona más información acerca

de los riesgos de seguridad de las listas de bibliotecas y de los programas de
llamada sin nombre de biblioteca (denominado llamada no cualificada). También
se proporcionan sugerencias para controlar el contenido de las listas de bibliotecas
y la capacidad de cambiar las listas de bibliotecas del sistema.
Para que el sistema se ejecute correctamente, ciertas bibliotecas del sistema, como
QSYS y QGPL, deben estar en la lista de bibliotecas para cada trabajo. Debe
utilizar la autorización sobre objeto para controlar quién puede añadir programas a
estas bibliotecas. De este modo se facilita la tarea de impedir que alguien coloque
un programa impostor en una de estas bibliotecas con el mismo nombre que un
programa que figura después en una biblioteca de la lista de bibliotecas.
También debe evaluar quién tiene autorización sobre el mandato CHGSYSLIBL y

supervisar los registros SV del diario de auditoría de seguridad. Un usuario
malintencionado podría añadir una biblioteca delante de QSYS en la lista de
bibliotecas y hacer que otros usuarios ejecuten mandatos no autorizados con el
mismo nombre que los mandatos proporcionados por IBM.
Puede utilizar el mandato Imprimir objetos de usuario (PRTUSROBJ) para

imprimir una lista de objetos de usuario (no creados por IBM) que están en
una biblioteca especificada. Después puede evaluar los programas de la lista
para determinar quién los ha creado y qué funciones realizan.
Los objetos de usuario que no son programas también pueden representar un

riesgo en la seguridad cuando se encuentran en bibliotecas del sistema. Por
ejemplo, si un programa graba datos confidenciales en un archivo cuyo
nombre no está calificado, es posible engañar al programa para que abra una
versión falsa de ese archivo en una biblioteca del sistema.
La Figura 31 muestra un ejemplo del informe:
Objetos de usuario (informe completo)
Biblioteca Objeto Tipo Atributo Propietario Descripción

QSYS PRTCUSTL *PGM RPG JUAN
QSYS CHGLMT *PGM RPG JUAN
QSYS TESTINV *PGM CLP ROSA
Figura 31. Informe de Imprimir objetos de usuario-Ejemplo
Nota: Este informe contiene los objetos que los programas de salida de PTF crean
en la biblioteca.

Capítulo 11. Consejos para evitar y detectar intentos de
pirateo
Este capítulo es una recopilación de varios consejos que le ayudarán a detectar
posibles riesgos para la seguridad y personas que cometen fechorías.
Consejos de seguridad física

La unidad del sistema es una pieza esencial de su organización y representa una
vía de acceso potencial a su sistema. Algunos componentes del sistema son de
pequeño tamaño y muy valiosos. Debe colocar la unidad del sistema en un lugar
vigilado para evitar la sustracción de componentes valiosos del sistema.
La unidad del sistema dispone de un panel de control que permite realizar

funciones básicas sin una estación de trabajo. Por ejemplo, puede utilizarlo para
realizar estas acciones:
v Parar el sistema.
v Arrancar el sistema.
v Cargar el sistema operativo.
v Arrancar las funciones de servicio.
Todas estas actividades pueden interrumpir el trabajo de los usuarios del sistema.
También representan un riesgo de seguridad potencial para el sistema. Puede
utilizar la cerradura existente en el sistema para controlar cuándo se pueden
realizar estas actividades. Para impedir la utilización del panel de control, coloque
la cerradura en la posición Protegido, quite la llave y guárdela en un lugar seguro.
Notas:
| 1. Si tiene que efectuar IPL remotas o diagnósticos remotos en el sistema, puede
| que necesite elegir otra posición para la cerradura. El tema de Iniciación del
| iSeries Information Center proporciona más información sobre las posiciones de
| la cerradura (consulte “Requisitos e información relacionada” en la página xii
| para conocer más detalles).
2. No todos los modelos de sistema incorporan una cerradura como característica
estándar.
Consejos para supervisar la actividad del perfil de usuario

Los perfiles de usuario proporcionan entrada al sistema. Los parámetros del perfil
de usuario determinan el entorno y las características de seguridad de un usuario.
Como administrador de seguridad, debe controlar y comprobar las modificaciones
que se producen en los perfiles de usuario del sistema.
Puede establecer comprobaciones de seguridad para que el sistema grabe un

registro de las modificaciones en los perfiles de usuario. Puede utilizar el mandato
DSPAUDJRNE para imprimir un informe de estos cambios.
Puede crear programas de salida para evaluar las acciones solicitadas para los
perfiles de usuario. La Tabla 16 en la página 122 muestra los puntos de salida
disponibles para los mandatos de perfil de usuario.

Nota: Hay salidas de perfil de usuario disponibles a partir de la V3R2.
Tabla 16. Puntos de salida para la actividad del perfil de usuario
Mandato Perfil de usuario Nombre de punto de salida
Crear perfil de usuario (CRTUSRPRF) QIBM_QSY_CRT_PROFILE

Cambiar perfil de usuario (CHGUSRPRF) QIBM_QSY_CHG_PROFILE
Suprimir perfil de usuario (DLTUSRPRF) QIBM_QSY_DLT_PROFILE
Restaurar perfil de usuario (RSTUSRPRF) QIBM_QSY_RST_PROFILE
El programa de salida, por ejemplo, puede buscar las modificaciones que pudiesen
hacer que el usuario ejecutara una versión no autorizada de un programa. Estas
modificaciones podrían ser la asignación de una descripción de trabajo distinta o
de una nueva biblioteca actual. Su programa de salida puede notificarlo a una cola
de mensajes, o realizar alguna acción (como cambiar o inhabilitar el perfil de
usuario) basándose en la información que el programa de salida recibe.
La publicación iSeries Security Reference proporciona información acerca de los

programas de salida para las acciones de perfil de usuario.
| Consejos para la firma de objetos

| Todas las precauciones de seguridad que tome no servirán de nada si alguien
| puede eludirlas introduciendo datos corruptos en el sistema. El iSeries tiene
| diversas características incorporadas que puede utilizar para evitar que se cargue
| software corrupto en su sistema y para detectar si ya hay software de ese tipo. Una
| de las técnicas añadidas en la V5R1 es la firma de objetos.
| La firma de objetos es la implementación en iSeries de un concepto criptográfico

| conocido como ″firmas digitales.″ La idea es relativamente sencilla: una vez un
| productor de software está listo para enviar software a los clientes, el productor
| ″firma″ el software. Esta firma no garantiza que el software realice ninguna función
| específica. Sin embargo, proporciona un método para probar que el software
| proviene del productor que lo ha firmado y que ese software no ha cambiado
| desde que se generó y se firmó. Esto es de especial importancia si el software se ha
| transmitido por Internet o se ha almacenado en un soporte que pudiera haber sido
| modificado.
| Utilizar firmas digitales le dará un mayor control sobre qué software puede
| cargarse en su sistema y le otorgará más poder para detectar cambios una vez
| cargado. El nuevo valor del sistema Verificar restauración de objeto (QVFYOBJRST)
| proporciona un mecanismo para establecer una política restrictiva que requiere que
| todo el software que se cargue en el sistema esté firmado por las fuentes de
| software conocidas. También puede elegir una política más abierta y simplemente
| verificar las firmas si las hay.
| Todo el software de OS/400, así como el software para las opciones y los
| programas bajo licencia de iSeries, están firmados por IBM. Estas firmas ayudan al
| sistema a proteger su propia integridad y se comprueban cuando se aplican
| arreglos al sistema para asegurarse de que el arreglo proviene de IBM y que no ha
| cambiado por el camino. Estas firmas también pueden comprobarse una vez el
| software esté en el sistema. El mandato CHKOBJITG (Comprobar integridad de
| objeto) se ha ampliado para comprobar las firmas, además de otras características
| de integridad de los objetos en el sistema. Adicionalmente, el Gestor de certificados
| digitales tiene paneles que puede utilizar para comprobar las firmas de los objetos,
| incluidos los objetos del sistema operativo.
| Estando el sistema operativo firmado, podría igualmente utilizar firmas digitales
| para proteger la integridad del software que sea vital para su empresa. Podría
| comprar software que esté firmado por un proveedor de software, o bien podría
| firmar el software que haya adquirido o escrito. Parte de su política de seguridad
| sería entonces utilizar CHKOBJITG periódicamente, o el Gestor de certificados
| digitales, para verificar que las firmas de ese software siguen siendo válidas, es
| decir, que los objetos no han cambiado desde que se firmaron. Podría ser necesario
| también que todo el software que se restaure en el sistema esté firmado por usted
| mismo o por una fuente conocida. Sin embargo, dado que la mayoría del software
| de iSeries IBM no ha producido no está firmado, podría resultar demasiado
| restrictivo para el sistema. El nuevo soporte de firma digital le ofrece flexibilidad
| para decidir el mejor método para proteger la integridad del software.
| Las firmas digitales que protegen el software son tan solo uno de los usos de los
| certificados digitales. Encontrará información adicional sobre la gestión de
| certificados digitales en el tema sobre gestión de certificados digitales del
| Information Center (consulte “Requisitos e información relacionada” en la
| página xii para conocer más detalles).
Consejos para supervisar descripciones de subsistema

Al arrancar un subsistema en el iSeries, el sistema crea un entorno para que el
trabajo entre y se ejecute en el sistema. Una descripción de subsistema define el
aspecto que tiene dicho entorno. Por tanto, las descripciones de subsistema pueden
ofrecer la oportunidad de entrar al sistema a usuarios con intenciones poco fiables.
Estos podrían utilizar una descripción de subsistema para arrancar
automáticamente un programa o bien para iniciar una sesión sin un perfil de
usuario.
Al ejecutar el mandato Revocar autorización de uso público (RVKPUBAUT), el

sistema establece en *EXCLUDE la autorización de uso público para los mandatos
de descripción de subsistemas. Con ello se previene que los usuarios que no tienen
una autorización específica (y que no tienen autorización especial *ALLOBJ)
cambien o creen descripciones de subsistema.
En los temas siguientes se proporcionan sugerencias para revisar las descripciones

de subsistema que existen actualmente en el sistema. Puede utilizar el mandato
Trabajar con descripciones de subsistema (WRKSBSD) para crear una lista de todas
las descripciones de subsistema. Al seleccionar la opción 5 (Visualizar) de la lista,
aparecerá un menú parecido al que se muestra en la Figura 32 para la descripción
de sistema seleccionada. Muestra una lista de los componentes de un entorno de
subsistema.
Capítulo 11. Consejos para evitar y detectar intentos de pirateo 123

Visualizar descripción de subsistema
Descripción de subsistema: QINTER Biblioteca: QSYS

Estado: ACTIVO
1. Atributos operativos
2. Definiciones de agrupación
3. Entradas de trabajo de arranque automático
4. Entradas de nombre de estación de trabajo
5. Entradas de tipo de estación de trabajo
6. Entradas de cola de trabajos
7. Entradas de direccionamiento
8. Entradas de comunicaciones
9. Entradas de nombre de ubicación remota
10. Entradas de trabajo de prearranque
Figura 32. Pantalla Visualizar descripción de subsistema
Seleccione las opciones para ver detalles acerca de los componentes. Utilice el
mandato Cambiar descripción de subsistema (CHGSBSD) para modificar las dos
primeras opciones del menú. Para modificar otros elementos, utilice el mandato de
añadir, eliminar o modificar (según sea apropiado) para el tipo de entrada. Por
ejemplo, para modificar una entrada de estación de trabajo, utilice el mandato
Cambiar entrada de estación de trabajo (CHGWSE).
La publicación proporciona más información acerca del trabajo con descripciones

de subsistema. También lista los valores iniciales para las descripciones de
subsistema suministradas por IBM.
Consejos para las entradas de trabajo de arranque automático

Una entrada de trabajo de arranque automático contiene el nombre de una
descripción de trabajo. La descripción de trabajo puede contener datos de solicitud
(RQSDTA) que hacen que un programa o un mandato se ejecute. Por ejemplo,
RQSDTA podría ser CALL LIB1/PROGRAM1. Siempre que se arranque el subsistema, el
sistema ejecutará el programa PROGRAM1 en la biblioteca LIB1.
Consulte las entradas de trabajo de arranque automático y las descripciones de

trabajo asociadas. Asegúrese de que entiende el funcionamiento de cualquier
programa que se ejecuta automáticamente cuando se arranca un subsistema.
Consejos para nombres y tipos de estaciones de trabajo

Cuando se arranca un subsistema, éste asigna todas las estaciones de trabajo no
asignadas que figuran (específica o genéricamente) en sus entradas de nombres y
tipos de estaciones de trabajo. Cuando un usuario inicia la sesión, se conecta al
subsistema que ha asignado la estación de trabajo.
La entrada de estación de trabajo indica qué descripción de trabajo se utilizará

cuando se inicia un trabajo en dicha estación de trabajo. La descripción de trabajo
puede contener los datos de solicitud que hacen que se ejecute un programa o un
mandato. Por ejemplo, el parámetro RQSDTA podría ser CALL LIB1/PROGRAM1.
Siempre que un usuario inicia la sesión en una estación de trabajo de este
subsistema, el sistema ejecutará PROGRAM1 en LIB1.
Consulte las entradas de estación de trabajo y las descripciones de trabajo
asociadas. Asegúrese de que nadie ha añadido o actualizado ninguna entrada para
ejecutar programas de los que no se tiene conocimiento.
Una entrada de estación de trabajo también podría especificar un perfil de usuario

por omisión. Para ciertas configuraciones de subsistema, ello permite que alguien
inicie la sesión simplemente pulsando la tecla Intro. Si el nivel de seguridad (valor
de sistema QSECURITY) del sistema es inferior a 40, debe revisar las entradas de
estación de trabajo para los usuarios por omisión.
Consejos para entradas de cola de trabajos

Cuando se arranca un subsistema, éste asigna las colas de trabajos no asignadas
que están listadas en la descripción de subsistema. Las entradas de cola de trabajos
no constituyen un riesgo directo para la seguridad. Sin embargo, sí proporcionan
una oportunidad para que alguien manipule el rendimiento del sistema haciendo
que los trabajos se ejecuten en entornos no previstos.
Debe revisar periódicamente las entradas de cola de trabajos en las descripciones

de subsistema para asegurarse de que los trabajos por lotes se ejecutan donde
deben ejecutarse.
Consejos para entradas de direccionamiento

Una entrada de direccionamiento define lo que hace un trabajo cuando entra en el
subsistema. Este utiliza entradas de direccionamiento para todos los tipos de
trabajos: por lotes, interactivos y de comunicaciones. Una entrada de
direccionamiento especifica lo siguiente:
v La clase de trabajo. Al igual que las entradas de cola de trabajos, la clase que
está asociada a un trabajo puede afectar a su rendimiento pero no representa un
riesgo para la seguridad.
v El programa que se ejecuta cuando se inicia el trabajo. Consulte las entradas de
direccionamiento y asegúrese de que nadie ha añadido o actualizado ninguna
entrada para ejecutar programas de los que no se tiene conocimiento.
Consejos para entradas de comunicaciones y nombres de ubicación

remota
Cuando un trabajo de comunicaciones entra en el sistema, éste utiliza las entradas
de comunicaciones y las entradas de nombre de ubicación remota del subsistema
activo para determinar cómo se ejecutará el trabajo de comunicaciones. Tenga en
cuenta lo siguiente respecto a estas entradas:
v Todos los subsistemas son capaces de ejecutar trabajos de comunicaciones. Si un
subsistema que está destinado para comunicaciones no está activo, un trabajo
que esté intentando entrar en el sistema podría encontrar una entrada en otra
descripción de subsistema que satisfaga sus necesidades. Debe examinar las
entradas en todas las descripciones de subsistema.
v Una entrada de comunicaciones contiene una descripción de trabajo. La
descripción de trabajo puede contener datos de solicitud que ejecutan un
mandato o programa. Consulte las entradas de comunicaciones y las
descripciones de trabajo asociadas para asegurarse de que entiende cómo se
inician los trabajos.
v Una entrada de comunicaciones también especifica un perfil de usuario por
omisión que el sistema utiliza en algunas situaciones. Asegúrese de que entiende

la función de los perfiles por omisión. Si el sistema contiene perfiles por
omisión, debe asegurarse de que tienen una autorización mínima. Consulte el
Capítulo 13. Consejos para la seguridad de las comunicaciones APPC para
obtener más información acerca de los perfiles de usuario por omisión.
Puede utilizar el mandato Imprimir descripción de subsistema (PRTSBSDAUT)
para identificar las entradas de comunicaciones que especifican un nombre de
perfil de usuario.
Consejos para entradas de trabajo de prearranque

Puede utilizar las entradas de trabajo de prearranque para preparar un subsistema
para ciertos tipos de trabajos con el fin de que los trabajos se inicien más deprisa.
Los trabajos de prearranque pueden iniciarse cuando se arranca el subsistema o
cuando sean necesarios. Una entrada de trabajo de prearranque especifica lo
siguiente:
Un programa para ejecutar
Un perfil de usuario por omisión
Una descripción de trabajo
Todos ellos tienen riesgos potenciales para la seguridad. Debe asegurarse de que
las entradas de trabajo de prearranque sólo realizan funciones autorizadas y
previstas.
Consejos para trabajos y descripciones de trabajo

Las descripciones de trabajo contienen datos de solicitud y datos de
direccionamiento que pueden hacer que se ejecute un programa específico al
utilizar dicha descripción de trabajo. Cuando la descripción de trabajo especifica
un programa en el parámetro de datos de solicitud, el subsistema ejecuta el
programa. Cuando la descripción de trabajo especifica datos de direccionamiento,
el sistema ejecuta el programa especificado en la entrada de direccionamiento que
coincide con los datos de direccionamiento.
El sistema utiliza descripciones de trabajo tanto para los trabajos interactivos como
para los trabajos por lotes. Para los trabajos interactivos, la entrada de estación de
trabajo especifica la descripción de trabajo. Normalmente, el valor de entrada de
estación de trabajo es *USRPRF, de modo que el sistema utiliza la descripción de
trabajo especificada en el perfil de usuario. Para los trabajos por lotes, el usuario
especifica la descripción de trabajo al someter el trabajo.
Debe revisar periódicamente las descripciones de trabajo para asegurarse de que

éstas no ejecutan programas no previstos. También debe utilizar la autorización
sobre objeto para evitar modificaciones en las descripciones de trabajo. La
autorización *USE es suficiente para ejecutar un trabajo con una descripción de
trabajo. Un usuario típico no necesita autorización *CHANGE para las
descripciones de trabajo.
Las descripciones de trabajo también pueden especificar bajo qué perfil de

usuario se debe ejecutar el trabajo. Con el nivel de seguridad 40 y superior,
debe tener autorización *USE para la descripción de trabajo y para el perfil de
usuario especificados en la descripción de trabajo. Con los niveles de
seguridad inferiores a 40, sólo se necesita autorización *USE para la
descripción de trabajo.
Puede utilizar el mandato Imprimir autorización de descripción de trabajo

(PRTJOBDAUT) para imprimir una lista de descripciones de trabajos que
especifican perfiles de usuario y cuya autorización de uso público es *USE. La
Figura 33 muestra un ejemplo del informe:
Descripciones de trabajo con autorización excesiva (informe completo)
SYSTEM4
Biblioteca especificada. . . : QGPL
--------------------Autorizaciones especiales-------------
Descripción Perfil *ALL *AUD *IOSYS *JOB *SAV *SEC *SER *SPL
Biblioteca trabajo Propietario usuario OBJ IT CFG CTL SYS ADM VICE CTL
QGPL JOBD1 QSECOFR USERA
QGPL JOBD2 QSECOFR USERB X X X X X X X X
Figura 33. Informe Descripciones de trabajo con autorización excesiva-Ejemplo
El informe muestra las autorizaciones especiales del perfil de usuario especificado

en la descripción de trabajo. El informe incluye las autorizaciones especiales de
cualquier perfil de grupo que el perfil de usuario tenga. Puede utilizar el siguiente
mandato para visualizar las autorizaciones privadas del perfil de usuario ’:
DSPUSRPRF USRPRF(nombre perfil) TYPE(*OBJAUT)
La descripción de trabajo especifica la lista de bibliotecas que utiliza el trabajo

cuando se ejecuta. Si alguien puede modificar una lista de bibliotecas de un
usuario, dicho usuario podría ejecutar una versión no prevista de un programa en
una biblioteca diferente. Debe revisar periódicamente las listas de bibliotecas
especificadas en las descripciones de trabajo del sistema.
Finalmente, debe asegurarse de que los valores por omisión para el mandato
Someter trabajo (SBMJOB) y el mandato Crear perfil de usuario (CRTUSRPRF) no
se han modificado para que apunten a descripciones de trabajo no previstas.
Consejos para los Nombres de programas de transacciones con

arquitectura
Algunas peticiones de comunicaciones envían un tipo específico de señal al
sistema. Esta petición se llama nombre de programa de transacciones con
arquitectura (TPN) ya que el nombre del programa de transacciones forma parte
de la arquitectura APPC del sistema. Una petición de paso a través de estación de
pantalla es un ejemplo de un TPN con arquitectura. Los TPN con arquitectura son
un procedimiento normal para que funcionen las comunicaciones y no

necesariamente representan un riesgo para la seguridad. Sin embargo, los TPN con
arquitectura pueden proporcionar una entrada inesperada al sistema.
Algunos TPN no pasan ningún perfil en la petición. Si la petición llega a asociarse

con una entrada de comunicaciones cuyo usuario por omisión es *SYS, la petición
puede iniciarse en el sistema. Sin embargo, el perfil *SYS sólo puede ejecutar
funciones del sistema y no aplicaciones de usuario.
Si no desea que los TPN con arquitectura se ejecuten con un perfil por omisión,
puede modificar el usuario por omisión de *SYS a *NONE en las entradas de
comunicaciones. En la “Peticiones de TPN con arquitectura” se indican los TPN
con arquitectura y los perfiles de usuario asociados.
Si no desea que un TPN específico se ejecute en el sistema, realice las siguientes

acciones:
1. Cree un programa CL que acepte varios parámetros. El programa no debe
realizar ninguna función. Simplemente debe tener las sentencias Declarar (DCL)
para los parámetros y después finalizar.
2. Añada una entrada de direccionamiento para el TPN a cada subsistema que
tenga entradas de comunicaciones o entradas de nombre de ubicación remota.
La entrada de direccionamiento debe especificar lo siguiente:
v Un valor Comparar valor (CMPVAL) igual al nombre del programa del TPN
(consulte Peticiones de TPN con arquitectura) con una posición inicial de 37.
v Un valor Programa a llamar (PGM) igual al nombre del programa creado en el
paso 1. Ello impide que el TPN ubique otra entrada de direccionamiento,
como por ejemplo *ANY.
Varios TPN ya tienen su propia entrada de direccionamiento en el subsistema

QCMN. Se han añadido por motivos de rendimiento.
Peticiones de TPN con arquitectura

Tabla 17. Programas y usuarios para peticiones de TPN
Petición de TPN Programa Perfil de usuario Descripción
X'30F0F8F1' AMQCRC6A *NONE Cola de mensajes
X'06F3F0F1' QACSOTP QUSER Programa de transacciones de inicio de sesión
APPC
X'30F0F2D1' QANRTP QADSM Configuración ADSM/400 APPC
X'30F0F1F9' QCNPCSUP *NONE Carpetas compartidas
X'07F0F0F1' QCNTEDDM QUSER DDM
X'07F6C4C2' QCNTEDDM QUSER SQL–DRDA1 remoto
X'30F0F7F7' QCQNRBAS QSVCCS Servidor CC_ de SNA
X'30F0F1F4' QDXPRCV QUSER Receptor de DSNX–PC
X'30F0F1F3' QDXPSEND QUSER Emisor de DSNX–PC
X'30F0F2C4' QEVYMAIN QUSER Servidor ENVY**/400
X'30F0F6F0' QHQTRGT *NONE Cola de datos en PC
X'30F0F8F0' QLZPSERV *NONE Gestor de licencias Client Access
X'30F0F1F7' QMFRCVR *NONE Receptor de mensajes en PC
X'30F0F1F8' QMFSNDR *NONE Emisor de mensajes en PC
Tabla 17. Programas y usuarios para peticiones de TPN (continuación)
Petición de TPN Programa Perfil de usuario Descripción
X'30F0F6F6' QND5MAIN QUSER Controlador de estación de trabajo APPN 5394
DB2DRDA QCNTEDDDM QUSER DB2DRDA
APINGD QNMAPINGD QUSER APINGD
X'30F0F5F4' QNMEVK QUSER Programas de utilidad de gestión del sistema
X'30F0F2C1' QNPSERVR *NONE Servidor de impresión de red PWS-I
X'30F0F7F9' QOCEVOKE *NONE Calendario de sistemas cruzados
X'30F0F6F1' QOKCSUP QDOC Duplicación de directorio
X'20F0F0F7' QOQSESRV QUSER DIA Versión 2
X'20F0F0F0' QOSAPPC QUSER DIA Versión 1
X'30F0F0F5' QPAPAST2 QUSER Paso a través de S/36—S/38
X'30F0F0F9' QPAPAST2 QUSER Paso a través de impresora
X'30F0F4F6' QPWFSTP0 *NONE Carpetas compartidas Tipo 2
X'30F0F2C8' QPWFSTP1 *NONE Servidor de archivos de Client Access
X'30F0F2C9' QPWFSTP2 *NONE Servidor de archivos de Windows** Client
Access
X'30F0F6F9' QRQSRVX *NONE SQL remoto – servidor convergente
X'30F0F6F5' QRQSRV0 *NONE SQL remoto sin compromiso
X'30F0F6F4' QRQSRV1 *NONE SQL remoto sin compromiso
X'30F0F2D2' QSVRCI QUSER SOC/CT
X'21F0F0F8' QS2RCVR QGATE Receptor SNADS FS2
X'21F0F0F7' QS2STSND QGATE Emisor SNADS FS2
X'30F0F1F6' QTFDWNLD *NONE Función de transferencia de PC
X'30F0F2F4' QTIHNPCS QUSER Función TIE
X'30F0F1F5' QVPPRINT *NONE Impresión virtual en PC
X'30F0F2D3' QWGMTP QWGM Ultimedia Mail/400 Server
X'30F0F8F3' QZDAINIT QUSER Servidor de acceso a datos PWS-I
X'21F0F0F2' QZDRCVR QSNADS Receptor SNADS
X'21F0F0F1' QZDSTSND QSNADS Emisor SNADS
X'30F0F2C5' QZHQTRG *NONE Servidor de cola de datos PWS-I
X'30F0F2C6' QZRCSRVR *NONE Servidor de mandatos remotos PWS-I
X'30F0F2C7' QZSCSRVR *NONE Servidor central PWS-I
Métodos para supervisar eventos de seguridad

La puesta a punto de la seguridad no es un esfuerzo que se haga de una sola vez.
Es necesario evaluar constantemente los cambios en el sistema y las anomalías en
la seguridad. Después hay que realizar ajustes en el entorno de seguridad que
respondan a lo que se ha descubierto.

Los informes de seguridad le ayudan a supervisar los cambios relativos a la
seguridad que se producen en el sistema. A continuación se indican otras funciones
del sistema que puede utilizar para ayudarle a detectar anomalías o riesgos para la
seguridad:
v La auditoría de seguridad es una herramienta potente que puede utilizar para
observar diferentes tipos de eventos relativos a la seguridad que se producen en
el sistema. Por ejemplo, puede poner a punto el sistema para que grabe un
registro de auditoría cada vez que un usuario abra un archivo de base de datos
para actualizarlo. Puede hacer una auditoría de todos los cambios efectuados en
los valores del sistema. Puede hacer una auditoría de las acciones que ocurren
cuando los usuarios restauran objetos.
En el Capítulo 9 de la publicación iSeries Security Reference se proporciona
información completa acerca de la función de auditoría de seguridad. Puede
utilizar el mandato Cambiar auditoría de seguridad (CHGSECAUD) para poner
a punto la auditoría de seguridad en el sistema. También puede utilizar el
mandato Visualizar entradas de diario de auditoría (DSPAUDJRNE) para
imprimir información seleccionada del diario de auditoría de seguridad.
v Puede crear la cola de mensajes QSYSMSG para capturar mensajes críticos del
operador del sistema. La cola de mensajes QSYSOPR recibe muchos mensajes de
diversa importancia durante un día normal de trabajo. Los mensajes críticos
relativos a la seguridad pueden pasarse por alto debido al gran volumen de
mensajes que hay en la cola de mensajes QSYSOPR.
Si se crea una cola de mensajes QSYSMSG en la biblioteca QSYS del sistema,
este dirige automáticamente ciertos mensajes críticos a la cola de mensajes
QSYSMSG en lugar de a la cola de mensajes QSYSOPR.
Puede crear un programa para supervisar la cola de mensajes QSYSMSG o bien
puede asignarla en la modalidad de interrupción para usted mismo o para otro
usuario de confianza.
Parte 4. Consejos para las aplicaciones y las comunicaciones
de red
RV3M1202-0

Capítulo 12. Utilización del Sistema de Archivos Integrado
(IFS) para proteger los archivos
El sistema de archivos integrado proporciona múltiples formas de almacenar y ver
información en el iSeries. Este sistema de archivos integrado forma parte del
sistema operativo de OS/400 que ofrece soporte para operaciones de entrada y
salida continuas. Proporciona métodos de gestión de almacenamiento similares a (y
compatibles con) los sistemas operativos de PC y UNIX.
Antes de la V3R1, el iSeries almacenaba y presentaba los objetos desde sus

bibliotecas respectivas (o carpetas para objetos de biblioteca de documentos).Con el
sistema de archivos integrado, todos los objetos del sistema se pueden ver al
mismo tiempo desde la perspectiva de una estructura de directorios jerárquica. Sin
embargo, en muchos casos, los usuarios ven los objetos del modo más común para
un sistema de archivos determinado. Por ejemplo, los objetos de iSeries
″tradicionales″ se encuentran en el sistema de archivos QSYS.LIB. Por lo general,
los usuarios ven los objetos desde la perspectiva de bibliotecas. Los usuarios
visualizan los objetos del sistema de archivos QDLS desde la perspectiva de
documentos dentro de carpetas. Los sistemas de archivos raíz (/), QOpenSys y los
definidos por el usuario presentan una estructura de directorios jerárquicos
(anidados).
Como administrador de seguridad debe conocer lo siguiente:

v Qué sistemas de archivos se utilizan en el sistema
v Las características de seguridad exclusivas de cada sistema de archivos
En los temas siguientes se proporcionan algunas consideraciones generales acerca
de la seguridad del sistema de archivos integrado.
El método de seguridad del Sistema de Archivos Integrado (IFS)

El sistema de archivos raíz es la base (o el fundamento) para todos los demás
sistemas de archivos del iSeries. En un nivel superior, proporciona una vista
integrada de todos los objetos del sistema. Otros sistemas de archivos del iSeries
proporcionan distintas propuestas para la integración y la gestión de objetos,
dependiendo de la finalidad básica de cada sistema de archivos.El sistema de
archivos QOPT (óptico), por ejemplo, permite que las aplicaciones y los servidores
de iSeries (incluido el servidor de archivos de Client Access) accedan a la unidad
de CD-ROM del iSeries. Del mismo modo, el sistema de archivos QFileSvr.400
permite que las aplicaciones accedan a los datos del sistema de archivos integrado
de sistemas iSeries 400 remotos. El servidor de archivos QLANSrv permite acceder
a los archivos almacenados en el Integrated xSeries Server for iSeries o en otros
servidores conectados de la red.
La propuesta para la seguridad de cada sistema de archivos depende de los datos

que cada sistema de archivos permite que estén disponibles. El sistema de archivos
QOPT, por ejemplo, no proporciona seguridad de nivel de objeto, puesto que no
existe tecnología para escribir información de autorización en un CD-ROM. Para el
sistema de archivos QFileSvr.400, el control de acceso se lleva a cabo en el sistema
remoto (donde se gestionan y están almacenados los archivos físicamente). Para los
sistemas de archivos como, por ejemplo, QLANSrv, el Integrated xSeries Server for
iSeries proporciona control de acceso. A pesar de los distintos modelos de

seguridad, muchos sistemas de archivos soportan la gestión coherente del control
de acceso a través de los mandatos del sistema de archivos integrado, tales como
Cambiar autorización (CHGAUT) y Cambiar propietario (CHGOWN).
Estos son algunos consejos relacionados con todos los aspectos de la seguridad del
sistema de archivos integrado. El sistema de archivos integrado está diseñado para
seguir los estándares de POSIX con la mayor precisión posible. Esto conduce a un
comportamiento interesante, en el que la autorización de iSeries 400 y los permisos
de POSIX se ″mezclan″:
1. No elimine la autorización privada de un usuario sobre un directorio
propiedad de ese usuario, incluso si el usuario está autorizado mediante la
autorización de uso público, un grupo o una lista de autorizaciones. Al trabajar
con bibliotecas o carpetas en el modelo de seguridad de iSeries estándar,
eliminar la autorización privada del propietario reduciría la cantidad de
información sobre autorizaciones almacenada para un perfil de usuario y no
afectaría a otras operaciones. De todas maneras, debido a la forma en que el
estándar POSIX define la herencia de permisos para directorios, el propietario
de un directorio recién creado tendrá las mismas autorizaciones sobre objetos
para ese directorio que el propietario del padre tiene sobre el padre, incluso si
el propietario del directorio recién creado tiene otras autorizaciones privadas
sobre el padre. Para comprenderlo mejor, he aquí un ejemplo: USERA posee el
directorio /DIRA, pero se han eliminado las autorizaciones privadas de
USERA. USERB tiene autorización privada sobre /DIRA. USERB crea el
directorio /DIRA/DIRB. Dado que USERA no tiene autorizaciones sobre objeto
en /DIRA, USERB no tendrá autorizaciones sobre objeto en /DIRA/DIRB.
USERB no podrá redenominar ni suprimir /DIRA/DIRB sin tener que llevar a
cabo acciones para cambiar las autorizaciones sobre objeto de USERB. Esto
también entra en juego al crear archivos con la API open() utilizando el
distintivo O_INHERITMODE. Si USERB ha creado un archivo /DIRA/FILEB,
USERB no tendrá autorizaciones sobre objeto NI autorizaciones de datos sobre
él. USERB no podrá grabar en el nuevo archivo.
2. La autorización adoptada no se acepta en la mayoría de sistemas de archivos
físicos. Eso incluye los sistemas de archivos raíz (/), QOpenSys, QDLS y los
definidos por el usuario.
3. Los objetos existentes son propiedad del perfil de usuario que los haya creado,
incluso si el campo OWNER del perfil de usuario está establecido como
*GRPPRF.
4. Muchas operaciones del sistema de archivos requieren autorización de datos
*RX para cada componente de la vía de acceso, incluido el directorio raíz (/).
Al experimentar problemas con las autorizaciones, asegúrese de comprobar la
autorización del usuario sobre el propio directorio raíz.
5. Visualizar o recuperar el directorio de trabajo actual (DSPCURDIR, getcwd(),
etc.) requiere autorización de datos *RX para cada componente de la vía de
acceso. No obstante, modificar el directorio de trabajo actual (CD, chdir(), etc.)
solamente requiere autorización de datos *X para cada componente. Por
consiguiente, un usuario puede cambiar el directorio de trabajo actual a una vía
de acceso determinada y luego no poder visualizar esa vía de acceso.
6. La finalidad del mandato COPY es duplicar un objeto. Los valores de
autorización en el nuevo archivo serán los mismos que en el original, excepto el
propietario. La finalidad del mandato CPYTOSTMF, no obstante, es
simplemente duplicar datos. El usuario no puede controlar los valores de
autorización en el nuevo archivo. El creador/propietario tendrá autorización de
datos *RWX, pero las autorizaciones de uso público y de grupo serán
*EXCLUDE. El usuario debe utilizar otros medios (CHGAUT, chmod(), etc.)
para asignar las autorizaciones deseadas.
7. Un usuario debe ser el propietario o tener autorización sobre objeto *OBJMGT
para recuperar información de autorización sobre un objeto. Esto puede
aparecer en lugares inesperados, como COPY, que debe recuperar la
información de autorización del objeto origen para establecer las autorizaciones
equivalentes en el objeto destino.
8. Al cambiar el propietario o el grupo de un objeto, el usuario no debe tener
solamente la autorización adecuada sobre el objeto, sino que también debe
tener la autorización de datos *ADD sobre el nuevo perfil de usuario de
propietario/grupo y la autorización de datos *DELETE sobre el antiguo perfil
de propietario/grupo. Estas autorizaciones de datos no están relacionadas con
las autorizaciones de datos del sistema de archivos. Estas autorizaciones de
datos pueden visualizarse utilizando el mandato DSPOBJAUT y modificarse
utilizando el mandato EDTOBJAUT. Esto también puede aparecer
inesperadamente en COPY cuando intenta definir el ID de grupo para un
objeto nuevo.
9. El mandato MOV tiene tendencia a sufrir errores de autorización extraños,
especialmente al trasladar de un sistema de archivos físico a otro o al realizar
conversión de datos. En estos casos, el traslado se convierte realmente en una
operación de copiar y suprimir. Por consiguiente, el mandato MOV puede
resultar afectado por las mismas consideraciones sobre autorizaciones que el
mandato COPY (vea los puntos 7 y 8) y el mandato RMVLNK, aparte de otras
consideraciones específicas de MOV.
Los apartados siguientes ofrecen consideraciones sobre diversos sistemas de

archivos representativos. Para obtener más información acerca de un sistema de
archivos específico de su iSeries, debe consultar la documentación correspondiente
al programa bajo licencia que utiliza el sistema de archivos.
Consejos de seguridad para los sistemas de archivos raíz (/),

QOpenSys y los definidos por el usuario
A continuación se presentan algunas consideraciones sobre la seguridad para los
sistemas de archivos raíz, QOpenSys y los definidos por el usuario.
Cómo funciona la autorización para los sistemas de archivos

raíz (/), QOpenSys y los definidos por el usuario
Los sistemas de archivos raíz, QOpenSys y los definidos por el usuario
proporcionan una combinación de las posibilidades del iSeries, PC y UNIX** tanto
para la gestión de objetos como para la seguridad. Al utilizar los mandatos del
sistema de archivos integrado de una sesión iSeries (WRKAUT y CHGAUT), puede
establecer todas las autorizaciones de objeto iSeries normales. Esto incluye las
autorizaciones *R, *W y *X que son compatibles con Spec 1170 (sistemas operativos
de tipo UNIX).
Nota: Los sistemas de archivos raíz, QOpenSys y los definidos por el usuario son
equivalentes en sus funciones. El sistema de archivos QOpenSys es sensible
a las mayúsculas y el sistema de archivos raíz no. Los sistemas de archivos
definidos por el usuario pueden definirse como sensibles a las mayúsculas y
minúsculas. Dado que estos sistemas de archivos tienen las mismas
características de seguridad, en los temas siguientes se puede dar por
supuesto que sus nombres se utilizan indistintamente.
Capítulo 12. Utilización del Sistema de Archivos Integrado (IFS) para proteger los archivos 135
Al acceder al sistema de archivos raíz como administrador desde una sesión de
PC, puede establecer los atributos de objetos que utiliza el PC para restringir
determinados tipos de acceso:
v Sistema
v Ocultar
v Archivar
v Sólo lectura
Estos atributos del PC se añaden y no sustituyen a los valores de autorización
sobre objeto de iSeries.
Cuando un usuario intenta acceder a un objeto del sistema de archivos raíz, el

OS/400 aplica todos los atributos y valores de autorización para el objeto, tanto si
dichas autorizaciones son ″visibles″ desde la interfaz del usuario como si no. Por
ejemplo, suponga que el atributo de sólo lectura para un objeto está activado. Un
usuario de PC no puede suprimir el objeto a través de una interfaz de Client
Access. Un usuario de iSeries con una estación de trabajo de función fija tampoco
puede suprimir el objeto incluso aunque el usuario de iSeries tenga autorización
especial *ALLOBJ. Para eliminar el objeto, un usuario autorizado debe utilizar una
función de PC para restablecer el valor de sólo lectura en desactivado. Del mismo
modo, un usuario de PC puede no tener la autorización de OS/400 suficiente para
cambiar los atributos de seguridad relacionados con el PC de un objeto.
Las aplicaciones de tipo UNIX que se ejecutan en el iSeries utilizan interfaces de

programación de aplicaciones (API) de tipo UNIX para acceder a los datos del
sistema de archivos raíz. Con API de tipo UNIX, las aplicaciones pueden reconocer
y mantener la información de seguridad siguiente:
v Propietario de objeto
v Propietario de grupo (autorización de grupo primario de iSeries)
v Lectura (archivos)
v Escritura (modificar el contenido)
v Ejecución (ejecutar programas o buscar directorios)
El sistema correlaciona estas autorizaciones de datos con las autorizaciones de
datos y objetos existentes del iSeries:
v Lectura (*R) = *OBJOPR y *READ
v Escritura (*W) = *OBJOPR, *ADD, *UPD, *DLT
v Ejecución (*X) = *OBJOPR y *EXECUTE
Los conceptos de otras autorizaciones sobre objeto (*OBJMGT, *OBJEXIST,

*OBJALTER y *OBJREF) no existen en un entorno de tipo UNIX.
Sin embargo, estas autorizaciones sobre objeto existen para todos los objetos del
sistema de archivos raíz. Al crear un objeto utilizando una API de tipo UNIX, ese
objeto hereda estas autorizaciones del directorio padre, dando como resultado lo
siguiente:
v El propietario del objeto nuevo tiene la misma autorización sobre objeto que el
propietario del directorio padre.
v El grupo primario del objeto nuevo tiene la misma autorización sobre objeto que
el grupo primario del directorio padre.
v El público del objeto nuevo tiene la misma autorización sobre objeto que el
público del directorio padre.
La autorización sobre datos del objeto nuevo para propietario, grupo primario y
público se especifica en la API con el parámetro de modalidad. Cuando todas las
autorizaciones sobre objeto están establecidas como ’activadas’, obtendrá el mismo
comportamiento por parte de las autorizaciones que el que esperaría en un entorno
de tipo UNIX. Es mejor dejarlas ’activadas’, a menos que no desee un
comportamiento como el de POSIX.
Al ejecutar aplicaciones que utilizan API de tipo UNIX, el sistema fuerza todas las
autorizaciones sobre objeto, tanto si son ″visibles″ a las aplicaciones UNIX como si
no. Por ejemplo, el sistema fuerza la autorización de listas de autorizaciones,
aunque en los sistemas operativos de tipo UNIX no exista el concepto de listas de
autorizaciones.
Si dispone de un entorno de aplicaciones mixtas, debe asegurarse de que no realiza

cambios de autorizaciones en un entorno que pueda interrumpir sus aplicaciones
en otro entorno.
Trabajar con la seguridad para los sistemas de archivos raíz (/),

QOpenSys y los definidos por el usuario
Al introducir el sistema de archivos integrado, el iSeries también proporciona un
nuevo conjunto de mandatos para trabajar con objetos en sistemas de archivos
múltiples.En este conjunto se incluyen mandatos para trabajar con la seguridad:
v Cambiar auditoría (CHGAUD)
v Cambiar autorización (CHGAUT)
v Cambiar propietario (CHGOWN)
v Cambiar grupo primario (CHGPGP)
v Visualizar autorización (DSPAUT)
v Trabajar con autorización (WRKAUT)
Estos mandatos agrupan las autorizaciones básicas sobre objeto y sobre datos en
subconjuntos de autorizaciones de tipo UNIX.
*RWX Leer/grabar/ejecutar
*RW Leer/grabar
*R Leer
*WX Grabar/ejecutar
*W Grabar
*X Ejecutar
Además, hay interfaces API de tipo UNIX disponibles para trabajar con la
seguridad.
Autorización de uso público para el directorio raíz

Al entregar el sistema, la autorización de uso público para el directorio raíz es
*ALL (todas las autorizaciones sobre objeto y sobre datos). Este valor proporciona
la flexibilidad y la compatibilidad necesarias para ajustarse a las necesidades de las
aplicaciones de tipo UNIX y a lo que esperan los usuarios de iSeries. Un usuario
de iSeries con la posibilidad de línea de mandatos puede crear una nueva
biblioteca en el sistema de archivos QSYS.LIB simplemente utilizando el mandato
CRTLIB. Por lo general, la autorización en un sistema iSeries lo permite. Del
mismo modo, con el valor recibido originalmente para el sistema de archivos raíz,
un usuario puede crear un nuevo directorio raíz (del mismo modo que se crea un
nuevo directorio en el PC).
Como administrador de seguridad, debe educar a sus usuarios acerca de cómo

deben proteger adecuadamente los objetos que crean. Cuando un usuario crea una
biblioteca, probablemente la autorización de uso público para la biblioteca no deba
ser *CHANGE (el valor por omisión). El usuario debe establecer la autorización de
uso público para *USE o para *EXCLUDE, dependiendo del contenido de la
biblioteca.
Si los usuarios necesitan crear directorios nuevos en los sistemas de archivos raíz
(/), QOpenSys o los definidos por el usuario, existen diversas opciones de
seguridad:
v Puede enseñar a sus usuarios a que alteren temporalmente la autorización por
omisión al crear nuevos directorios. El valor por omisión es la herencia de la
autorización del directorio padre inmediato. En el caso de un directorio que se
acaba de crear en el directorio raíz, la autorización de uso público por omisión
será *ALL.
v Puede crear un subdirectorio ″maestro″ bajo el directorio raíz. Establezca la
autorización de uso público del directorio maestro en un valor adecuado para su
organización y, a continuación, solicite a sus usuarios que creen todos sus
directorios personales nuevos en este subdirectorio maestro. Sus nuevos
directorios heredarán la autorización.
v Puede cambiar la autorización de uso público para el directorio raíz con el fin de
evitar que los usuarios creen objetos en dicho directorio. (Elimine las
autorizaciones *W, *OBJEXIST, *OBJALTER, *OBJREF y *OBJMGT.) No obstante,
debe evaluar si este cambio puede causar problemas en cualquiera de sus
aplicaciones. Por ejemplo, puede tener aplicaciones de tipo UNIX que puedan
suprimir objetos del directorio raíz.
Mandato Imprimir objetos con autorización privada (PRTPVTAUT)

imprimir un informe de todas las autorizaciones privadas correspondientes a los
objetos de un tipo determinado de una biblioteca, carpeta o directorio
especificados. El informe lista todos los objetos del tipo especificado y los usuarios
autorizados de dichos objetos. Constituye una forma de comprobar las distintas
fuentes de las autorizaciones de los objetos.
Este mandato imprime tres informes de los objetos seleccionados. El primer

informe (Informe completo) contiene todas las autorizaciones privadas de todos los
objetos seleccionados. El segundo informe (Informe de cambios) contiene adiciones
y cambios en las autorizaciones privadas de los objetos seleccionados, si
previamente se ha ejecutado el mandato PRTPVTAUT en los objetos especificados
de la biblioteca, carpeta o directorio especificados. Todo objeto nuevo, nuevas
autorizaciones en objetos existentes o cambios en las autorizaciones existentes de
los objetos existentes se listarán en el ’Informe de cambios’. Si previamente no se
ha ejecutado el mandato PRTPVTAUT para los objetos especificados en la
biblioteca, carpeta o directorio especificados, no se creará ningún ’Informe de
cambios’. Si previamente se ha ejecutado el mandato, pero no se han efectuado
cambios en las autorizaciones de los objetos, se imprimirá el ’Informe de cambios’,
aunque no listará ningún objeto.
El tercer informe (Informe de supresiones) contiene todas las supresiones de los

usuarios con autorizaciones privadas de los objetos especificados, desde que se
ejecutó por última vez el mandato PRTPTVAUT. Todos los objetos suprimidos, o
todos los usuarios que se hayan eliminado como usuarios con autorizaciones
privadas, se listarán en el ’Informe de eliminaciones’. Si previamente no se ha
ejecutado el mandato PRTPTVAUT, no se creará ningún ’Informe de eliminaciones’.
Si previamente se ha ejecutado el mandato, pero no se han efectuado operaciones
de supresión en los objetos, se imprimirá el ’Informe de supresiones’, aunque no
listará ningún objeto.
Restricción: Deberá tener la autorización especial *ALLOBJ para utilizar este

mandato.
Ejemplos:
Este mandato crea los informes completo, de cambios y de supresiones para todos
los objetos de archivo de PAYROLLLIB:
PRTPVTAUT OBJTYPE(*FILE) LIB(PAYROLLLIB)
los objetos de archivo continuo del directorio garry:
PRTPVTAUT OBJTYPE(*STMF) DIR(/GARRY) SCHSUBDIR(*NO)
los objetos de archivo continuo de la estructura de subdirectorios que empieza en
el directorio garry:
PRTPVTAUT OBJTYPE(*STMF) DIR(/GARRY) SCHSUBDIR(*YES)
Mandato Imprimir objetos con autorizaciones de uso público

(PRTPUBAUT)
El mandato Imprimir objetos con autorizaciones de uso público (PRTPUBAUT)
permite imprimir un informe de los objetos especificados que no posean la
autorización de uso público de *EXCLUDE. En los objetos *PGM, solamente los
programas que no posean una autorización de uso público de *EXCLUDE que
pueda llamar un usuario (el programa es del dominio del usuario, o bien tiene un
nivel de seguridad del sistema (valor del sistema QSECURITY) de 30 o inferior), se
incluirán en el informe. Constituye una forma de comprobar los objetos que todos
los usuarios del sistema están autorizados a acceder.
Este mandato imprimirá dos informes. El primer informe (Informe completo)

contendrá todos los objetos especificados que no posean una autorización de uso
público de *EXCLUDE. El segundo informe (Informe de cambios) contendrá los
objetos que ahora no tengan la autorización de uso público de *EXCLUDE, y que
anteriormente tuvieran la autorización de uso público de *EXCLUDE o bien no
existieran cuando se ejecutara previamente el mandato PRTPUBAUT. Si no se
hubiera ejecutado previamente el mandato PRTPUBAUT para los objetos
especificados y la biblioteca, carpeta o directorio, no se creará ningún ’Informe de
cambios’. Si se hubiese ejecutado previamente el mandato, pero ningún objeto
adicional no tuviera la autorización de uso público de *EXCLUDE, se imprimirá el
’Informe de cambios’, aunque no listará ningún objeto.
Restricciones: Deberá tener la autorización especial de *ALLOBJ para utilizar este

comando.
Ejemplos:
Este mandato crea los informes completo y de cambios para todos los objetos de
archivo de la biblioteca GARRY que no tienen una autorización de uso público
*EXCLUDE:
PRTPUBAUT OBJTYPE(*FILE) LIB(GARRY)
los objetos de archivo continuo de la estructura de subdirectorios que empieza en
el directorio garry, que no tienen una autorización de uso público *EXCLUDE:
PRTPUBAUT OBJTYPE(*STMF) DIR(GARRY) SCHSUBDIR(*YES)
Restricción del acceso al sistema de archivos QSYS.LIB
Puesto que el sistema de archivos raíz se considera como el sistema de archivos
base, el sistema de archivos QSYS.LIB constituye un subdirectorio dentro del
directorio raíz. Por consiguiente, cualquier usuario de PC que disponga de acceso
al iSeries puede manipular los objetos almacenados en las bibliotecas del iSeries (el
sistema de archivos QSYS.LIB) con acciones y mandatos de PC normales.Un
usuario de PC puede, por ejemplo, arrastrar un objeto de QSYS.LIB (como la
biblioteca con sus archivos de datos críticos) a la troceadora.
Tal y como se ha explicado en “Consejos de seguridad para los sistemas de

archivos raíz (/), QOpenSys y los definidos por el usuario” en la página 135, el
sistema fuerza todas las autorizaciones sobre objeto, tanto si son visibles para la
interfaz como si no. Por consiguiente, un usuario no puede trocear (suprimir) un
objeto a menos que el usuario tenga la autorización *OBJEXIST para el objeto. Sin
embargo, si su iSeries depende de la seguridad de acceso de menú en lugar de la
seguridad de los objetos, el usuario del PC puede descubrir objetos del sistema de
archivos QSYS.LIB disponibles para trocear.
A medida que vaya ampliando las utilizaciones del sistema y los diferentes
métodos de acceso que puede proporcionar, irá descubriendo que la seguridad de
acceso de menú no es suficiente. En el “Capítulo 6. Utilización de la autorización
sobre objetos para proteger la información” en la página 59 se tratan las estrategias
para proporcionar el control de acceso de menú con la seguridad de objetos. Sin
embargo, el iSeries también proporciona un modo sencillo para impedir el acceso
al sistema de archivos QSYS.LIB a través de la estructura de directorios del sistema
de archivos raíz.Puede utilizar la lista de autorizaciones de QPWFSERVER para
controlar los usuarios que pueden acceder al sistema de archivos QSYS.LIB a
través del directorio raíz.
Cuando la autorización de un usuario a la lista de autorizaciones QPWFSERVER es

*EXCLUDE, el usuario no puede entrar en el directorio QSYS.LIB desde la
estructura del directorio raíz. Si la autorización es *USE, el usuario puede entrar en
el directorio. Cuando el usuario dispone de la autorización para entrar en el
directorio, la autorización normal de objeto se aplica a todas las acciones que
intente llevar a cabo en un objeto del sistema de archivos QSYS.LIB. En otras
palabras, la autorización de la lista de autorizaciones QPWFSERVER actúa como
una puerta al sistema de archivos QSYS.LIB completo. Para el usuario con la
autorización *EXCLUDE, la puerta está bloqueada. Para el usuario con la
autorización *USE (o cualquier autorización superior), la puerta está abierta.
En la mayor parte de las situaciones, los usuarios no necesitan utilizar una interfaz
de directorio para acceder a los objetos del sistema de archivos QSYS.LIB.
Probablemente, quizá desee establecer la autorización de uso público de la lista de
autorizaciones QPWFSERVER para *EXCLUDE. Recuerde que la autorización de la
lista de autorizaciones abre o cierra la puerta de todas las bibliotecas contenidas en
el sistema de archivos QSYS.LIB, incluyendo las bibliotecas de usuario. Si algún
usuario pone objeciones a esta exclusión, puede evaluar sus requisitos
individualmente. Si lo considera necesario, puede autorizar explícitamente a un
usuario individual a la lista de autorizaciones. Sin embargo, debe asegurarse de
que el usuario tenga la autorización adecuada para los objetos del sistema de
archivos QSYS.LIB. De lo contrario, podrá suprimir objetos o bibliotecas enteras
involuntariamente.
Notas:
1. Cuando se entrega el sistema, la autorización de uso público para la lista de
autorizaciones QPWFSERVER es *USE.
2. Si autoriza a un usuario individual de forma explícita la lista de autorizaciones
controla el acceso solamente con el servidor de archivos Client Access, el
servidor de archivos NetServer y el servidor de archivos entre iSeries. Ello no
evitará el acceso a los mismos directorios desde FTP, ODBC u otras redes.
Seguridad de los directorios

Para acceder a un objeto del sistema de archivos raíz, debe leer la vía de acceso
completa a dicho objeto. Para buscar un directorio, debe disponer de una
autorización *X (*OBJOPR y *EXECUTE) para dicho directorio. Suponga, por
ejemplo, que desea acceder al objeto siguiente:
/companya/customers/custfile.dat
Debe tener autorización *X para el directorio companya y para el directorio

customers.
Con el sistema de archivos raíz, puede crear un enlace simbólico para un objeto.
Un enlace simbólico es un seudónimo para el nombre de la vía de acceso.
Generalmente, es más corto y más fácil de recordar que el nombre de la vía de
acceso completa. Sin embargo, un enlace simbólico no crea una vía de acceso física
diferente para el objeto. El usuario continúa necesitando la autorización *X para
cada directorio y subdirectorio de la vía de acceso física al objeto.
Para los objetos del sistema de archivos raíz, puede utilizar la seguridad de
directorios del mismo modo que utilizaría la seguridad de bibliotecas en el sistema
de archivos QSYS.LIB. Por ejemplo, puede establecer la autorización de uso público
de un directorio para *EXCLUDE e impedir así que los usuarios públicos puedan
acceder a los objetos del árbol.
Seguridad para nuevos objetos

Al crear un objeto nuevo en el sistema de archivos raíz, la interfaz que utilice para
crearlo determinará sus autorizaciones. Por ejemplo, si utiliza el mandato CRTDIR
y sus valores por omisión, el nuevo directorio hereda todas las características de
autorización de su directorio padre, incluidas las autorizaciones privadas, la
autorización de grupo primario y la asociación de lista de autorizaciones. Los
apartados siguientes describen cómo se determinan las autorizaciones para cada
tipo de interfaz.
La autorización procede del directorio padre inmediato, no de los directorios

superiores del árbol. Por consiguiente, como administrador de seguridad, necesita
ver la autorización que asigna a los directorios de una jerarquía desde dos
perspectivas:
v Cómo influye la autorización en el acceso a los objetos del árbol (por ejemplo,
autorización de biblioteca).
v Cómo influye la autorización en los objetos que se acaban de crear (por ejemplo,
el valor CRTAUT para bibliotecas).
Recomendación: Puede interesarle ofrecer a los usuarios que trabajen en el sistema

de archivos integrado un directorio inicial (por ejemplo,
/home/usrxxx) y luego establecer la seguridad de forma
apropiada (por ejemplo como PUBLIC *EXCLUDE). Todos los
directorios que cree el usuario bajo su directorio inicial,
heredarán las autorizaciones.
A continuación se muestran algunas descripciones de la herencia de autorización

para interfaces diferentes:
Utilización del mandato Crear directorio de iSeries 400

Al crear un nuevo subdirectorio utilizando el mandato CRTDIR, existen dos
opciones para especificar la autorización:
v Puede especificar la autorización de uso público (autorización sobre datos,
autorización sobre objetos o ambas).
v Puede especificar *INDIR para la autorización sobre datos, la autorización sobre
objetos o ambas. Al especificar *INDIR para la autorización sobre datos y la
autorización sobre objetos, el sistema hace una copia exacta de toda la
información sobre autorizaciones del directorio padre en el nuevo objeto,
incluyendo la lista de autorizaciones, el grupo primario, la autorización de uso
público y las autorizaciones privadas. (El sistema no copia la autorización
privada que tiene el perfil QSYS o el perfil QSECOFR para el objeto).
Creación de un directorio con una API

Al crear un directorio utilizando la API mkdir(), especifica las autorizaciones sobre
datos para el propietario y el grupo primario y el público (utilizando la correlación
de autorización de *R, *W y *X). El sistema utiliza la información del directorio
padre para establecer las autorizaciones sobre objetos para el propietario, el grupo
primario y el público.
Puesto que los sistemas operativos de tipo UNIX no disponen del concepto de
autorizaciones sobre objeto, la API mkdir() no ofrece soporte para especificar
autorizaciones sobre objeto. Si desea autorizaciones sobre objeto diferentes, puede
utilizar el mandato de iSeries CHGAUT. Sin embargo, al eliminar algunas
autorizaciones sobre objeto, la aplicación de tipo UNIX puede no funcionar como
espera.
Creación de un archivo continuo con las API open() o creat()

Cuando utilice la API creat() para crear un archivo continuo, puede especificar las
autorizaciones sobre datos para el propietario, el grupo primario y el público
(utilizando las autorizaciones de tipo UNIX *R, *W y *X). El sistema utiliza la
información del directorio padre para establecer las autorizaciones sobre objetos
para el propietario, el grupo primario y el público.
También puede especificar estas autorizaciones al utilizar la API open() para crear
un archivo continuo. Alternativamente, cuando utilice la API open() puede
especificar que el objeto herede todas las autorizaciones del directorio padre. Esto
se denomina modalidad de herencia. Al especificar la modalidad de herencia, el
sistema crea una copia exacta para las autorizaciones padre, incluyendo la lista de
autorizaciones, el grupo primario, la autorización pública y las autorizaciones
privadas. Esta función es similar a especificar *INDIR en el mandato CRTDIR.
Creación de un objeto utilizando una interfaz de PC

Al utilizar una aplicación de PC para crear un objeto en el sistema de archivos
raíz, el sistema hereda automáticamente todas las autorizaciones del directorio
padre. Incluye la lista de autorizaciones, el grupo primario, la autorización de uso
público y las autorizaciones privadas. Las aplicaciones de PC no equivalen en
absoluto a especificar la autorización cuando se crea un objeto.
Consejos de seguridad para los sistemas de archivos QLANSrv y

QNetWare
La finalidad de los sistemas de archivos QLANSrv y QNetWare es proporcionar la
posibilidad de que los trabajos de iSeries accedan a los datos de un servidor de
red.Un trabajo de iSeries utiliza el sistema de archivos QLANSrv para que un
cliente solicite datos al programa LAN Server.El programa LAN Server puede estar
ejecutándose en un servidor PC integrado en el mismo sistema iSeries, o bien
puede estar ejecutándose en un servidor separado físicamente en la red.
Nota: El sistema de archivos QLANSrv no está soportado después de la V4R3.

Del mismo modo, un trabajo de iSeries utiliza el sistema de archivos QNetWare
para que un cliente solicite datos al programa Integraci¾n NetWare, que puede
estar ejecutándose en un Integrated xSeries Server for iSeries o en otro servidor.
Ni el sistema de archivos QLANSrv ni el sistema de archivos QNetWare almacenan

o mantienen los datos realmente. Proporcionan la función de cliente para permitir
que los trabajos de iSeries accedan a los datos que almacena y mantiene un
servidor.Por consiguiente, el programa servidor (LAN Server o Integraci¾n
NetWare) es el responsable de proteger los datos.
Como administrador de seguridad de iSeries, deberá tener en cuenta dos cosas al

ejecutarse un programa servidor en un Servidor PC integrado o Integrated xSeries
Server for iSeries que forme parte de su sistema:
v En primer lugar, debe saber quién es el responsable de la seguridad relacionada
con el servidor. ¿Tiene un administrador para el servidor y, en caso afirmativo,
es esa persona responsable de la seguridad? ¿O, considera que los datos forman
parte de la serie de aplicaciones de iSeries y, por consiguiente, son su
responsabilidad? Asegúrese de que no se ignore la seguridad del servidor sólo
porque no se han definido correctamente las funciones administrativas.
v En segundo lugar, si su responsabilidad respecto a la seguridad en más amplia
que en las aplicaciones tradicionales de iSeries, será necesario comprender cómo
funciona la seguridad del servidor. En las sugerencias siguientes se toma el
programa LAN Server como punto de partida. Otros programas de servidor
tienen consideraciones de seguridad similares.
– Los usuarios de LAN Server no suponen una amenaza directa para su
sistema. No pueden acceder a los datos situados fuera del sistema de archivos
QLANSrv desde el programa LAN Server.
– Debe comprender, así como el administrador de la LAN, que la recuperación
de autorizaciones y de usuarios de LAN Server es diferente de la
recuperación de las autorizaciones y los usuarios de iSeries.Debe elaborar
planes para asegurar que la información de seguridad de su LAN Server se
guarda correctamente.
Consejos de seguridad para el sistema de archivos QFileSvr.400

Con el sistema de archivos QFileSvr.400, un usuario (USERX) de un sistema iSeries
(SYSTEMA) puede acceder a los datos de otro sistema iSeries conectado
(SYSTEMB).El USERX tiene una interfaz que es exactamente igual a la interfaz de
Client Access. El iSeries remoto (SYSTEMB) se muestra como un directorio con
todos sus sistemas de archivos y subdirectorios.
Cuando USERX intenta acceder a SYSTEMB con esta interfaz, SYSTEMA envía el
nombre de perfil de usuario USERX y la contraseña cifrada para SYSTEMB. El
mismo perfil de usuario y la misma contraseña deben existir en SYSTEMB o
SYSTEMB rechaza la petición.
Si SYSTEMB acepta la petición, USERX se muestra a SYSTEMB como cualquier

otro usuario de Client Access. Las mismas normas de comprobación de
autorización se aplican a todas las acciones que intente USERX.
Como administrador de seguridad, debe saber que el sistema de archivos

QFileSvr.400 representa otra puerta posible al sistema. No puede asumir que está
limitando a sus usuarios remotos a una conexión interactiva con paso a través de
estación de pantalla. Si se está ejecutando el subsistema QSERVER y el sistema está
conectado a otro sistema iSeries, los usuarios remotos pueden acceder al sistema
como si estuvieran en un PC local ejecutando Client Access.Es más que probable
que su sistema disponga de una conexión que precise que se ejecute el subsistema
QSERVER. Este sería otro de los motivos por los que un esquema de autorización
sobre objeto resulta esencial.
Consejos de seguridad para el sistema de archivos de red

El sistema de archivos de red (NFS) proporciona acceso a sistemas con
implementaciones NFS. NFS es un método estándar del mercado para compartir
información entre usuarios de los sistemas de la red. La mayor parte de los
sistemas operativos importantes (incluyendo sistemas operativos de PC)
proporciona NFS. Para sistemas UNIX, NFS es el método principal para acceder a
los datos. iSeries puede actuar como un cliente o como un servidor NFS.
Si es un administrador de seguridad de un sistema iSeries que actúa como un

servidor NFS, necesita comprender y gestionar los aspectos de seguridad de NFS.A
continuación se presentan algunas sugerencias y consideraciones:
v Debe iniciar explícitamente la función de servidor NFS utilizando el mandato
STRNFSSVR. Controle quién está autorizado a utilizar este mandato.
v Para que un directorio o un objeto estén disponibles para los clientes NFS debe
exportarlos. Por consiguiente, dispone de un control específico a través del cual
parte de su sistema estará disponible a los clientes NFS de la red.
v Al exportar, puede especificar los clientes que deben disponer de acceso a los
objetos. La identificación de un cliente se lleva a cabo mediante el nombre del
sistema o la dirección IP. Un cliente puede ser un PC individual o un sistema
iSeries o UNIX completo. En terminología NFS, el cliente (dirección IP) se
denomina una máquina.
v Al exportar, puede especificar el acceso de sólo lectura o de lectura/grabación
para cada máquina que tenga acceso a un directorio u objeto exportado. En la
mayoría de los casos, quizá desee proporcionar acceso de sólo lectura.
v El NFS no proporciona protección de contraseña. Su diseño y finalidad es
compartir datos entre una comunidad de sistemas autorizados. Cuando un
usuario solicita acceso, el servidor recibe el uid del usuario. A continuación se
incluyen algunas consideraciones acerca del uid:
– El iSeries intenta localizar un perfil de usuario con el mismo uid.Si encuentra
un uid que coincide, utiliza las credenciales del perfil de usuario. Las
credenciales son un término NFS para describir la utilización de la
autorización de un usuario. Es similar al intercambio de perfiles de otras
aplicaciones iSeries.
– Al exportar un directorio u objeto, puede especificar si se permitirá el acceso
mediante un perfil con autorización raíz. El servidor NFS de iSeries compara
la autorización raíz con la autorización especial de *ALLOBJ. Si especifica que
no permitirá la autorización raíz, un usuario NFS con un uid que se
correlacione con un perfil de usuario con autorización especial *ALLOBJ no
podrá acceder al objeto que tenga ese perfil. En su lugar, si se permite el
acceso anónimo, el peticionario se correlacionará con el perfil anónimo.
– Al exportar un directorio u objeto, puede especificar si se permitirán
peticiones anónimas. Una petición anónima es una petición con un uid que
no coincide con ningún uid del sistema. Si elige permitir peticiones anónimas,
el sistema correlaciona el usuario anónimo con el perfil de usuario
QNFSANON suministrado por IBM. Este perfil de usuario no dispone de
ninguna autorización especial o explícita. (Si lo desea, en la exportación,
puede especificar un perfil de usuario diferente para las peticiones anónimas).
v Cuando el iSeries participa en una red NFS (o en cualquier red con sistemas
UNIX que dependan de los uid), probablemente necesite gestionar sus propios
uid en lugar de permitir que el sistema los asigne automáticamente. Debe
coordinar los uid con otros sistemas de la red.
Quizá se dé cuenta de que debe cambiar los uid (incluso para perfiles de usuario
suministrados por IBM) para disponer de compatibilidad con otros sistemas de
la red. A partir de la V3R7, existe un programa disponible para simplificar el
cambio de uid para un perfil de usuario. (Al cambiar el uid para un perfil de
usuario, también debe cambiar el uid de todos los objetos que pertenecen al
perfil, tanto en el directorio raíz como en el directorio QOpenSrv.) El programa
QSYCHGID cambia automáticamente el uid tanto en el perfil de usuario como
en los objetos pertenecientes al mismo. Para obtener información sobre cómo
utilizar este programa, consulte el manual iSeries 400 System API Reference.
Capítulo 13. Consejos para la seguridad de las
comunicaciones APPC
Cuando el sistema forma parte de una red conjuntamente con otros sistemas, es
como si se abrieran nuevas puertas para acceder a él. Como administrador de
seguridad, debe tener presentes las opciones que puede utilizar para controlar la
entrada en el sistema en un entorno APPC.
Las comunicaciones avanzadas programa a programa (APPC) son una forma de

comunicación entre los sistemas, incluidos los PC. El paso a través de estación de
pantalla, la Gestión de datos distribuidos y Client Access pueden utilizar las
comunicaciones APPC.
Los temas que se tratan a continuación proporcionan información básica acerca de

cómo funcionan las comunicaciones APPC y cómo se puede establecer la seguridad
idónea. Estos temas se concentran principalmente en los elementos relativos a la
seguridad de una configuración APPC. Para adaptar este ejemplo a su caso, tendrá
que trabajar conjuntamente con quienes gestionan la red de comunicaciones y
quizás también con los proveedores de aplicaciones. Utilice esta información como
punto de partida para comprender las cuestiones de seguridad y las opciones
disponibles para APPC.
La seguridad nunca es “gratuita”. Algunas sugerencias para facilitar la seguridad

de la red pueden convertir la administración de la red en una tarea más compleja.
Por ejemplo, en este libro no se hace hincapié en APPN (Redes avanzadas de igual
a igual), ya que sin APPN la seguridad es más fácil de comprender y gestionar. No
obstante, sin APPN, el administrador de la red debe crear manualmente la
información de configuración que APPN crea de forma automática.
Los PC también usan comunicaciones

Una gran cantidad de métodos para conectar los PC al iSeries dependen de
las comunicaciones, como APPC o TCP/IP.Cuando lea los temas siguientes,
asegúrese de que tiene en cuenta las cuestiones de seguridad de la conexión a
otros sistemas y a los PC. Cuando diseñe la protección de la red, asegúrese de
que no afecta negativamente a los PC que están conectados al sistema.
Terminología de APPC
APPC proporciona la posibilidad de que un usuario de un sistema trabaje en otro
sistema. El sistema desde el que se inicia la petición recibe uno de estos nombres:
v Sistema (de) origen
v Sistema local
v Cliente
El sistema que recibe la petición se denomina:

v Sistema (de) destino
v Sistema remoto
v Servidor

Elementos básicos de las comunicaciones APPC
Desde el punto de vista del administrador de seguridad, deben darse las
condiciones que se indican a continuación para que un usuario de un sistema
(SISTEMA1) pueda trabajar en otro sistema (SISTEMA2):
v El sistema de origen (SISTEMA1) debe proporcionar una vía de acceso al sistema
de destino (SISTEMA2). Esta vía recibe el nombre de sesión APPC.
| v El sistema destino debe identificar al usuario y asociarlo con un perfil de
| usuario.El sistema destino debe soportar el algoritmo de cifrado del sistema
| origen (consulte “Niveles de contraseña” en la página 26 para obtener más
| información).
v El sistema de destino debe iniciar un trabajo para el usuario con el entorno
adecuado (valores de gestión de trabajo).
En los temas siguientes se tratan estos elementos y de qué manera están

relacionados con la seguridad. El administrador de seguridad del sistema de
destino tiene la responsabilidad principal de garantizar que los usuarios de APPC
no violan la seguridad. Sin embargo, si los administradores de seguridad de ambos
sistemas trabajan conjuntamente, la gestión de la seguridad de APPC es una tarea
mucho más sencilla.
Conceptos básicos de una sesión APPC

En un entorno APPC, cuando un usuario o una aplicación de un sistema (como
SISTEMA1 en la Figura 34) solicita acceso a otro sistema (SISTEMA2), ambos
sistemas establecen una sesión. Para establecer la sesión, los sistemas deben enlazar
dos descripciones de dispositivo APPC coincidentes. El parámetro de nombre de
ubicación remota (RMTLOCNAME) de la descripción de dispositivo del SISTEMA1
debe coincidir con el parámetro de ubicación local (LCLLOCNAME) de la
descripción de dispositivo del SISTEMA2 y viceversa.
Descripción dispositivo Descripción dispositivo

APPC en SYSTEMA APPC en SYSTEMB
┌────────────────────────┐ ┌────────────────────────┐
│ RMTLOCNAME: SYSTEMB ├──────────────Ê│ LCLLOCNAME: SYSTEMB │
├────────────────────────┤ ├────────────────────────┤
│ LCLLOCNAME: SYSTEMA ├──────────────Ê│ RMTLOCNAME: SYSTEMA │
├────────────────────────┤ ├────────────────────────┤
│ LOCPWD: X#@%6! ├──────────────Ê│ LOCPWD: X#@%6! │
├────────────────────────┤ ├────────────────────────┤
│ SECURELOC: *NO │ │ SECURELOC: *YES │
└────────────────────────┘ └────────────────────────┘
Figura 34. Parámetros de descripción de dispositivo APPC
Para que dos sistemas establezcan una sesión APPC, las contraseñas de ubicación
de las descripciones de dispositivo APPC en SISTEMA1 y SISTEMA2 deben ser
idénticas. En ambas debe especificarse *NONE o un mismo valor.
Si las contraseñas tienen un valor distinto de *NONE, se almacenan y se

transmiten en formato cifrado. Si coinciden, los sistemas establecen una sesión. Si
no coinciden, la petición del usuario se rechaza. La especificación de contraseñas
de ubicación en los sistemas recibe el nombre de enlace protegido.
Nota: No todos los sistemas proporcionan soporte para la función de enlace

protegido.
Consejos para restringir las sesiones APPC
Como administrador de seguridad de un sistema de origen, puede utilizar la
autorización sobre objeto para controlar quién intenta acceder a otros sistemas.
Establezca la autorización de uso público para las descripciones de dispositivo
APPC en *EXCLUDE y otorgue autorización *CHANGE a usuarios determinados.
Utilice el valor del sistema QLMTSECOFR para impedir que los usuarios que
tengan autorización especial *ALLOBJ utilicen las comunicaciones APPC.
Como administrador de seguridad de un sistema de destino, también debe utilizar

la autorización sobre los dispositivos APPC para impedir que los usuarios inicien
una sesión APPC en su sistema. Sin embargo, debe saber qué ID de usuario
intentará acceder a la descripción de dispositivo APPC. En el apartado “Cómo un
usuario de APPC obtiene acceso al sistema destino” en la página 150 se describe
cómo el iSeries asocia un ID de usuario con una petición de sesión APPC.
Nota: Puede utilizar el mandato Imprimir objetos con autorización de uso público
(PRTPUBAUT *DEVD) y el mandato Imprimir autorizaciones privadas
(PRTPVTAUT *DEVD) para averiguar quién posee autorización sobre las
descripciones de dispositivo de su sistema.
Cuando su sistema utiliza APPN, crea automáticamente un dispositivo APPC

nuevo si no hay ningún dispositivo disponible para la ruta elegida por el sistema.
Un método para restringir el acceso a los dispositivos APPC de un sistema que
utiliza APPN es crear una lista de autorizaciones. La lista de autorizaciones
contiene la lista de los usuarios que deben tener autorización para los dispositivos
APPC. Utilice el mandato Cambiar valor por omisión de mandato (CHGCMDDFT)
para cambiar el mandato CRTDEVAPPC. Para el parámetro de autorización (AUT)
del mandato CRTDEVAPPC, establezca el valor por omisión para la lista de
autorizaciones que ha creado.
Nota: Si el sistema utiliza un idioma que no es el inglés, debe cambiar el valor por
omisión del mandato en la biblioteca QSYSxxxx para cada idioma nacional
que se utilice en el sistema.
Utilice el parámetro de contraseña de ubicación (LOCPWD) en la descripción de

dispositivo APPC para validar la identidad de otro sistema que está solicitando
una sesión en su sistema (para un usuario o una aplicación). La contraseña de
ubicación puede ayudarle a detectar un sistema impostor.
Cuando utilice contraseñas de ubicación, debe trabajar en coordinación con los

administradores de seguridad de los demás sistemas de la red. También debe
controlar quién puede crear o cambiar las descripciones de dispositivo APPC y las
listas de configuraciones. El sistema requiere la autorización especial *IOSYSCFG
para utilizar los mandatos que trabajan con listas de configuraciones y dispositivos
APPC.
Nota: Cuando utiliza APPN, las contraseñas de ubicación se almacenan en la lista

de configuración QAPPNRMT en lugar de en las descripciones de
dispositivo.
Capítulo 13. Consejos para la seguridad de las comunicaciones APPC 149

Cómo un usuario de APPC obtiene acceso al sistema destino
Cuando los sistemas establecen la sesión APPC, crean una vía de acceso para que
el usuario solicitante llegue a la ″puerta″ del sistema de destino. Algunos otros
elementos determinan lo que debe hacer el usuario para conseguir la entrada al
otro sistema.
En los temas siguientes se describen los elementos que determinan cómo un

usuario de APPC obtiene el acceso a un sistema de destino.
Métodos que utiliza el sistema para enviar información sobre

un usuario
La arquitectura APPC proporciona tres métodos para enviar información de
seguridad acerca de un usuario desde el sistema de origen al sistema de destino.
Estos métodos reciben el nombre de valores de seguridad con arquitectura. En la
Tabla 18 se muestran estos métodos:
Nota: La publicación APPC Programming proporciona más información acerca de

los valores de seguridad con arquitectura.
Tabla 18. Valores de seguridad en la arquitectura APPC
Valor de seguridad con ID de usuario enviado al Contraseña enviada al
arquitectura sistema de destino sistema de destino
NONE No No
SAME Sí1 Vea la nota 2.
Programa Sí Yes3
Notas:
1. El sistema de origen envía el ID de usuario si el sistema de destino tiene el valor
SECURELOC(*YES) o SECURELOC(*VFYENCPWD).
2. El usuario no entra una contraseña en la petición porque el sistema de origen ya ha
verificado la contraseña. En el caso de SECURELOC(*YES) y de SECURELOC(*NO), el
sistema de origen no envía la contraseña. En el caso de SECURELOC(*VFYENCPWD),
el sistema de origen recupera la contraseña cifrada almacenada y la envía (en formato
cifrado).
3. En la V3R1 y en las versiones posteriores, el sistema envía las contraseñas cifradas si el
sistema de origen y el sistema de destino ofrecen soporte para el cifrado de
contraseñas. De lo contrario, la contraseña no se cifra.
La aplicación que el usuario solicita determina el valor de seguridad con

arquitectura. Por ejemplo, SNADS siempre utiliza SECURITY(NONE). DDM utiliza
SECURITY(SAME). Con el paso a través de estación de pantalla, el usuario
especifica el valor de seguridad utilizando parámetros del mandato STRPASTHR.
En todos los casos, el sistema de destino decide si se acepta una petición con el
valor de seguridad que está especificado en el sistema de origen. En algunos casos,
el sistema de destino puede rechazar totalmente la petición. En otros casos, el
sistema de destino puede forzar la utilización de otro valor de seguridad. Por
ejemplo, cuando un usuario especifica un ID de usuario y una contraseña en el
mandato STRPASTHR, la petición utiliza SECURITY(PGM). Sin embargo, si el
valor del sistema QRMTSIGN es *FRCSIGNON en el sistema de destino, el usuario
sigue visualizando la pantalla Inicio de sesión. Con el valor *FRCSIGNON, el
sistema siempre utiliza SECURITY(NONE), que es lo mismo que no entrar ID de
usuario ni contraseña en el mandato STRPASTHR.
Notas:
1. Los sistemas de origen y de destino negocian el valor de seguridad antes de
enviar datos. En el caso en que el sistema de destino especifique
SECURELOC(*NO) y la petición sea SECURITY(SAME), por ejemplo, el sistema
de destino indicará al sistema de origen que se utilizará SECURITY(NONE). El
sistema de origen no envía el ID de usuario.
2. A partir de la V4R2, el sistema de destino rechaza una petición de sesión una
vez que ha caducado la contraseña del usuario en el sistema de destino. Esto
sólo es aplicable a las peticiones de conexión que envían una contraseña, lo que
incluye lo siguiente:
v Peticiones de sesión del tipo SECURITY(PROGRAM).
v Peticiones de sesión del tipo SECURITY(SAME) cuando el valor de
SECURELOC es *VFYENCPWD.
Opciones para repartir la responsabilidad de la seguridad en

una red
Cuando su sistema participa en una red, debe decidir si confiará en los otros
sistemas para la validación de la identidad de un usuario que intente entrar en su
sistema. ¿Confiará en el SISTEMA1 para asegurarse de que USUARIO1 es
realmente USUARIO1 (o de que QSECOFR es, en efecto, QSECOFR)? ¿O exigirá
que el usuario proporcione de nuevo el ID de usuario y la contraseña?
El parámetro de proteger ubicación (SECURELOC) de la descripción de dispositivo

APPC en el sistema de destino indica si el sistema de origen es una ubicación
protegida (en la que se confiará). Por ejemplo, en la Figura 34 en la página 148, el
SISTEMA2 confía en el SISTEMA1 para la validación de las identidades de los
usuarios (el parámetro SECURELOC de la descripción de dispositivo en SISTEMA2
es *YES). El SISTEMA1 no confía en el SISTEMA2 para validar las identidades de
los usuarios.
Cuando ambos sistemas están ejecutando un release que soporta *VFYENCPWD

(V3R2 o posterior), SECURELOC(*VFYENCPWD) proporciona protección adicional
cuando las aplicaciones utilizan SECURITY(SAME). Aunque el solicitante no entre
una contraseña en la petición, el sistema de origen recupera la contraseña del
usuario y la envía con la petición. Para que ésta sea satisfactoria, el usuario debe
tener el mismo ID de usuario y la misma contraseña en ambos sistemas.
Cuando el sistema de destino especifica SECURELOC(*VFYENCPWD) y el sistema

de origen no da soporte a este valor, el sistema de destino manejará la petición
como SECURITY(NONE).
En la Tabla 19 se ilustra el funcionamiento conjunto del valor de seguridad con

arquitectura y el valor SECURELOC:
Tabla 19. Funcionamiento conjunto del valor de seguridad de APPC y del valor
SECURELOC
Sistema de origen Sistema de destino
Valor de seguridad Valor SECURELOC
con arquitectura Perfil de usuario para trabajo
NONE Cualquiera Usuario por omisión1

Tabla 19. Funcionamiento conjunto del valor de seguridad de APPC y del valor
SECURELOC (continuación)
Sistema de origen Sistema de destino
Valor de seguridad Valor SECURELOC
con arquitectura Perfil de usuario para trabajo
SAME *NO Usuario por omisión1
*YES El mismo nombre de perfil de usuario del
solicitante en el sistema origen
*VFYENCPWD El mismo nombre de perfil de usuario del
solicitante del sistema de origen. El usuario
debe tener de la misma contraseña en
ambos sistemas.
Programa Cualquiera Los perfiles de usuario que se han
especificado en la solicitud del sistema
origen.
Notas:
1. El usuario por omisión lo determina la entrada de comunicaciones de la descripción de
subsistema. Se describe en “Cómo asigna el sistema de destino un perfil de usuario
para el trabajo”.
Cómo asigna el sistema de destino un perfil de usuario para el trabajo

Cuando un usuario solicita un trabajo APPC que está en otro sistema, la petición
tiene un nombre de modalidad asociado. Dicho nombre puede provenir de la
petición del usuario o puede ser un valor por omisión de los atributos de red del
sistema de origen.
El sistema de destino utiliza el nombre de modalidad y el nombre de dispositivo

APPC para determinar cómo se ejecutará el trabajo. El sistema de destino busca en
los subsistemas activos una entrada de comunicaciones que sea la más adecuada
para el nombre de dispositivo APPC y el nombre de modalidad.
La entrada de comunicaciones especifica el perfil de usuario que el sistema

utilizará para las peticiones SECURITY(NONE). A continuación se facilita un
ejemplo de una entrada de comunicaciones en una descripción de subsistema.
Visualizar entradas de comunicaciones
Descripción subsistema: QCMN Estado: ACTIVO
Descripción Usuario Máx

Dispositivo Modalidad de trabajo Biblioteca omisión activos
*ALL *ANY *USRPRF *SYS *NOMAX
*ALL QPCSUPP *USRPRF *NONE *NOMAX
En la Tabla 20 se muestran los valores posibles para el parámetro de usuario por

omisión en una entrada de comunicaciones:
Tabla 20. Valores posibles para el parámetro de usuario por omisión
Valor Resultado
*NONE No hay ningún usuario por omisión disponible. Si el sistema de origen no proporciona un
ID de usuario en la petición, el trabajo no se ejecutará.
Tabla 20. Valores posibles para el parámetro de usuario por omisión (continuación)
Valor Resultado
*SYS Solamente se ejecutarán los programas proporcionados por IBM. No se ejecutará ninguna
aplicación de usuario.
nombre de usuario Si el sistema de origen no envía un ID de usuario, el trabajo se ejecuta bajo este perfil de
usuario.
Puede utilizar el mandato Imprimir descripción de subsistema (PRTSBSDAUT)

para imprimir la lista de todos los subsistemas que tengan entradas de
comunicaciones con un perfil de usuario por omisión.
Opciones para el paso a través de estación de pantalla

El paso a través de estación de pantalla es un ejemplo de aplicación que utiliza
comunicaciones APPC. Puede utilizar el paso a través de estación de pantalla para
iniciar la sesión en otro sistema que esté conectado al suyo a través de una red.
La Tabla 21 muestra ejemplos de peticiones de paso a través (mandato

STRPASTHR) y cómo las maneja el sistema destino. Para el paso a través de
estación de pantalla, el sistema utiliza los elementos básicos de las comunicaciones
APPC y el valor del sistema de inicio de sesión remoto (QRMTSIGN).
Nota: Las peticiones de paso a través de estación de pantalla ya no se direccionan

a través de los subsistemas QCMN o QBASE. A partir de la V4R1, se
direccionan a través del subsistema QSYSWRK. Antes de la V4R1 se
presuponía que, al no haber iniciado los subsistemas QCMD o QBASE, el
paso a través de estación de pantalla no funcionaría. Esto ya no es verdad.
Puede forzar el paso a través de estación de pantalla para que vaya a través
de QCMN (o QBASE, si está activo) estableciendo el valor del sistema
QPASTHRSVR en 0.
Tabla 21. Ejemplo de peticiones de inicio de sesión mediante paso a través
Valores del mandato STRPASTHR Sistema de destino
ID de usuario Contraseña Valor SECURELOC Valor QRMTSIGN Resultado
*NONE *NONE Cualquiera Cualquiera El usuario debe iniciar la
sesión en el sistema de
destino.
Nombre de perfil de No entrada Cualquiera Cualquiera La petición falla.
usuario

Tabla 21. Ejemplo de peticiones de inicio de sesión mediante paso a través (continuación)
*CURRENT No entrada *NO Cualquiera La petición falla.
*YES *SAMEPRF Un trabajo interactivo se
inicia con el mismo nombre
de perfil de usuario que el
perfil de usuario del sistema
origen. No se transfiere
*VERIFY ninguna contraseña al
sistema remoto. El nombre de
perfil de usuario debe existir
en el sistema de destino.
*FRCSIGNON El usuario debe iniciar la
destino.
*VFYENCPWD *SAMEPRF Un trabajo interactivo se
origen. El sistema de origen
*VERIFY recupera la contraseña del
usuario y la envía al sistema
remoto. El nombre de perfil
de usuario debe existir en el
sistema de destino.
destino.
*CURRENT (o el Entrada Cualquiera *SAMEPRF Un trabajo interactivo se
nombre del perfil de inicia con el mismo nombre
usuario actual para de perfil de usuario que el
el trabajo) perfil de usuario del sistema
origen. La contraseña se envía
*VERIFY al sistema remoto. El nombre
de perfil de usuario debe
existir en el sistema de
destino.
destino.
Tabla 21. Ejemplo de peticiones de inicio de sesión mediante paso a través (continuación)
Nombre de perfil de Entrada Cualquiera *SAMEPRF La petición falla.
usuario (distinto del
*VERIFY Un trabajo interactivo se
nombre de perfil de
usuario actual para
el trabajo)
origen. La contraseña se envía
al sistema remoto. El nombre
de perfil de usuario debe
existir en el sistema de
destino.
*FRCSIGNON Un trabajo interactivo se
inicia con el nombre
especificado de perfil de
usuario. La contraseña se
envía al sistema destino. El
nombre de perfil de usuario
debe existir en el sistema de
destino.
Consejos para evitar asignaciones inesperadas de dispositivos

Cuando se produce una anomalía en un dispositivo activo, el sistema intenta su
recuperación. Bajo ciertas circunstancias, cuando la conexión se interrumpe otro
usuario puede restablecer accidentalmente la sesión que ha sufrido la anomalía.
Por ejemplo, suponga que el USUARIO1 ha apagado una estación de trabajo sin
finalizar la sesión. El USUARIO2 podría encender la estación de trabajo y reiniciar
la sesión del USUARIO1 sin conectarse.
Para evitar esta posibilidad, establezca el valor del sistema de Acción de error de
E/S de dispositivo (QDEVRCYACN) en *DSCMSG. Cuando se produce una
anomalía en un dispositivo, el sistema finalizará el trabajo del usuario.
Consejos para el control de los trabajos por lotes y los mandatos

remotos
Hay varias opciones disponibles para ayudarle a controlar qué trabajos y mandatos
remotos se pueden ejecutar en el sistema, incluidos los siguientes:
v Si su sistema utiliza DDM, puede limitar el acceso a los archivos DDM para
impedir que los usuarios utilicen el mandato Someter mandato remoto
(SBMRMTCMD) desde otro sistema. Para utilizar el mandato SBMRMTCMD, el
usuario debe poder abrir un archivo DDM. También es necesario restringir la
capacidad de crear archivos DDM.
v Puede especificar un programa de salida para el valor del sistema Acceso a
petición DDM (DDMACC). En el programa de salida puede evaluar todas las
peticiones DDM antes de permitirlas.
v Puede utilizar el atributo de red Acción de trabajo de red (JOBACN) para
impedir que se sometan trabajos de red o que se ejecuten automáticamente.
v Puede especificar explícitamente qué peticiones de programa se pueden ejecutar
en un entorno de comunicaciones eliminando la entrada de direccionamiento
PGMEVOKE de las descripciones de subsistemas. La entrada de

direccionamiento PGMEVOKE permite al solicitante especificar el programa que
se ejecuta. Cuando se elimina esta entrada de direccionamiento de las
descripciones de subsistemas (por ejemplo, de la descripción del subsistema
QCMN), debe añadir entradas de direccionamiento para las peticiones de
comunicaciones que deben ejecutarse satisfactoriamente.
En la “Peticiones de TPN con arquitectura” en la página 128 se enumeran los
nombres de programas para las peticiones de comunicaciones emitidas por las
aplicaciones proporcionadas por IBM.Para cada petición que desee permitir,
puede añadir una entrada de direccionamiento con el valor de comparación y el
nombre de programa iguales a los del nombre de programa.
Cuando se utiliza este método es necesario saber cuál es el entorno de gestión
de trabajo del sistema y los tipos de peticiones de comunicaciones que se
producen en el sistema. Si es posible, deben comprobarse todos los tipos de
peticiones de comunicaciones para asegurarse de que funcionan correctamente
después de cambiar las entradas de direccionamiento. Cuando una petición de
comunicaciones no encuentra una entrada de direccionamiento disponible, se
recibe el mensaje CPF1269. Otra alternativa (con menos posibilidad de error,
pero menos efectiva) es establecer la autorización de uso público para
*EXCLUDE para los programas de transacción que no desea ejecutar en el
sistema.
Nota: En la publicación puede obtener más información acerca de las entradas

de direccionamiento y de cómo maneja el sistema las peticiones de
arranque de programa.
Consejos de seguridad para la evaluación de la configuración APPC

Puede utilizar el mandato Imprimir seguridad de comunicaciones (PRTCMNSEC) o
bien opciones de menú para imprimir los valores relativos a la seguridad de la
configuración APPC. En los temas que figuran a continuación se describe la
información de los informes.
Parámetros relativos a la seguridad para los dispositivos

APPC
En la Figura 35 se muestra un ejemplo del informe de las comunicaciones
correspondiente a las descripciones de dispositivos. La Figura 36 en la página 157
contiene un ejemplo del informe correspondiente a las listas de configuraciones.
Después de los informes encontrará explicaciones de los campos de los informes.
Información de comunicaciones (informe completo)

SYSTEM4
Tipo de objeto . . . . . . . . : *DEVD
Sesión Arranque
Nombre Tipo Categoría Ubicación Contraseña Posibil. Una sola preesta- programa
objeto objeto dispositivo protegida ubicación APPN sesión blecida SNUF
CDMDEV1 *DEVD *APPC *NO *NO *NO *YES *NO

CDMDEV2 *DEVD *APPC *NO *NO *NO *YES *NO
Figura 35. Descripciones de dispositivo APPC-Informe de ejemplo
Visualizar lista de configuraciones Página 1
SYSTEM4 12/17/95 07:24:36
Lista de configuraciones . . . . . : QAPPNRMT
Tipo de lista de configuraciones . : *APPNRMT
Texto . . . . . . . . . . . . . . :
----------------Ubicaciones remotas APPN----------------
ID de Punto ID red
Ubicac. red Ubicac. control punto Ubicac.
remota remoto local remoto control protegida
SYSTEM36 APPN SYSTEM4 SYSTEM36 APPN *NO
SYSTEM32 APPN SYSTEM4 SYSTEM32 APPN *NO
SYSTEMU APPN SYSTEM4 SYSTEM33 APPN *YES
SYSTEMJ APPN SYSTEM4 SYSTEMJ APPN *NO
SYSTEMR2 APPN SYSTEM4 SYSTEM1 APPN *NO
------------------------Ubicaciones remotas APPN--------------------------
ID de Punto Sesión
Ubicac. red Ubicac. Una sola Número de control preesta-
remota remoto local sesión conversaciones local blecida
SYSTEM36 APPN SYSTEM4 *NO 10 *NO *NO
SYSTEM32 APPN SYSTEM4 *NO 10 *NO *NO
Figura 36. Informe de lista de configuraciones-Ejemplo
Campo Ubicación protegida

El campo Ubicación protegida (SECURELOC) especifica si el sistema local confía
en el sistema remoto para que éste último efectúe la verificación de las contraseñas
en lugar del sistema local. El campo SECURELOC solamente incumbe a las
aplicaciones que utilizan el valor SECURITY(SAME), como las aplicaciones DDM y
las aplicaciones que utilizan la API de comunicaciones CPI.
SECURELOC(*YES) hace que el sistema local sea vulnerable a posibles deficiencias

en el sistema remoto. Todos los usuarios que existan en ambos sistemas pueden
llamar a programas del sistema local. Esto es especialmente peligroso, ya que el
perfil de usuario QSECOFR (responsable de seguridad) existe en todos los sistemas
iSeries y posee la autorización especial *ALLOBJ.Si un sistema de la red no protege
correctamente la contraseña de QSECOFR, otros sistemas que traten a éste como
ubicación protegida corren riesgos.
Si se utiliza SECURELOC(*VFYENCPWD), el sistema es menos vulnerable a otros

sistemas que no protegen sus contraseñas adecuadamente. Un usuario que solicite
una aplicación que utilice SECURITY(SAME) debe tener el mismo ID de usuario y
la misma contraseña en ambos sistemas. SECURELOC(*VFYENCPWD) requiere la
utilización de métodos de administración de contraseñas en la red para que los
usuarios tengan la misma contraseña en todos los sistemas.
Nota: Sólo se ofrece soporte para SECURELOC(*VFYENCPWD) entre sistemas que

ejecuten la V3R2, la V3R7 o la V4R1. Si el sistema de destino especifica
SECURELOC(*VFYENCPWD) y el sistema de origen no da soporte a esta
función, la petición se trata como SECURITY(NONE).
Si un sistema especifica SECURELOC(*NO), las aplicaciones que utilicen

SECURITY(SAME) necesitarán un usuario por omisión para ejecutar programas. El
usuario por omisión depende de la descripción de dispositivo y de la modalidad
asociadas con la petición. (Consulte el apartado “Cómo asigna el sistema de
destino un perfil de usuario para el trabajo” en la página 152.)

Campo Contraseña de ubicación
El campo Contraseña de ubicación determina si dos sistemas intercambiarán
contraseñas para verificar que el sistema solicitante no es un sistema impostor. En
el apartado “Conceptos básicos de una sesión APPC” en la página 148 se facilita
más información acerca de las contraseñas de ubicación.
Campo Posibilidad de APPN

El campo Posibilidad de APPN (APPN) indica si el sistema remoto puede dar
soporte a las funciones de red avanzada o si está limitado a las conexiones de un
solo salto. APPN(*YES) significa lo siguiente:
v Si el sistema remoto es un nodo de la red, puede conectar el sistema local a
otros sistemas. Esta posibilidad recibe el nombre de direccionamiento de nodo
intermedio. Significa que los usuarios de su sistema pueden utilizar el sistema
remoto como ruta a una red más amplia.
v Si el sistema local es un nodo de red, el sistema remoto puede utilizar el sistema
local para conectarse a otros sistemas. Los usuarios del sistema remoto pueden
utilizar su sistema como ruta a una red más amplia.
Nota: Puede utilizar el mandato DSPNETA para determinar si un sistema es un

nodo de red o un nodo final.
Campo Una sola sesión

El campo Una sola sesión (SNGSSN) indica si el sistema remoto puede ejecutar
más de una sesión al mismo tiempo utilizando la misma descripción de dispositivo
APPC. SNGSSN(*NO) suele utilizarse porque elimina la necesidad de crear varias
descripciones de dispositivo para un sistema remoto. Por ejemplo, los usuarios de
PC a menudo desean más de una sesión de emulación 5250 y sesiones para las
funciones de servidor de archivos y servidor de impresión. Con SNGSSN(*NO),
puede proporcionar esta función con una descripción de dispositivo para el PC en
el sistema iSeries.
SNGSSN(*NO) significa que debe confiar en los procedimientos operativos de

seguridad de los usuarios de PC y de otros usuarios APPC. Su sistema es
vulnerable por un usuario del sistema remoto que inicie una sesión no autorizada
que utiliza la misma descripción de dispositivo que una sesión existente. (A esta
práctica se le denomina en algunos casos parasitismo.)
Campo Sesión preestablecida

El campo Sesión preestablecida (PREESTSSN) para un dispositivo de una sola
sesión controla si el sistema local inicia una sesión con el sistema remoto cuando
este se pone en contacto por primera vez con el sistema local. PREESTSSN(*NO)
significa que el sistema local espera a iniciar una sesión a que una aplicación
solicite una sesión con el sistema. PREESTSSN(*YES) es útil para minimizar el
tiempo que tarda un programa de aplicación en completar la conexión.
PREESTSSN(*YES) impide que el sistema se desconecte de una línea conmutada

(de marcación) que ya no se utiliza. La aplicación o el usuario deben desactivar
explícitamente la línea. PREESTSSN(*YES) puede aumentar el tiempo que el
sistema local es vulnerable al parasitismo en la sesión.
Campo Arranque de programa SNUF

El campo Arranque de programa SNUF indica si el sistema remoto puede arrancar
programas del sistema local. *YES significa que el esquema de autorización sobre
objetos del sistema local debe ser apropiado para proteger objetos cuando los
usuarios del sistema remoto arrancan trabajos y ejecutan programas en el sistema
local.
Parámetros relativos a la seguridad para los controladores
APPC
La Figura 37 muestra un ejemplo del informe de las comunicaciones
correspondiente a las descripciones de controlador. Después del informe encontrará
explicaciones de los campos del informe.

SYSTEM4
Tipo de objeto . . . . . . . . : *CTLD
Nombre Tipo Categoría Creación Controlad. Direcc. Posibil. Sesiones Temporiz. Segundos Nombre
objeto objeto controlad. autom. conmutado llamada APPN CP desconex. supres. dispos.
CTL01 *CTLD *APPC *YES *YES *DIAL *YES *YES 0 1440 AARON
CTL02 *CTLD *APPC *YES *YES *DIAL *YES *YES 0 1440 BASIC
CTL03 *CTLD *APPC *YES *YES *DIAL *YES *YES 0 1440 *NONE
Figura 37. Descripciones de controlador APPC-Ejemplo de informe
Campo Creación automática

En una descripción de línea, el campo Creación automática (AUTOCRTCTL) indica
si el sistema local creará automáticamente una descripción de controlador cuando
una petición de entrada no encuentre una descripción de controlador coincidente.
En una descripción de controlador, el campo Creación automática (AUTOCRTDEV)
especifica si el sistema local creará automáticamente una descripción de dispositivo
cuando una petición de entrada no encuentre una descripción de dispositivo
coincidente.
En el caso de los controladores con posibilidades de APPN, este campo no tiene

efecto alguno. El sistema crea automáticamente descripciones de dispositivo
cuando es necesario, independientemente de cómo haya definido el campo de
creación automática.
Cuando se especifica *YES para una descripción de línea, cualquier persona con
acceso a la línea puede conectarse al sistema. Ello incluye ubicaciones que están
conectadas mediante puentes y direccionadores.
Campo Sesiones de punto de control

En los controladores con posibilidad de APPN, el campo Sesiones de punto de
control (CPSSN) controla si el sistema establecerá automáticamente una conexión
APPC con el sistema remoto. El sistema utiliza la sesión CP para intercambiar
información y estado de red con el sistema remoto. El intercambio de información
actualizada entre nodos de red APPN es especialmente importante para que la red
funcione correctamente.
Cuando se especifica *YES, las líneas conmutadas desocupadas no se desconectan

automáticamente. Esto hace que su sistema sea más vulnerable a que haya una
sesión parásito.
Campo Temporizador de desconexión

Para un controlador APPC, el campo Temporizador de desconexión indica cuánto
tiempo debe transcurrir sin que se utilice un controlador (sin sesiones activas)
antes de que el sistema desconecte la línea con el sistema remoto. Este campo tiene
dos valores. El primer valor indica cuánto tiempo permanecerá activo el
controlador desde el momento en que se contacta con él inicialmente. El segundo
valor determina cuánto tiempo espera el sistema tras la finalización de la última
sesión en el controlador antes de desconectar la línea.

El sistema utiliza el temporizador de desconexión solamente cuando el valor del
campo de desconexión conmutada (SWTDSC) es *YES.
Si aumenta estos valores, el sistema será más vulnerable a las sesiones parásito.
Parámetros relativos a la seguridad para las descripciones de

línea
En la Figura 38 se muestra un ejemplo del informe de las comunicaciones
correspondiente a las descripciones de línea. Después del informe encontrará
explicaciones de los campos del informe.
Tipo de objeto . . . . . . . . : *LIND

Segs.
Nombre Tipo Categoría Creación supres. Resp. Marcación
objeto objeto línea autom. autom. autom. autom.
LINE01 *LIND *SDLC *NO 0 *NO *NO
LINE02 *LIND *SDLC *NO 0 *YES *NO
LINE03 *LIND *SDLC *NO 0 *NO *NO
LINE04 *LIND *SDLC *NO 0 *YES *NO
Figura 38. Descripciones de línea de APPC-Ejemplo de informe
Campo Respuesta automática

El campo Respuesta automática (AUTOANS) indica si la línea conmutada aceptará
las llamadas de entrada sin la intervención del operador.
Si se especifica *YES, el sistema será menos seguro, ya que se podrá acceder a él

con más facilidad. Para reducir los riesgos de seguridad cuando se especifica *YES,
debe desactivar la línea cuando no sea necesaria.
Campo Marcación automática

El campo Marcación automática (AUTODIAL) especifica si la línea conmutada
puede realizar llamadas de salida sin la intervención del operador.
Si se especifica *YES, se permite a los usuarios locales que no tienen acceso físico a
los modems y a las líneas de comunicaciones que se conecten a otros sistemas.
Consideraciones sobre seguridad de APPC APPN y HPR

A continuación se describen algunos aspectos sobre la seguridad para los sistemas
iSeries que se comunican entre ellos utilizando APPC, APPN y HPR:
v Consideraciones generales sobre seguridad:
Tenga en cuenta las siguientes medidas al proteger su red:
Nota: Las siguientes consideraciones sobre contraseñas sólo son aplicables si la

protección por contraseña no está activa.
– Cuando se utilice la seguridad de programas de aplicación, especifique
SECURELOC(*VFYENCPWD). Esto significa que solamente conseguirá iniciar
la sesión si tanto el nombre de perfil de usuario como la contraseña son los
mismos en ambos sistemas
– La persona responsable de la seguridad de la red se asegura de que cada
usuario tenga un ID de usuario exclusivo en toda la red.
– Haga que el administrador del sistema establezca un límite para el número de
intentos consecutivos de entrar una contraseña que no sean válidos para un
dispositivo de pantalla dado. Cuando se llegue a este límite, se desactivará el
dispositivo. Establezca el límite con el valor del sistema QMAXSIGN.
Nota: Esto solamente se cumple en los dispositivos de pantalla, no en los

dispositivos APPC.
– Los usuarios pueden iniciar la sesión en más de un sistema iSeries 400 con el
mismo perfil. Para limitar el perfil de usuario a un inicio de sesión:
- Establezca el valor del sistema (*SYSVAL) para el parámetro LMTDEVSSN
en el mandato Crear perfil de usuario (CRTUSRPRF) o en Cambiar perfil
de usuario (CHGUSRPRF).
v Consideraciones sobre la seguridad física:
Usted es el responsable de la seguridad física de su sistema al especificar
*NONE para el parámetro contraseña de ubicación (LOCPWD) durante la
configuración de APPC. En este caso, el sistema iSeries no valida la identidad de
un sistema remoto cuando se está estableciendo una sesión. No obstante, puede
utilizar igualmente la seguridad a nivel de aplicación si el sistema remoto la
soporta. Por ejemplo, si el sistema remoto es un sistema iSeries con un nivel de
seguridad 20 o superior.
v Seguridad a nivel de sesión
En esta página solamente se trata la seguridad para las comunicaciones o la

gestión de múltiples sistemas. La seguridad debe ser coherente en todos los
sistemas de una red si tiene que controlarse el acceso entre sistemas y que no
resulte restringido innecesariamente.
Para conocer las consideraciones sobre seguridad específicas de la ejecución de

APPN y HPR en su red, consulte Protección del sistema en un entorno APPN y
HPR, para obtener más información.
Seguridad a nivel de sesión para APPN y HPR

La seguridad a nivel de sesión se consigue especificando una contraseña en el
parámetro LOCPWD durante la configuración. El sistema iSeries 400 utiliza la
contraseña para validar la identidad del sistema remoto durante el establecimiento
de sesión. La contraseña debe coincidir con la especificada en el sistema remoto, o
no se permitirá la conexión.
Si el sistema remoto no soporta la seguridad a nivel de sesión (Series/1 RPS

versión 7.1, CICS/VS release 1.6):
v Especifique LOCPWD(*NONE) para establecer la conexión y proporcionar la
seguridad física necesaria
Existe un problema de seguridad al crear descripciones de dispositivo con

APPN(*YES) y cuando APPN crea automáticamente y activa una descripción de
dispositivo con el mismo ID de red remota, nombre de ubicación y nombre de
ubicación local que la entrada de la lista de configuración de la ubicación remota
APPN. Para compensar las ubicaciones remotas que utilicen una descripción de
dispositivo independiente con APPN(*YES):
v Añada una entrada a la lista de configuración de la ubicación remota APPN que
incluya información de seguridad
Nota: Con la finalidad de evitar utilizar información de seguridad imprevisible,

asegúrese de que todas las descripciones de dispositivo, tal como se describe
más arriba, contengan exactamente la misma información de seguridad.

Protección del sistema en un entorno APPN y HPR
Las redes APPN proporcionan conectividad abierta y requieren una mínima
configuración por parte de cada sistema de la red. Cuando un sistema tiene una
conexión en una red APPN, puede establecer sesiones con otros sistemas que estén
conectados dentro de esa red APPN.
APPN reduce las barreras físicas y de configuración para las comunicaciones. Sin
embargo, tal vez desee crear algunas barreras lógicas entre los sistemas de la red
por motivos de seguridad. Esta capacidad de controlar qué sistemas pueden
conectarse con el suyo suele denominarse soporte de cortafuegos. Los
administradores de red podrían utilizar diversos tipos de nodos para especificar
qué conexiones se permiten entre las ubicaciones de APPC. Por ejemplo, puede que
quiera permitir que el SISTEMA2 se comunique con el SISTEMA1 y el SISTEMA4,
pero no con el SISTEMA3. La página Soporte de filtrado APPN ofrece una
explicación sobre este tema. Para obtener un ejemplo, vea Creación de un filtro de
punto final de sesión. Como ampliación a esto, los administradores pueden utilizar
direccionamiento de clase de servicio (COS) para seleccionar los nodos y grupos de
transmisión elegibles para su inclusión en rutas de sesión de red.
Soporte de filtrado de APPN

Antes de tratar el soporte de filtrado de APPN, es necesaria una explicación sobre
los tipos de nodos de una red APPN:
v Un nodo periférico se encuentra en los extremos de la red. Puede participar en
la red, pero no puede proporcionar direccionamiento intermedio a otros sistemas
de la red. Un nodo periférico puede ser un nodo final (EN), como MADISON y
PARIS en la figura mostrada más abajo. Un nodo periférico puede ser un nodo
de red de entrada baja (LEN), como CHICPC1 y CHICPC2. Un nodo periférico
también puede ser un nodo de otra red (IDRED). Desde la perspectiva de
CHICAGO, LONDON es un nodo periférico.
v Un nodo de red (NN) proporciona servicios de direccionamiento entre los
sistemas de la red. En CHICAGO y ATLANTA hay ejemplos de nodos de red.
v Un nodo Ampliador de rama es una extensión de la arquitectura de red APPN
que aparece como nodo de red (NN) para la Red de Área Local (LAN) y como
nodo final (EN) para la Red de Área Amplia (WAN). Esto reduce la posibilidad
de que el flujo de topología sobre recursos en la LAN se desconecte de la WAN.
El soporte de filtrado de APPN proporciona la capacidad de crear un cortafuegos

basado en nombres de ubicación APPC. Puede utilizar dos tipos distintos de listas
de filtros:
v Un filtro de punto final de sesión controla el acceso a una ubicación y desde la
misma. Por ejemplo, en el filtro de punto final de sesión del sistema CHICAGO
de la figura que aparece más abajo, especifica qué ubicaciones pueden establecer
una sesión con CHICAGO o con NOMINA. CHICAGO y NOMINA son dos
ubicaciones distintas del sistema CHICAGO.
Del mismo modo, el filtro de punto final de sesión del sistema MADISON
especifica qué ubicaciones pueden establecer una sesión con la ubicación
MADISON.
Figura 39. Dos redes APPN conectadas
En iSeries, puede utilizar la nueva lista de configuración QAPPNSSN, sola o

conjuntamente con la lista de configuración QAPPNRMT, para crear un filtro de
punto final de sesión.
v Un filtro de búsqueda de directorio en un nodo de red determina lo siguiente
para sus nodos periféricos asociados:
– Acceso del nodo periférico (cuando el nodo periférico es el peticionario). Por
ejemplo, puede utilizar el filtro de búsqueda de directorio en LONDON para
controlar los posibles destinos de los usuarios del sistema PARIS. Del mismo
modo, puede utilizar el filtro de búsqueda de directorio en CHICAGO para
controlar los posibles destinos de los usuarios de CHICPC1 y CHICPC2.
– Accesos al nodo periférico (cuando el nodo periférico es el destino). Por
ejemplo, puede utilizar el filtro de búsqueda de directorio en CHICAGO para
determinar qué ubicaciones pueden acceder a CHICPC1. Puesto que tanto
CHICAGO como DALLAS proporcionan conexiones a MADISON, debe
preparar los filtros de búsqueda de directorio en CHICAGO y en DALLAS
para limitar las conexiones a MADISON.
Del mismo modo, puede utilizar el filtro de búsqueda de directorio en
CHICAGO para especificar qué ubicaciones de USANET son destinos
permitidos para los usuarios de EURONET.
Para crear un filtro de búsqueda de directorio, utilice la lista de configuración

QAPPNDIR.
Creación de un filtro de punto final de sesión

A continuación se muestran dos métodos distintos para crear un filtro de punto
final de sesión en el sistema CHICAGO, en la figura que aparece más abajo. Deben
satisfacer los siguientes requisitos:
v Solamente la ubicación FINANZA puede establecer una sesión con la ubicación
NOMINA.
v La ubicación CHICAGO puede comunicarse con cualquier ubicación de
USANET excepto con NOMINA.
v La ubicación CHICAGO puede comunicarse con LONDRES.

Figura 40. Dos redes APPN conectadas
v Utilización conjunta de las listas de configuraciones QAPPNSSN y

QAPPNRMT:
El método más seguro para crear un filtro de punto final de sesión es la
utilización de las listas de configuraciones QAPPNSSN y QAPPNRMT
conjuntamente. La lista de configuraciones QAPPNRMT proporciona seguridad
de contraseña entre sistemas, lo que facilita la protección contra sistemas
impostores (que son sistemas o usuarios que se hacen pasar por otro sistema).
Al utilizar este método creará la lista de configuración QAPPNSSN que no
especifica ninguna ubicación remota. Señala a la lista de configuraciones
QAPPNRMT.
El inconveniente de este método es que debe definir explícitamente cada par de
ubicaciones en la lista de configuraciones QAPPNRMT. Si desea que la ubicación
CHICAGO (que está en el mismo sistema que la ubicación NOMINA) se
comunique con otras ubicaciones, deberá añadir una entrada para cada par.
v Utilización de la lista de configuración QAPPNSSN solamente:
Cuando se especifican ubicaciones remotas en lista de configuraciones
QAPPNSSN, las tareas de configuración son más sencillas, ya que se pueden
utilizar nombres genéricos y comodines. Sin embargo, cuando se utiliza este
método, no se dispone de la protección de verificación de contraseñas entre
ubicaciones. Además, cuando se emplean nombres genéricos y comodines, el
sistema puede aceptar o rechazar las peticiones de forma distinta a como se
había previsto.
Direccionamiento de Clase de servicio (COS)

Los nodos de red conservan información sobre todos los nodos de red y enlaces
entre los nodos de red. Cuando se solicita una sesión, se especifica una modalidad.
Cada nodo contiene un parámetro de clase de servicio (COS) que especifica la
descripción de clase de servicio que se utilizará para calcular la ruta que tomará la
sesión. La clase de servicio también especifica la prioridad de transmisión que
gobernará la cadencia de transferencia de datos una vez se haya establecido la
sesión.
Con el sistema iSeries se envían las siguientes descripciones de clase de servicio:

v #CONNECT: la clase de servicio por omisión
v #BATCH: una clase de servicio adaptada para las comunicaciones en proceso por
lotes
v #BATCHSC: es igual que #BATCH excepto en que es necesario un nivel de
seguridad de enlace de datos de *PKTSWTNWK como mínimo
v #INTER: una clase de servicio adaptada para las comunicaciones interactivas
v #INTERSC: es igual que #INTER excepto en que es necesario un nivel de
seguridad de enlace de datos de *PKTSWTNWK como mínimo

Capítulo 14. Consejos para la seguridad de las
comunicaciones TCP/IP
TCP/IP (Protocolo de control de transmisión/Protocolo de Internet) es una forma
habitual de comunicación entre sistemas informáticos de todo tipo. Las
aplicaciones TCP/IP son bien conocidas y ampliamente utilizadas a lo largo de las
“autopistas de la información”.
En este capítulo se proporcionan consejos para lo siguiente:

v Evitar la ejecución de aplicaciones TCP/IP en el sistema.
v Proteger los recursos del sistema cuando se permite la ejecución de aplicaciones
TCP/IP en él.
En el manual TCP/IP Configuration and Reference encontrará información completa
acerca de todas las aplicaciones TCP/IP. SecureWay: Consejos y Herramientas para
Internet, que se encuentra en el Apéndice A, describe las consideraciones de
seguridad a tener en cuenta al conectar el iSeries a Internet (una red TCP/IP de
gran tamaño) o a una intranet.
Tenga en cuenta que el iSeries soporta muchas aplicaciones TCP/IP posibles.

Cuando decide permitir una aplicación TCP/IP en el sistema, puede que también
esté permitiendo otras aplicaciones TCP/IP. Como administrador de seguridad,
necesita conocer el alcance de las aplicaciones TCP/IP y las implicaciones de
seguridad de estas aplicaciones.
Consejos para evitar procesos TCP/IP

Los trabajos servidores TCP/IP se ejecutan en el subsistema QSYSWRK. Se utiliza
el mandato Arrancar TCP/IP (STRTCP) para arrancar TCP/IP en el sistema. Si no
quiere ejecutar ningún proceso ni aplicación TCP/IP, no utilice el mandato
STRTCP. El sistema se suministra con el valor *EXCLUDE para la autorización de
uso público para el mandato STRTCP.
Si sospecha que alguien con acceso al mandato está arrancando TCP/IP (fuera de
horas de trabajo, por ejemplo), puede establecer la auditoría de objetos sobre el
mandato STRTCP. El sistema grabará una entrada de diario de auditoría cada vez
que un usuario ejecute el mandato.
Componentes de seguridad de TCP/IP

Con la Versión 4 Release 3, podrá beneficiarse de diversos componentes de
seguridad de TCP/IP que mejoran la seguridad de la red y añaden flexibilidad.
Aunque algunas de estas tecnologías también se encuentran en productos
cortafuegos como IBM Firewall para iSeries 400, estos componentes de seguridad
de TCP/IP para OS/400 no están pensados para utilizarlos como cortafuegos. No
obstante, puede utilizar algunas de sus funciones, en algunos casos para eliminar
la necesidad de un producto cortafuegos aparte. También puede utilizar estas
funciones TCP/IP para proporcionar una seguridad adicional a los entornos en los
que ya se esté utilizando un cortafuegos.
| Los siguientes componentes pueden utilizarse para mejorar la Seguridad de

| TCP/IP:

| v Seguridad de paquetes
| v Servidor proxy HTTP
Características de Seguridad de paquetes para asegurar el

tráfico de TCP/IP
La característica de Seguridad de paquetes está disponible a través del Operations
Navigator iSeries. Permite crear reglas de filtrado para el Protocolo Internet (IP) y
valores para la Conversión de direcciones de red (NAT). Con ellos puede controlar
el tráfico de TCP/IP que entra y sale de su sistema iSeries.
Filtrado de paquetes de Protocolo Internet (IP)
El filtrado de paquetes Protocolo Internet (IP) proporciona la capacidad de

bloquear el tráfico de IP de forma selectiva, basándose en la información de las
cabecercas de los paquetes IP y las específicas del protocolo. Puede crear un
conjunto de reglas de filtrado para especificar qué paquetes IP se permiten en su
red, y a cuáles negar el acceso a su red. Cuando cree reglas de filtrado, las aplicará
en una interfaz física (por ejemplo, una línea Ethernet o de Red en Anillo). Puede
aplicar las reglas a múltiples interfaces físicas, o bien puede aplicar reglas distintas
a cada interfaz.
Basándose en la siguiente información de cabecera, puede crear reglas para

permitir o rechazar paquetes específicos:
v Dirección IP de destino
v Protocolo de la dirección IP origen (por ejemplo, TCP, UDP, etc.).
v Puerto de destino (por ejemplo, 80 para HTTP).
v Puerto origen
v Dirección de datagrama IP (de entrada o de salida)
v Reenviado o Local
Puede utilizar el filtrado de paquetes IP para impedir que un tráfico indeseable o

innecesario alcance las aplicaciones del sistema, o se reenvíe a otros sistemas. Esto
incluye los paquetes ICMP de bajo nivel (por ejemplo, paquetes PING), para los
cuales no se precisa ningún servidor de aplicaciones específico.
Puede especificar si una regla de filtrado crea una anotación cronológica de

entrada, con información acerca de los paquetes que coinciden con las reglas, en
un diario del sistema. Una vez se haya anotado la información en un diario del
sistema, no podrá modificar la entrada de las anotaciones. En consecuencia, las
anotaciones cronológicas son una herramienta ideal para auditar la actividad de la
red.
Puede utilizar el filtrado de paquetes IP de OS/400 para proporcionar protección

adicional para un sistema iSeries concreto. Por ejemplo, este sistema podría estar
ejecutando aplicaciones delicadas o dando servicios Web a Internet. También puede
utilizar el filtrado de paquetes para proteger toda una subred cuando el iSeries esté
actuando como un direccionador ″ocasional″.
Encontrará más información sobre el uso del Filtrado de paquetes IP de OS/400 en

el Information Center.
Conversión de direcciones de red (NAT: Network Address Translation)
La Conversión de direcciones de red (NAT) modifica las direcciones IP origen o
destino, o ambas, de los paquetes que fluyen por el sistema. Con NAT, podrá
utilizar el sistema iSeries como pasarela entre dos redes que posean esquemas de
direccionamiento conflictivos o incompatibles. También podrá utilizar NAT para
ocultar las direcciones IP reales de una red, sustituyéndolas dinámicamente por
otras direcciones distintas.
Para poder utilizar NAT, deberá crear un conjunto de reglas que especifiquen el
modo en que se convertirán las direcciones. Las reglas de ″Correlación″ convierten
una dirección estática en otra (por ejemplo, ″a.b.c.d″ se convierte en ″e.f.g.h″).
Puede utilizar una regla de correlación cuando el sistema con una dirección
″e.f.g.h″ real proporcione servicios a los que desee acceder desde otra red. En esa
otra red, es necesario o deseable conocer el sistema por la dirección ″a.b.c.d.″. Las
reglas ″Ocultar″ convierten todas las direcciones de una subred en una única
dirección IP. Puede utilizar una regla Ocultar cuando los sistemas cliente deban
acceder a los servicios de otra red, y sea necesario o deseable utilizar una
estructura alternativa de direccionamiento.
Nota: Ya que el Filtrado de paquetes IP y la Conversión de Direcciones de Red se

complementan entre sí, a menudo las utilizará juntas para mejorar la
seguridad de una red.
Debería considerar el uso de las funciones de Conversión de direcciones de red

(NAT) de OS/400 cuando conecte dos redes anteriormente separadas que posean
estructuras de direcciones IP incoherentes o incompatibles.
Encontrará más información sobre el uso de la Conversión de direcciones de red

de OS/400 en el Information Center.
Servidor proxy HTTP

El servidor proxy HTTP viene con el IBM HTTP Server para iSeries 400. El HTTP
Server forma parte de OS/400. El servidor proxy recibe las peticiones HTTP de los
navegadores Web, y las vuelve a enviar a los servidores Web. Los servidores Web
que reciben las peticiones solamente conocen las direcciones IP del servidor proxy,
y no pueden determinar los nombres o direcciones de los PC que originaron las
peticiones. El servidor proxy puede manejar peticiones URL para HTTP, FTP,
Gopher y WAIS.
El servidor proxy pone en antememoria las páginas Web devueltas, consecuencia

de las peticiones efectuadas por todos los usuarios del servidor proxy. Por lo tanto,
cuando los usuarios pidan una página, el servidor proxy comprobará su existencia
en la antememoria. En caso afirmativo, el servidor proxy devolverá la página que
tiene en la antememoria. Con el uso de páginas en antememoria, el servidor proxy
es capaz de servir páginas Web con más rapidez, lo cual elimina las peticiones al
servidor Web que potencialmente podrían consumir mucho tiempo.
El servidor proxy también puede anotar todas las peticiones URL a efectos de
rastreo. Posteriormente se pueden repasar las anotaciones para supervisar el uso y
mal uso de los recursos de la red.
Puede utilizar el soporte de proxy HTTP del IBM HTTP Server para consolidar el
acceso a la Web. Las direcciones de los clientes PC se ocultan a los servidores Web
a los que acceden; solamente se conoce la dirección IP del servidor proxy. Poner en
antememoria las páginas Web también reduce los requisitos de ancho de banda en
las comunicaciones y la carga de trabajo de los cortafuegos.
Capítulo 14. Consejos para la seguridad de las comunicaciones TCP/IP 169

Consejos generales para la seguridad del entorno TCP/IP
Este tema proporciona sugerencias generales acerca de los pasos que puede seguir
para reducir los riesgos en la seguridad relativos al entorno TCP/IP del sistema.
Estos consejos se aplican a todo el entorno TCP/IP en lugar de a las aplicaciones
específicas que se tratan en los temas siguientes.
v Al escribir una aplicación para un puerto TCP/IP, asegúrese de que la aplicación
sea adecuadamente segura. Debe tener en cuenta que un extraño podría intentar
acceder a dicha aplicación a través de dicho puerto. Un usuario con
conocimientos puede intentar efectuar TELNET con la aplicación.
v Supervise la utilización de los puertos de TCP/IP del sistema. Una aplicación de
usuario asociada a un puerto TCP/IP puede proporcionar una entrada “trasera”
al sistema sin necesidad de ID de usuario o de contraseña. Alguien con la
suficiente autoridad en el sistema puede asociar una aplicación con un puerto
TCP o UDP.
v Como administrador de seguridad, debe tener en cuenta una técnica llamada
suplantación de IP utilizada por los piratas informáticos. Cada sistema de una red
TCP/IP tiene una dirección IP. Alguien que utilice esta técnica prepara un
sistema (normalmente un PC) como si fuera una dirección IP existente o una
dirección IP de confianza. Así, el impostor puede establecer una conexión con el
sistema haciéndose pasar por un sistema con el que la conexión es habitual.
Si ejecuta TCP/IP en el sistema y éste participa en una red que no está protegida
físicamente (todas las líneas no conmutadas y los enlaces predefinidos), será
vulnerable a la suplantación de IP. Para proteger el sistema del daño causado
por algún “suplantador”, empiece por las sugerencias de este capítulo, tales
como la protección de inicio de sesión y la seguridad de objeto. Debe también
asegurarse de que el sistema tenga establecidos límites de almacenamiento
auxiliar razonables. Esto evita que quien realiza la suplantación inunde el
sistema con correo o archivos en spool hasta que el sistema se vuelva
inoperante.
Además, debe supervisar regularmente la actividad de TCP/IP en el sistema. Si
detecta la técnica de suplantación de IP, puede intentar descubrir los puntos
débiles de la configuración de TCP/IP y hacer ajustes.
v Para la intranet (red de sistemas que no necesitan conectarse directamente con el
exterior), utilice las direcciones IP reutilizables. Las direcciones reutilizables están
destinadas a ser utilizadas en una red privada. La red troncal de Internet no
direcciona los paquetes que tienen una dirección IP reutilizable. Por lo tanto, las
direcciones reutilizables proporcionan una capa añadida de protección dentro del
cortafuegos.
En la publicación TCP/IP Configuration and Reference se proporciona más
información acerca de cómo se asignan las direcciones IP y acerca de los rangos
de las direcciones IP.
v Si está pensando en conectar el sistema a Internet o a una intranet, revise la
información de seguridad de SecureWay: Consejos y herramientas para Internet que
se encuentra en el Apéndice A.
v La publicación TCP/IP Configuration and Reference contiene un apéndice que
proporciona información de seguridad acerca de TCP/IP. Revise la información
en el apéndice.
Control de los servidores TCP/IP que se inician

automáticamente
Como administrador de seguridad, necesita controlar las aplicaciones TCP/IP que
se inician automáticamente al iniciar TCP/IP. Hay dos mandatos disponibles para
iniciar TCP/IP. Para cada mandato, el sistema utiliza un método distinto para
determinar las aplicaciones (servidores) a iniciar.
En la Tabla 22 se muestran ambos mandatos y las recomendaciones de seguridad

correspondientes. En la Tabla 23 se muestran los valores de inicio automático para
los servidores. Para cambiar el valor de inicio automático para un servidor, utilice
el mandato CHGxxxA (Cambiar atributos xxx) para el servidor. Por ejemplo, el
mandato para TELNET es CHGTELNA.
Tabla 22. Cómo determinan los mandatos de TCP/IP cuáles son los servidores a iniciar
Mandato Servidores que se inician Recomendaciones de seguridad
Iniciar TCP/IP El sistema inicia todo servidor v Asigne la autorización especial *IOSYSCFG con cuidado
(STRTCP) que especifique para controlar quién puede cambiar los valores de inicio
AUTOSTART(*YES). La Tabla 23 automático.
muestra el valor suministrado
v Controle cuidadosamente quién tiene autorización para
para cada servidor TCP/IP.
utilizar el mandato STRTCP. La autorización de uso público
por omisión para el mandato es *EXCLUDE.
v Establezca la auditoría de objetos para los mandatos
Cambiar atributos de nombre de servidor (por ejemplo,
CHGTELNA) para supervisar los usuarios que intentan
cambiar el valor AUTOSTART para un servidor.
Iniciar servidor Debe utilizarse un parámetro v Utilice el mandato Cambiar valor por omisión de mandato
TCP/IP para especificar los servidores a (CHGCMDDFT) para establecer que el mandato
(STRTCPSVR) iniciar. El valor por omisión al STRTCPSVR inicie solamente un servidor determinado.
emitir el mandato supone iniciar Esto no impide que los usuarios inicien otros servidores.
todos los servidores. Sin embargo, al cambiar el valor por omisión del mandato,
es menos probable que los usuarios inicien todos los
servidores accidentalmente. Por ejemplo, utilice el mandato
siguiente para que el valor por omisión suponga iniciar
sólo el servidor TELNET: CHGCMDDFT CMD(STRTCPSVR)
NEWDFT('SERVER(*TELNET)')
Nota: Al cambiar el valor por omisión, puede especificar
solamente un único servidor. Elija un servidor que utilice
habitualmente o un servidor que implique una menor
probabilidad de ser causa de riesgos en la seguridad (como
TFTP).
v Controle cuidadosamente quién tiene autorización para
utilizar el mandato STRTCPSVR. La autorización de uso
público por omisión para el mandato es *EXCLUDE.
Tabla 23. Valores de inicio automático para servidores TCP/IP

Dónde encontrar consideraciones de
Servidor Valor por omisión Su valor seguridad para el servidor
TELNET AUTOSTART(*YES) “Consejos de seguridad para Telnet”
en la página 178
FTP (protocolo de AUTOSTART(*YES) “Consejos de seguridad para el
transferencia de protocolo de transferencia de
archivos) archivos” en la página 183
BOOTP (Protocolo AUTOSTART(*NO) “Consejos para la seguridad del
Bootstrap) servidor de Protocolo Bootstrap” en la
página 186
TFTP (protocolo trivial AUTOSTART(*NO) “Consejos para la seguridad del
de transferencia de servidor de Protocolo trivial de
archivos) transferencia de archivos” en la
página 189

Tabla 23. Valores de inicio automático para servidores TCP/IP (continuación)
Dónde encontrar consideraciones de
Servidor Valor por omisión Su valor seguridad para el servidor
REXEC (servidor de AUTOSTART(*NO) “Consejos para la seguridad del
EXECution remoto) Servidor de EXECution remoto” en la
página 191
RouteD (Daemon de AUTOSTART(*NO) “Consejos de seguridad para el
ruta) Daemon de ruta” en la página 192
SMTP (protocolo simple AUTOSTART(*YES) “Consejos de seguridad para el
de transferencia de protocolo simple de transferencia de
correo) correo” en la página 194
POP (Protocolo de AUTOSTART(*NO) “Consejos de seguridad para POP
Oficina Postal) (Protocolo de Oficina Postal)” en la
página 198
HTTP (Protocolo de AUTOSTART(*NO) “Consejos de seguridad para servicios
Transferencia de Web desde el iSeries 400” en la
Hipertexto) 1 página 200
ICS (Internet Connection AUTOSTART(*NO) “Consejos de seguridad para servicios
Server)1 Web desde el iSeries 400” en la
página 200
WSG (Workstation AUTOSTART(*NO) “Consejos de seguridad para el
Gateway Server) Workstation Gateway Server” en la
página 212
LPD (daemon de AUTOSTART(*YES) “Consejos de seguridad para el
impresora de líneas) Daemon de impresora de líneas” en
la página 215
SNMP (Protocolo AUTOSTART(*YES) “Consejos de seguridad para el
Simple de Gesti¾n de Protocolo simple de gestión de red”
Correo (SNMP)) en la página 216
DNS (sistema de AUTOSTART(*NO) “Consejos para la seguridad del
nombres de dominio servidor Sistema de nombres de
(DNS)) dominio (DNS)” en la página 193
DDM AUTOSTART(*NO)
DHCP (Protocolo de AUTOSTART(*NO) “Consejos para la seguridad del
configuración dinámica servidor Protocolo de Configuración
de sistema principal Dinámica de Sistema Principal
(DHCP)) (DHCP)” en la página 187
NSMI AUTOSTART(*NO)
INETD AUTOSTART(*NO) “Consejos de seguridad para el
servidor INETD” en la página 217
Notas:
1. A partir de la V4R1, en IBM HTTP Server para iSeries 400 se utiliza el mandato CHGHTTPA para establecer el
valor AUTOSTART.
Consejos para controlar la utilización de SLIP

El soporte de TCP/IP de iSeries incluye el Protocolo de Línea de Interfaz Serie
(SLIP). SLIP proporciona conectividad punto a punto de bajo coste. Un usuario de
SLIP puede conectarse a una LAN o a una WAN estableciendo una conexión punto
a punto con un sistema que forme parte de una LAN o una WAN.
SLIP se ejecuta en una conexión asíncrona. Puede utilizar SLIP para efectuar
conexiones de marcación a y desde el iSeries.Por ejemplo, puede utilizar SLIP para
marcar desde el PC a un sistema iSeries.Después de establecer la conexión, puede
utilizar la aplicación TELNET en el PC para conectarse al servidor TELNET del
iSeries.O puede utilizar la aplicación FTP para transferir archivos entre los dos
sistemas.
No existe ninguna configuración de SLIP en el sistema cuando se envía. Por lo

tanto, si no quiere que se ejecute SLIP (y TCP/IP de marcación) en el sistema, no
configure perfiles para SLIP. Puede utilizar el mandato Trabajar con punto a punto
TCP/IP (WRKTCPPTP) para crear configuraciones de SLIP. Debe tener
autorización especial *IOSYSCFG para utilizar el mandato WRKTCPPTP.
Si quiere que SLIP se ejecute en el sistema, cree uno o varios perfiles de

configuración SLIP (punto a punto). Puede crear perfiles de configuración con las
modalidades operativas siguientes:
v Marcación de entrada (*ANS)
v Marcación de salida (*DIAL)
En los temas siguientes se trata la forma de establecer la seguridad para los

perfiles de configuración de SLIP.
Nota: Un perfil de usuario es un objeto de iSeries que permite iniciar la

sesión.Cada trabajo de iSeries debe tener un perfil de usuario para
ejecutarse.Un perfil de configuración almacena información que se utiliza
para establecer una conexión SLIP con un sistema iSeries.Cuando se arranca
una conexión SLIP con el iSeries, simplemente se está estableciendo un
enlace.Aún no se ha iniciado la sesión ni se ha arrancado un trabajo
iSeries.Por lo tanto no necesita imperativamente un perfil de usuario de
iSeries para arrancar una conexión SLIP con el iSeries.Sin embargo, tal como
verá en los comentarios siguientes, el perfil de configuración de SLIP puede
necesitar un perfil de usuario de iSeries para determinar si se permite la
conexión.
Control de conexiones de marcación SLIP

Para que alguien pueda establecer una conexión de marcación de entrada con el
sistema mediante SLIP, debe usted arrancar un perfil de configuración *ANS de
SLIP. Para crear o cambiar un perfil de configuración de SLIP, utilice el mandato
Trabajar con punto a punto de TCP/IP (WRKTCPPTP). Para arrancar un perfil de
configuración, utilice el mandato Arrancar punto a punto de TCP/IP (STRTCPPTP)
o una opción de la pantalla WRKTCPPTP. Cuando el sistema se envía, la
autorización de uso público para los mandatos STRTCPPTP y ENDTCPPTP es
*EXCLUDE. Las opciones añadir, cambiar y suprimir perfiles de configuración de
SLIP están disponibles sólo si tiene autorización especial *IOSYSCFG. Como
administrador de seguridad, puede utilizar la autorización de mandatos, y la
autorización especial, para determinar quién puede configurar el sistema para
permitir conexiones de marcación de entrada.
Seguridad de una conexión SLIP de marcación de entrada

Si desea validar los sistemas que efectúen una marcación de entrada en el sistema,
querrá que el sistema peticionario envíe un ID de usuario y una contraseña. Su
sistema puede entonces verificar el ID de usuario y la contraseña. Si el ID de
usuario y la contraseña no son válidos, el sistema puede rechazar la petición de
sesión.
Para establecer la validación de la marcación de entrada haga lo siguiente:

__ Paso 1. Cree un perfil de usuario que el sistema peticionario pueda utilizar
para establecer la conexión. El ID de usuario y la contraseña que envía
el peticionario deben coincidir con este nombre de perfil y esta
contraseña.
Nota: Para que el sistema lleve a cabo la validación de la contraseña el

valor del sistema QSECURITY debe ser 20 o un valor superior.
Como protección adicional, probablemente querrá crear perfiles de

usuario específicos para establecer conexiones SLIP. Los perfiles de
usuario deben tener autorización limitada sobre el sistema. Si no va a
utilizar los perfiles para ninguna función excepto para establecer
conexiones SLIP, puede establecer los valores siguientes en los perfiles
de usuario:
v Un menú inicial (INLMNU), *SIGNOFF
v Un programa inicial (INLPGM), *NONE.
v Limitar posibilidades (LMTCPB), *YES
Estos valores impiden que alguien inicie una sesión interactivamente
con el perfil de usuario.
__ Paso 2. Cree una lista de autorizaciones para que el sistema haga una
comprobación cuando un peticionario intenta establecer una conexión
SLIP.
Nota: Esta lista de autorizaciones se especifica en el campo Lista de

autorizaciones de acceso al sistema, al crear o modificar el perfil de
SLIP. (Vea el paso 4.)
__ Paso 3. Utilice el mandato Añadir entrada de autorización (ADDAUTLE) para
añadir el perfil de usuario creado en el paso 1 a la lista de
autorizaciones. Puede crear una lista de autorizaciones exclusiva para
cada perfil de configuración punto a punto, o puede crear una lista de
autorizaciones que compartan varios perfiles de configuración.
__ Paso 4. Utilice el mandato WRKTCPPTP para establecer un perfil *ANS punto
a punto de TCP/IP que tenga las características siguientes:
v El perfil de configuración debe utilizar un script de diálogo que
incluya la función de validación del usuario. La validación del
usuario incluye la aceptación de un ID de usuario y de una
contraseña del peticionario y su validación. El sistema se envía con
varios scripts de diálogo de ejemplo que proporcionan esta función.
v El perfil de configuración debe especificar el nombre de la lista de
autorizaciones creada en el paso 2. El ID de usuario que recibe el
script de diálogo de conexión debe estar en la lista de
autorizaciones.
Tenga en cuenta que el valor de configuración de la seguridad de marcación se ve

afectado por las posibilidades y las prácticas de seguridad de los sistemas que
efectúan la marcación de entrada. Si necesita un ID de usuario y una contraseña, el
script de diálogo de conexión del sistema peticionario debe enviar el ID de usuario
y la contraseña. Algunos sistemas, como el iSeries, proporcionan un método de
seguridad para almacenar los ID de usuario y las contraseñas.(Este método se
describe en el apartado “Seguridad y sesiones de marcación” en la página 175).
Otros sistemas almacenan el ID de usuario y la contraseña en un script que puede
ser accesible a cualquiera que sepa donde encontrarlo en el sistema.
Debido a las diferentes posibilidades y prácticas en materia de seguridad de los
comunicantes, querrá crear diferentes perfiles de configuración para diferentes
entornos de petición. Puede utilizar el mandato STRTCPPTP para configurar el
sistema para aceptar una sesión para un perfil de configuración específico. Para
algunos perfiles de configuración puede arrancar sesiones sólo en determinados
momentos del día, por ejemplo. Puede utilizar la auditoría de seguridad para
llevar un registro de anotaciones cronológicas de la actividad de los perfiles de
usuario asociados.
Cómo evitar que los usuarios de marcación accedan a otros

sistemas
Dependiendo del sistema y de la configuración de red, un usuario que arranque
una conexión SLIP puede ser capaz de acceder a otro sistema en la red sin iniciar
la sesión en el sistema. Por ejemplo, un usuario podría establecer una conexión
SLIP con el sistema. A continuación, el usuario podría establecer una conexión FTP
con otro sistema de la red que no permita entrar por una línea telefónica.
Puede evitar que un usuario SLIP acceda a otros sistemas de la red especificando
N (No) para el campo Permitir reenvío de datagramas IP en el perfil de
configuración. Esto impide que un usuario acceda a la red antes de que inicie
sesión en su sistema. Sin embargo, una vez que el usuario haya iniciado la sesión
de forma satisfactoria en el sistema, el valor de reenvío de datagramas no tiene
efecto. No limita la capacidad del usuario para utilizar una aplicación TCP/IP en
el sistema iSeries (por ejemplo, FTP o TELNET), para establecer una conexión con
otro sistema de la red.
Control de las sesiones de marcación

Antes de que alguien pueda utilizar SLIP para establecer una conexión de
marcación de salida desde el sistema, debe arrancar un perfil de configuración
*DIAL de SLIP. Para crear o cambiar un perfil de configuración SLIP, utilice el
mandato WRKTCPPTP. Para arrancar un perfil de configuración, utilice el mandato
Arrancar punto a punto de TCP/IP (STRTCPPTP) o una opción de la pantalla
WRKTCPPTP. Cuando el sistema se envía, la autorización de uso público para los
mandatos STRTCPPTP y ENDTCPPTP es *EXCLUDE. Las opciones añadir, cambiar
y suprimir perfiles de configuración de SLIP están disponibles sólo si tiene
autorización especial *IOSYSCFG. Como administrador de seguridad, puede
utilizar la autorización de mandatos y la autorización especial para determinar
quién puede configurar el sistema para permitir conexiones de marcación de
salida.
Seguridad y sesiones de marcación

Los usuarios del sistema iSeries querrán establecer conexiones de marcación con
sistemas que requieran validación de usuario. El script de diálogo de conexión en
el sistema iSeries debe enviar un ID de usuario y una contraseña al sistema
remoto. El iSeries proporciona un método de seguridad para almacenar la
contraseña.No es necesario almacenar la contraseña en el script de diálogo de
conexión.
Notas:
1. A pesar de que el sistema almacena la contraseña de conexión de forma cifrada,
el sistema la descifra antes de enviarla. Las contraseñas de SLIP, igual que las
contraseñas de FTP y TELNET, se envían descifradas. Sin embargo, al contrario
que con FTP y TELNET, la contraseña SLIP se envía antes de que los sistemas
establezcan la modalidad TCP/IP.
Puesto que SLIP utiliza una conexión punto a punto en la modalidad asíncrona,
el riesgo en la seguridad al enviar contraseñas no cifradas es distinto del riesgo

con las contraseñas FTP y TELNET. Las contraseñas no cifradas de FTP y
TELNET pueden enviarse como tráfico IP en una red y son, por tanto,
vulnerables a la búsqueda electrónica. La transmisión de la contraseña SLIP es
tan segura como lo sea la conexión telefónica entre ambos sistemas.
2. El archivo por omisión para almacenar los scripts de diálogo de conexión SLIP
es QUSRSYS/QATOCPPSCR. La autorización de uso público para este archivo
es *USE, lo que evita que los usuarios públicos cambien los scripts de diálogo
de conexión por omisión.
Cuando crea un perfil de conexión para una sesión remota que necesite validación,
haga lo siguiente:
__ Paso 1. Asegúrese de que el valor del sistema Retener datos de seguridad del
servidor (QRETSVRSEC) es 1 (Sí). Este valor del sistema determina si
permitirá que las contraseñas que pueden descifrarse se almacenen en
un área protegida de su sistema.
__ Paso 2. Utilice el mandato WRKTCPPTP para crear un perfil de configuración
que tenga las características siguientes:
v Para la modalidad del perfil de configuración, especifique *DIAL.
v Para el Nombre de acceso de servicio remoto, especifique el ID de
usuario que el sistema remoto espera. Por ejemplo, si va a
conectarse con otro iSeries, especifique el nombre del perfil de
usuario en el iSeries.
v Para la Contraseña de acceso de servicio remoto, especifique la
contraseña que el sistema remoto espera para este ID de usuario. En
el iSeries, esta contraseña se almacena en un área protegida en un
formato que puede descifrarse.Los nombres y las contraseñas que
asigna a los perfiles de configuración están asociados con el perfil de
usuario de QTCP. Los nombres y las contraseñas no son accesibles
con ninguna interfaz o mandato de usuario. Sólo los programas
registrados del sistema pueden acceder a esta información de
contraseña.
Nota: Tenga en cuenta que las contraseñas para sus perfiles de

conexión no se salvan al salvar los archivos de configuración
de TCP/IP. Para salvar las contraseñas SLIP, necesita utilizar
el mandato Salvar datos de seguridad (SAVSECDTA) para
salvar el perfil de usuario QTCP.
v Para el script de diálogo de conexión, especifique un script que
envíe el ID de usuario y la contraseña. El sistema se envía con
varios scripts de diálogo de ejemplo que proporcionan esta función.
Cuando el sistema ejecuta el script, recupera la contraseña, la
descifra y la envía al sistema remoto.
Consideraciones de seguridad para el protocolo PPP (punto a punto)

A partir de la V4R2, el protocolo PPP (punto a punto) está disponible como parte
de TCP/IP. PPP es un estándar comercial para las conexiones punto a punto que
proporciona funciones adicionales sobre lo que está disponible con SLIP.
Con PPP, el iSeries puede tener conexiones de alta velocidad directamente con un
proveedor de servicios de Internet o con otros sistemas de una intranet o una
extranet.Las LAN remotas pueden realmente conectarse mediante marcación al
iSeries.
Recuerde que PPP, al igual que SLIP, proporciona una conexión de red para el
iSeries.Esencialmente, una conexión PPP trae al peticionario a la puerta del
sistema. El peticionario sigue necesitando un ID de usuario y una contraseña para
entrar en el sistema y conectarse a un servidor TCP/IP como TELNET o FTP. A
continuación se proporcionan algunas consideraciones de seguridad con esta nueva
posibilidad de conexión:
Nota: Puede configurar PPP utilizando Operations Navigator o una estación de

trabajo Client Access AS/400 para Windows 95/NT.
v PPP proporciona la posibilidad de tener conexiones dedicadas (en las que el
mismo usuario tiene siempre la misma dirección IP). Con una dirección
dedicada, tiene el potencial para suplantación de IP (un sistema impostor que
pretende hacerse pasar por un sistema de confianza con una dirección IP
conocida). Sin embargo, las posibilidades de autenticación mejoradas que
proporciona PPP ayudan en la protección contra la suplantación de IP.
v Con PPP, al igual que con SLIP, puede crear perfiles de conexión que tienen un
nombre de usuario y una contraseña asociada. No obstante, al contrario que con
SLIP, el usuario no necesita tener un perfil de usuario y contraseña de iSeries
400 válidos. El nombre de usuario y la contraseña no están asociados con un
perfil de usuario de iSeries 400, sino que se utilizan listas de validación para la
autenticación de PPP. Además, PPP no requiere un script de conexión. La
autenticación (intercambio de nombre de usuario y contraseña) es parte de la
arquitectura PPP y transcurre a un nivel más bajo que en el caso de SLIP.
v Con PPP tiene la opción de utilizar CHAP (challenge handshake authentication
protocol). Ya no necesitará preocuparse acerca de si existen escuchas ocultas en
busca de contraseñas porque CHAP cifra los nombres de usuario y las
contraseñas.
La conexión PPP utiliza CHAP solamente si ambas partes tienen soporte CHAP.
Durante las señales de intercambio para establecer las comunicaciones entre dos
módems, los dos sistemas negocian. Por ejemplo, si SYSTEMA soporta CHAP y
SYSTEMB no, SYSTEMA puede denegar la sesión o avenirse a utilizar un
nombre de usuario y una contraseña no cifrados. Aceptar la utilización de un
nombre de usuario y de una contraseña no cifrados significa negociar a la baja.
La decisión de negociar a la baja es una opción de configuración. En la intranet,
por ejemplo, donde sabe que todos los sistemas tienen posibilidad CHAP, debe
configurar el perfil de conexión de forma que no negocie a la baja. En una
conexión de uso público donde el sistema está marcando fuera, puede ser
deseable negociar a la baja.
El perfil de conexión para PPP proporciona la posibilidad de especificar
direcciones IP válidas. Puede, por ejemplo, indicar que espera una dirección o
un rango de direcciones específicos para un usuario determinado. Esta
posibilidad, conjuntamente con la capacidad para contraseñas cifradas,
proporciona una mayor protección contra la suplantación.
Como protección adicional contra la suplantación o el parasitismo en una sesión
activa, puede configurar PPP para que pida confirmación a intervalos
establecidos. Por ejemplo, mientras una sesión PPP está activa, el iSeries puede
pedir al otro sistema un usuario y una contraseña. Esto lo hace cada 15 minutos
para asegurarse de que se trata del mismo perfil de conexión. (El usuario final
no se dará cuenta de la existencia de esta actividad de confirmación. Los
sistemas intercambian los nombres y las contraseñas por debajo del nivel que ve
el usuario final.)
Con PPP, es realista esperar que las LAN remotas puedan establecer una
conexión por marcación con el iSeries y con la red ampliada.En este entorno,
probablemente sea un requisito tener activado el reenvío de IP. El reenvío de IP

tiene el potencial para permitir a un intruso vagar por la red. Sin embargo, PPP
tiene protecciones más potentes (como el cifrado de contraseñas y la validación
de la dirección IP). Esto convierte en menos probable el que un intruso pueda
establecer una conexión de red en primer lugar.
Para obtener más información acerca de PPP, consulte la publicación TCP/IP

Configuration and Reference.
Consejos de seguridad para Telnet

TELNET proporciona una sesión interactiva en el sistema. El sistema presenta la
pantalla de inicio de sesión a cualquiera que intente entrar en el sistema utilizando
TELNET. TELNET necesita una contraseña si el sistema funciona con un nivel de
seguridad de 20 o uno mayor.
| Nota: Cuando tenga Estaciones de red conectadas a su iSeries, debe tener TELNET
| en ejecución. Las Estaciones de red utilizan TN5250E (TELNET) para las
| sesiones de iSeries.
Consejos para evitar el acceso de Telnet

Si no quiere que nadie utilice TELNET para acceder al sistema, debe evitar el
funcionamiento del servidor TELNET. Haga lo siguiente:
__ Paso 1. Para evitar que los trabajos del servidor TELNET se arranquen
automáticamente al arrancar TCP/IP, teclee lo siguiente:
CHGTELNA AUTOSTART(*NO)
Notas:
a. AUTOSTART(*YES) es el valor por omisión.
b. “Control de los servidores TCP/IP que se inician automáticamente”
en la página 170 proporciona más información acerca del control
de los servidores TCP/IP que se inician automáticamente.
__ Paso 2. Para evitar que alguien asocie una aplicación de usuario, tal como una
aplicación socket, con el puerto que el sistema utiliza normalmente
para TELNET, haga lo siguiente:
__ Paso a. Teclee GO CFGTCP para visualizar el menú Configurar
TCP/IP.
__ Paso b. Seleccione la opción 4 (Trabajar con restricciones de puerto
TCP/IP).
__ Paso c. En la pantalla Trabajar con restricciones de puerto TCP/IP,
especifique la opción 1 (Añadir).
__ Paso d. Para el rango del puerto más bajo, especifique 23 (para
TELNET no SSL) o 992 (para TELNET SSL).
Nota: Estos números de puerto están especificados en la

tabla Trabajar con entradas de tabla de servicios
(WRKSRVTBLE) bajo ″telnet″ y ″telnet-ssl″. Pueden
correlacionarse con puertos que no sean 23 y 992.
__ Paso e. Para el rango del puerto más alto, especifique *ONLY.
Notas:
1) La restricción de puertos entra en vigor cuando se
vuelve a arrancar TCP/IP. Si TCP/IP está activo
cuando se establecen las restricciones de puertos, debe
finalizar TCP/IP y arrancarlo de nuevo.
2) RFC1700 proporciona información sobre las
asignaciones de números de puerto comunes.
__ Paso f. Para el protocolo, especifique *TCP.
__ Paso g. Para el campo de perfil de usuario, especifique un nombre
de perfil de usuario protegido en el sistema. (Los perfiles
de usuario protegidos no son propietarios de programas
que adoptan autorización y no tienen contraseñas
conocidas por otros usuarios.) Restringiendo el puerto a
un usuario específico, excluye automáticamente a todos los
demás usuarios. Si el puerto está restringido al perfil
QTCP, los servidores TELNET pueden ejecutarse. Si está
restringido a un perfil que no sea QTCP, los servidores
TELNET no podrán utilizar ese puerto.
Nota: Si desea impedir el acceso tanto a TELNET no SSL como a

TELNET SSL, repita el paso 2 en la página 178 y especifique el
otro puerto en la parte 2d en la página 178.
Consejos para controlar el acceso de Telnet

A continuación se proporcionan consideraciones y sugerencias sobre el acceso de
clientes TELNET al sistema:
| Autenticación de cliente: A partir de la V4R4 (habilitado para PTF), el servidor

TELNET soporta la autenticación de cliente, además de la autenticación de
servidor SSL soportada actualmente. Cuando está habilitado, el servidor TELNET
de iSeries autentica los certificados de servidor y de cliente cuando los clientes de
TELNET se conectan al puerto SSL TELNET. Los clientes de TELNET que no
envíen un certificado de cliente válido cuando intenten conectarse al puerto SSL
TELNET, no podrán establecer una sesión de pantalla o impresora. Encontrará más
información en http://www.as400.ibm.com/tcpip/telnet/ssl.htm.
Protección de contraseñas: Las contraseñas de TELNET no están cifradas cuando

se envían entre el cliente tradicional y el servidor. Dependiendo de los métodos de
conexión, el sistema puede ser vulnerable al robo de contraseñas mediante el
″husmeo de la línea″. Las contraseñas de Telnet estarán cifradas si se utilizan
negociaciones TN5250E para intercambiar una contraseña cifrada. En tal caso,
puede saltarse el panel de inicio de sesión y no se enviará por la red ninguna
contraseña de ″texto claro″. Solamente se cifra la contraseña con TN5250E, SSL es
necesario para cifrar todo el tráfico.
Nota: La supervisión de una línea utilizando equipo electrónico se denomina a

menudo husmear (sniffing).
Sin embargo, si utiliza el servidor TELNET SSL (nuevo en la V4R4) y un cliente de
TELNET habilitado para SSL, todas las transacciones, incluidas las contraseñas,
estarán cifradas y protegidas. El puerto SSL de TELNET está definido en la entrada
WRKSRVTBLE bajo ″telnet-ssl″.
Limitación del número de intentos de inicio de sesión: A pesar de que el valor

del sistema QMAXSIGN se aplica a TELNET, se reduce la efectividad de este valor
del sistema si se configura el sistema para configurar dispositivos virtuales
automáticamente. Cuando el valor del sistema QAUTOVRT tiene un valor mayor
que 0, el usuario de TELNET no satisfactorio puede volver a conectarse a un
dispositivo virtual de creación reciente. Esto puede continuar hasta que se
produzca una de las situaciones siguientes:

v Todos los dispositivos virtuales están inhabilitados y el sistema haya excedido el
límite para crear nuevos dispositivos virtuales.
v Todos los perfiles de usuario están inhabilitados.
v El pirata informático consigue iniciar la sesión en el sistema.
La configuración automática de dispositivos virtuales multiplica el número de

intentos TELNET disponibles.
Nota: Para facilitar el control de dispositivos virtuales, podrá establecer un valor

para el valor del sistema QAUTOVRT que sea mayor que 0 durante un
breve período de tiempo. Utilice TELNET para forzar al sistema a crear
dispositivos o espere hasta que otros usuarios hayan originado que el
sistema cree dispositivos virtuales suficientes. A continuación establezca en 0
el valor del sistema QAUTOVRT.
Las mejoras de TELNET de la V4R2 proporcionan una opción para limitar el

número de veces que un pirata puede intentar entrar en el sistema. Puede crear un
programa de salida que llame el sistema siempre que un cliente intente iniciar una
sesión TELNET. El programa de salida recibe la dirección IP del peticionario. Si el
programa observa una serie de peticiones de la misma dirección IP en un breve
período de tiempo, el programa puede actuar denegando posteriores peticiones de
la dirección y enviando un mensaje a la cola de mensajes QSYSOPR. El apartado
“Visión general de las posibilidades del programa de salida TELNET” en la
página 182 proporciona una visión general de las posibilidades del programa de
salida de TELNET.
Nota: De forma alternativa también puede utilizar el programa de salida de

TELNET para proporcionar un registro cronológico. En lugar de dejar que el
programa tome decisiones acerca de los intentos de irrupción potenciales,
puede utilizar el registro cronológico para supervisar los intentos de iniciar
sesiones TELNET.
Finalización de sesiones inactivas: Puede utilizar el parámetro Tiempo de espera de

inactividad (INACTTIMO) en la configuración TELNET para reducir posibles
conflictos cuando el usuario deja una sesión TELNET desatendida. Lea la
documentación o la ayuda en línea para comprender el funcionamiento en común
del parámetro INACTTIMO y del temporizador de conexión (para el arranque del
servidor).
Nota: No se proporciona soporte para INACTTIMO a partir de la V4R4. Se ha

eliminado este parámetro del panel CHGTELNA.
A partir de la V4R3, las sesiones TELNET se incluyen en el proceso QINACTITV

del sistema. El valor del sistema QINACTMSGQ define la acción para las sesiones
TELNET interactivas que estén inactivas cuando expire el intervalo de tiempo de
espera del trabajo inactivo. Si el valor QINACTMSGQ especifica que el trabajo
debería desconectarse, la sesión deberá soportar la función de trabajo
desconectado. De lo contrario, el trabajo finalizará en lugar de desconectarse.
Las sesiones TELNET que continúen utilizando descripciones de dispositivo

denominadas QPDEVxxxx no permitirán a los usuarios desconectarse de esos
trabajos. La desconexión de dichos trabajos no se permite, ya que la descripción de
dispositivo con la que el usuario se vuelve a conectar es impredecible. La
desconexión de un trabajo requiere la misma descripción de dispositivo cuando el
usuario vuelve a conectar con el trabajo. El tiempo de espera de trabajo inactivo se
soporta en todos los tipos de TELNET, incluyendo TCP/IP TELNET, IPX TELNET,
y Workstation Gateway. Si está utilizando el parámetro INACTTIMO o TELNET
para definir el tiempo de espera de las sesiones, deberá cambiar y utilizar el valor
del sistema QINACTITV. Workstation Gateway utiliza un temporizador
independiente en el valor INACTTIMO que funciona además del valor
QINACTITV. Cualquiera de estos dos valores puede desencadenar un tiempo de
espera de sesión excedido en Workstation Gateway.
Restricción de perfiles de usuario potentes: Puede utilizar el valor del sistema

QLMTSECOFR para restringir los usuarios con autorización especial *ALLOBJ o
*SERVICE. El usuario o QSECOFR debe tener autorización explícita sobre un
dispositivo para iniciar la sesión. De este modo, puede evitar que alguien con
autorización especial *ALLOBJ utilice TELNET para acceder al sistema,
asegurándose de que QSECOFR no tiene autorización sobre ningún dispositivo
virtual.
En lugar de evitar a los usuarios de TELNET que tengan autorización especial

*ALLOBJ, puede restringir a los usuarios potentes de TELNET por ubicación. Con
el punto de salida de iniciación de TELNET en la V4R2 puede crear un programa
de salida que asigne una descripción de dispositivo de iSeries específica a una
petición de sesión basándose en la dirección IP del peticionario.
Control de la función por ubicación: Es posible que desee controlar qué funciones
permite o qué menú ve el usuario basándose en la ubicación en la que se origina la
petición TELNET. La API (interfaz de programación de aplicaciones) QDCRDEVD
proporciona acceso a la dirección IP del peticionario. A continuación se
proporcionan algunas sugerencias para utilizar este soporte:
v Para la V4R1, podría utilizar la API en un programa inicial para todos los
usuarios (si la actividad de TELNET es significativa en su entorno). Basándose
en la dirección IP del usuario que solicita el inicio de sesión, puede establecer el
menú para el usuario o incluso cambiar a un perfil de usuario específico.
v A partir de la V4R2, puede utilizar el programa de salida de TELNET para
tomar decisiones basándose en la dirección IP del peticionario. Esto elimina la
necesidad de definir un programa inicial en cada perfil de usuario. Puede, por
ejemplo, establecer el menú inicial del usuario, establecer el programa inicial
para el usuario o especificar bajo qué perfil de usuario se ejecutará la sesión
TELNET.
Nota: Además, teniendo acceso a la dirección IP del usuario, puede proporcionar

impresión dinámica en una impresora asociada a la dirección IP del usuario.
La API QDCRDEVD también devolverá direcciones IP para impresoras, así
como para pantallas. Seleccione el formato DEVD1100 para impresoras y
DEVD0600 para pantallas.
Control del inicio de sesión automático: A partir de la V4R2, TELNET permite a

un usuario de Client Access pasar por alto la pantalla Inicio de sesión enviando un
nombre de perfil de usuario y una contraseña con la petición de sesión TELNET. El
sistema utiliza el valor del sistema QRMTSIGN (Inicio de sesión remoto) para
determinar cómo se manejan las peticiones de inicio de sesión automático. En la
Tabla 24 en la página 182 se muestran las opciones. Estas opciones se aplican
solamente cuando la petición TELNET incluye un ID de usuario y una contraseña.

Tabla 24. Funcionamiento de QRMTSIGN con TELNET
*REJECT No se permite que las sesiones TELNET soliciten el inicio de
sesión automático
*VERIFY Si la combinación de perfil de usuario y contraseña es válida, se
inicia la sesión TELNET.1
*SAMEPRF Si la combinación de perfil de usuario y contraseña es válida, se
inicia la sesión TELNET.1
*FRCSIGNON El sistema ignora el perfil de usuario y la contraseña. El usuario
ve la pantalla Inicio de sesión.
Notas:
1. Esta validación se produce antes de que se ejecute el programa de salida TELNET. El
programa de salida recibe una indicación acerca de si la validación ha sido satisfactoria
o insatisfactoria. El programa de salida todavía puede permitir o denegar la sesión,
independientemente del indicador. La indicación tiene uno de los valores siguientes:
v Valor = 0, Contraseña de cliente no validada (o no se ha recibido una contraseña).
v Valor = 1, Contraseña de cliente en texto claro validada
v Valor = 2, Contraseña de cliente cifrada validada
Nota: Un programa de salida de TELNET puede alterar temporalmente el valor de

QRMTSIGN eligiendo si permite o no el inicio de sesión automático para un
peticionario (probablemente basándose en la dirección IP).
Permitir inicio de sesión anónimo: A partir de la V4R2, puede utilizar los

programas de salida de TELNET para proporcionar TELNET ″anónimos″ o
″invitados″ en el sistema. Con el programa de salida, puede detectar la dirección IP
del peticionario. Si la dirección IP proviene de fuera de la organización, puede
asignar la sesión TELNET a un perfil de usuario que tenga autorización limitada
sobre el sistema y un menú específico. Puede ignorar la pantalla Inicio de sesión
de forma que el visitante no tenga oportunidad de utilizar otro perfil de usuario
más potente. Con esta opción el usuario no necesita proporcionar un ID de usuario
y una contraseña.
Visión general de las posibilidades del programa de salida

TELNET
A partir de la V4R2, puede registrar programas de salida escritos por el usuario
que se ejecuten al iniciarse una sesión de TELNET y al finalizar. A continuación se
ofrecen ejemplos de lo que puede hacer al iniciar el programa de salida:
v Si está en la V4R4 y ha instalado los PTF mencionados anteriormente, puede
utilizar la nueva Dirección IP de servidor (local) en servidores iSeries 400
multiubicación para direccionar conexiones a distintos subsistemas basados en la
interfaz de red (dirección IP).
v Permitir o denegar la sesión, basándose en criterios conocidos, tales como la
dirección IP del usuario, la hora del día y el perfil de usuario solicitado.
v Asignar una descripción de dispositivo iSeries para la sesión. Esto permite
direccionar el trabajo interactivo a cualquier subsistema configurado para recibir
dichos dispositivos.
v Asignar valores de Idioma nacional específicos para la sesión, tales como el
teclado y el juego de caracteres.
v Asignar un perfil de usuario específico para la sesión.
v Conectar al solicitante automáticamente (sin mostrar una pantalla de Inicio de
sesión).
v Establecer el registro cronológico de auditoría para la sesión.
Para obtener más información sobre los programas de salida TELNET, vea el
Apéndice E, Puntos y programas de salida de aplicaciones TCP/IP, en la
publicación TCP/IP Configuration and Reference. Puede encontrar un programa de
ejemplo en la ubicación Web siguiente:
http://www.as400.ibm.com/tstudio/tech_ref/tcp/indexfr.htm
o vaya al Information Center, seleccione Redes —> TCP/IP –> Servicios y

aplicaciones TCP/IP —> Telnet —> programas de salida ejemplo de Telnet.
Consejos de seguridad para el protocolo de transferencia de archivos

FTP (protocolo de transferencia de archivos) ofrece la posibilidad de transferir
archivos entre el cliente (un usuario en otro sistema) y el servidor (su sistema).
También puede utilizar la posibilidad de mandato remoto de FTP para someter
mandatos al sistema servidor.
FTP requiere un ID de usuario y una contraseña. Sin embargo, puede utilizar los
puntos de salida del Servidor FTP para proporcionar una función FTP anónimo
para los usuarios invitados (los usuarios que no tienen ID de usuario ni contraseña
en el sistema). Para un FTP anónimo seguro, debe escribir programas de salida
para los puntos de salida Inicio de sesión de Servidor FTP y Validación de petición
de Servidor FTP.
Consejos para evitar el acceso de FTP

Si no quiere que nadie utilice FTP para acceder al sistema, debe evitar el
funcionamiento del servidor FTP. Haga lo siguiente:
__ Paso 1. Para evitar el arranque automático de los trabajos del servidor FTP al
arrancar TCP/IP, teclee lo siguiente:
CHGFTPA AUTOSTART(*NO)
Notas:
para FTP, haga lo siguiente:
TCP/IP.
TCP/IP).
__ Paso d. Para el rango del puerto más bajo, especifique 20.
__ Paso e. Para el rango del puerto más alto, especifique 21.

demás usuarios.
Notas:
a. La restricción de puertos entra en vigor cuando se vuelve a
arrancar TCP/IP. Si TCP/IP está activo cuando se establecen las
restricciones de puertos, debe finalizar TCP/IP y arrancarlo de
nuevo.
b. RFC1700 proporciona información sobre los números de puerto
asignados.
c. Si los puertos 20 o 21 están restringidos a un perfil de usuario que
no sea QTCP, un intento de iniciar el servidor FTP hará que finalice
de inmediato con errores.
d. Este método sólo funciona para restringir completamente una
aplicación, como el servidor FTP. No funciona para restringir
usuarios específicos. Cuando un usuario se conecta al servidor FTP,
la petición utiliza inicialmente el perfil QTCP. El sistema utiliza el
perfil de usuario individual una vez que la conexión es
satisfactoria. Cada usuario del servidor FTP utiliza la autorización
de QTCP’ para puerto.
Consejos para controlar el acceso de FTP

Si quiere permitir que los clientes de FTP accedan a su sistema, tenga en cuenta las
siguientes cuestiones de seguridad:
v Probablemente el esquema de autorización de objetos no proporcionará una
protección suficientemente detallada al permitir FTP en el sistema. Por ejemplo,
cuando un usuario tiene la autorización para ver un archivo (autorización *USE),
el usuario puede también copiar el archivo a un PC o a otro sistema.
Probablemente querrá proteger algunos archivos para que no se copien a otro
sistema.
Puede utilizar los programas de salida de FTP para restringir las operaciones de
FTP que pueden llevar a cabo los usuarios. Puede utilizar la Salida de validación
de petición FTP para controlar las operaciones que permite. Por ejemplo, puede
rechazar peticiones GET para archivos de base de datos específicos. Puede
utilizar la Salida de inicio de sesión del servidor FTP para autenticar los
usuarios que inicien la sesión en el servidor FTP. El apartado “TCP/IP User
Exits” de la publicación TCP/IP Configuration and Reference describe este punto de
salida y proporciona programas de ejemplo.
El apéndice “TCP/IP User Exits” del manual TCP/IP Configuration and Reference
también describe cómo utilizar programas de salida para poner a punto el
soporte para FTP anónimo en el sistema.
v Las contraseñas de FTP no están cifradas cuando se envían entre el sistema
cliente y el sistema servidor. Dependiendo de los métodos de conexión, el
sistema será vulnerable al robo de contraseñas mediante el husmeo de la línea.
v Si el valor del sistema QMAXSGNACN se establece en 1, el valor del sistema
QMAXSIGN es aplicable a TELNET pero no a FTP. Si QMAXSGNACN se
establece en 2 o 3 (valores que inhabilitan el perfil si se alcanza el número
máximo de inicios de sesión), se cuentan los intentos de inicio de sesión de FTP.
En este caso, un pirata puede montar un ataque de ″denegación de servicio″ a
través de FTP intentando repetidamente iniciar la sesión con una contraseña
incorrecta hasta que se inhabilite el perfil de usuario.
Para cada intento no satisfactorio, el sistema anota el mensaje CPF2234 en las
anotaciones cronológicas QHST. Puede escribir un programa para supervisar las
anotaciones cronológicas QHST para el mensaje. Si el programa detecta intentos
repetidos, puede finalizar los servidores FTP.
v Puede utilizar el parámetro Tiempo de espera de inactividad (INACTTIMO) en la
configuración FTP para reducir posibles conflictos cuando el usuario deja una
sesión FTP desatendida. Lea la documentación o la ayuda en línea para
comprender el funcionamiento en común del parámetro INACTTIMO y del
temporizador de conexión (para el arranque del servidor).
Nota: El valor del sistema QINACTITV no influye en las sesiones FTP.

v La publicación TCP/IP Configuration and Reference describe cómo utilizar el
soporte de proceso por lotes FTP para, por ejemplo, enviar archivos por la noche
entre sistemas. Cuando utiliza el soporte de proceso por lotes de FTP, el
programa debe enviar el ID de usuario y la contraseña al sistema servidor. O
bien el ID de usuario y la contraseña deben estar codificados en el programa o
el programa debe recuperarlos de un archivo. Ambas opciones para almacenar
contraseñas e ID de usuario representan un riesgo potencial para la seguridad. Si
utiliza el proceso por lotes de FTP, debe asegurarse de que utiliza la seguridad
de objetos para proteger la información del ID de usuario y de la contraseña.
También debe utilizar un sólo ID de usuario que tenga una autoridad muy
limitada sobre el sistema destino. Únicamente debe tener autorización suficiente
para realizar la función deseada, como puede ser la transferencia de archivos.
v FTP proporciona la posibilidad de mandato remoto, al igual que las
comunicaciones avanzadas programa a programa (APPC) y Client Access. El
submandato del servidor FTP RCMD (Mandato remoto) equivale a tener una
línea de mandatos en el sistema. Antes de permitir FTP, asegúrese de que
dispone del esquema de la seguridad de objetos adecuado. También puede
utilizar el programa de salida de FTP para limitar o rechazar los intentos de
utilizar el submandato RCMD. El apartado “TCP/IP User Exits” de la
publicación TCP/IP Configuration and Reference describe este punto de salida y
proporciona programas de ejemplo.
v A partir de la V3R2 y V3R7, un usuario puede acceder a los objetos del sistema
de archivos integrado con FTP. Por lo tanto, es necesario asegurarse de que el
esquema de autorización para el sistema de archivos integrado es el adecuado
cuando se ejecuta el servidor FTP en el sistema. El “Capítulo 12. Utilización del
Sistema de Archivos Integrado (IFS) para proteger los archivos” en la página 133
proporciona sugerencias para la seguridad del sistema de archivos integrado.
v Una actividad habitual de los piratas consiste en utilizar una ubicación que
ignora que está siendo utilizada como depósito de información. A veces, la
información puede ser ilegal o pornográfica. Si un pirata consigue acceder a su
ubicación a través de FTP, el pirata transfiere esta información indeseable al
sistema. El pirata comunica entonces a otros piratas la dirección del sistema.
Estos accederán entonces al sistema mediante FTP y bajarán la información
indeseable.
Puede utilizar los programas de salida de FTP como ayuda para protegerse
frente a estos ataques. Por ejemplo, puede dirigir todas las peticiones para subir
información a un directorio que sea de sólo grabación. Esto destruye el objetivo
del pirata porque los otros piratas ya no podrán bajar la información del
directorio. AS/400 Internet Security: Protecting Your AS/400 from HARM on the
Internet se proporciona más información acerca de los riesgos de permitir subir
información mediante FTP y de las posibles soluciones.

Consejos para la seguridad del servidor de Protocolo Bootstrap
El Protocolo Bootstrap (BOOTP) proporciona un método dinámico para asociar
estaciones de trabajo a servidores y para asignar direcciones IP de estación de
trabajo y recursos de carga del programa inicial (IPL). BOOTP y el protocolo trivial
de transferencia de archivos (TFTP) proporcionan soporte para el IBM Network
Station para AS/400.
BOOTP es un protocolo TCP/IP que se utiliza para permitir que una estación de
trabajo sin ningún tipo de soporte de almacenamiento (cliente) solicite un archivo
que contenga un código inicial de un servidor de la red. El servidor BOOTP
escucha al puerto 67 del servidor BOOTP. Al recibir una petición de un cliente, el
servidor busca la dirección IP definida para el cliente y le devuelve una respuesta
con la dirección IP del cliente y el nombre del archivo de carga. A continuación, el
cliente inicia una petición TFTP al servidor solicitando el archivo de carga. La
correlación entre la dirección IP y la dirección de hardware del cliente se mantiene
en la tabla BOOTP del iSeries.
Consejos para evitar el acceso BOOTP

Si no tiene ninguna Network Station conectada a su iSeries, no necesita ejecutar el
servidor BOOTP en su sistema.Puede utilizarse para otros dispositivos, pero la
solución preferida para esos dispositivos es utilizar DHCP. Para evitar que se
ejecute el servidor BOOTP, haga lo siguiente:
__ Paso 1. Para evitar que los trabajos del servidor BOOTP se inicien
CHGBPA AUTOSTART(*NO)
Notas:
a. AUTOSTART(*NO) es el valor por omisión.
para BOOTP, haga lo siguiente:
Nota: Dado que DHCP y BOOTP utilizan el mismo número de puerto,

esto también inhibirá el puerto que DHCP utiliza. No debe
restringir el puerto si desea utilizar DHCP.
TCP/IP.
TCP/IP).
Notas:
__ Paso f. Para el protocolo, especifique *UCD.
demás usuarios.
Consejos para la seguridad del servidor BOOTP

El servidor BOOTP no proporciona acceso directo para su sistema iSeries y, por
consiguiente, representa un riesgo de seguridad limitado.Su preocupación principal
como administrador de seguridad es asegurarse de que la información correcta se
asocie a la Network Station correcta. (En otras palabras, una persona
malintencionada podría modificar la tabla BOOTP y hacer que las estaciones de
trabajo no funcionaran o funcionaran incorrectamente).
Para administrar el servidor BOOTP y la tabla BOOTP, debe disponer de la

autorización especial *IOSYSCFG. Debe controlar cuidadosamente los perfiles de
usuario que tienen la autorización especial *IOSYSCFG en su sistema. En la
publicación IBM Network Station Manager para AS/400 se describen los
procedimientos para trabajar con la tabla BOOTP.
Consejos para la seguridad del servidor Protocolo de Configuración

Dinámica de Sistema Principal (DHCP)
Protocolo de configuración dinámica de sistema principal (DHCP) proporciona una
infraestructura para pasar información de configuración a los sistemas principales
en una red TCP/IP. Para las estaciones de trabajo clientes, DHCP puede
proporcionar una función similar a la configuración automática. Un programa
habilitado para DHCP en la estación de trabajo cliente difunde una petición de
información de configuración. Si el servidor DHCP está ejecutándose en el iSeries,
el servidor responde a la petición enviando la información que necesita la estación
de trabajo cliente para configurar correctamente TCP/IP.
Puede utilizar DHCP para que sea más sencillo para los usuarios conectarse al
iSeries por primera vez.Esto obedece a que el usuario no necesita especificar
información de configuración de TCP/IP. También puede utilizar DHCP para
reducir el número de direcciones internas de TCP/IP que necesita en una subred.
El servidor DHCP puede asignar temporalmente direcciones IP a usuarios activos
(de su agrupación de direcciones IP).
En el caso de una Network Station puede utilizar DHCP en lugar de BOOTP.

DHCP proporciona más funciones que BOOTP y puede soportar la configuración
dinámica de Network Station y PC.
Consejos para evitar el acceso con DHCP

Si no quiere que nadie utilice el servidor DHCP en el sistema, lleve a cabo lo
siguiente:
1. Para evitar que los trabajos del servidor DHCP se inicien automáticamente al
arrancar TCP/IP, teclee lo siguiente:
CHGDHCPA AUTOSTART(*NO)

Notas:
b. “Control de los servidores TCP/IP que se inician automáticamente” en la
página 170 proporciona más información acerca del control de los servidores
TCP/IP que se inician automáticamente.
2. Para evitar que alguien asocie una aplicación de usuario, tal como una
aplicación socket, con el puerto que el sistema utiliza normalmente para DHCP,
haga lo siguiente:
a. Teclee GO CFGTCP para visualizar el menú Configurar TCP/IP.
b. Seleccione la opción 4 (Trabajar con restricciones de puerto TCP/IP).
c. En la pantalla Trabajar con restricciones de puerto TCP/IP, especifique la
opción 1 (Añadir).
d. Para el rango del puerto más bajo, especifique 67.
e. Para el rango del puerto más alto, especifique 68.
Notas:
1) La restricción de puertos entra en vigor cuando se vuelve a arrancar
TCP/IP. Si TCP/IP está activo cuando se establecen las restricciones de
puertos, debe finalizar TCP/IP y arrancarlo de nuevo.
2) RFC1700 proporciona información sobre las asignaciones de números de
puerto comunes.
f. Para el protocolo, especifique *UDP.
g. Para el campo de perfil de usuario, especifique un nombre de perfil de
usuario protegido en el sistema. (Los perfiles de usuario protegidos no son
propietarios de programas que adoptan autorización y no tienen
contraseñas conocidas por otros usuarios.) Restringiendo el puerto a un
usuario específico, excluye automáticamente a todos los demás usuarios.
Consejos para la seguridad del servidor DHCP

A continuación se proporcionan una serie de consideraciones de seguridad que
debe tener en cuenta al ejecutar DHCP en el sistema iSeries:
v Restrinja el número de usuarios con autoridad para administrar DHCP. La
administración de DHCP requiere la autorización siguiente:
– Autorización especial *IOSYSCFG
– Autorización *RW sobre los archivos siguientes:
/QIBM/UserData/OS400/DHCP/dhcpsd.cfg
/QIBM/UserData/OS400/DHCP/dhcprd.cfg
v Evalúe la accesibilidad física de la LAN. ¿Podría un extraño entrar fácilmente en
sus instalaciones con un portátil y conectarse físicamente a la LAN? Si esto
constituye un riesgo, DHCP proporciona la posibilidad de crear una lista de
clientes (direcciones de hardware) que configurará el servidor DHCP. Al utilizar
esta característica, se elimina parte de la mejora en la productividad que DHCP
proporciona a los administradores de red. Sin embargo, se está evitando que el
sistema configure estaciones de trabajo desconocidas.
v Si es posible, utilice una agrupación de direcciones IP que sea reutilizable (no
estructurada para Internet). Esto contribuye a evitar que una estación de trabajo
externa a la red obtenga del servidor información de configuración utilizable.
v Utilice los puntos de salida de DHCP si necesita protección de seguridad
adicional. A continuación se proporciona una visión general de los puntos de
salida y de las posibilidades de los mismos. La publicación iSeries System API
Reference describe cómo utilizar estos puntos de salida.
Entrada de puerto
El sistema llama al programa de salida siempre que lee un paquete de
datos del puerto 67 (el puerto de DHCP). El programa de salida recibe el
paquete de datos completo. El programa de salida puede decidir si el
sistema debe procesar o descartar el paquete. Puede utilizar este punto
de salida cuando las características de protección de DHCP no sean
suficientes para sus necesidades.
Asignación de dirección
El sistema llama al programa de salida siempre que DHCP asigne
formalmente una dirección a un cliente.
Liberación de dirección
El sistema llama al programa de salida siempre que DHCP libera
formalmente una dirección y la vuelve a colocar en la agrupación de
direcciones.
Consejos para la seguridad del servidor de Protocolo trivial de

transferencia de archivos
El Protocolo trivial de transferencia de archivos (TFTP) proporciona la transferencia
básica de archivos sin autenticación de usuario. TFTP trabaja con el Protocolo
Bootstrap (BOOTP) o el Protocolo de Configuración Dinámica de Sistema Principal
(DHCP) para proporcionar soporte para la IBM Network Station para AS/400.
La IBM Network Station para AS/400 (un cliente de estación de trabajo sin ningún
tipo de soporte de almacenamiento) se conecta inicialmente al servidor BOOTP o al
servidor DHCP. El servidor BOOTP o el servidor DHCP responden con la dirección
IP del cliente y el nombre del archivo de carga. A continuación, el cliente inicia una
petición TFTP al servidor solicitando el archivo de carga. Cuando el cliente termina
de bajar el archivo de carga, finaliza la sesión TFTP.
Consejos para evitar el acceso TFTP

Si no tiene ninguna Network Station conectada a su iSeries, probablemente no
necesite ejecutar el servidor TFTP en el sistema.Para evitar que se ejecute el
servidor TFTP, haga lo siguiente:
__ Paso 1. Para evitar que los trabajos del servidor TFTP se inicien
CHGTFTPA AUTOSTART(*NO)
Notas:
para TFTP, haga lo siguiente:
TCP/IP.
TCP/IP).

Notas:
__ Paso f. Para el protocolo, especifique *UCD.
demás usuarios.
Consejos para la seguridad del servidor TFTP

Por omisión, el servidor TFTP proporciona acceso muy limitado al sistema
iSeries.Se ha configurado específicamente para proporcionar el código inicial para
las Estaciones de red. Como administrador de seguridad, debe tener en cuenta las
características siguientes del servidor TFTP:
v El servidor TFTP no requiere autenticación (una contraseña y un ID de usuario).
Todos los trabajos TFTP se ejecutan bajo el perfil de usuario QTFTP. El perfil de
usuario QTFTP no tiene una contraseña. Por consiguiente, no está disponible
para el inicio de sesión interactivo. El perfil de usuario QTFTP no tiene ninguna
autorización especial, ni tiene ninguna autorización explícita para los recursos
del sistema. Utiliza la autorización pública para acceder a los recursos que
necesita para las Estaciones de red.
v El servidor TFTP está configurado para acceder al directorio que contiene la
información de la Network Station. Debe tener autorización *PUBLIC o QTFTP
debe tener autorización para leer o grabar en ese directorio. Para grabar en el
directorio debe haber especificado *CREATE en el parámetro ″Permitir grabación
en archivo″ del mandato CHGTFTPA. Para grabar en un archivo ya existente
debe haber especificado *REPLACE en el parámetro ″Permitir grabación en
archivo″ de CHGTFTPA. *CREATE le permite sustituir archivos ya existentes o
crear archivos nuevos. *REPLACE solamente le permite sustituir archivos ya
existentes.
Un cliente TFTP no puede acceder a ningún otro directorio a menos que se
defina explícitamente en el directorio con el mandato Cambiar atributos TFTP
(CHGTFTPA). Por consiguiente, si un usuario local o remoto no intenta iniciar
una sesión TFTP para el sistema, la posibilidad del usuario de acceder a la
información o causar daños es extremadamente limitada.
v Si elige configurar el servidor TFTP para proporcionar otros servicios, además de
manejar Estaciones de red, puede definir un programa de salida para evaluar y
autorizar cada petición TFTP. El servidor TFTP proporciona una salida de
validación de petición similar a la salida que está disponible para el servidor
FTP.
Nota: El apartado “TCP/IP User Exits” de la publicación TCP/IP Configuration

and Reference describe el punto de salida de FTP y proporciona programas
de ejemplo. Puede utilizar la misma técnica para el punto de salida TFTP.
Consejos para la seguridad del Servidor de EXECution remoto
El servidor de EXECution remoto (REXEC) recibe y ejecuta mandatos de un cliente
REXEC. Generalmente, un cliente REXEC es una aplicación de PC o UNIX que
soporta el envío de mandatos REXEC. El soporte que proporciona este servidor es
similar a la posibilidad que está disponible al utilizar el submandato RCMD
(mandato remoto) para el servidor FTP.
Consejos para evitar el acceso REXEC

Si no desea que el iSeries acepte mandatos de un cliente REXEC, haga lo siguiente
para evitar que se ejecute el servidor REXEC:
__ Paso 1. Para evitar que los trabajos del servidor REXEC se inicien
automáticamente al iniciar TCP/IP, escriba lo siguiente:
CHGRXCA AUTOSTART(*NO)
Notas:
para REXEC, haga lo siguiente:
TCP/IP.
TCP/IP).
demás usuarios.
Notas:
a. La restricción de puertos entra en vigor cuando se vuelve a
arrancar TCP/IP. Si TCP/IP está activo cuando se establecen las
restricciones de puertos, debe finalizar TCP/IP y arrancarlo de
nuevo.
b. RFC1700 proporciona información sobre las asignaciones de
números de puerto comunes.
Consejos para la seguridad del Servidor REXEC

A continuación se incluyen algunas consideraciones que debe tener en cuenta al
elegir la ejecución del servidor de EXECution remoto en su sistema:

v Una petición REXCD incluye un ID de usuario, una contraseña y el mandato a
ejecutar. Se aplica la autenticación iSeries normal y la comprobación de
autenticación:
– La combinación de perfil de usuario y contraseña debe ser válida.
– El sistema fuerza el valor de Limitar posibilidades (LMTCPB) para el perfil de
usuario.
– El usuario debe disponer de autorización para el mandato y para todos los
recursos que utiliza el mandato.
v El servidor REXEC proporciona puntos de salida similares a los puntos de salida
que están disponibles para el servidor FTP. Puede utilizar el punto de salida de
Validación para evaluar el mandato y decidir si se autoriza.
Nota: El apartado “TCP/IP User Exits” de la publicación TCP/IP Configuration

and Reference describe el punto de salida de FTP y proporciona programas
de ejemplo. Puede utilizar la misma técnica para el punto de salida
REXEC.
v Cuando elige ejecutar el servidor REXEC, ejecutará fuera de cualquier control de
acceso de menú que tenga en el sistema. Debe asegurarse de que el esquema de
autorización de objeto sea el adecuado para la protección de los recursos.
Consejos de seguridad para el Daemon de ruta

El servidor Daemon de ruta (RouteD) proporciona soporte para RIP (Protocolo de
información de direccionamiento) en iSeries.RIP es el protocolo de
direccionamiento más utilizado. Se trata de un Protocolo de pasarela interior que
ayuda a TCP/IP en el direccionamiento de paquetes IP en un sistema autónomo.
La finalidad de RouteD es aumentar la eficacia del tráfico de red, permitiendo que

los sistemas de una red autorizada se actualicen entre sí con la información de ruta
actual. Al ejecutar RouteD, su sistema recibe las actualizaciones de los demás
sistemas participantes acerca de cómo deben direccionarse las transmisiones
(paquetes). Por consiguiente, si los piratas informáticos pueden acceder al servidor
RouteD, pueden utilizarlo para redireccionar los paquetes a través de un sistema
que puede husmear o modificar los paquetes. A continuación se incluyen algunas
sugerencias para la seguridad RouteD:
v Para la V4R1, iSeries utiliza RIPv1, que no proporciona ningún método para la
autenticación de direccionadores.Su finalidad es utilizarla dentro de una red
autorizada. Si su sistema es una red con otros sistemas en los que no ″confía″,
no debe ejecutar el servidor RouteD. Para garantizar que el servidor RouteD no
se inicia automáticamente, escriba lo siguiente:
CHGRTDA AUTOSTART(*NO)
Notas:
1. AUTOSTART(*NO) es el valor por omisión.
2. “Control de los servidores TCP/IP que se inician automáticamente” en la
v Asegúrese de que controla a la persona que cambia la configuración de RouteD,
que requiere la autorización especial *IOSYSCFG.
v Si el sistema está presente en más de una red (por ejemplo en una intranet y en
Internet), puede configurar el servidor RouteD para enviar y aceptar
actualizaciones sólo con la red segura.
Consejos para la seguridad del servidor Sistema de nombres de
dominio (DNS)
| El servidor Sistema de nombres de dominio (DNS) proporciona la conversión de
| un nombre de sistema principal a una dirección IP y viceversa. En el iSeries, el
| servidor DNS tiene la misión de proporcionar la conversión de direcciones para la
| red interna segura (intranet).
Consejos para evitar el acceso con DNS

Si no quiere que nadie utilice el servidor DNS en el sistema, lleve a cabo lo
siguiente:
1. Para evitar que los trabajos del servidor DNS se inicien automáticamente al
iniciar TCP/IP, escriba lo siguiente:
CHGDNSA AUTOSTART(*NO)
Notas:
b. “Control de los servidores TCP/IP que se inician automáticamente” en la
2. Para evitar que alguien asocie una aplicación de usuario, tal como una
aplicación socket, con el puerto que el sistema utiliza normalmente para DNS,
haga lo siguiente:
a. Teclee GO CFGTCP para visualizar el menú Configurar TCP/IP.
b. Seleccione la opción 4 (Trabajar con restricciones de puerto TCP/IP).
c. En la pantalla Trabajar con restricciones de puerto TCP/IP, especifique la
opción 1 (Añadir).
d. Para el rango del puerto más bajo, especifique 53.
e. Para el rango del puerto más alto, especifique *ONLY.
Notas:
1) La restricción de puertos entra en vigor cuando se vuelve a arrancar
TCP/IP. Si TCP/IP está activo cuando se establecen las restricciones de
puertos, debe finalizar TCP/IP y arrancarlo de nuevo.
2) RFC1700 proporciona información sobre las asignaciones de números de
puerto comunes.
f. Para el protocolo, especifique *TCP.
g. Para el campo de perfil de usuario, especifique un nombre de perfil de
usuario protegido en el sistema. (Los perfiles de usuario protegidos no son
propietarios de programas que adoptan autorización y no tienen
contraseñas conocidas por otros usuarios.) Restringiendo el puerto a un
usuario específico, excluye automáticamente a todos los demás usuarios.
h. Repita los pasos del 2c al 2g para el protocolo *UDP (Datagrama de
usuario).
Consejos para la seguridad del servidor DNS

A continuación se proporcionan una serie de consideraciones de seguridad que
debe tener en cuenta al ejecutar DNS en el sistema iSeries:
v La función que proporciona el servidor DNS es la conversión de direcciones IP y
la conversión de nombres. No proporciona acceso a objetos del sistema iSeries.El
riesgo que supone el que un extraño acceda al servidor DNS consiste en que el
servidor proporciona una forma fácil de ver la topología de la red. El DNS

puede ahorrar esfuerzos a los piratas a la hora de determinar las direcciones de
los destinos potenciales. Sin embargo, el DNS no proporciona información que
ayude a irrumpir en tales sistemas destino.
v Normalmente se utiliza el servidor DNS de iSeries para la intranet. Por lo tanto,
probablemente no tenga necesidad de restringir la capacidad de consultar el
DNS. Sin embargo, es posible que tenga, por ejemplo, varias subredes en la
intranet. Es posible que no desee que los usuarios de otra subred puedan
consultar el DNS del iSeries.Existe una opción de seguridad del DNS que
permite limitar el acceso a un dominio primario. Utilice el Operations Navigator
para especificar direcciones IP a las que el servidor DNS deberá responder.
Otra opción de seguridad permite especificar qué servidores secundarios pueden
copiar información del servidor DNS primario. Cuando se utiliza esta opción, el
servidor aceptará las peticiones de transferencia de zona (una petición para
copiar información) solamente de los servidores secundarios listados
explícitamente.
v Asegúrese de restringir cuidadosamente la capacidad de cambiar el archivo de
configuración del servidor DNS. Alguien con malas intenciones podría, por
ejemplo, cambiar el archivo DNS para dirigirse a una dirección IP de fuera de la
red. Podrían hacerse pasar por servidor de la red y, quizás, obtener acceso a
información confidencial de los usuarios que visitaran el servidor.
Consejos de seguridad para el protocolo simple de transferencia de

correo
El protocolo simple de transferencia de correo (SMTP) proporciona la posibilidad
de distribuir documentos y mensajes de correo electrónico a otros sistemas así
como desde ellos. El sistema no realiza ningún proceso de inicio de sesión para
SMTP.
Consejos para evitar el acceso de SMTP

Si no desea que nadie utilice SMTP para distribuir correo a su sistema o desde el
mismo, deberá evitar que se ejecute el servidor SMTP. Haga lo siguiente:
__ Paso 1. Si no va a utilizar SMTP para nada, no lo configure en el sistema (ni
permita a nadie que lo haga). Si necesita SMTP ocasionalmente, pero
normalmente no quiere que funcione, continúe con los pasos
siguientes.
__ Paso 2. Para evitar que los trabajos del servidor SMTP se arranquen
CHGSMTPA AUTOSTART(*NO)
Notas:
__ Paso 3. Para evitar que se arranque SMTP y evitar que alguien asocie una
aplicación de usuario, tal como una aplicación socket, con el puerto
que el sistema utiliza normalmente para SMTP, haga lo siguiente:
TCP/IP.
TCP/IP).
Notas:
demás usuarios.
__ Paso h. Repita los pasos del 3c al 3g para el protocolo *UDP.
__ Paso 4. Para proporcionar protección extra, retenga las colas de distribución
SNADS que utiliza la aplicación SMTP tecleando los mandatos
siguientes:
HLDDSTQ DSTQ(QSMTPQ) PTY(*NORMAL)
HLDDSTQ DSTQ(QSMTPQ) PTY(*HIGH)
Consejos para controlar el acceso de SMTP

Si quiere permitir que los clientes de SMTP accedan al sistema, tenga en cuenta los
elementos de seguridad siguientes:
v Si es posible, evite utilizar una entrada *ANY *ANY en el directorio de
distribución del sistema. Cuando el sistema no dispone de una entrada *ANY
*ANY, es más difícil intentar utilizar SMTP para inundar el sistema o colapsar la
red. La Inundación se produce cuando el almacenamiento auxiliar se llena de
correo no deseado que se direcciona a través de su sistema a otro sistema.
v Para evitar que un usuario llene el sistema con objetos no deseados, asegúrese
de establecer límites de umbral adecuados para las agrupaciones de
almacenamiento auxiliar (ASP). Puede visualizar y establecer los umbrales para
las ASP utilizando las herramientas de servicio del sistema (SST) o las
herramientas de servicio dedicado (DST). La publicación Copia de seguridad y
recuperación proporciona más información acerca de los umbrales de ASP.
v En la V4R4 también es posible ajustar el número máximo de trabajos de
prearranque que se crearán efectuando CHGPJE (vea el apartado TCP/IP Config
and Ref, Email). Esto limitará el número de trabajos creados durante un ataque
de denegación de servicio. El valor por omisión es 256 para el umbral máximo.
v La publicación AS/400 Internet Security: Protecting Your AS/400 from HARM on the
Internet describe los pasos para limpiar el iSeries si el sistema es víctima de una
inundación.
El PTF SMTP de nueva función se introddujo en las V4R2, V4R3 y V4R4 para
controlar el correo SPAM.
SMTP Instrucciones especiales para SPAM

El código SPAM se añadió en los siguientes releases:
v V4R2 5769TC1 SF52864
v V4R3 5769TC1 SF53421
v V4R4 5769TC1 SF54014
Instrucciones especiales para controlar RELAY y CONNECTIONS
Si no elige beneficiarse de esta función mejorada, no es necesario llevar a cabo

ninguna acción. Si en cambio desea beneficiarse de esta función mejorada, deberá
hacer lo siguiente:
v Cree un Archivo físico fuente QUSRSYS/QTMSADRLST con lonigutd de
registro 92 (12 caracteres para cuenta de línea e información de cambio). El
archivo debe ser ccsid 500.
CRTSRCPF FILE(QUSRSYS/QTMSADRLST) CCSID(500)
v Cree un miembro de Archivo físico fuente ACCEPTRLY
Para crear un miembro para un archivo que ya existe (e ir a editar)
STRSEU SRCFILE(QUSRSYS/QTMSADRLST) SRCMBR(ACCEPTRLY)
v Añada un registro con la dirección con decimal con coma del usuario
ALLOWED.
Sólo se permitirá la retransmisión de las direcciones de la lista.
Ponga una dirección y máscara por línea, (la máscara es opcional).
Este sería un ejemplo de entrada:
1.2.3.4 255.255.0.0
En este ejemplo la máscara y la dirección se combinarían (AND) para rechazar

todas las direcciones que empezaran por ’1.2’, por ejemplo ’1.2.5.6’
Otro ejemplo:
7.8.9.3 255.255.255.255
Este sólo rechazaría una dirección, 7.8.9.3. Es igual que 7.8.9.3
Instrucciones para activar listas de retransmisiones y conexiones

v Finalice el servidor smtp
ENDTCPSVR SERVER(*SMTP)
v Si existe un área de datos para bloquear todas las retransmisiones, suprímala.
Para ver si existe el área de datos:
DSPDTAARA DTAARA(QUSRSYS/QTMSNORLY)
Para suprimir el área de datos:

DLTDTAARA DTAARA(QUSRSYS/QTMSNORLY)
v Inicie el servidor smtp
STRTCPSVR SERVER(*SMTP)
NOTA:
v Si se utiliza el área de datos para bloquear retransmisiones
(QUSRSYS/QTMSNORLY), se bloquearán TODAS las retransmisiones. Si el área
de datos no está presente pero existe QUSRSYS/QTMSADRLST.ACCEPTRLY y
tiene al menos una entrada, solamente podrán retransmitirse las direcciones de
la lista.
v Si la dirección está en QUSRSYS/QTMSADRLST.REJECTCNN no se permitirá la
conexión. Esto bloquea la retransmisión y la entrega de correo desde esta
dirección. Si QUSRSYS/QTMSADRLST.REJECTCNN no existe o no tiene
entradas válidas, se permitirán todas las conexiones.
v Si el registro por diario está activado, las direcciones rechazadas se registrarán
por diario.
Para averiguar si el registro por diario está activado:
– Utilice PF4 en el mandato CHGSMTPA y busque el parámetro Journal que
estaría establecido como *YES para indicar activado.
| – Para visualizar el diario, (’sues/jrnl’ es la biblioteca y archivo, dec14’ es el
| nombre del miembro que está creando):
| DSPJRN JRN(QZMF) OUTPUT(*OUTFILE) OUTFILE(sues/jrnl) OUTMBR(dec14) ENTDTALEN(512)
| DSPPFM FILE(sues/jrnl) MBR(dec14)
| Las conexiones rechazadas tendrán la entrada, empezando por la columna

| 195:
| ″9S CONNECTION REFUSED 1.2.3.4″
| Las retransmisiones rechazadas tendrán la entrada, empezando por la

| columna 195:
| ″9V RELAY REFUSED 1.2.3.4″
| (1.2.3.4 es la dirección con decimal con coma rechazada.)
| Estas entradas de diario tendrán un ID de mensaje de 0.

– Las retransmisiones se rechazarán con la respuesta del protocolo SMTP, en la
conversación de cliente SMTP a servidor SMTP:
- ″553 Relaying blocked at this site.″
– Las conexiones se rechazarán con la respuesta del protocolo SMTP, en la
conversación de cliente SMTP a servidor SMTP:
″421 Service not available, access denied.″
– Solamente se leerán las 10.000 primeras entradas de cada tabla. Las líneas
que empiecen por ’*’ serán tratadas como comentarios. El archivo debe ser
ccsid 500. Ponga solamente una dirección y máscara por línea. Si hace FTP al
archivo entre sistemas, asegúrese de que primero se crea como un archivo
físico fuente en el sistema receptor.
– Los mensajes de error aparecerán en las anotaciones de trabajo
QTSMTPSRVR de la siguiente manera:
Las entradas de QUSRSYS/QTMSADRLST que no son válidas:
″TCP9508″ ″Dirección Internet no válida.″
Nota: El mensaje anterior siempre irá seguido del siguiente mensaje para
indicar qué miembro de archivo tiene problemas. Las entradas sin
errores seguirán utilizándose.
Cualquier error en el archivo QUSRSYS/QTMSADRLST:
″TCP2062″ ″El trabajo SMTP no puede utilizar el archivo QTMSADRLST.″
Excepto en los errores de entrada, el mensaje anterior dará como resultado las
acciones que se producirían si no hubiera archivo.
Un error al obtener espacio temporal para listas, que dará como resultado las
acciones que se producirían si no hubiera archivo:

″TCP1062″ ″No hay suficiente almacenamiento disponible.″
Los errores de lectura en el archivo QUSRSYS/QTMSADRLST pueden dar

como resulta que se utilice un archivo parcial:
″TCP12B5″ ″Imposible leer datos del archivo QTMSADRLST.″

– Si se realizan cambios en QUSRSYS/QTMSADRLST, debe reiniciarse el
Servidor SMTP para que dichos cambios entren en vigor:
ENDTCPSVR SERVER(*SMTP)
STRTCPSVR SERVER(*SMTP)
Para obtener más información sobre las máscaras de subred, consulte el Manual
de consulta y configuración de TCP/IP, capítulo 2, apartado Subredes.
Consejos de seguridad para POP (Protocolo de Oficina Postal)

El servidor POP (Protocolo de Oficina Postal) proporciona un sistema simple de
almacenamiento y envío de correo. El servidor POP retiene el correo
temporalmente hasta que un cliente de correo lo recupera. La interfaz
cliente/servidor del servidor POP necesita los servicios del servidor SMTP. Un
cliente de correo debe tener un ID de usuario y una contraseña para recuperar el
correo del servidor POP.
Consejos para evitar el acceso de POP

Si no quiere que nadie utilice POP para acceder al sistema, debe evitar el
funcionamiento del servidor POP. Haga lo siguiente:
__ Paso 1. Si no va a utilizar POP en absoluto, no lo configure en el sistema (ni
permita que nadie lo haga). Si necesita POP ocasionalmente, pero
normalmente no quiere que el servidor POP funcione, continúe con los
pasos siguientes.
__ Paso 2. Para evitar que los trabajos del servidor POP se arranquen
CHGPOPA AUTOSTART(*NO)
Notas:
__ Paso 3. Para evitar que POP se arranque y evitar que alguien asocie una
que el sistema utiliza normalmente para POP, haga lo siguiente:
TCP/IP.
TCP/IP).
__ Paso e. Para el rango del puerto más alto, especifique 110.
Notas:
demás usuarios.
__ Paso 4. Revise el apartado “Consejos de seguridad para el protocolo simple de
transferencia de correo” en la página 194 para obtener sugerencia para
proteger el servidor SMTP. (El servidor POP necesita los servicios del
servidor SMTP).
Consejos para controlar el acceso de POP

Si quiere permitir que los clientes de POP accedan al sistema, tenga en cuenta los
v El servidor de correo POP proporciona autenticación para los clientes que
intenten acceder a sus buzones. El cliente envía un ID de usuario y una
contraseña al servidor.
Nota: La contraseña se envía sin protección y puede ser vulnerable.

El servidor de correo POP verifica el ID de usuario y la contraseña,
comparándolos con la contraseña y el perfil de usuario del iSeries de ese
usuario.
Puesto que no tiene control sobre cómo se almacenan el ID de usuario y la

contraseña en el cliente POP, probablemente querrá crear un perfil de usuario
especial que tiene una autorización muy limitada en el sistema iSeries.Para
evitar que alguien utilice el perfil de usuario para una sesión interactiva, puede
establecer los valores siguientes en el perfil de usuario:
– Establezca el menú inicial (INLMNU) en *SIGNOFF
– Establezca el programa inicial (INLPGM) en *NONE
– Establezca limitar posibilidades (LMTCPB) en *YES
v Para evitar que un intruso malicioso inunde el sistema de objetos no deseados,
asegúrese de establecer límites de umbral adecuados para las agrupaciones de
almacenamiento auxiliar (ASP). El umbral de almacenamiento de ASP evita que
el sistema se detenga porque el sistema operativo no tiene espacio de trabajo
suficiente. Puede visualizar y establecer los umbrales para las ASP utilizando las
herramientas de servicio del sistema (SST) o las herramientas de servicio
dedicado (DST). La publicación Copia de seguridad y recuperación proporciona más
información acerca de los umbrales de ASP.
v Aunque necesita asegurarse de que el umbral ASP evita que el sistema se
inunde, también debe asegurarse de que el sistema tiene espacio adecuado para
almacenar y entregar correo adecuadamente. Si el sistema no puede entregar el

correo porque no tiene almacenamiento adecuado para el correo transeúnte, esto
constituye un problema de integridad para los usuarios.
Nota: Habitualmente el espacio de almacenamiento no es un problema

significativo. Cuando un cliente recibe correo, el sistema suprime ese
correo del servidor.
Consejos de seguridad para servicios Web desde el iSeries 400

En la V4R1 y la V4R2, el producto Internet Connection Server proporcionaba al
iSeries 400 la posibilidad de servicios web. En la V4R3, el producto IBM HTTP
Server para AS/400 ha sustituido a Internet Connection Server. Cada producto
proporciona un servidor de Protocolo de Transferencia Hipertexto (HTTP) en el
iSeries 400. Los dos productos comparten diversos aspectos de la seguridad,
aunque existen diferencias entre ellos. En este apartado, los términos generales
″servidor HTTP″ y ″servidor Internet″ se utilizan para describir los aspectos
relativos a ambos productos. Cuando un aspecto corresponda específicamente al
Internet Connection Server o al IBM HTTP Server para AS/400, se utilizará su
nombre completo.
El servidor HTTP proporciona a los clientes navegadores de la World Wide Web el

acceso a objetos multimedia del iSeries, tales como documentos HTML (lenguaje de
códigos hipertexto).También ofrece soporte para la especificación Interfaz de pasarela
común (CGI). Los programadores de aplicaciones pueden escribir programas CGI
para ampliar la funcionalidad del servidor.
El administrador puede utilizar el Internet Connection Server o el IBM HTTP

Server para AS/400 para ejecutar múltiples servidores a la vez en el mismo
iSeries.Cada servidor que está en ejecución se denomina una instancia de servidor.
Cada instancia de servidor tiene un nombre exclusivo. El administrador controla
qué instancias se inician, y qué puede hacer cada instancia.
Nota: Debe estar ejecutando la instancia *ADMIN en el servidor HTTP cuando

utilice un navegador Web para configurar o administrar cualquiera de los
elementos siguientes:
v Firewall para iSeries
v Network Station
v Internet Connection Server
v Internet Connection Secure Server
v IBM HTTP Server para AS/400
Un usuario (un visitante del sitio Web) nunca verá ninguna pantalla de Inicio de
sesión de iSeries.No obstante, el administrador del iSeries debe autorizar
explícitamente todos los documentos HTML y programas CGI, definiéndolos en
directivas HTTP.Además, el administrador puede configurar tanto la seguridad de
los recursos y la autenticación de los usuarios (ID de usuario y contraseña), en
algunas o en todas las peticiones.
Un ataque por parte de un pirata podría dar como resultado la denegación de

servicio al servidor Web. El servidor puede detectar un ataque de denegación de
servicio midiendo el tiempo de espera de las peticiones de determinados clientes.
Si el servidor no recibe una petición del cliente, el servidor determina que se está
produciendo un ataque de denegación de servicio. Esto ocurre tras realizar la
conexión inicial del cliente con el servidor. La acción por omisión del servidor es
llevar a cabo la detección del ataque y la penalización.
Consejos para evitar el acceso
Si no desea que nadie utilice el programa para acceder al sistema, deberá evitar la
ejecución del servidor HTTP. Haga lo siguiente:
__ Paso 1. Para evitar que los trabajos del servidor HTTP se arranquen
CHGHTTPA AUTOSTART(*NO)
Notas:
__ Paso 2. Por omisión, el trabajo del servidor HTTP utiliza el perfil de usuario
QTMHHTTP. Para evitar que se arranque el servidor HTTP, establezca
el estado del perfil de usuario QTMHHTTP en *DISABLED.
Consejos para controlar el acceso

El objetivo principal de ejecutar un servidor HTTP es proporcionar acceso a los
visitantes a un sitio Web de su sistema iSeries.Piense en quienes visitan su sitio
Web como las personas que leen un anuncio en un diario comercial. El visitante no
está al corriente del hardware y el software que se ejecuta en el sitio Web, por
ejemplo el tipo de servidor que está utilizando y dónde está ubicado físicamente el
servidor. Por lo general, no deseará poner ninguna barrera (por ejemplo, una
pantalla de inicio de sesión) entre un visitante potencial y el sitio Web. Sin
embargo, quizá desee restringir el acceso a algunos documentos o programas de la
CGI que se proporcionan en su sitio Web.
Quizá desee también que un solo sistema iSeries proporcione varios sitio Web
lógicos.Por ejemplo, su sistema iSeries puede ofrecer soporte para sucursales
diferentes de su empresa con conjuntos de clientes diferentes.Para cada una de
estas sucursales de la empresa, desea que aparezca un solo sitio Web de modo
totalmente independiente para el visitante. Además, quizá desee proporcionar
sitios Web internos (una intranet) con información confidencial acerca de su
empresa.
Como administrador de seguridad, debe asegurarse de proteger el contenido de su

sitio Web y, al mismo tiempo, debe garantizar que sus prácticas de seguridad no
afectan negativamente a su sitio Web. Además, debe asegurarse de que la actividad
HTTP no arriesga la integridad del sistema o de la red. Los temas siguientes
proporcionan sugerencias de seguridad cuando se utilice el programa.
Consideraciones sobre la administración

A continuación se citan algunas consideraciones sobre seguridad en la
administración del servidor Internet.
v Puede realizar funciones de puesta a punto y de configuración utilizando un
navegador Web y la instancia *ADMIN. Para algunas funciones, tales como crear
instancias adicionales del servidor, debe utilizar el servidor *ADMIN.
v El URL por omisión para la página de inicio de administración (la página de
inicio para el servidor *ADMIN) está publicado en la documentación de los
productos que proporcionan funciones de administración de navegador. Por lo
tanto, los piratas probablemente conocerán el URL por omisión y estará
publicado en foros de piratas, al igual que se conocen y se publican las
contraseñas por omisión de los perfiles por omisión proporcionados por IBM.
Existen numerosas formas de protegerse de este riesgo:

– Ejecutar solamente la instancia *ADMIN del servidor HTTP cuando necesite
realizar funciones de administración. No tener la instancia *ADMIN en
ejecución todo el tiempo.
– Activar el soporte SSL para la instancia *ADMIN (utilizando el Gestor de
Certificados Digitales). La instancia *ADMIN utiliza las directivas de
protección HTTP para solicitar una contraseña y un ID de usuario. Al utilizar
SSL, su ID de usuario y contraseña se cifran (junto con el resto de la
información sobre la configuración que aparece en los formularios de
administración).
– Utilizar un cortafuegos para impedir el acceso al servidor *ADMIN desde
Internet y para ocultar los nombres de dominio y de sistema, que forman
parte del URL.
v Cuando lleve a cabo funciones de administración, debe iniciar la sesión con un
perfil de usuario que tenga autorización especial *IOSYSCFG. Quizá también
necesite autorización para especificar objetos en el sistema como, por ejemplo:
– Las bibliotecas o los directorios que contienen documentos HTML y
programas CGI.
– Los perfiles de usuario que desee intercambiar entre las directivas para el
servidor.
– Las Listas de control de acceso (ACL) para todos los directorios que utilicen
las directivas.
– Un objeto de lista de validación para la creación y el mantenimiento de ID de
usuario y contraseñas.
Tanto con el servidor *ADMIN como con TELNET tiene la posibilidad de llevar
a cabo funciones de administración de modo remoto, quizás a través de una
conexión Internet. Si realiza la administración a través de un enlace público
(Internet), puede exponer al husmeo una contraseña y un ID de usuario
potentes. El ″husmeador″ puede utilizarlos para intentar acceder al sistema
utilizando, por ejemplo, TELNET o FTP.
Notas:
1. Con TELNET, la pantalla de Inicio de sesión se trata como cualquier otra
pantalla. Aunque la contraseña no se visualiza al teclearla, el sistema la
transmite sin cifrado ni codificación.
2. Con el servidor *ADMIN, la contraseña se codifica, pero no se cifra. El
esquema de codificación es un estándar comercial y, por lo tanto,
generalmente conocido entre la comunidad pirata. Aunque la codificación no
resulta fácil de comprender para el ″pirata informático″ ocasional, un pirata
informático con experiencia probablemente disponga de las herramientas
necesarias para intentar decodificar la contraseña.
Si tiene pensado realizar la administración remota a través de Internet,
deberá utilizar la instancia *ADMIN con SSL, de forma que las
transmisiones estén cifradas. No utilice una aplicación poco segura, como
una versión de TELNET anterior a la V4R4 (TELNET da soporte a SSL a
partir de la V4R4). Si está utilizando el servidor *ADMIN a través de una
intranet de usuarios autorizados, es probable que pueda utilizarlo con
seguridad para la administración.
v Las directivas de HTTP proporcionan la base para todas las actividades en el

servidor. La configuración entregada proporciona la posibilidad de ofrecer una
página de Bienvenida por omisión. Un cliente no puede ver ninguno de los
documentos del servidor excepto la página de Bienvenida hasta que el
administrador del servidor define las directivas para el servidor. Para definir
directivas, utilice un navegador Web y el servidor *ADMIN o el mandato
Trabajar con configuración HTTP (WRKHTTPCFG). Ambos métodos requieren la
autorización especial *IOSYSCFG. Al conectar el iSeries a Internet, resulta aún
más importante evaluar y controlar el número de usuarios de la organización
que tienen autorización especial *IOSYSCFG.
Protección de recursos
El Internet Connection Server y el IBM HTTP Server para AS/400 incluyen
directivas HTTP que pueden proporcionar un control detallado de la información
que utiliza el servidor. Puede utilizar las directivas para intercambiar a otros
perfiles de usuario de iSeries y para requerir la autenticación de ciertos recursos.A
continuación se ofrecen algunas sugerencias y consideraciones para utilizar este
soporte:
Nota: ″Web serving with your IBM HTTP Server″ en el Information Center
proporciona descripciones completas de las directivas HTTP disponibles y
cómo utilizarlas. Incluye ejemplos de seguridad y consideraciones.
v El servidor HTTP empieza a partir de la base de ″autorización explícita″. El
servidor no acepta una petición a menos que dicha petición esté definida
explícitamente en las directivas. En otras palabras, el servidor rechaza
inmediatamente todas las peticiones de un URL a menos que dicho URL esté
definido en las directivas (por nombre o genéricamente). Para beneficiarse de
esta protección inicial que proporcionan las directivas, tenga en cuenta lo
siguiente:
– Al añadir una directiva al servidor HTTP, defina el valor de la plantilla para
la vía de acceso del modo más específico posible. De este modo reducirá la
posibilidad de que alguien pueda examinar el sistema y descubrir archivos.
Evite la utilización de nombres de archivo genéricos y de comodines.
– Utilice las directivas Map o Pass para enmascarar los nombres de los archivos
en el servidor web de iSeries. (Las directivas Map y Pass son métodos para
correlacionar el URL enviado por el cliente con un recurso o nombre diferente
del servidor). Por ejemplo, el cliente (navegador) puede emitir un URL
parecido a:
http://hostname/webdata/products
Utilice los formularios de configuración y administración con base en el

navegador (o el mandato WRKHTTPCFG) para añadir una directiva Pass a la
configuración del servidor HTTP que se parezca a:
Pass /webdata/products
/QSYS.LIB/WEBDATA.LIB/WWWDATA.FILE/PRODUCTS.MBR
El peticionario que vea este URL no tendrá ni idea de que los datos del
producto están en el archivo WWWDATA de la biblioteca WEBDATA del
sistema iSeries.Este método protege (oculta) los nombres de archivo y de
biblioteca de iSeries de los piratas potenciales.También proporciona la
flexibilidad para cambiar la aplicación iSeries sin tener que cambiar el URL.
v Puede utilizar directivas de protección para solicitar un ID de usuario y una
contraseña antes de aceptar una petición de alguno de sus recursos o de todos
ellos. A continuación se ofrecen algunas consideraciones para el uso de este
soporte:
– Cuando un usuario (cliente) solicita un recurso protegido, el servidor exige al
navegador una contraseña y un ID de usuario. El navegador solicita al

usuario que entre una contraseña y un ID de usuario y, a continuación, envía
la información al servidor. Algunos navegadores almacenan la contraseña y el
ID de usuario y los envían automáticamente con las peticiones siguientes.
Esto exime al usuario de entrar repetidamente los mismos ID de usuario y
contraseña en cada petición.
Puesto que algunos navegadores almacenan la contraseña y el ID de usuario,
hay que llevar a cabo la misma tarea de educación de usuario que se realiza
cuando los usuarios entran en el sistema a través de la pantalla de Inicio de
sesión de iSeries o a través de un direccionador.Una sesión de navegador
desatendida representa un riesgo de seguridad potencial.
– Dispone de tres opciones relacionadas con el manejo de las contraseñas y de
los ID de usuario por parte del sistema (especificadas en las directivas de
protección):
1. Puede utilizar la validación de perfiles de usuario y contraseñas normales
del iSeries.Por lo general, se utiliza para proteger los recursos de una
intranet (red protegida).
2. Puede crear ″usuarios de Internet″: usuarios que pueden validarse pero
que no tienen un perfil de usuario en el sistema iSeries 400. Los usuarios
de Internet se implementan mediante un objeto iSeries 400 denominado
″lista de validación″. Los objetos de lista de validación contienen listas de
usuarios y contraseñas definidos específicamente para su uso con una
aplicación concreta.
Puede decidir cómo se suministran los ID de usuario y las contraseñas de
Internet (por ejemplo, mediante una aplicación o mediante un
administrador como respuesta a una petición por correo electrónico), así
como cómo gestionar los usuarios de Internet. Utilice la interfaz (con base
en el navegador) del servidor HTTP para ponerlo a punto.
Para las redes no seguras (Internet), el uso de usuarios de Internet
proporciona una protección global mejor que el uso de perfiles de usuario
y contraseñas normales del iSeries.El conjunto exclusivo de los ID de
usuario y contraseñas crea una limitación integrada respecto a lo que
pueden hacer los usuarios. Las contraseñas y los ID de usuario no están
disponibles en el inicio de sesión normal (por ejemplo, con TELNET o
FTP). Además, no expone las contraseñas y los ID de usuario del iSeries al
husmeo.
| 3. El protocolo LDAP (Lightweight directory access protocol) en un protocolo
| de servicios de directorio que proporciona acceso a un directorio a través
| de un Protocolo de Control de Transmisión (TCP). Le permite almacenar
| información en ese servicio de directorio y consultarla. Ahora el LDAP
| está soportado como opción para la autenticación de usuario.
Notas:
1. Cuando el navegador envía el ID de usuario y la contraseña (ya sea para
un perfil de usuario iSeries 400 o para un usuario de Internet), están
codificados, no cifrados. El esquema de codificación es un estándar
comercial y, por lo tanto, generalmente conocido entre la comunidad
pirata. Aunque la codificación no resulta fácil de comprender para el
″pirata informático″ ocasional, un pirata informático con experiencia
probablemente disponga de las herramientas necesarias para intentar
decodificarlos.
2. iSeries almacena el objeto de validación en un área protegida del
sistema.Sólo puede acceder al mismo con las interfaces definidas del
sistema (API) y la autorización adecuada.
– Puede utilizar el Gestor de certificados digitales (DCM) para crear su propia
Autoridad certificadora en la intranet. El Certificado digital asocia
automáticamente un certificado con el perfil de usuario iSeries del
propietario. El certificado tiene las mismas autorizaciones y los mismos
permisos que el perfil asociado.
v Cuando el servidor acepta una petición, entra en función la seguridad normal de
los recursos del iSeries.El perfil de usuario del iSeries que ha solicitado el
recurso debe disponer de la autorización necesaria para el recurso (por ejemplo,
la carpeta o el archivo físico del recurso que contiene el documento HTML).Por
omisión, los trabajos se ejecutan bajo el perfil de usuario QTMHHTTP. Puede
utilizar una directiva para cambiar a un perfil de usuario iSeries distinto.En este
caso, el sistema utiliza la autorización del perfil de usuario para acceder a los
objetos. A continuación se ofrecen algunas consideraciones para este soporte:
– El intercambio de perfiles de usuario puede resultar especialmente útil
cuando el servidor proporciona más de un sitio Web lógico. Puede asociar un
perfil de usuario diferente a las directivas para cada sitio Web y utilizar la
seguridad de recursos de iSeries para proteger los documentos de cada sitio.
– Puede utilizar la posibilidad de intercambiar perfiles de usuario en
combinación con el objeto de validación. El servidor utiliza un ID de usuario
y una contraseña exclusivos (separados del ID de usuario y contraseña
normales de iSeries) para evaluar la petición inicial. Una vez el servidor ha
autenticado al usuario, el sistema intercambia a un perfil de usuario del
iSeries diferente, beneficiándose de la seguridad de los recursos del
iSeries.Así, el usuario no conoce el nombre verdadero del perfil de usuario y
no puede intentar utilizarlo de otros modos (tales como FTP).
v Algunas peticiones del servidor HTTP necesitan ejecutar un programa en el
servidor HTTP. Por ejemplo, un programa podría acceder a datos de su sistema.
Para que el programa pueda ejecutarse, el administrador del sistema debe
correlacionar la petición (URL) con un programa específico definido por el
usuario, que se ajuste a los estándares de interfaz de usuario CGI. A
continuación, se incluyen algunas consideraciones para los programas CGI:
– Puede utilizar las directivas de protección para los programas CGI tal y como
lo hace para documentos HTML. Así, puede solicitar una contraseña y un ID
de usuario antes de ejecutar el programa.
– Por omisión, los programas CGI se ejecutan bajo el perfil de usuario
QTMHHTP1. Puede intercambiar a un perfil de usuario iSeries diferente antes
de ejecutar el programa.Por consiguiente, puede establecer la seguridad de
recursos del iSeries normales para los recursos a los que acceden los
programas CGI.
– Como administrador de seguridad, debe revisar la seguridad antes de
autorizar la utilización de cualquier programa CGI en el sistema. Debe
conocer la procedencia del programa y las funciones que realiza el programa
CGI. También debe supervisar las posibilidades de los perfiles de usuario bajo
los cuales está ejecutando los programas CGI y efectuar una comprobación
con los programas CGI para determinar, por ejemplo, si puede acceder a una
línea de mandatos. Trate los programas CGI con la misma vigilancia con la
que trata los programas que adoptan la autorización.
– Asimismo, debe asegurarse de evaluar los objetos confidenciales que pueden
tener una autorización de uso público inadecuada. En algunas ocasiones, un
programa CGI no diseñado correctamente, permite que un usuario engañoso
y con los conocimientos necesarios intente vagar por el sistema.
– Utilice una biblioteca de usuario específica, por ejemplo, la CGILIB, para
mantener todos los programas de CGI. Utilice la autorización sobre objetos
para controlar quién puede colocar nuevos objetos en esa biblioteca y quién

puede ejecutar programas en ella. Utilice las directivas para limitar el servidor
HTTP a ejecutar programas de CGI que estén en esa biblioteca.
Nota: Si el servidor proporciona varios sitios Web lógicos, quizá desee

establecer una biblioteca para los programas CGI de cada sitio.
Otras consideraciones sobre seguridad

A continuación se describen otras consideraciones sobre la seguridad:
v HTTP proporciona acceso de sólo lectura al sistema iSeries.Las peticiones del
servidor HTTP no pueden actualizar ni suprimir datos directamente del sistema.
No obstante, puede tener programas CGI que actualicen datos. Además puede
habilitar el programa CGI Net.Data para acceder a la base de datos del iSeries.
El sistema utiliza un script (que es similar a un programa de salida) para evaluar
las peticiones para el programa Net.Data. Por consiguiente, el administrador del
sistema puede controlar las acciones que puede llevar a cabo el programa
Net.Data.
Nota: Antes de la V4R3, el programa DB2WWW proporcionaba la función que

ahora proporciona Net.Data.
v El servidor HTTP proporciona unas anotaciones cronológicas de acceso que
puede utilizar para supervisar los accesos y los intentos de acceso a través del
servidor.
v La publicación HTTP Server for iSeries Webmaster’s Guide proporciona más
información acerca de las consideraciones sobre seguridad.
Consejos de seguridad para utilizar SSL con IBM HTTP Server

para iSeries 400
| IBM HTTP Server para iSeries puede proporcionar conexiones seguras con la Web
| para el iSeries. Un sitio Web seguro indica que las transmisiones entre el cliente y
| el servidor están cifradas (en ambas direcciones). Estas transmisiones cifradas están
| protegidas frente a los husmeadores y los que intentan capturar o modificar las
| transmisiones.
| Nota: Recuerde que el sitio Web seguro se aplica estrictamente a la seguridad de la

| información que pasa entre el cliente y el servidor. Su finalidad no es la de
| reducir la vulnerabilidad del servidor ante los piratas informáticos. No
| obstante, sí limita la información que podría obtener fácilmente un supuesto
| pirata que se dedicara a husmear.
| Los temas sobre SSL y servidores Web (HTTP) del Information center proporcionan
información completa para instalar, configurar y gestionar el proceso de cifrado.
Estos temas proporcionan tanto una visión general de las características del
servidor como algunas consideraciones para su utilización.
Internet Connection Server proporciona soporte http y https cuando se instala uno
de los siguientes programas bajo licencia:
v 5722–NC1
v 5722–NCE
Cuando están instaladas estas opciones, se hace referencia al producto como
Internet Connection Secure Server.
| IBM HTTP Server para iSeries (5722–DG1) proporciona soporte de http y https.
| Debe instalar uno de los siguientes productos criptográficos para habilitar SSL:
| v 5722–AC2
| v 5722–AC3
| La seguridad que depende del cifrado tiene numerosos requisitos:

| v Tanto el remitente como el receptor (servidor y cliente) deben ″comprender″ los
| mecanismos de cifrado y poder llevar a cabo el cifrado y el descifrado. El
| servidor HTTP requiere un cliente con SSL habilitado. (Los navegadores Web
| más utilizados tienen SSL habilitado). Los programas bajo licencia de cifrado de
| iSeries ofrecen soporte para numerosos métodos de cifrado estándar del
| mercado.Cuando un cliente intenta establecer una sesión segura, el servidor y el
| cliente negocian para localizar el método de cifrado más seguro para el que
| ambos ofrezcan soporte.
| v Un escuchador oculto no debe poder descifrar la transmisión. Así, los métodos
| de cifrado requieren que ambas partes dispongan de una clave privada de
| cifrado y de descifrado que sólo conozcan ellos. Si desea tener un sitio Web
| externo seguro, debería utilizar una autoridad certificadora (CA) independiente
| para crear y emitir certificados digitales a los usuarios y servidores. A la
| autoridad certificadora se la denomina interlocutor de confianza.
| El cifrado protege la confidencialidad de la información transmitida. Sin embargo,

| para la información confidencial, por ejemplo, información económica, además de
| la confidencialidad, también se precisa la integridad y la autenticidad. En otras
| palabras, el cliente y (opcionalmente) el servidor deben autorizar a la otra parte (a
| través de una consulta independiente) y asegurarse de que la transmisión no se ha
| alterado. La firma digital que proporcionan las autoridades certificadoras (CA)
| proporcionan estos seguros de autenticidad e integridad. El protocolo SSL
| proporciona autenticación mediante la verificación de la firma digital del
| certificado del servidor (y, opcionalmente, del certificado del cliente).
| El cifrado y el descifrado requieren tiempo de proceso, que influye en el

| rendimiento de las trasmisiones. Por consiguiente, el iSeries proporciona la
| posibilidad de ejecutar los programas para el servicio seguro y no seguro al mismo
| tiempo.Puede utilizar el servidor HTTP no seguro para ofrecer documentos que no
| requieran seguridad, por ejemplo, el catálogo de productos. Estos documentos
| dispondrán de un URL que se inicie con http:// . Puede utilizar un servidor
| HTTP seguro para la información delicada, por ejemplo el formulario en el que el
| cliente incluye la información de su tarjeta de crédito. El programa puede atender
| a documentos cuyo URL empiece con http:// o con https://.
|
| Recordatorio
| Es buena práctica de Internet (netiquette) informar a sus clientes cuándo son
| seguras las transmisiones y cuándo no, especialmente cuando su sitio Web
| utilice solamente un servidor seguro en ciertos documentos.
|
|
| Recuerde que el cifrado requiere un cliente y un servidor seguros. Los navegadores

| seguros (clientes HTTP) son cada vez más habituales.
|
| Seguridad de LDAP (Lightweight Directory Access Protocol)
| OS/400–Servicios de Directorio proporciona un servidor LDAP (Lightweight
| Directory Access Protocol) en iSeries 400. LDAP se ejecuta a través de Protocolo de
| Control de Transmisión/Protocolo Internet (TCP/IP) y está creciendo en
| popularidad como servicio de directorios para aplicaciones tanto de Internet como

| no de Internet. La mayoría de tareas de configuración y administración del
| servidor de directorios LDAP se realizan en iSeries 400 mediante la interfaz gráfica
| de usuario (GUI) del Operations Navigator de iSeries 400. Para administrar los
| Servicios de Directorio debe tener instalado el Operations Navigator en un PC que
| esté conectado al iSeries. Puede utilizar Servicios de Directorio con aplicaciones
| habilitadas para LDAP, por ejemplo las aplicaciones de correo que consultar
| direcciones de correo electrónico en los servidores LDAP.
Aparte del servidor LDAP, los Servicios de Directorio incluyen:

| v Un cliente LDAP. Este cliente incluye un conjunto de interfaces de programa de
| aplicación (API) que puede utilizar en programas OS/400 para crear sus propias
| aplicaciones de cliente. Para obtener información sobre estas API, vea la página
| ″Servicios de Directorio″ bajo ″Programación″ en el iSeries Information Center.
v Un cliente LDAP Windows 95 y Windows NT. Este cliente incluye la
Herramienta de gestión de directorios IBM SecureWay, que le proporciona una
interfaz gráfica de usuario para gestionar el contenido de los directorios.
El cliente LDAP de Windows también incluye un conjunto de interfaces de
programas de aplicación (API) que puede utilizar en sus propias aplicaciones.
Para obtener más información sobre estas API, vea las páginas sobre ″Redes″ en
el iSeries Information Center.
El servidor LDAP que los Servicios de Directorio proporcionan es un producto
de Directorio IBM SecureWay.
Conceptos básicos sobre LDAP

El protocolo LDAP (Lightweight Directory Access Protocol) es un protocolo de
servicios de directorio que se ejecuta a través del Protocolo de Control de
Transmisión/Protocolo Internet (TCP/IP). La versión 2 de LDAP está definida
formalmente en Internet Engineering Task Force (IETF) Request for Comments
(RFC) 1777, Lightweight Directory Access Protocol. La versión 3 de LDAP está
definida formalmente en IETF RFC 2251, Lightweight Directory Access Protocol (v3).
Puede ver estos RFC en Internet en el siguiente URL:
http://www.ietf.org
El servicio de directorio LDAP sigue un modelo cliente/servidor. Uno o más

servidores LDAP contienen los datos del directorio. Un cliente LDAP se conecta a
un servidor LDAP y realiza una petición. El servidor responde con una respuesta o
bien con un puntero (un referente) a otro servidor LDAP.
Usos de LDAP:
Dado que LDAP es un servicio de directorio y no una base de datos, la

información de un directorio LDAP suele ser información descriptiva, basada en
atributos. Generalmente los usuarios de LDAP se dedican más a leer la
información del directorio que a modificarla. Las actualizaciones suelen ser
cambios de ″todo o nada″. Los usos más corrientes de los directorios LDAP
incluyen los listines telefónicos en línea y los directorios de correo electrónico.
Estructura de directorio LDAP:
El modelo de servicio de directorio LDAP se basa en entradas (a las que también

se conoce como objetos). Cada entrada consta de uno o varios atributos , tales
como un nombre o dirección y un tipo. Los tipos suelen consistir en series
nemotécnicas, por ejemplo cn para nombre común o mail para la dirección de
correo electrónico.
El directorio de ejemplo de Figura 41 en la página 210 muestra una entrada para

Tim Jones que incluye atributos mail y telephoneNumber. Otros atributos posibles
son fax, title, sn (apellido) y jpegPhoto.
| Cada directorio tiene un esquema, que es un conjunto de normas que determinan

| la estructura y el contenido del directorio. Deberá utilizar la Herramienta de
| gestión de directorios (DMT) de IBM SecureWay para editar los archivos de
| esquema para el servidor LDAP.
| Nota: Encontrará copias originales de los archivos de esquema por omisión en

| /QIBM/ProdData/OS400/DirSrv . Si necesita sustituir los archivos del
| directorio UserData, puede copiar estos archivos en ese directorio.
| Cada entrada de directorio tiene un atributo especial denominado objectClass. Este

atributo controla qué atributos son necesarios y están permitidos en una entrada.
En otras palabras, los valores del atributo objectClass determinan las normas del
esquema que la entrada debe obedecer.
Cada entrada de directorio tiene además los siguientes atributos operativos, que el
servidor LDAP mantiene automáticamente:
v CreatorsName, que contiene el DN de enlace utilizado al crear la entrada.
v CreateTimestamp, que contiene la hora en que se creó la entrada.
v modifiersName, que contiene el DN de enlace utilizado en la última modificación
de la entrada (inicialmente es igual que CreatorsName).
v modifyTimestamp, que contiene la hora de la última modificación de la entrada
(inicialmente es igual que CreateTimestamp).
Tradicionalmente, las entradas del directorio LDAP se disponen en una estructura

jerárquica que refleja límites políticos, geográficos u organizativos (vea Figura 41 en
la página 210). Las entradas que representan a países aparecen en lo más alto de la
jerarquía. Las entradas que representan estados u organizaciones nacionales
ocupan el segundo nivel de la jerarquía. Las entradas bajo estas últimas pueden
representar a individuos, unidades organizativas, impresoras, documentos u otros
elementos.
Al estructurar su directorio no está limitado a la jerarquía tradicional. La estructura

de ″componente de dominio″, por ejemplo, está ganando en popularidad. Con esta
estructura, las entradas se componen de las partes de nombres de dominio de
TCP/IP. Por ejemplo, dc=ibm,dc=com puede ser preferible a o=ibm,c=us.
LDAP hace referencias a entradas con Nombres distinguidoss (DNs). Los nombres
distinguidos constan del nombre de la propia entrada así como de los nombres, del
final al principio, de los objetos que tiene por encima en el directorio. Por ejemplo,
el DN completo para la entrada del lado inferior izquierdo de Figura 41 en la
página 210 es cn=Tim Jones, o=IBM, c=US. Cada entrada tiene al menos un atributo
que se utiliza para nombrar la entrada. Este atributo de denominación se llama el
Nombre distinguido relativo (RDN) de la entrada. La entrada superior a un RDN
dado es su Nombre distinguido padre. En el ejemplo anterior, cn=Tim Jones da
nombre a la entrada, por lo que es el RDN. o=IBM, c=US es el DN padre para
cn=Tim Jones.

Para otorgar a un servidor LDAP la capacidad de gestionar parte de un directorio
LDAP, debe especificar los nombre distinguidos padre del nivel más alto en la
configuración del servidor. Estos nombres distinguidos se denominan sufijos. El
servidor puede acceder a todos los objetos del directorio que se encuentran por
debajo del sufijo especificado en la jerarquía del directorio. Por ejemplo, si un
servidor LDAP contiene el directorio mostrado en Figura 41, necesitaría tener el
sufijo o=ibm, c=us especificado en su configuración para poder responder a
consultas de clientes relativas a ″Tim Jones″.
Figura 41. Una estructura de directorio LDAP básica
Notas acerca de LDAP y los Servicios de Directorio de iSeries:

v A partir de la V4R5, tanto el servidor LDAP OS/400 como el cliente LDAP
OS/400 se basan en LDAP Versión 3. Puede utilizar un cliente V2 con un
servidor V3. No obstante, no puede utilizar un cliente V3 con un servidor V2 a
menos que enlace como cliente V2 y utilice solamente APIs de V2. Vea LDAP
V2/V3 considerations para obtener más detalles.
v El cliente LDAP de Windows también se basa en LDAP Versión 3.
v Dado que LDAP es un estándar, todos los servidores LDAP comparten muchas
características básicas. Sin embargo, debido a las diferencias de implementación,
no son totalmente compatibles entre sí. El servidor LDAP suministrado por
Servicios de Directorio es bastante compatible con otros servidores de directorio
LDAP del grupo de productos IBM SecureWay. No obstante, podría no ser tan
compatible con otros servidores LDAP.
v Los datos para el servidor LDAP que proporcionan los Servicios de Directorio
residen en una base de datos de OS/400.
Más información:
Para ver ejemplos del uso de los directorios LDAP, consulte “Ejemplo del uso de
los Servicios de Directorio”.
| Para conocer más datos sobre los conceptos de LDAP, vea los Servicios de
| Directorio de Red (LDAP) en el Information Center (vea “Requisitos e información
| relacionada” en la página xii para más detalles).
Ejemplo del uso de los Servicios de Directorio

Puede utilizar los Servicios de Directorio y sus funciones de diversas maneras. El
siguiente ejemplo ficticio muestra solamente una de las posibles implementaciones
de los servidores de directorio LDAP en iSeries.
Jonathon es el director de la Asociación de alumnos de una pequeña universidad

de Minnesota. Durante mucho tiempo ha conservado un archivador con
información sobre los nombres y direcciones de los alumnos. Ahora quiere
trasladar esa información a un sistema para hacer posible que los alumnos que se
encuentren en ubicaciones lejanas puedan consultar la información. Llama a
Michelle del departamento de Servicios de información de la universidad y le pide
ayuda. Ella le explica que puede poner a punto un directorio LDAP en el mismo
iSeries en el que ejecuta el servidor Web de la Asociación de alumnos.
Michelle y Jonathon planifican un directorio LDAP que incluya el país, estado y

nombre de cada alumno. También incluirá la dirección de correo electrónico, la
dirección postal y el número de teléfono de cada alumno. Entonces configuran el
servidor de directorio LDAP de Servicios de Directorio, especificando sufijos tales
como st=MN, c=US y c=Canada, así como entradas similares para otros estados y
países.
| A continuación, Michelle y Jonathon planifican la seguridad de su directorio LDAP.

| La información del servidor no es confidencial ni vital, por lo que no les preocupa
| que algún intruso pueda interceptar la información durante la transmisión. Por
| consiguiente, deciden que no necesitan utilizar seguridad de Capa de Sockets
| Segura (SSL) (vea Utilización de la seguridad de Capa de Sockets Segura (SSL) con el
| servidor de directorio LDAP en el tema sobre Servicios de Directorio de Redes
| (LDAP) en el Information Center). No obstante, no quieren exponerse a un acceso
| totalmente abierto a todos los datos del directorio. Jonathon se pone en contacto
| con cada alumno para ver si están dispuestos a que la información que les
| concierne esté disponible públicamente. A la mayoría no les importa, pero algunos
| prefieren que dicha información se mantenga en privado. Para esos usuarios,
| Michelle y Jonathon crean listas de control de accesos que limitan el acceso a su
| información, de forma que solamente Jonathon y otros miembros del personal de
| la Asociación de alumnos pueden verla o modificarla. Para obtener más
| información sobre la creación y uso de las listas de control de accesos, consulte el
| tema sobre Servicios de Directorio de Redes (LDAP) en el Information Center (vea
| “Requisitos e información relacionada” en la página xii para más detalles).
| El directorio está listo para aceptar datos. Jonathon se encargará de ello. Podría
| utilizar los programas de utilidad shell que se incluyen con los Servicios de

| Directorio para poblar el directorio. Sin embargo no tiene mucha experiencia en el
| uso de interfaces de línea de mandatos, por lo que prefiere utilizar la Herramienta
| gráfica de gestión de directorios IBM SecureWay. Con esta interfaz, Jonathon puede
| añadir, buscar y modificar entradas de directorio fácilmente. Durante el verano
| utiliza la Herramienta de gestión de directorios para añadir la información de los
| licenciados más recientes. Mientras, Michelle utiliza las interfaces de programas de
| aplicación (API) incluidas con el cliente LDAP Windows para crear una interfaz
| gráfica personalizada. Los estudiantes empleados de la Asociación de alumnos
| pueden utilizar esta interfaz sin tener conocimiento alguno sobre la estructura del
| directorio. Cuando los estudiantes empleados vuelvan al campus en otoño,
| utilizarán la interfaz personalizada para añadir los alumnos restantes al directorio.
Consideraciones para utilizar LDAP V2 con LDAP V3

A partir de la V4R5, tanto el servidor LDAP de OS/400 como el cliente LDAP de
OS/400 se basan en LDAP Versión 3. No puede utilizar un cliente V3 con un
servidor V2. No obstante, puede utilizar la API ldap_set_option() para cambiar la
versión de un cliente V3 a V2. Entonces podrá enviar peticiones de cliente a un
servidor V2 satisfactoriamente.
Puede utilizar un cliente V2 con un servidor V3. Tenga en cuenta que, si embargo,
en una petición de búsqueda el servidor V3 puede devolver datos en el formato
UTF-8, mientras que un cliente V2 sólo puede manejar datos del juego de
caracteres IA5.
Nota: La versión 2 de LDAP está definida formalmente en Internet Engineering

Task Force (IETF) Request for Comments (RFC) 1777, Lightweight Directory
Access Protocol. La versión 3 de LDAP está definida formalmente en IETF
RFC 2251, Lightweight Directory Access Protocol (v3). Puede ver estos RFC en
Internet en el siguiente URL:
http://www.ietf.org
| Características de seguridad de LDAP

| Las características de seguridad de LDAP (Lightweight Directory Access Protocol)
| incluyen Capa de Sockets Segura (SSL), Listas de control de aceso y cifrado de
| contraseñas CRAM-MD5. En la V5R1 también se han añadido las conexiones
| Kerberos y el soporte de auditoría de seguridad para mejorar la seguridad de
| LDAP.
| Para obtener más información sobre estos temas, consulte el tema sobre Servicio de
| directorio de redes (LDAP) en el Information Center (vea “Requisitos e
| información relacionada” en la página xii para conocer más detalles).
Consejos de seguridad para el Workstation Gateway Server

El Workstation Gateway Server (WSG) proporciona una aplicación de TCP/IP que
transforma las aplicaciones 5250 de iSeries al Hypertext Markup Language (HTML)
para su visualización dinámica en los navegadores Web.Al configurar el
Workstation Gateway Server, se controla si los usuarios ven una pantalla de inicio
de sesión o si el inicio de sesión lo maneja un programa de salida.
Nota: El iSeries no ofrece una versión segura del Workstation Gateway Server.Por
consiguiente, si su programa ofrece el control al servidor WSG (por ejemplo,
en los formularios rellenables), recuerde que la transmisión WSG no se
cifrará.
Consejos para evitar el acceso de WSG
Si no quiere que nadie utilice WSG para acceder al sistema, debe evitar el
funcionamiento del servidor WSG. Haga lo siguiente:
__ Paso 1. Para evitar que los trabajos del servidor WSG se arranquen
CHGWSGA AUTOSTART(*NO)
Notas:
b. El atributo DSPSGN controla si el sistema puede visualizar paneles
de inicio de sesión. DSPSGN(*NO) es el valor por omisión.
c. “Control de los servidores TCP/IP que se inician automáticamente”
__ Paso 2. Para evitar que WSG se arranque y evitar que alguien asocie una
que el sistema utiliza normalmente para HTTP, haga lo siguiente:
TCP/IP.
TCP/IP).
Notas:
demás usuarios.
Consejos para controlar el acceso de WSG

Como administrador de seguridad, debe conocer los objetivos del servidor WSG en
el sistema y los entornos de cliente que utilizarán el servidor WSG. Por ejemplo,
algunos usuarios del servidor WSG podrán ser empleados que estén de viaje y que
utilicen una red interna para acceder al sistema desde dentro de un cortafuegos.
Otros usuarios pueden ser visitantes anónimos del sitio WEB en que quieran pedir
información adicional de algo que hayan visto.
Los usuarios pueden acceder al servidor WSG de las maneras siguientes:

v A partir de una petición directa de un navegador de cliente.

v A partir de una petición indirecta, cuando el servidor HTTP deja el control al
servidor WSG.
v A partir de una petición de conexión HTTP. Por ejemplo, un visitante de un sitio
WEB puede seleccionar un área del sitio WEB que diga Envíenme información
adicional. El servidor HTTP puede enviar una petición al servidor WSG para
visualizar una pantalla en la que se pregunte el nombre y la dirección del
visitante.
A continuación se proporcionan una serie de consideraciones de seguridad para

permitir el funcionamiento del servidor WSG en el sistema:
v Para configurar el servidor WSG, utilice el mandato Cambiar atributos de
pasarela de estación de trabajo (CHGWSGA). Este mandato necesita *IOSYSCFG
autorización especial. Una configuración controla todas las sesiones WSG en el
sistema. Puede especificar los valores significativos para la seguridad siguientes:
– Tiempo de espera de inactividad. El servidor WSG no utiliza el valor del sistema
QINACTITV. El servidor WSG tiene su propio valor para determinar el
tiempo que esperará el sistema antes de finalizar una sesión inactiva. Este
valor es particularmente importante en un entorno en el que puede tener
usuarios WSG que tengan algo más que una autorización mínima en el
sistema.
– Panel de inicio de sesión. Cuando una petición de WSG viene de un navegador
de World Wide Web, este valor controla si el sistema envía la pantalla de
inicio de sesión definida por el sistema. Puede utilizar un programa de salida
de inicio de sesión WSG para ignorar el proceso de sesión y llevar a cabo la
validación de usuario.
A menudo, una petición del servidor WSG realiza una función específica y
limitada, tal como presentar un formulario para completarlo. La pantalla
Inicio de sesión no es necesaria en este entorno. En realidad la pantalla Inicio
de sesión proporciona una oportunidad para los “piratas informáticos” que
no existe cuando el programa de salida ignora el inicio de sesión y utiliza un
perfil de usuario con una autorización muy limitada. En su lugar, ignore la
pantalla de Inicio de sesión y ejecute WSG bajo un perfil de usuario que
tenga autorización limitada en su sistema.
– Registro cronológico de acceso. Puede resultar útil que el sistema lleve un
registro de los accesos al servidor WSG, particularmente cuando proporcione
una aplicación nueva.
v Algunas peticiones del servidor WSG incluyen un ID de usuario y una
contraseña. Se da la misma problemática que con los scripts de conexión SLIP.
La seguridad depende de las prácticas y posibilidades de los comunicantes. Si el
ID de usuario y la contraseña se almacenan en un documento en el cliente, serán
accesibles a intrusos potenciales en el sistema. Además, cuando la sesión WSG es
una sesión no segura (Internet), la contraseña y el ID de usuario están sujetos a
husmeo.
v Puede utilizar el valor del sistema QLMTSECOFR como un método para limitar
la posibilidad de los usuarios WSG. Cuando el valor de QLMTSECOFR es 1,
puede evitar que cualquier usuario con autorización especial *ALLOBJ inicie la
sesión en las estaciones de trabajo virtuales WSG, a menos que el usuario o
QSECOFR tengan autorización explícita.
v Recuerde que iSeries no proporciona un servidor WSG seguro.Por consiguiente,
aunque el Internet Connection Secure Server pase una petición al servidor WSG,
la transmisión de WSG no es segura (cifrada).
Consejos de seguridad para el Daemon de impresora de líneas
El LPD (daemon de impresora de líneas) proporciona la posibilidad de distribuir la
salida de impresora para el sistema. El sistema no realiza ningún proceso de inicio
de sesión para LPD.
Consejos para evitar el acceso de LPD

Si no quiere que nadie utilice LPD para acceder al sistema, debe evitar que
funcione el servidor LPD. Haga lo siguiente:
__ Paso 1. Para evitar que los trabajos del servidor LPD se arranquen
CHGLPDA AUTOSTART(*NO)
Notas:
para LPD, haga lo siguiente:
TCP/IP.
TCP/IP).
Notas:
demás usuarios.
Consejos para controlar el acceso de LPD

Si quiere permitir a los clientes de LPD que accedan al sistema tenga en cuenta los
v Para evitar que un usuario llene el sistema con objetos no deseados, asegúrese
de establecer límites de umbral adecuados para las agrupaciones de

almacenamiento auxiliar (ASP). Puede visualizar y establecer los umbrales para
las ASP utilizando las herramientas de servicio del sistema (SST) o las
herramientas de servicio dedicado (DST). La publicación Copia de seguridad y
recuperación proporciona más información acerca de los umbrales de ASP.
v Puede utilizar la autorización sobre las colas de salida para restringir quién
puede enviar archivos en spool al sistema. Los usuarios de LPD sin un ID de
usuario de iSeries utilizan el perfil de usuario QTMPLPD. Puede dar acceso a
este perfil de usuario únicamente a unas pocas colas de salida.
Consejos de seguridad para el Protocolo simple de gestión de red

El iSeries 400 puede actuar como un agente del Protocolo simple de gestión de red
(SNMP) en una red. El SNMP proporciona un medio para gestionar las pasarelas,
direccionadores y sistemas principales de un entorno de red. Un agente SNMP
recoge información acerca del sistema y realiza las funciones que solicitan los
gestores remotos de la red SNMP.
Consejos para evitar el acceso SNMP

Si no quiere que nadie utilice SNMP para acceder al sistema, debe evitar el
funcionamiento del servidor SNMP. Haga lo siguiente:
__ Paso 1. Para evitar que los trabajos servidores SNMP se arranquen
CHGSNMPA AUTOSTART(*NO)
Notas:
para SNMP, haga lo siguiente:
TCP/IP.
TCP/IP).
Notas:
demás usuarios.
Consejos para controlar el acceso de SNMP

Si quiere permitir que los gestores de SNMP accedan al sistema tenga en cuenta los
v Alguien que pueda acceder a la red con SNMP puede reunir información acerca
de la red. La información que ha ocultado utilizando seudónimos y un servidor
de nombres de dominio está disponible para el supuesto intruso a través de
SNMP. Además, un intruso puede utilizar SNMP para modificar la configuración
de la red y destruir las comunicaciones.
v SNMP confía en un nombre de comunidad para el acceso. En teoría, el nombre
de comunidad es similar a una contraseña. El nombre de comunidad no está
cifrado. Por consiguiente, es vulnerable al husmeo. Utilice el mandato Añadir
comunidad para SNMP (ADDCOMSNMP) para establecer el parámetro de
dirección Internet del gestor (INTNETADR) como una o varias direcciones IP
específicas en lugar de *ANY. También puede establecer el parámetro OBJACC
de los mandatos ADDCOMSNMP o CHGCOMSNMP en *NONE, para evitar
que los gestores de una comunidad accedan a objetos MIB. Esto está pensado
para hacerse sólo temporalmente, para denegar el acceso a los gestores de una
comunidad sin eliminar la comunidad.
Consejos de seguridad para el servidor INETD

Al contrario que la mayoría de los servidores TCP/IP, el servidor INETD no
proporciona un único servicio a los clientes, sino que proporciona servicios varios
que los administradores pueden personalizar. Por ese motivo, al servidor INETD se
le conoce a veces como ″el superservidor″. El servidor INETD tiene incorporados
los siguientes servicios:
v time
v daytime
v echo
v discard
v changed
Estos servicios están soportados para TCP y para UDP. Para UDP, los servicios
echo, time, daytime y changed reciben paquetes UDP y, a continuación devuelven
los paquetes al originador. El servidor echo server devuelve los paquetes que
recibe, los servidores time y daytime generan la hora en un formato específico y lo
devuelven y el servidor changed genera un paquete de caracteres ASCII
imprimibles y lo devuelven.
La naturaleza de estos servicios UDP hace al sistema vulnerable a ataques de

denegación de servicio. Por ejemplo, supongamos que tiene dos sistemas iSeries
400: SYSTEMA y SYSTEMB. Un programador malintencionado podría falsificar la
cabecera IP y la cabecera UDP con una dirección de origen de SYSTEMA y un
número de puerto UDP del servidor time. Entonces podría enviar ese paquete al
servidor time en el SYSTEMB, que enviará la hora al SYSTEMA, que volverá a
responder al SYSTEMB, y así sucesivamente, generando un bucle continuo y
consumiendo recursos de CPU en ambos sistemas, así como el ancho de banda de
la red.

Por consiguiente, deberá tener en cuenta el riesgo de un ataque de este tipo en su
sistema iSeries y ejecutar estos servicios solamente en una red segura. El servidor
INETD se envía definido para que no se inicie automáticamente al iniciar TCP/IP.
Puede configurar si se iniciarán los servicios o no al iniciarse INETD. Por omisión,
los servidores time y daytime de TCP y UDP se inician al iniciar el servidor
INETD.
Existen dos archivos de configuración para el servidor INETD:

/QIBM/UserData/OS400/inetd/inetd.conf
/QIBM/ProdData/OS400/inetd/inetd.conf
Estos archivos determinan qué programas deben iniciarse cuando se inicia el

servidor INETD. También determinan bajo qué perfil de usuario se ejecutan estos
programas cuando INETD los inicias.
Nota: El archivo de configuración en proddata no debe modificarse nunca. Se

sustituye cada vez que vuelve a cargarse el sistema. Los cambios en la
configuración de clientes sólo deberán colocarse en el archivo del árbol de
de directorios userdata, ya que dicho archivo no se actualiza durante las
actualizaciones de release.
Si un programador malintencionado accediera a estos archivos, podría

configurarlos para iniciar cualquier programa al iniciarse INETD. Por consiguiente,
es de suma importancia proteger estos archivos. Para realizar cambios en ellos,
requieren por omisión la autorización especial QSECOFR. No debe reducir la
autorización necesaria para acceder a ellos.
Nota: No modifique el archivo de configuración del directorio ProdData. Ese

archivo se sustituye cada vez que se vuelve a cargar el sistema. Los cambios
en la configuración de clientes sólo deberán colocarse en el archivo del árbol
de directorios UserData, ya que dicho archivo no se actualiza durante las
actualizaciones de release.
Consejos para limitar la posibilidad de vagar por la red con TCP/IP

Si el sistema está conectado a una red, querrá limitar las posibilidades del usuario
para vagar por la red con las aplicaciones TCP/IP. Una forma de hacerlo es
restringir el acceso a los siguientes mandatos TCP/IP de cliente:
Nota: Estos mandatos pueden existir en numerosas bibliotecas del sistema. Se

encuentran tanto en la biblioteca QSYS como en la biblioteca QTCP, como
mínimo. Asegúrese de localizar y asegurar todas las ocurrencias.
v STRTCPFTP
v FTP
v STRTCPTELN
v TELNET
v LPR
v SNDTCPSPLF
v RUNRMTCMD (cliente REXEC)
Los posibles destinos del usuario están determinados por lo siguiente:

v Entradas en la tabla del sistema principal TCP/IP.
v La entrada *DFTROUTE en la tabla de ruta TCP/IP. Esto permite a los usuarios
entrar la dirección IP del sistema del salto siguiente cuando su destino es una
red desconocida. Un usuario puede alcanzar o poner en contacto una red remota
utilizando la ruta por omisión.
v Configuración del servidor de nombre remoto. Este soporte permite a otro
servidor de la red ubicar nombres de sistemas principales para los usuarios.
v Tabla del sistema remoto.
Necesita controlar quién puede añadir entradas a estas tablas y cambiar la

configuración. También necesita entender las implicaciones de sus entradas de
tabla y de su configuración.
Tenga en cuenta que un usuario experimentado con acceso a un compilador ILE C

puede crear un programa socket que se conecte a un puerto TCP o UDP. Puede
dificultar esta operación restringiendo el acceso a los archivos de interfaz de socket
de la biblioteca QSYSINC:
v SYS
v NETINET
v H
v ARPA
v sockets y SSL
En los programas de servicio, se puede restringir el uso de sockets y aplicaciones

SSL (que ya estén compiladas), restringiendo el uso de los siguientes programas de
servicio:
v QSOSRV1
v QSOSRV2
v QSOSKIT(SSL)
v QSOSSLSR(SSL)
Los programas de servicio se entregan con autorización de uso público *USE,
aunque la autorización se puede cambiar por *EXCLUDE (u otro valor).
Consejos para la seguridad del programa bajo licencia Soporte de

servidor de archivos TCP/IP para OS/400
Atención para los usuarios de la V3R7 y V4R1
El sistema de archivos de red (NFS) del sistema de archivos integrado
sustituye la función del programa bajo licencia Soporte de servidor de
archivos TCP/IP para OS/400. Vea “Consejos de seguridad para el sistema de
archivos de red” en la página 144 para obtener más información.
Cuando se tiene el programa bajo licencia Soporte de servidor de archivos TCP/IP

para OS/400, el sistema iSeries puede actuar como un servidor de archivos para
otros sistemas de una red TCP/IP.Un sistema cliente puede “montar” un directorio
de iSeries como si fuera un directorio local.La biblioteca QSYS que incluye todas
las bibliotecas del sistema iSeries puede tener el aspecto de un directorio y
subdirectorios en el sistema cliente.
En gran parte, el producto Soporte de servidor de archivos descansa sobre las

posibilidades del sistema cliente para controlar el acceso a los recursos del
iSeries.Si es un administrador de seguridad del iSeries con el producto instalado en
el sistema, debe revisar la documentación del producto para comprender las
funciones que proporciona y las implicaciones de seguridad.Con la configuración

enviada para el Soporte de servidor de archivos, los recursos del sistema son
vulnerables a la utilización no intencionada por parte de usuarios del Soporte de
servidor de archivos.
A continuación se proporcionan algunas sugerencias para proteger el sistema

iSeries cuando Soporte de servidor de archivos TCP/IP para OS/400 está instalado:
v Elimine todas las entradas de perfil de usuario de nivel de raíz de la tabla de
exportación y de la tabla de usuarios autorizados. No permita que el perfil que
figura en el sistema cuando éste es entregado Q7FSOWN, tenga autorización
raíz. En otros sistemas que pueden ser sistemas cliente para el Soporte de
servidor de archivos, es posible definir un usuario que pretenda tener
autorización raíz. Necesita proteger el sistema de esto.
v Para los archivos de base de datos de configuración para Soporte de servidor de
archivos, establezca el valor de las posibilidades de base de datos en *NO para
todos los atributos excepto *READ. Esto protege el contenido de los archivos de
base de datos de Soporte de servidor de archivos de cambios no autorizados al
margen de los mandatos y de las interfaces de menú que forman parte del
producto.
v Configure el sistema para que rechace peticiones que no tengan una
identificación de usuario (ID de usuario) explícitamente especificada. No permita
que tales peticiones utilicen un usuario por omisión.
v Revise las entradas de la tabla de exportación para asegurarse de que cumplen
con los requisitos de seguridad. Considere la eliminación de todas las entradas
por omisión proporcionadas con el producto y la preparación de solamente
aquellas entradas que sepa que no serán causa de un riesgo para la seguridad.
v Para los mandatos CL que arrancan y detienen la función Soporte de servidor de
archivos, establezca la autorización de uso público en *EXCLUDE. Esto permite
controlar cuando el entorno Soporte de servidor de archivos está activo y quién
puede activarlo. Otorgue autorización sólo a los administradores de confianza
del sistema.
v Al añadir entradas a la tabla de exportación, en la mayoría de los casos debería
establecer el permiso de grabación y el acceso a raíz en *NO. Utilice con cuidado
otros valores. Puede cambiar los valores por omisión del mandato por *NO para
ayudarle a evitar equivocaciones.
v Existen riesgos de seguridad potenciales graves en el caso de que el sistema
iSeries sea un servidor para un cliente que no proteja el uid raíz con una
contraseña no trivial.
| Utilización de VPN para asegurar las aplicaciones TCP/IP

A partir de la V4R4, puede utilizar las redes privadas virtuales (VPN) para
proteger de forma selectiva alguna o todas sus aplicaciones TCP/IP. Vea el
apartado Iniciación a las Redes privadas virtuales (VPN) iSeries 400 en el Information
Center para obtener más información sobre las VPN y su funcionamiento.
Capítulo 15. Consejos para la seguridad del PC
Muchos usuarios del sistema tienen un PC en la mesa como estación de trabajo.
Utilizan herramientas que funcionan en el PC y utilizan el PC para conectarse al
iSeries.
La mayoría de los métodos de conexión de un PC al iSeries proporcionan más

funcionalidad que la emulación de estación de trabajo.El PC puede parecer una
pantalla de iSeries y proporcionar al usuario sesiones de inicio de sesión
interactivas.Además, el PC puede parecer otro sistema para el iSeries y
proporcionar funciones tales como transferencia de archivos y llamada de
procedimiento remoto.
Como administrador de seguridad del iSeries, necesita tener en cuenta lo siguiente:

v las funciones disponibles para los usuarios de PC que están conectados al
sistema,
v los recursos del iSeries a los que pueden acceder los usuarios de PC.
Querrá evitar funciones avanzadas de PC (tales como transferencia de archivos y

llamada de procedimiento remoto), si el esquema de seguridad del iSeries no está
preparado todavía para tales funciones.Probablemente el objetivo a largo plazo sea
permitir las funciones avanzadas de PC mientras se protege la información del
sistema. En los temas siguientes se tratan ciertos elementos de seguridad asociados
al acceso de PC.
Consejos para evitar los virus en el PC

En este apartado se sugieren métodos para que los administradores de seguridad
puedan proteger los PC ante los virus.
Consejos para la seguridad del acceso a datos desde PC

| Parte del software de cliente PC utiliza carpetas compartidas para almacenar
| información en el iSeries. Para acceder a los archivos de la base de datos del
| iSeries, el usuario de PC tiene un conjunto limitado, bien definido de interfaces.
| Con la posibilidad de transferencia de archivos que forma parte de la mayoría del
| software cliente/servidor, el usuario de PC puede copiar archivos entre el sistema
| iSeries y el PC.Con la posibilidad de acceso a base de datos, tal como un archivo
| DDM, SQL remoto, o un controlador ODBC, el usuario de PC puede acceder a los
| datos del sistema iSeries.
En este entorno puede crear programas para interceptar y evaluar peticiones de

usuario de PC para acceder a los recursos del iSeries. Cuando las peticiones
utilizan un archivo DDM, especifique el programa de salida en el atributo de red
Acceso a la gestión de datos distribuidos (DDMACC). Para algunos métodos de
transferencia de archivos de PC se especifica el programa de salida en el atributo
de red Acceso de petición de cliente (PCSACC). O bien puede especificar
PCSACC(*REGFAC) para utilizar la función de registro. Cuando las peticiones
utilizan otras funciones del servidor para acceder a los datos, puede utilizar el
mandato WRKREGINF para registrar los programas de salida para tales funciones
del servidor.

Los programas de salida, sin embargo, pueden ser difíciles de diseñar y en raras
ocasiones son infalibles. Los programas de salida no son una sustitución de la
autorización de objetos, que está diseñada para proteger los objetos del acceso no
autorizado de cualquier fuente.
Parte del software de cliente, por ejemplo, el cliente Client Access AS/400 para
Windows 95/NT, utiliza el sistema de archivos integrado para almacenar y acceder
a los datos del iSeries. Con el sistema de archivos integrado, todo el iSeries resulta
más fácilmente disponible para los usuarios de PC.La autorización sobre objetos se
vuelve incluso más importante. A través del sistema de archivos integrado, un
usuario con la autorización suficiente puede ver una biblioteca de iSeries como si
fuera un directorio de PC.Mediante mandatos simples de movimiento y de copia
se pueden mover datos instantáneamente de una biblioteca del iSeries a un
directorio de PC o viceversa.El sistema hace automáticamente los cambios
adecuados en el formato de los datos.
Notas:
1. Puede utilizar una lista de autorizaciones para controlar la utilización de
objetos en el sistema de archivos QSYS.LIB. Consulte el apartado “Restricción
del acceso al sistema de archivos QSYS.LIB” en la página 140 para obtener más
información.
2. En el “Capítulo 12. Utilización del Sistema de Archivos Integrado (IFS) para
proteger los archivos” en la página 133 se proporciona más información acerca
de los temas de seguridad con el sistema de archivos integrado.
La fortaleza del sistema de archivos integrado es su simplicidad para usuarios y

programadores. Con una sola interfaz, el usuario puede trabajar con objetos en
varios entornos. El usuario de PC no necesita software o API especiales para
acceder a los objetos. En lugar de eso, el usuario de PC puede utilizar mandatos de
PC conocidos o “seleccionar y pulsar” para trabajar directamente con los objetos.
Para todos los sistemas que tengan PC conectados, pero especialmente para los
sistemas con software de cliente que utilice el sistema de archivos integrado,
resulta decisivo un buen esquema de autorización sobre objetos. Debido a que la
seguridad está integrada en el OS/400, cualquier petición para acceder a los datos
debe pasar a través del proceso de comprobación de autorización. La
comprobación de autorización se aplica a las peticiones de cualquier fuente y para
el acceso a datos que utilicen cualquier método.
Autorización sobre objetos con acceso desde PC

Al configurar la autorización sobre objetos, es necesario evaluar lo que la
autorización proporciona al usuario de PC. Por ejemplo, cuando un usuario tiene
autorización *USE sobre un archivo, el usuario puede ver o imprimir datos en el
archivo. El usuario no puede cambiar la información del archivo ni suprimirlo.
Para el usuario de PC, ver es equivalente a “leer”, lo cual proporciona al usuario
autorización suficiente para hacer una copia de un archivo en el PC. Este no será
probablemente el objetivo pretendido.
En el caso de algunos archivos de gran importancia, necesitará establecer la

autorización de uso público en *EXCLUDE para evitar que los copien en el PC.
Puede proporcionar entonces otro método para “ver” el archivo en el iSeries, tal
como utilizar un menú y programas que adopten la autorización.
Otra opción para evitar la copia de archivos es utilizar un programa de salida que
se ejecute siempre que un usuario de PC arranque una función del iSeries (que no
sea el inicio de sesión interactivo).Puede especificar un programa de salida en el
atributo de red PCSACC utilizando el mandato Cambiar atributo de red
(CHGNETA). O puede registrar programas de salida utilizando el mandato
Trabajar con información de registro (WRKREGINF). El método que utilice
dependerá del modo en que los PC accedan a los datos del sistema y del programa
cliente que utilicen los PC. El programa de salida (QIBM_QPWFS_FILE_SERV) es
aplicable al acceso al IFS desde Client Access y Net Server. No evita el acceso
desde un PC con otros mecanismos, como FTP u ODBC.
Normalmente, el software del PC proporciona la posibilidad de subir, de forma

que un usuario pueda copiar datos de un PC a un archivo de base de datos del
iSeries.Si no ha configurado correctamente el esquema de autorizaciones, un
usuario de PC puede recubrir todos los datos de un archivo con datos desde un
PC. Debe asignar la autorización *CHANGE cuidadosamente. Revise el Apéndice
D de la publicación iSeries Security Reference para comprender la autorización
necesaria para operaciones de archivo.
| El iSeries Information Center proporciona más información sobre la autorización

| para las funciones de PC y sobre la utilización de programas de salida. Vea
| “Requisitos e información relacionada” en la página xii para obtener más detalles.
Administración de aplicaciones de Client Access

La Administración de aplicaciones es un componente del Operations Navigator
instalable opcionalmente, la interfaz gráfica de usuario (GUI) para iSeries 400. La
Administración de aplicaciones permite a los administradores del sistema controlar
las funciones o las aplicaciones disponibles para otros usuarios y grupos en un
iSeries específico. Esto incluye el control de las funciones disponibles para los
usuarios que a sus iSeries a través de clientes. Es importante destacar aquí que, si
accede al iSeries desde un cliente Windows, será el usuario del iSeries y no el
usuario de Windows el que determine qué funciones están disponibles para la
administración.
Para obtener una documentación completa sobte la Administración de aplicaciones

del Operations Navigator, seleccione Operations Navigator en la barra de
navegación principal del Information Center, a la izquierda.
Administración de políticas de Client Access

Administración de políticas
Las políticas son una herramienta para que la utilicen los administradores al
configurar software en sus PC cliente. Las políticas pueden restringir las funciones
y aplicaciones a las que puede acceder un usuario en el PC. Las políticas también
pueden sugerir o imponer configuraciones para que las utilicen determinados
usuarios o determinados PC.
Nota: Las políticas no ofrecen control sobre los recursos de iSeries 400. Las
políticas no son un sustituto de la seguridad de iSeries. Las políticas pueden
utilizarse para afectar a la forma en que Client Access Express accede al
iSeries desde un PC concreto, por parte de un usuario concreto. No obstante,
no cambian la manera en que se accede a los recursos del iSeries 400 a
través de otros mecanismos.
Las políticas se almacenan en un servidor de archivos. Cada vez que el usuario

inicia la sesión en la estación de trabajo Windows, las políticas aplicables a ese
Capítulo 15. Consejos para la seguridad del PC 223

usuario de Windows se bajan desde el servidor de archivos. Las polícitcas se
aplican al registro antes de que el usuario lleve a cabo acción alguna en la estación
de trabajo.
Las políticas de Microsoft frente a la Administración de aplicaciones
Client Access Express soporta dos estrategias distintas para implementar el control
de administración dentro de su red: Las políticas del sistema Microsoft y la
Administración de aplicaciones del Operations Navigator. Tenga en cuenta lo
siguiente al decidir qué estrategia se ajusta mejor a sus necesidades.
Políticas del sistema Microsoft
Las políticas son reguladas por el PC, no dependen de los releases específicos del
OS/400. Las políticas pueden ser aplicables a los PC, así como a los usuarios de
Windows. Esto significa que los usuarios se refieren al perfil de usuario de
Windows, no al perfil de usuario del iSeries. Las políticas pueden utilizarse para
″configurar″, así como para restringir. Por lo general, las políticas pueden ofrecer
más granularidad que la Administración de aplicaciones y pueden ofrecen un
mayor rango de funciones. Esto se debe a que no es necesaria la conexión con el
sistema iSeries para determinar si el usuario puede utilizar o no la función. La
implementación de políticas es más complicada que la implementación de la
Administración de aplicaciones debido a que es necesario el uso del editor de
políticas del sistema Microsoft y los PC deben configurarse individualmente para
bajar las políticas.
Administración de aplicaciones de Operations Navigator
La Administración de aplicaciones asocia datos con el perfil de usuario del iSeries,

en lugar del perfil de Windows con el que se asocian las políticas del sistema
Microsoft. Aunque es necesario un iSeries 400 de la V4R3 o posterior para poder
utilizar la Administración de aplicaciones, algunas funciones solamente están
disponibles en la V4R4 o posteriores. Algunas funciones específicas de Client
Access pueden restringirse utilizando la Administración de aplicaciones en la
V4R4, por ejemplo Transferencia de datos, ODBC y OLE DB. Utilizando políticas
tendrá más granularidad disponible, pero la Administración de aplicaciones es de
uso más fácil ya que no implica una puesta a punto complicada. La
Administración de aplicaciones utiliza la interfaz gráfica de usuario del Operations
Navigator para administrar, lo que resulta más fácil que utilizar el editor de
políticas. La información de la Administración de aplicaciones se aplica al usuario,
independientemente del PC desde el que se conecte. Pueden restringirse funciones
concretas dentro del Operations Navigator. La Administración de aplicaciones es
preferible si todas las funciones que desea restringir están habilitadas para la
Administración de aplicaciones y si la versión de OS/400 que se utiliza soporta la
Administración de aplicaciones.
Utilización de SSL con Client Access Express

| Para obtener información sobre el uso de Client Access Express con SSL, revise los
| temas del iSeries Information Center Secure Sockets Layer Administration, Securing
| Client Access Express and Operations Navigator, iSeries 400 Developer Kit for Java y
| iSeries 400 Java Toolbox bajo el tema principal Java. También puede revisar esta
| información en el CD suministrado con el sistema.
Seguridad y Operations Navigator
El Operations Navigator proporciona una interfaz al iSeries de fácil uso para los
usuarios que tienen Client Access. Con cada release nuevo de OS/400, es posible
acceder a más funciones del iSeries a través de Operations Navigator.
Una interfaz de fácil manejo proporciona muchas ventajas, lo que incluye un coste
bajo de soporte técnico y una imagen mejorada para el sistema. También supone
retos en la seguridad. Como administrador de seguridad ya no puede confiar en la
ignorancia de los usuarios para proteger los recursos. Operations Navigator
convierte muchas funciones en funciones sencillas y visibles para los usuarios.
Debe asegurarse de diseñar e implementar políticas de seguridad para los perfiles
de usuario y la seguridad de objetos para cumplir las necesidades de seguridad.
La Versión 4 Release 4 Modificación 0 de iSeries Client Access Express para

Windows proporciona los siguientes métodos para controlar las funciones que los
usuarios pueden llevar a cabo mediante el Operations Navigator:
v Instalación selectiva
v Administración de aplicaciones
v Soporte de Política del sistema Windows NT
El Operations Navigator viene empaquetado como múltiples componentes en la
V4R4, que puede instalar por separado. Ello le permitirá instalar sólo las funciones
que necesite. La administración de aplicaciones permite a los administradores
controlar las funciones a las que un usuario o un grupo pueden acceder mediante
el Operations Navigator. La administración de aplicaciones organiza las
aplicaciones en las siguientes categorías:
iSeries 400 Operations Navigator
Incluye el Operations Navigator y conectores adicionales.
Aplicaciones de cliente
Incluye todas las demás aplicaciones de cliente, incluido Client Access
Express, que proporcionan funciones en los clientes administrados
mediante la Administración de aplicaciones.
Aplicaciones de sistema principal
Incluye todas las aplicaciones que residen por completo en el iSeries y que
proporcionan funciones administradas mediante la Administración de
aplicaciones.
Puede utilizar la instalación selectiva, administración de aplicaciones y políticas

para limitar las funciones de Operations Navigator a las que podrá acceder un
usuario. Ninguna de ellas, no obstante, debe utilizarse para la seguridad por
recursos.
A partir de la V4R4, iSeries Client Access Express para Windows también soporta
el uso del Editor de políticas del sistema de Windows NT para controlar qué
funciones pueden llevarse a cabo desde un cliente PC concreto, sin tener en cuenta
quén esté utilizando ese PC.
Consulte el iSeries Information Center para obtener información adicional sobre la

instalación selectiva, la Administración de aplicaciones y la Administración de
políticas. El apartado “Acceso limitado a las funciones del programa” en la
página 16 de este manual también trata la administración de aplicaciones.

Consejos para el acceso de ODBC (conectividad de base de datos
abierta)
Conectividad de base de datos abierta (ODBC) es una herramienta que pueden
utilizar las aplicaciones de PC para acceder a los datos del iSeries como si fueran
datos de PC.El programador de ODBC puede hacer que la ubicación física de los
datos sea transparente al usuario de la aplicación del PC. A continuación se
detallan varias consideraciones acerca de la seguridad cuando las aplicaciones de
ODBC tienen acceso al iSeries:
v Cuando los PC conectados tienen aplicaciones de ODBC que acceden a los datos
del iSeries, es esencial disponer de un buen esquema de autorizaciones.Sin
embargo, puede que la autorización sobre objetos no proporcione protección
suficientemente detallada para los datos. Por ejemplo, querrá evitar que los
usuarios cambien datos en el archivo FILEB excepto cuando utilicen un
programa específico (PGMX).
Para las aplicaciones que se ejecutan directamente en el iSeries, como un
programa RPG o COBOL, puede utilizar autorización adoptada para controlar
cómo los usuarios actualizan los archivos de base de datos. Por ejemplo,
suponga que los usuarios públicos tienen autorización *USE sobre FILEA, pero
ciertos usuarios están autorizados al programa PGMX. PGMX adopta su
autorización de propietario, que permite que los usuarios cambien el archivo al
ejecutar el programa PGMX.
Cuando se tienen aplicaciones ODBC sobre PC conectados, se pueden utilizar
procedimientos almacenados para proporcionar un nivel parecido de control
sobre quién puede actualizar datos. Un procedimiento almacenado puede ser un
objeto de programa iSeries que adopte una autorización.La aplicación de ODBC
puede enviar peticiones para actualizar datos al procedimiento almacenado en
lugar de acceder directamente al archivo. Por lo tanto, los usuarios de PC no
necesitan tener autorización para cambiar los archivos. Puede dar a usuarios
específicos de PC autorización para utilizar el programa (procedimiento
almacenado) que actualiza el archivo.
Cuando se utilizan procedimientos almacenados en lugar de acceder
directamente a los datos con las aplicaciones de ODBC, también debe mantener
en privado la estructura de la base de datos del iSeries y la arquitectura de las
aplicaciones.Cuando es necesario que los programadores de ODBC utilicen
procedimientos almacenados, los programadores no pueden utilizar un
programa espía de ODBC para supervisar el acceso a la base de datos. Esto hace
más difícil para un programador de ODBC realizar ingeniería inversa con el
diseño de la base de datos, o bien con el diseño de la aplicación.
v Cuando un usuario solicita el acceso a una base de datos utilizando ODBC,
puede configurar los programas de salida para que supervisen (y aprueben o
rechacen) la petición. Los puntos de salida siguientes están disponibles para las
peticiones de ODBC:
– QIBM_QZDA_NDB1, QIBM_QZDA_SQL1 y QIBM_QZDA_SQL2 controlan el
acceso de sólo lectura a los archivos de base de datos.
– Durante la inicialización del servidor (cuando se hace la conexión de ODBC),
el sistema llama al programa QIBM_QZDA_INIT. Puede utilizar este punto de
salida para validar una sesión y configurar el entorno para esa sesión. Por
ejemplo, puede arrancar un gobernador de consultas durante la inicialización
para limitar las consultas de larga ejecución.
– Cuando un usuario solicita una operación que afecta a todo un archivo (tal
como suprimir o borrar un archivo), el sistema llama al programa
QIBM_QZDA_NDB1. Puede utilizar el programa de salida para aceptar o
rechazar estas peticiones.
– Cuando una aplicación ODBC envía una petición de Lenguaje de consulta
estructurada (SQL), el sistema llama a los programas QIBM_QZDA_SQL1 y
QIBM_QZDA_SQL2. El programa de salida puede evaluar la petición y
determinar si permite la petición específica. Por ejemplo, la petición puede
consistir en ver un conjunto de registros o en añadir o suprimir registros de
un archivo de la base de datos.
– Cuando el sistema recibe una petición de información acerca de la estructura
de base de datos (una petición de catálogo), el sistema llama al programa
QIBM_QZDA_ROI1 program.—Tenga en cuenta que el servidor de bases de
datos IBM utiliza estos puntos de salida. Los controladores de ODBC del
iSeries de otros proveedores no utilizaran probablemente los mismos puntos
de salida. Pueden proporciona su propio servidor o bien pueden utilizar
DRDA (Acceso a base de datos relacional distribuida) para acceder al iSeries
400. Las peticiones de DRDA llegan a través de DDM (Gestion de base de
datos distribuida). A partir de la V4R3, si el punto de salida de DDM tiene un
programa definido, se llamará a dicho programa en una conexión DRDA. Los
siguientes PTF habilitan esta función en la V4R1 y la V4R2:
VRM410 SF46018 VRM420 SF46017
Se puede definir un programa de salida para DDM mediante el mandato

CHGNETA (Cambiar atributos de red), y especificando un nombre de
programa en el parámetro DDMACC.
| v El iSeries Information Center contiene temas que le ayudarán a usted y los
| programadores de ODBC a comprender los aspectos de seguridad de las
| aplicaciones de ODBC. Vea “Requisitos e información relacionada” en la
| página xii para obtener más detalles.
v Existen dos APAR informativos disponibles que tratan acerca de la seguridad de
ODBC: II09333 y II09334. La información de ambos APAR está escrita desde la
perspectiva del programador de ODBC que no está familiarizado con las
posibilidades del iSeries.Como administrador de seguridad puede proporcionar
estos APAR informativos a los programadores de ODBC para ayudarles a
entender los elementos de seguridad y las soluciones posibles. La información
de estas APAR debe ser de utilidad para salvar el hueco terminológico existente
entre el entorno del iSeries y el entorno de ODBC y PC.
Consideraciones de seguridad sobre las contraseñas de sesión de PC

Normalmente, cuando un usuario de PC arranca el software de conexión, como el
Client Access, el usuario teclea una vez el ID de usuario y la contraseña del
servidor. La contraseña se cifra y se almacena en la memoria del PC. Siempre que
el usuario establezca una nueva sesión con el mismo servidor, el PC envía
automáticamente el ID de usuario y la contraseña.
Parte del software de cliente/servidor proporciona también la opción de ignorar la

pantalla de inicio de sesión para sesiones interactivas. El software enviará el ID de
usuario y la contraseña cifrada cuando el usuario arranque una sesión interactiva
(emulación 5250). Para soportar esta opción, el valor del sistema QRMTSIGN del
servidor del iSeries debe establecerse en *VERIFY.
Cuando se elige permitir que se ignore la pantalla Inicio de sesión, debe tener en
cuenta las contrapartidas en la seguridad.

Riesgo de seguridad cuando se solicita la pantalla de inicio de sesión: Para la
emulación 5250 o cualquier otro tipo de sesión interactiva, la pantalla Inicio de
sesión es la misma que cualquier otra pantalla. A pesar de que cuando se teclea la
contraseña no se visualiza en la pantalla, la contraseña se envía a través del enlace
sin cifrar igual que cualquier otro campo de datos. Para algunos tipos de enlace,
esto puede proporcionar a un futuro intruso la oportunidad de supervisar el enlace
y detectar un ID de usuario y una contraseña. La supervisión de un enlace
utilizando equipo electrónico se denomina a menudo rastreo. A partir de la V4R4,
puede utilizar la capa de sockets segura (SSL) para cifrar las comunicaciones entre
Client Access Express y el servidor iSeries 400. Así se protegen los datos, incluidas
las contraseñas, contra el husmeo.
Riesgo de seguridad al ignorar la pantalla de inicio de sesión: Cuando se elige la

opción de ignorar la pantalla Inicio de sesión, el PC cifra la contraseña antes de
enviarla. El cifrado evita la posibilidad de que se robe una contraseña mediante la
técnica del rastreo. Sin embargo, debe asegurarse de que los usuarios de PC
practiquen la seguridad operativa. Un PC no atendido con una sesión activa en el
sistema iSeries proporciona la oportunidad de arrancar otra sesión sin conocer un
ID de usuario y una contraseña.Los PC deben estar preparados para bloquearse
cuando el sistema permanece inactivo durante un período prolongado, y deben
requerir una contraseña para reanudar la sesión.
Aunque no se elija ignorar la pantalla Inicio de sesión, un PC no atendido con una

sesión activa representa un riesgo para la seguridad. Utilizando el software de PC,
alguien puede arrancar una sesión del servidor y acceder a los datos, de nuevo sin
conocer un ID de usuario y una contraseña. El riesgo con la emulación 5250 es
mayor ya que se necesitan menos conocimientos para arrancar una sesión y
empezar a acceder a los datos.
También necesita educar a sus usuarios acerca del efecto de desconectar su sesión
de Client Access. Muchos usuarios dan por supuesto (lógica pero incorrectamente)
que la opción de desconexión detiene completamente la conexión al iSeries.De
hecho, cuando un usuario selecciona la opción de desconectar, el iSeries permite
que la sesión (licencia) del usuario esté disponible para otro usuario.No obstante,
la conexión del cliente al iSeries continúa abierta. Otro usuario podría entrar a
través del PC no protegido y acceder a los recursos del iSeries sin haber entrado
nunca un ID de usuario y una contraseña.
Puede sugerir dos opciones para los usuarios que necesitan desconectar sus
sesiones:
v Asegúrese de que sus PC dispongan de una función de bloqueo que requiera
una contraseña. De este modo, un PC desatendido no estará disponible para
quien no conozca la contraseña.
v Para desconectar completamente una sesión, finalice la sesión de Windows o
reinicie (rearranque) el PC. De este modo concluirá la sesión del iSeries.
También necesita educar a sus usuarios acerca de un riesgo de seguridad potencial

cuando utilizan Client Access AS/400 para Windows 95/NT. Cuando un usuario
especifica un UNC (convenio de denominación universal) para identificar un
recurso del iSeries, el cliente Win95 o NT crea una conexión de red para enlazar al
iSeries.Puesto que el usuario especifica un UNC, el usuario no lo ve como una
Unidad de red correlacionada. Con frecuencia, el usuario desconoce la existencia
de la conexión de red. Sin embargo, esta conexión de red representa un riesgo de
seguridad en un PC desatendido, puesto que el iSeries aparece en el árbol de
directorios del PC.Si la sesión de iSeries del usuario tiene un perfil de usuario
poderoso, pueden arriesgarse los recursos de iSeries en un PC desatendido.Como
en el ejemplo anterior, la solución es asegurar que los usuarios comprendan el
riesgo y utilicen la función de bloqueo del PC.
Consejos para proteger el iSeries de mandatos y procedimientos

remotos
Un usuario de PC experto que disponga de software como Client Access puede
ejecutar mandatos en un sistema iSeries sin pasar a través de la pantalla Inicio de
sesión.A continuación se detallan varios métodos disponibles para que los usuarios
de PC ejecuten los mandatos de iSeries.El software de cliente/servidor determina
los métodos de que disponen los usuarios de PC.
v Un usuario puede abrir un archivo DDM y utilizar la función de mandato
remoto para ejecutar un mandato.
v Parte del software, como los clientes optimizados de Client Access, proporciona
la función de mandato remoto a través de las API de Llamada de programa
distribuido (DPC) sin utilizar DDM.
v Parte del software, tal como ODBC y SQL remoto, proporciona una función de
mandato remoto sin DDM o DPC.
Para el software de cliente/servidor que utiliza DDM para el soporte de mandato

remoto, puede utilizar el atributo de red DDMACC para evitar totalmente los
mandatos remotos. Para el software de cliente/servidor que utiliza otro soporte del
servidor, puede registrar los programas de salida para el servidor. Si quiere
permitir mandatos remotos, debe asegurarse de que el esquema de autorización
sobre objetos protege los datos de forma adecuada. La posibilidad de mandatos
remotos es equivalente a proporcionar a un usuario una línea de mandatos.
Además, cuando iSeries recibe un mandato remoto a través de DDM, el sistema no
aplica el valor Posibilidad limitada (LMTCPB) de los perfiles de usuario.
Consejos para proteger a los PC de mandatos y procedimientos

remotos
El software de cliente Client Access AS/400 para Windows 95/NT, por ejemplo,
proporciona la posibilidad de recibir mandatos remotos en el PC. Puede utilizar el
mandato Ejecutar mandato remoto (RUNRMTCMD) en el iSeries para ejecutar un
procedimiento en un PC conectado.La posibilidad de RUNRMTCMD es una
herramienta valiosa para los administradores del sistema y el personal auxiliar. Sin
embargo, también proporciona la oportunidad de dañar datos de PC, deliberada o
accidentalmente.
Los PC no tienen las mismas funciones de autorización sobre objetos que el

iSeries.La mejor protección frente a los problemas con el mandato RUNRMTCMD
es restringir cuidadosamente los usuarios del iSeries que tengan acceso al
mandato.El software de cliente de Client Access AS/400 para Windows 95/NT
proporciona la posibilidad de registrar a los usuarios que pueden ejecutar
mandatos remotos en un PC específico. Cuando la conexión se realiza a través de
TCP/IP, puede utilizar el panel de control de propiedades en el cliente para
controlar el acceso de mandatos remotos. Puede autorizar a los usuarios por ID de
usuario o por nombre de sistema remoto. Cuando la conexión se realiza a través de
SNA, determinado software de cliente proporciona la posibilidad de poner a punto
la seguridad para la conversación. Con otro tipo de software de cliente, sólo es
posible elegir si se pone a punto o no la posibilidad de mandato de entrada.

Para cada combinación de software de cliente y tipo de conexión (como TCP/IP o
SNA), es necesario revisar el potencial de los mandatos de entrada para los PC
conectados. Consulte la documentación del cliente y busque “mandato de entrada”
o “RUNRMTCMD”. Esté preparado para aconsejar a los usuarios de PC y los
administradores de red acerca de la forma correcta (segura) de configurar clientes
para permitir o evitar esta posibilidad.
Consejos para los servidores de pasarela

El sistema puede formar parte de una red con un servidor intermedio o de
pasarela entre el sistema iSeries y los PC.Por ejemplo, su sistema iSeries puede
estar conectado a una LAN con un servidor de PC que tenga PC conectados al
servidor.Los elementos de seguridad dependen en esta situación de las
posibilidades del software que se ejecuta en el servidor de pasarela. La Figura 42
muestra un ejemplo de una configuración de servidor de pasarela:
USERB
USERA USERC
USERE
SERVIDOR SERVIDOR
AS/400 PASARELA USERD
USERGTW
RV3M1207-0
Figura 42. iSeries con servidor de pasarela–Ejemplo
Con determinado software, el sistema iSeries no conocerá los usuarios (como

USERA o USERC) que estén en sentido directo del servidor de pasarela.El servidor
iniciará la sesión en el iSeries como un sólo usuario (USERGTW).Utilizará el ID de
usuario USERGTW para manejar todas las peticiones de los usuarios en sentido
directo. Para el iSeries una petición de USERA parecerá una petición de
USERGTW.
Si es éste el caso, debe confiar en el servidor de pasarela para el cumplimiento de

la seguridad. Debe comprender y gestionar las posibilidades de seguridad del
servidor de pasarela. Desde la perspectiva del iSeries, cada usuario tiene la misma
autorización que el ID de usuario que utiliza el servidor de pasarela para iniciar la
sesión.Un equivalente a esto sería ejecutar un programa que adoptara autorización
y proporcionara una línea de mandatos.
Con otro software, el servidor de pasarela pasa las peticiones de los usuarios
individuales al iSeries.El iSeries sabe que USERA está solicitando acceso a un
objeto determinado.La pasarela es casi transparente para el iSeries.
Si el sistema está en una red que tiene servidores de pasarela, debe evaluar qué
autorización se debe proporcionar a los ID de usuario utilizados por los servidores
de pasarela. También debe comprender lo siguiente:
v Los mecanismos de seguridad que los servidores de pasarela hacen cumplir.
v Cómo aparecen los usuarios en sentido directo ante el sistema iSeries.
Consejos para las comunicaciones LAN inalámbricas
Algunos clientes pueden utilizar la LAN inalámbrica de iSeries para comunicarse
con el sistema iSeries sin utilizar cables.La LAN inalámbrica de iSeries utiliza
tecnología de comunicaciones por radio frecuencia.Como administrador de
seguridad, debe conocer las siguientes características de seguridad de los
productos de la LAN inalámbrica de iSeries:
v Estos productos de la LAN inalámbrica utilizan tecnología de difusión de
espectro. Esta misma tecnología la utilizó el gobierno en el pasado para asegurar
las transmisiones de radio. Para alguien que intente rastrear electrónicamente las
transmisiones de datos, éstas parecen ser un ruido, más que una transmisión
real.
v La conexión inalámbrica tiene tres parámetros de configuración relevantes para
la seguridad:
– Velocidad de datos (dos velocidades de datos posibles)
– Frecuencia (cinco frecuencias posibles)
– Identificador del sistema (8 millones de identificadores posibles)
Estos elementos de configuración se combinan para proporcionar 80 millones de

configuraciones posibles, lo que convierte el hecho de que un pirata informático
acierte la configuración correcta en muy poco verosímil.
v Al igual que en el caso de otros métodos de comunicación, la seguridad de las
comunicaciones inalámbricas se ve afectada por la seguridad del dispositivo del
cliente. La información del ID del sistema y otros parámetros de configuración
están en un archivo del dispositivo del cliente y deben protegerse.
v Si un dispositivo inalámbrico se pierde o lo roban, las medidas de seguridad
normales del iSeries, tales como las contraseñas de inicio de sesión y la
seguridad de objetos, proporcionan protección cuando un usuario no autorizado
intenta utilizar la unidad perdida o robada para acceder al sistema.
v Si una unidad cliente inalámbrica se pierde o la roban, debe considerar la
posibilidad de cambiar la información del ID del sistema para todos los
usuarios, puntos de acceso y sistemas. Piense en esto como en cambiar la
cerradura de las puertas en caso de que le hayan robado las llaves.
v Probablemente quiera hacer una partición del servidor en grupos de clientes
cuyos ID de sistema sean exclusivos. Esto limita el impacto producido por la
pérdida o el robo de una unidad. Este método funciona solamente si puede
confinar un grupo de usuarios en una parte específica de la instalación.
v Al contrario que la tecnología de LAN por cable, la tecnología de LAN
inalámbrica es propietaria. Por lo tanto, no hay rastreadores electrónicos a
disposición general para estos productos LAN inalámbricos. (Un rastreador es
un dispositivo electrónico que lleva a cabo una supervisión no autorizada de
una transmisión.)

Capítulo 16. Consejos para el uso de los programas de salida
de seguridad
Algunas funciones del iSeries proporcionan una salida para que el sistema pueda
ejecutar un programa creado por el usuario para realizar comprobaciones y
validaciones adicionales.Por ejemplo, puede preparar el sistema para que ejecute
un programa de salida cada vez que algún usuario intenta abrir un archivo DDM
(gestión de datos distribuidos). Puede utilizar la función de registro para
especificar programas de salida que se ejecuten bajo determinadas circunstancias.
Varias publicaciones del iSeries contienen ejemplos de programas de salida que

realizan funciones de seguridad.La Tabla 25 proporciona una lista de estos
programas de salida, y fuentes de los programas de ejemplo.
Tabla 25. Fuentes de los programas de salida de ejemplo
Tipo de programa de
salida Finalidad En qué lugar puede obtener un ejemplo
| Validación de El valor del sistema QPWDVLDPGM puede v An Implementation Guide for AS/400 Security
| contraseña especificar un nombre de programa o indicar and Auditing, GG24-4200
| que se utilicen los programas de validación
v iSeries Security Reference, SC41-5302-04
| registrados para el punto de salida
| QIBM_QSY_VLD_PASSWRD para comprobar
| en las contraseñas nuevas si hay requisitos
| adicionales que no pueden ser controlados
| por los valores del sistema QPWDxxx. La
| utilización de este programa debe
| supervisarse con suma atención porque
| recibe contraseñas sin cifrar. Este programa
| no debe almacenar contraseñas en un
| archivo ni transferirlas a otro programa.
| Acceso a Soporte Puede especificar este nombre de programa v An Implementation Guide for AS/400 Security
| PC/400 o Client en el parámetro Acceso de petición de cliente and Auditing, GG24-4200
| Access1 (PCSACC) de los atributos de red para
controlar las siguientes funciones:
v Función Impresora virtual
v Función Transferencia de archivos
v Función Carpetas compartidas Tipo 2
v Función Mensajes de Client Access
v Colas de datos
v Función SQL remoto
Acceso a Gestión de Puede especificar este nombre de programa v An Implementation Guide for AS/400 Security
datos distribuidos en el parámetro Acceso de petición de DDM and Auditing, GG24-4200
(DDM) (DDMACC) de los atributos de red para
controlar las siguientes funciones:
v Función Carpetas compartidas Tipo 0 y 1
v Función Someter mandato remoto
Inicio de sesión Puede especificar un programa en el valor v An Implementation Guide for AS/400 Security
remoto del sistema QRMTSIGN para controlar qué and Auditing, GG24-4200
usuarios pueden iniciar la sesión
automáticamente y desde qué ubicaciones
(paso a través.)

Tabla 25. Fuentes de los programas de salida de ejemplo (continuación)
Tipo de programa de
salida Finalidad En qué lugar puede obtener un ejemplo
Conectividad Abierta Controle las siguientes funciones de ODBC:
de Bases de Datos v Si se permite de alguna manera la ODBC.
(ODBC) con Client
v Qué funciones se permiten para los
Access 1
archivos de base de datos del iSeries.
v Qué sentencias SQL se permiten.
v Qué información se puede recuperar
acerca de los objetos del servidor de la
base de datos.
v Qué funciones del catálogo SQL se
permiten.
Programa de manejo Puede crear un programa para supervisar la v An Implementation Guide for AS/400 Security
de interrupciones cola de mensajes QSYSMSG y emprender la and Auditing, GG24-4200
QSYSMSG acción adecuada (como, por ejemplo,
notificárselo al administrador del sistema) en
función del tipo de mensaje.
TCP/IP Algunos servidores de TCP/IP (como FTP, v “TCP/IP User Exits en la publicación
TFTP, TELNET y REXEC) proporcionan iSeries 400 System API Reference ”
puntos de salida. Puede añadir programas de
salida para manejar el inicio de sesión y para
validar peticiones de usuario, como por
ejemplo, las peticiones para obtener o colocar
un archivo especificado. También puede
utilizar estas salidas para proporcionar un
protocolo FTP anónimo en el sistema.
Cambios del perfil de Puede crear programas de salida para los v iSeries Security Reference, SC41-5302-04
usuario siguientes mandatos de perfil de usuario:
v “TCP/IP User Exits en la publicación
CHGUSRPRF
iSeries 400 System API Reference ”
CRTUSRPRF
DLTUSRPRF
RSTUSRPRF
| Notas:
| 1. Encontrará información adicional sobre este tema en el Information Center iSeries. Vea “Requisitos e información
| relacionada” en la página xii para obtener más detalles.
Capítulo 17. Consideraciones sobre seguridad para Java
Java está teniendo una rápida y amplia aceptación y utilización. Es posible que
utilice Toolbox for Java en el sistema para desarrollar nuevas aplicaciones. Los
usuarios que dispongan de acceso a Internet pueden estar accediendo a páginas
Web que ejecuten applets Java. Aunque Java es un lenguaje potente que
proporciona herramientas y características para ayudar a los programadores a
escribir programas seguros, Java no puede asegurar la información por sí solo. Este
apartado trata las consideraciones sobre seguridad para:
v Aplicaciones Java
v Applets Java
v Servlets Java
v Autenticación y autorización de Java
Para obtener más información puede utilizar el libro rojo, Java 2 Network Security.
Está ubicado en la siguiente dirección del navegador,
http://www.redbooks.ibm.com/abstracts/sg242109.html
Aplicaciones Java
Las aplicaciones Java residen en el sistema iSeries 400 o en el PC en el que se
ejecutan, y se ejecutan utilizando la máquina virtual Java instalada en dicho
sistema. Los problemas de seguridad para las aplicaciones Java en iSeries son los
mismos que para las demás aplicaciones de iSeries.
La aplicación puede realizar funciones o acceder a objetos en el sistema iSeries

solamente si el perfil de usuario bajo el que se ejecuta tiene autorización sobre
dichas funciones u objetos. Algunas aplicaciones se ejecutan bajo el perfil de
usuario del usuario actual, mientras que otras lo hacen bajo un perfil de usuario
por omisión, que puede tener o no una cantidad significativa de autorizaciones. Si
escribe sus propias aplicaciones Java, es recomendable que se ejecuten bajo el perfil
de usuario actual.
Un buen esquema de seguridad por recursos es esencial al empezar a utilizar las

aplicaciones Java para proporcionar nuevas funciones de aplicaciones. Cuando el
sistema iSeries procesa peticiones de cualquier aplicación, incluidas las aplicaciones
Java, no utiliza el control de acceso de menú ni el valor de posibilidad limitada del
perfil de usuario. El control de acceso de menú sólo está en vigor para los menús y
los mandatos visualizados o entrados desde una sesión 5250. Las peticiones que se
procesan mediante servidores de software no están sujetas al control de acceso de
menú ni a la posibilidad limitada.
A partir de la V4R4, Java para iSeries Java soporta SSL (capa de sockets segura).
Los datos (incluidos los ID de usuario y contraseñas) pueden cifrarse cuando los
usuarios acceden a aplicaciones Java del iSeries desde Internet. No obstante, antes
de la V4R4, no había soporte integrado para SSL, pero eso solamente impedía el
cifrado de datos con SSL. No impedía el cifrado de datos utilizando un algoritmo
dentro del propio programa Java. Existen diversas maneras de cifrar los datos; SSL
sólo es una de ellas.
También a partir de la V4R4, los programas Java pueden adoptar la autorización

de su propietario o utilizar la autorización adoptada que esté en vigor cuando se

inicie la aplicación Java. Utilice el mandato CRTJVAPGM para establecer el atributo
Perfil de usuario en *OWNER para adoptar la autorización del propietario. Para
utilizar la autorización adoptada en vigor al iniciarse la aplicación Java, establezca
en USE el atributo Utilizar autorización adoptada. La autorización adoptada puede
utilizarse en cualquier entidad Java que pueda utilizarse como parámetro archivo
de clase o archivo Jar en el mandato CRTJVAPGM. Un programa Java que adopte
la autorización de su propietario no se regenerará automáticamente si el archivo de
clase asociado cambia.
Una aplicación Java que se ejecute en un PC puede intentar conectarse a a

cualquier puerto TCP/IP de un servidor. El código de la aplicación de servidor
determinará si son necesarios el ID de usuario y la contraseña. No obstante, para
los servidores con Java Toolbox, la aplicación debe proporcionar un ID de usuario
y una contraseña cuando desee volver a establecer una conexión con el servidor.
En este caso, el servidor es un sistema iSeries. Normalmente, la clase Toolbox
solicita al usuario un ID de usuario y una contraseña para la primera conexión.
Applets Java
Los applets Java son pequeños programas Java que residen en un servidor web. Se
bajan a un cliente y se ejecutan en el cliente mediante el código Java
proporcionado por un navegador Web. Dado que los applets se ejecutan en el
cliente, lo que hagan será problema del cliente. Una buena gestión de seguridad
del servidor iSeries protege los recursos del iSeries sin tener en cuenta lo que el
applet intente hacer. Por otro lado, quién puede acceder al applet será problema
del servidor iSeries. Utilice las directivas del servidor HTTP y la seguridad por
recursos de OS/400 para controlar el acceso al applet.
Los applets Java tienen el potencial para acceder a su iSeries pero, por lo general,
las aplicaciones Java sólo pueden establecer una sesión con el servidor desde el
que se originó la aplicación. Por consiguiente, una aplicación Java puede acceder a
su iSeries desde un PC conectado solamente cuando la aplicación provenga de su
iSeries (por ejemplo, de su servidor Web).
El visor de applets le permite probar un applet en el sistema servidor. El visor de

applets no está sujeto a las restricciones de seguridad implementadas por un
navegador. Por ese motivo, sólo deberá utilizar la herramienta visor de applets
para probar sus propios applets, nunca para ejecutar applets de fuentes externas.
Servlets Java
Los servlets son componentes del lado del servidor, escritos en Java, que amplían
de forma dinámica la funcionalidad de un servidor web sin modificar el código del
servidor web. El IBM WebSphere Application Server que se envía con IBM HTTP
Server para iSeries proporciona soporte para servlets en el iSeries.
Es más complicado asegurar los servlets que otros tipos de programas Java.
Aplicar la seguridad por recursos a un servlet no lo asegura lo suficiente. Una vez
un servidor web ha cargado un servlet, la seguridad por recursos no evita que
otros lo ejecuten.
Debe utilizar la seguridad por recursos en los objetos que utilice el servidor.
También puede mejorar la seguridad de los servlets utilizando las siguientes
directivas de protección del IBM HTTP Server para iSeries:
v Ejecute los servlets bajo el perfil de usuario del solicitante (UserID=%%CLIENT),
o bajo un perfil de usuario especificado.
v No permita que los servlets se ejecuten bajo el perfil del servidor web.
v Controle quién puede ejecutar el servlet (aplicar máscaras a las palabras clave de
la directiva de protección).
v Utilice los grupos de HTTP Server y las listas de control de acceso (ACL).
Autenticación y autorización de Java

iSeries 400 Toolbox para Java contiene clases de seguridad para proporcionar la
verificación de la identidad de un usuario y asignar opcionalmente esa identidad a
la hebra del sistema operativo para una aplicación o servlet que se esté ejecutando
en el iSeries. Las siguientes comprobaciones de la seguridad por recursos se
producirán bajo la identidad asignada.
Para obtener información detallada adicional revise la página iSeries 400 Toolbox
para Java: Servicio de autenticación y autorización en el iSeries Information Center.
También puede utilizar el libro rojo, Java 2 Network Security. Está ubicado en la
siguiente dirección del navegador,
Capítulo 17. Consideraciones sobre seguridad para Java 237

Capítulo 18. Consideraciones de seguridad para los
navegadores
Muchos usuarios de PC de su organización tendrán navegadores en las estaciones
de trabajo. Es posible que se conecten a Internet. Es posible también que se
conecten al iSeries.A continuación se proporcionan algunas consideraciones de
seguridad para los PC y para el iSeries.
Riesgo: Daños en el PC local

Una página Web visitada por un usuario puede tener un ″programa″ asociado,
como por ejemplo un applet Java, un control Active-X o algún otro tipo de módulo
enlazable. Aunque no es el caso habitual, este tipo de ″programas″ pueden dañar
la información del PC. Como administrador de seguridad, tenga en cuenta lo
siguiente para proteger los PC de la organización:
v Estudie las opciones de seguridad de los distintos navegadores de que dispone.
Por ejemplo, en algunos navegadores puede controlar el acceso que los applets
Java tienen fuera del navegador (el entorno operativo restringido de Java se
llama sandbox). Esto puede evitar que los applets dañen los datos del PC.
Nota: El concepto de sandbox y sus restricciones de seguridad asociadas no

existe en Active-X ni en otros módulos enlazables.
v Recomiende a los usuarios los valores a utilizar en el navegador. Probablemente
no tenga el tiempo ni los recursos para asegurarse de que los usuarios sigan
estas recomendaciones. Por lo tanto debe instruirlos acerca de los riesgos
potenciales de la utilización de valores inadecuados.
v Considere la estandarización de los navegadores Web que proporcionan las
opciones de seguridad necesarias.
v Haga que los usuarios le informen de cualesquiera comportamientos o síntomas
sospechosos que puedan asociarse a sitios Web determinados.
Riesgo: Acceso a los directorios de iSeries a través de unidades

correlacionadas
Suponga que hay un PC conectado al iSeries con una sesión Client Access AS/400
para Windows 95/NT. La sesión ha configurado unidades correlacionadas para
enlazar con el sistema de archivos integrado del iSeries. Por ejemplo, la unidade G
del PC podría correlacionarse con el sistema de archivos integrado del iSeries
SYSTEM1 en la red.
Ahora suponga que el mismo usuario de PC tiene un navegador y puede acceder a

Internet. El usuario solicita una página Web que ejecuta un ″programa″ perjudicial
como puede ser un applet Java applet o un control Active-X. En teoría, el
programa podría intentar borrar todo lo contenido en la unidad G del PC.
Existen varias protecciones contra daños en las unidades correlacionadas:

v La protección más importante es la seguridad de recursos en el iSeries. El applet
Java o el control Active-X es, para el iSeries, igual que el usuario que ha
establecido la sesión de PC. Necesita gestionar cuidadosamente cuáles son los
usuarios de PC que están autorizados a trabajar en el iSeries.

v Debe aconsejar a los usuarios de PC que configuren los navegadores para evitar
intentos de acceder a las unidades correlacionadas. Esto funciona para los
applets Java pero no para los controles Active-X, que no disponen del concepto
sandbox.
v Debe instruir a los usuarios acerca del peligro que supone conectarse al iSeries y
a Internet en la misma sesión. Asegúrese también de que los usuarios de PC
(con clientes Windows 95, por ejemplo) comprendan que las unidades
permanecen correlacionadas incluso cuando parezca que la sesión de Client
Access ha finalizado.
Riesgo: Confianza en applets firmados

Probablemente los usuarios hayan seguido el consejo y hayan configurado los
navegadores para evitar que los applets graben en unidades de PC. Sin embargo,
los usuarios de PC deben tener en cuenta que un applet firmado puede alterar
temporalmente los valores del navegador.
Un applet firmado lleva asociada una firma digital para establecer su autenticidad.
Cuando un usuario accede a una página Web que tiene un applet firmado, el
usuario ve un mensaje. El mensaje indica la firma del applet (quién y cuándo lo
firmó). Cuando el usuario acepta el applet, el usuario permite al applet pasar por
alto los valores de seguridad del navegador. El applet firmado puede grabar en las
unidades locales del PC, incluso aunque los valores por omisión del navegador lo
impidan. El applet firmado puede también grabar en las unidades correlacionadas
del iSeries porque para el PC son unidades locales.
Para los applets Java propios procedentes del iSeries, es posible que necesite
utilizar applets firmados. Sin embargo, debe indicar a los usuarios que, en general,
no acepten applets firmados de origen desconocido.
Capítulo 19. Consejos para la seguridad de Domino para
iSeries
| Encontrará información sobre el uso de Domino en el iSeries en el siguiente URL:
| http://www.as400.ibm.com/domino/ . Desde esa página puede enlazar con la
| biblioteca de consulta de Domino, así como con productos y estudios de casos.

Parte 5. Consejos y herramientas para la seguridad de
Internet en iSeries 400
RV3M1204-0
| Nota: El contenido de “Parte 5. Consejos y herramientas para la seguridad de

| Internet en iSeries 400” está disponible en el Information Center. Consulte
| también el “Apéndice. IBM SecureWay: iSeries 400 e Internet” en la
| página 247.

Parte 6. Apéndices

Apéndice. IBM SecureWay: iSeries 400 e Internet
| El acceso a Internet desde la LAN es un paso importante en la evolución de su red
| que requerirá que vuelva a evaluar sus necesidades de seguridad. El iSeries 400
| tiene soluciones de software integradas y una arquitectura de seguridad que le
| permitirán crear potentes defensas contra los posibles intrusos y trampas de
| seguridad de Internet. El uso correcto de estas ofertas de seguridad de iSeries 400
| asegurará que sus clientes, empleados y asociados puedan obtener la información
| necesaria para sus intercambios comerciales en un entorno seguro.
| Para saber más sobre los riesgos de seguridad de Internet y las soluciones de
| seguridad de iSeries 400 que puede utilizar para proteger sus sistemas y recursos,
| revise estos temas en el Information Center (vea “Requisitos e información
| relacionada” en la página xii para más detalles):
| v Seguridad básica del sistema y planificación: Aprenda a planificar, configurar,
| gestionar y poner a prueba la seguridad de su sistema. Consulte este teme si no
| tiene experiencia en seguridad, o si no la tiene en la seguridad del iSeries 400.
| v IBM SecureWay: iSeries 400 e Internet: Este tema proporciona una visión
| general de las ofertas y los puntos fuertes de la seguridad en Internet iSeries
| 400. Consulte este tema para obtener más información sobre las opciones de
| seguridad de redes, aplicaciones y transacciones.
| El iSeries 400 Information Center proporciona enlaces con fuentes adicionales de

| información de seguridad. Vea “Requisitos e información relacionada” en la
| página xii para obtener más detalles.
Nota: Si no está familiarizado con los términos relacionados con la seguridad e

Internet, deberá revisar la Terminología de seguridad en el Information Center,
a medida que trabaja con este material.
Seguridad C2
C2 es un estándar de seguridad definido por el gobierno de los EE.UU. en el
Department of Defense Trusted System Evaluation Criteria (DoD 5200.28.STD). Es
posible que se pregunte por qué le interesa tener la calificación C2. Para poder
realizar solicitudes y que se le contrate como desarrollador de proyectos dentro de
la estructura gubernamental puede ser necesario que su sistema se ejecute con el
nivel de seguridad C2.
En Octubre de 1995, AS/400 recibió formalmente su primera calificación de

seguridad C2 del Departamente de Defensa del Gobierno de los Estados Unidos.
Esta calificación de seguridad C2 original es para la V2R3 de OS/400, Programa de
Utilidad para Entrada del Fuente, Consulta/400, SAA Lenguaje de Consulta
Estructurada/400 y Common Cryptographic Architecture Services/400. La
calificación de seguridad C2 se obtuvo tras un riguroso período de evaluación de
varios años de duración. iSeries 400 es el primer sistema que consiguie una
calificación de seguridad C2 para un sistema (hardware y sistema operativo) con
una base de datos integrada de función completa.
| Desde que recibió su primera calificación C2, el objetivo de IBM ha sido conseguir
| nuevas calificaciones C2 para el hardware adicional de iSeries 400 y los releases de
| OS/400 a través del proceso RAMP (Ratings Maintenance Phase) del Departamento
| de Defensa de los Estados Unidos. Hasta la fecha, el iSeries 400 ha recibido

| calificaciones C2 para la Versión 3 Release 0 Modificación 5 (V3R0M5), la Versión 3
| Release 2 (V3R2), la Versión 4 Release 1 (V4R1) y la Versión 4 Release 4 (V4R4).
Para obtener el nivel de seguridad C2, los sistemas deben cumplir unas
condiciones estrictas en las áreas siguientes:
v Control de acceso discrecional
v Fiabilidad del usuario
v Auditoría de la seguridad
v Aislamiento de recursos
Para obtener información detallada consulte Department of Defense Trusted System

Evaluation Criteria y Security–Enabling for C2
Avisos
Esta información se ha desarrollado para productos y servicios ofrecidos en los
Estados Unidos. IBM puede no ofrecer los productos, servicios o características
tratados en este documento en otros países. Consulte al representante de IBM local
acerca de los productos y servicios disponibles actualmente en su zona. Cualquier
referencia a un producto, programa o servicio IBM no implica que únicamente
pueda utilizarse dicho producto, programa o servicio IBM. En su lugar, puede
utilizarse cualquier producto, programa o servicio funcionalmente equivalente que
no vulnere ninguno de los derechos de propiedad intelectual de IBM. No obstante,
es responsabilidad del usuario evaluar y verificar el funcionamiento de cualquier
producto, programa o servicio no IBM.
IBM puede tener patentes o aplicaciones pendientes de patente que cubran

información descrita en este documento. La posesión de este documento no le
otorga licencia sobre dichas patentes. Puede enviar consultas sobre las licencias,
por escrito, a:
| IBM Director of Licensing
| IBM Corporation
| 500 Columbus Avenue
| Thornwood, NY 10594
| EE.UU.
Para consultas sobre licencias relativas a la información de doble byte (DBCS),

póngase en contacto con el departamento de propiedad intelectual de IBM en su
país o envíe las consultas, por escrito, a:
| IBM World Trade Asia Corporation
| Licensing
| 2-31 Roppongi 3-chome, Minato-ku
| Tokyo 106-0032, Japón
El párrafo siguiente no se aplica al Reino Unido ni a ningún otro país en que

dichas previsiones entren en contradicción con las leyes locales:
INTERNATIONAL BUSINESS MACHINES CORPORATION PROPORCIONA
ESTA PUBLICACIÓN “TAL CUAL” SIN GARANTÍA DE NINGÚN TIPO, NI
EXPLÍCITAS NI IMPLÍCITAS, INCLUYENDO, PERO NO LIMITÁNDOSE A LAS
GARANTÍAS IMPLÍCITAS DE NO VULNERABILIDAD, COMERCIALIZACIÓN O
ADECUACIÓN A UN PROPÓSITO DETERMINADO. Algunos estados no
permiten el rechazo de las garantías implícitas o explícitas en determinadas
transacciones, por lo que puede que esta declaración no se aplique a su caso.
Esta información puede incluir imprecisiones técnicas o tipográficas. Se efectúan

cambios periódicamente a la información incluida en este documento; estos
cambios se incorporarán en nuevas ediciones de la publicación. IBM puede
efectuar mejoras y/o cambios en el producto(s) y/o el programa(s) descritos en
esta publicación en cualquier momento y sin previo aviso.
Toda referencia en esta información a sitios Web no IBM se proporcionan

solamente a efectos ilustrativos, y de ningún modo suponen un endoso a dichos
sitios Web. Los materiales de dichos sitios Web no forman parte de los materiales
de este producto IBM, y el uso de dichos sitios Web se hará bajo su
responsabilidad.

Los usuarios licenciados de este programa, que deseen tener información acerca de
él a efectos de permitir: (i) el intercambio de información entre programas
independientemente creados y otros programas (incluyendo éste), y (ii) el uso
mutuo de la información que se haya intercambiado, deberán ponerse en contacto
con:
IBM Corporation
Software Interoperability Coordinator
3605 Highway 52 N
Rochester, MN 55901-7829
U.S.A.
Esta información puede estar disponible, sujeta a los correspondientes términos y

condiciones, incluyendo en ciertos casos, el pago de una tarifa.
El programa licenciado en esta información, y todo el material licenciado

disponible para dicho programa, los ofrece IBM bajo los términos del IBM
Customer Agreement, IBM International Program License Agreement, o cualquier
acuerdo equivalente entre las dos partes.
Todos los datos de rendimiento aquí contenidos se obtuvieron en un entorno

controlado. Por tanto, los resultados obtenidos en otros entornos operativos
pueden varias significativamente. Al gunas medidas pueden haberse efectuado en
sistemas a nivel desarrollo, y no hay garantía de que dichas medidas sean las
mismas en los sistemas generalmente disponibles. Es más, algunas medidas
pueden haberse estimado mediante extrapolaciones. Los resultados reales pueden
variar. Los usuarios de este documento deberían verificar los datos aplicables en
sus entornos concretos.
La información concerniente a los productos no IBM se obtuvo de los

suministradores de dichos productos, de sus anuncios publicados o de otras
fuentes de acceso público. IBM no ha probado dichos productos y no puede
confirmar la exactitud del cumplimiento, la compatibilidad ni ninguna otra
afirmación relativa a los productos no IBM. Toda cuestión sobre las posibilidades
de los productos no IBM deberían ser dirigidas a los suministradores de dichos
productos.
Todas las declaraciones relativas a las intenciones o direcciones futuras de IBM

están sujetas a cambio o revocación sin previo aviso, y representan solamente
metas y objetivos.
Todos los precios aquí mostrados son precios recomendados de venta de IBM, son
actuales y sujetos a cambio sin previo aviso. Los precios de los concesionarios
pueden variar.
Esta información es sólo a efectos de planificación. La información aquí contenida

está sujeta a cambio antes de que estén disponibles los productos descritos.
Esta información contiene ejemplos de datos e informes utilizados en operaciones

comerciales diarias. Para ilustrarlas de la forma más completa posible, los ejemplos
incluyen los nombres de personas, empresas, marcas y productos. Todos estos
nombres son ficticios y cualquier parecido con los nombres y direcciones utilizados
por una empresa real es pura coincidencia.
LICENCIA DE COPYRIGHT:
Esta información contiene programas de aplicación de ejemplo en lenguaje fuente,
que ilustran técnicas de programación en distintas plataformas operativas. Puede
copiar, modificar y distribuir dichos programas de ejemplo en cualquier forma sin
pago a IBM para el propósito de desarrollar, utilizar, comercializar o distribuir
programas de aplicación que se ajusten a la interfaz de programación de
aplicaciones correspondiente a la plataforma operativa para la que se han escrito
los programas de ejemplo. Estos ejemplos no se han probado exhaustivamente bajo
todas las condiciones. IBM, por tanto, no puede garantizar ni implicar la fiabilidad,
servicio o funcionamiento de estos programas. Puede copiar, modificar y distribuir
dichos programas de ejemplo en cualquier forma sin pago a IBM para el propósito
de desarrollar, utilizar, comercializar o distribuir programas de aplicación que se
ajusten a las interfaces de programación de aplicaciones de IBM.
Si está examinando esta información mediante una copia software, puede que no
aparezcan las fotografías ni las ilustraciones a color.
Marcas registradas
Los términos siguientes son marcas registradas de International Business Machines
Corporation en Estados Unidos y/o en otros países:
ADSM/400 iSeries 400

Advanced 36 Net.Data
Advanced Peer-to-Peer Networking OfiVisión
AIX Operating System/400
AnyNet OS/2
Application System/400 OS/400
APPN PowerPC AS
AS/400 QMF
AS/400e SAA
Client Access SecureWay
CT SmoothStart
DATABASE 2 System/36
System/38
Arquitectura de Bases de Datos Relacionales Distribuidas
DRDA S/390
Global Network Ultimedia
IBMiSeries 400
Lotus y Lotus Notes son marcas registradas de Lotus Development Corporation.

Domino y Notes son marcas registradas de Lotus Development Corporation.
C-bus es marca registrada de Corollary, Inc.
Microsoft, Windows, Windows NT y el logotipo de Windows 95 son marcas

registradas de Microsoft Corporation.
Java y HotJava son marcas registradas de Sun Microsystems, Inc.
UNIX es marca registrada en los Estados Unidos y en otros países con licencia
exclusivamente a través de X/Open Company Limited.
PC Direct es marca registrada de Ziff Communications Company y lo utiliza, bajo

licencia, IBM Corporation.
Otros nombres de empresas, productos y servicios pueden ser marcas registradas

de terceros.
Avisos 251
Dónde obtener más información y ayuda
Existen muchos recursos disponibles si necesita más información acerca de la
seguridad o si necesita ayuda. Encontrará información adicional sobre estos temas
en el iSeries Information Center (vea “Requisitos e información relacionada” en la
página xii para conocer más detalles).
Acerca de IBM SecureWay

IBM SecureWay proporciona una marca común para la amplia gama de ofertas de
seguridad de IBM; hardware, software, consulta y servicios para ayudar a los
clientes a proteger su tecnología de información. Tanto si es para una necesidad
individual cono para crear una solución total de empresa, las ofertas de IBM
SecureWay proporcionan la experiencia necesaria para planificar, diseñar,
implementar y operar soluciones seguras para las empresas. Para obtener más
información sobre las ofertas de IBM SecureWay, vea “Dónde obtener más
información y ayuda” y visite la página de presentación de IBM Secureway:
http://www.ibm.com/secureway
Ofertas de servicio
A continuación encontrará las descripciones de diversas ofertas que IBM tiene
disponibles para ayudarle con la seguridad del iSeries o en la conexión a Internet.
Para obtener más información, póngase en contacto con el representante de IBM.
En los EE.UU. puede ponerse en contrato con la oficina de distribución local
Express Services o puede llamar al número 1-800-IBM-4YOU. También puede
encontrar información actual sobre las ofertas de servicio visitando la siguiente
Web IBM:
http://www.as.ibm.com/asus
Revisión de la seguridad para iSeries:La Revisión de seguridad para iSeries está

disponible en los Servicios de disponibilidad de IBM. La revisión incluye los
siguientes aspectos:
v El uso de las herramientas de seguridad.
v Un cuestionario para el cliente.
v Una entrevista para reunir información sobre las prácticas de seguridad.
El resultado de la revisión es un informe que resume los riesgos potenciales de la

seguridad y ofrece unas recomendaciones preliminares para la acción correctiva.
La planificación de seguridad, la implementación y los servicios de consulta

también están disponibles en los Servicios de disponibilidad de IBM.
SmoothStart para Web Server/400 desde I/Net: Un especialista en servicios de IBM

instalará, configurará y adaptará Web Server/400 desde I/Net, para que su
empresa esté presente en la World Wide Web.
Al finalizar este servicio, tendrá un prototipo de página de presentación de Web, el

servidor Web Server/400 instalado y operativo, y el iSeries TCP/IP configurado y
listo para conectarlo a Internet o a su propia Intranet.

Planificación de Conexión Internet para iSeries: Esta oferta de servicio le
proporciona la información y los consejos que necesite para determinar las
funciones de iSeries que desea ofrecer a los usuarios de Internet.La sesión de
planificación tratará las funciones de Internet Connection para AS/400 y las
comparará con Web Server/400 desde I/Net.
Al finalizar este servicio será capaz de juzgar la aplicabilidad de Internet

Connection para AS/400 a su entorno.
SmoothStart para Conexión Internet para iSeries–FTP anónimo: A partir de la

V3R2 de OS/400, puede utilizar anónimo como ID de usuario válido para los
usuarios del protocolo de transferencia de archivos (FTP). Con FTP anónimo,
puede ofrecer a los usuarios de Internet o a los de su propia Intranet, el acceso a
los archivos de su iSeries sin necesidad de distribuir a los usuarios los
identificadores de usuario y las contraseñas exclusivos.
El servicio SmoothStart para Conexión Internet para iSeries–FTP anónimo le

proporcionará un especialista de servicios que le ayudará a hacer lo siguiente:
v Planificar la utilización de FTP anónimo para su entorno
v Poner a punto una salida de usuario de FTP que permitirá que sus usuarios
obtengan archivos de una biblioteca del iSeries y pongan archivos en otra
biblioteca del iSeries.
Al finalizar este servicio, su iSeries estará configurado para permitir que los
usuarios tengan acceso a los archivos utilizando FTP anónimo, y para impedir su
acceso a lo archivos de uso restringido.Los usuarios de FTP tendrán además la
posibilidad de subir archivos a una biblioteca específica.
SmoothStart para Conexión Internet para iSeries–Servidor de correo POP: A partir

de la V3R2, iSeries puede ser un servidor de correo POP3 (Post Office Protocol R3)
y mantener correo en buzones para los usuarios que ejecuten un cliente POP3. Los
usuarios pueden recoger su correo cuando lo deseen.
La oferta SmoothStart para Conexión Internet para iSeries–Servidor de correo POP

le proporciona un especialista de servicios para configurar los objetos necesarios
para permitir que el iSeries sea un servidor de correo POP3 para los clientes que
utilicen programas de correo como Eudora, Ultimail, así como otros clientes POP3
que se ejecuten en AIX, Windows, OS/2 y MacIntosh.
Al finalizar este servicio, su iSeries estará configurado como servidor de correo

POP3, con los buzones creados para que diez clientes de correo los utilicen.
Además, se definirán en el iSeries cinco usuarios de correo no de iSeries para hacer
posible que les envíe correo.
SmoothStart para Conexión Internet para iSeries–Web le proporciona un

especialista en servicios para instalar, configurar y personalizar el servidor Web
Conexión Internet para iSeries y HTML Workstation Gateway para que su empresa
esté presente en la Web.
Al finalizar este servicio, dispondrá de una página de presentación Web prototipo

y podrá acceder a las aplicaciones del iSeries desde un navegador Web. El iSeries
TCP/IP del AS/400 estará configurado y preparado para la conexión a Internet o a
su propia intranet.
Security Analysis Lab: Con la oferta de laboratorio de análisis de seguridad, los
consultores de IBM intentan infiltrarse en las redes de los clientes. Evalúan la
vulnerabilidad de la red y recomiendan mejoras de la seguridad.
Emergency Response Service: El servicio de respuesta de emergencia para empresas

comerciales proporciona conocimientos de gestión de incidentes, expertos y
rápidos, durante y después de una emergencia de seguridad electrónica. En el caso
de una intrusión, el equipo de respuesta de emergencia ayuda a los clientes a
detectar, aislar y contener la infiltración no autorizada en la red, y a recuperarse de
ella.
Publicaciones relacionadas
Las publicaciones siguientes proporcionan más información acerca de la seguridad
del iSeries:
v APPC Programming, SC41-5443-00, describe el soporte de comunicaciones
avanzadas programa a programa (APPC) para el sistema iSeries.Este manual
proporciona ayuda para desarrollar programas de aplicación que utilizan APPC
y para definir el entorno para las comunicaciones APPC. Incluye consideraciones
sobre el programa de aplicación, requisitos de configuración y mandatos, gestión
de problemas para APPC y consideraciones generales sobre gestión de redes.
v En la publicación AS/400 Internet Security: Protecting Your AS/400 from HARM on
the Internet, SG24-4929, se tratan los elementos de seguridad y los riesgos
asociados a la conexión del iSeries a Internet. Proporciona ejemplos,
recomendaciones, consejos y técnicas para las aplicaciones de TCP/IP.
| v Copia de seguridad y recuperación, SC10-3123-05 (SC41-5304-05), proporciona
| información acerca de la puesta a punto y la gestión de:
| – Registro por diario, protección de vía de acceso y control de compromiso
| – Agrupaciones de almacenamiento auxiliar (ASP)
| – Protección de disco (paridad de dispositivo, duplicación de disco y suma de
| comprobación)
| – Planificar una estrategia para salvar el sistema.
| – Realizar operaciones de salvar básicas.
| – Seleccionar qué opciones de disponibilidad son adecuadas para el sistema.
| – Recuperar el sistema si se produce una anomalía.
| Encontrará información adicional sobre estos temas en el iSeries Information
| Center. Vea “Requisitos e información relacionada” en la página xii para obtener
| más detalles.
v CL Programming, SC41-5721-04, proporciona descripciones detalladas para
codificar especificaciones de descripción de datos (DDS) para archivos que se
pueden describir externamente. Estos archivos son archivos físicos, lógicos, de
pantalla, de impresión y de función de comunicaciones intersistemas (ICF).
v IBM Network Station Manager para AS/400, SC10-3088-00 (SC41-0632-01), describe
cómo poner a punto, configurar y gestionar la Network Station.
v An Implementation Guide for AS/400 Security and Auditing, GG24-4200, proporciona
sugerencias prácticas y ejemplos para muchas áreas de la seguridad de iSeries.
v Implementing iSeriesSecurity, 3rd Edition by Wayne Madden and Carol Woodbury.
Loveland, Colorado: 29th Street Press, a division of Duke Communications
International, 1998. Proporciona sugerencias de ayuda y prácticas para planificar,
poner a punto y gestionar la seguridad de iSeries.
Número de pedido ISBN:
Dónde obtener más información y ayuda 255

1-882419-78-2
v HTTP Server for iSeries Webmaster’s Guide, GC41-5434-07, proporciona información
a la administración del sistema para la configuración y la gestión del Internet
Connection Server y del Internet Connection Secure Server.
v C2 Security describe cómo personalizar su sistema para cumplir los requisitos de
seguridad C2, tal como se describe en Department of Defense Trusted Computer
Evaluation Criteria
v iSeries Security Reference, SC41-5302-04, proporciona información completa acerca
de los valores de seguridad del sistema, los perfiles de usuario, la seguridad de
recursos y la auditoría de seguridad. Este manual no describe la seguridad de
programas bajo licencia, lenguajes y programas de utilidad específicos.
| v El tema ″Iniciación a iSeries″ del iSeries Information Center proporciona
| información acerca del panel de control de la unidad del sistema, cómo arrancar
| y detener el sistema, cómo utilizar cintas y disquetes, cómo trabajar con arreglos
| temporales del programa y cómo manejar problemas.
v TCP/IP Configuration and Reference, SC41-5420-03, proporciona información
amplia para la configuración y la utilización del soporte TCP/IP de
iSeries.Incluye descripciones de todas las aplicaciones del servidor TCP/IP.
Nota: Para V4R1, las descripciones del Internet Connection Server (antes HTTP)
en el Internet Connection Secure Server se encuentran en el manual HTTP
Server for iSeries Webmaster’s Guide.
v Soporte de servidor de archivos TCP/IP para OS/400 Installation and User’s Guide,
SC41-0125, proporciona información introductoria, instrucciones para la
instalación y procedimientos de puesta a punto para la oferta del programa bajo
licencia Soporte de servidor de archivos. Explica las funciones disponibles con el
producto e incluye ejemplos y sugerencias para utilizarlo con otros sistemas.
v Trusted Computer Systems Evaluation Criteria DoD 5200.28.STD, describe los
criterios de niveles de confianza para sistemas PC. TCSEC es una publicación
del gobierno de los Estados Unidos. Pueden obtenerse copias en:
Office of Standards and Products

National Computer Security Center
Fort Meade, Maryland 20755-6000 EE.UU.
A la atención de: Chief, Computer Security Standards
v , proporciona información que permite que los programadores puedan gestionar
eficazmente su carga de trabajo del sistema cambiando objetos de gestión de
trabajo con el fin de que se ajustar a sus necesidades. La publicación
proporciona directrices para el ajuste de rendimiento, descripciones de los
valores del sistema e información sobre la recopilación de datos de rendimiento,
la recopilación de datos de utilización del sistema, la utilización de entradas de
trabajo y la planificación de trabajos de proceso por lotes.
Índice
Caracteres acceso de petición de cliente (PCSACC),
atributo de red (continuación)
anotaciones de seguridad de
herramientas de servicio
Especiales utilización de programa de
salida 114
utilización 96
ver actividad 96
*ALWPTF 5
(ICSS), Internet Connection Secure Acceso limitado a las funciones del anotaciones de seguridad del sistema
Server 9 programa 6 ver 94
*IOSYSCFG (configuración del sistema), acción al llegar al límite de intentos de ANZDFTPWD (Analizar contraseñas por
autorización especial inicio de sesión (QMAXSGNACN), omisión), mandato
necesaria para mandatos de valor del sistema descripción 43
configuración APPC 149 valor establecido por el mandato utilización sugerida 39
(IP) Protocolo Internet, filtrado de CFGSYSSEC 53 ANZPRFACT (Analizar actividad de
paquetes 7, 168 valor recomendado 34 perfil), mandato
(NAT), Conversión de direcciones de acción de recuperación de dispositivo creación de usuarios exentos 43
red 168 (QDEVRCYACN), valor del sistema descripción 43
*PGMADP (adopción de programa), nivel evitar riesgos en la seguridad 155 utilización sugerida 37
de auditoría 110 valor establecido por el mandato Añadir Entrada de planificación de
(PPP), Protocolo punto a punto 8 CFGSYSSEC 53 trabajos (ADDJOBSCDE), mandato
(PRTPUBAUT), mandato, Imprimir valor recomendado 34 SECBATCH, menú 46
objetos con autorizaciones de uso acción de trabajo de red (JOBACN), Añadir recogida del rendimiento
público 139 atributo de red 155 (ADDPFRCOL), mandato
(PRTPUBAUT), mandato Imprimir acciones de auditoría 69 programa de salida 114
autorización de uso público 6 activación API, Creación de un archivo continuo con
(PRTPVTAUT), mandato, Imprimir perfil de usuario 36, 43 open() o creat() 142
objetos con autorización privada 138 actualización, autorización, V4R2 7 API, creación de un directorio 142
(PRTPVTAUT) mandato, Imprimir ADDJOBSCDE (Añadir entrada de API de Llamada de programa
autorización privada 6 planificación de trabajos), mandato distribuido 229
(QVFYOBJRST) valor del sistema verificar SECBATCH, menú 46 API QHFRGFS
objetos en restauración ADDPFRCOL (Añadir recogida del programa de salida 114
firma digital 108 rendimiento), mandato API QTNADDCR
valores del sistema de restauración programa de salida 114 programa de salida 114
valores del sistema de restauración ADDSRVTBLE (Añadir entrada de tabla aplicaciones, Operations Navigator,
(QVFYOBJRST) 108 de servicios), mandato 86 administración de 6
(RSTUSRPRF) mandato, Restaurar perfil Administración de aplicaciones de Aplicaciones Java 235
de usuario 6 Operations Navigator 6 APPC (comunicaciones avanzadas
*SAVSYS (salvar sistema), autorización adopción de programa (*PGMADP), nivel programa a programa)
especial de auditoría 110 asignación de perfil de usuario 152
control 117 almacenamiento consejos de seguridad 147
(SNMP), protocolo simple de gestión de contraseñas 40 descripción de controlador
red 216 umbral CPSSN (sesiones de punto de
(SSL), Capa de Sockets Segura 5 receptor de diario de auditoría control), parámetro 159
*VFYENCPWD (verificar contraseña (QAUDJRN) 70 parámetro AUTOCRTDEV
cifrada), valor 151, 157 análisis (creación automática de
(VPN), Red privada virtual 5 anomalía de programa 68 dispositivo) 159
autorización sobre objeto 67 parámetros relativos a la
perfil de usuario seguridad 159
por autorizaciones especiales 48 temporizador de desconexión,
A por clases de usuario 48 parámetro 159
acceso perfiles de usuario 65 descripción de dispositivo
control 59 Analizar actividad de perfil APPN (posibilidad de APPN),
Acceso a los directorios de iSeries 400 a (ANZPRFACT), mandato parámetro 158
través de unidades creación de usuarios exentos 43 arranque de programa SNUF,
correlacionadas 239 descripción 43 parámetro 158
Acceso al sistema de archivos QSYS.LIB, utilización sugerida 37 función en la seguridad 148
restricción 140 Analizar contraseñas por omisión LOCPWD (contraseña de
acceso de petición de cliente (PCSACC), (ANZDFTPWD), mandato ubicación), parámetro 148
atributo de red descripción 43 parámetros relativos a la
fuente del programa de salida de utilización sugerida 39 seguridad 156
ejemplo 233 anomalía de programa PREESTSSN (sesión
restringir el acceso a datos desde auditoría 68 preestablecida), parámetro 158
PC 221 protección con APPN 149

APPC (comunicaciones avanzadas Arrancar emulación de pantalla 3270 AUTOANS (respuesta automática),
programa a programa) (continuación) (STREML3270), mandato campo 160
proteger ubicación (SECURELOC), programa de salida 114 AUTOCRTCTL (creación automática de
parámetro 157 Arrancar supervisión del rendimiento controlador), parámetro 159
restricción con autorización sobre (STRPFRMON), mandato AUTODIAL (marcación automática),
objeto 149 programa de salida 114 campo 160
SECURELOC (proteger ubicación), Arrancar TCP/IP (STRTCP), mandato autorización
parámetro 148, 151 restringir 167 *SAVSYS (salvar sistema), autorización
SNGSSN (una sola sesión), arranque de programa SNUF, especial 117
parámetro 158 parámetro 158 control 117
descripción de línea 160 Asesor de seguridad iSeries 400 21, 23 acceso a datos por usuarios de
AUTOANS (respuesta automática), Asesor de seguridad iSeries 400e 6 PC 222
campo 160 asignación acceso a mandatos de restaurar 118
AUTODIAL (marcación perfil de usuario para trabajo acceso a mandatos de salvar 118
automática), campo 160 APPC 152 adoptada 109
parámetros relativos a la Asistente de seguridad iSeries 400 6, 21 auditoría 68
seguridad 160 atributo de red limitación 110
elementos básicos 148 DDMACC (acceso a petición DDM) supervisión 109
evaluación de la configuración 156, fuente del programa de salida de colas de salida 81
160 ejemplo 233 colas de trabajos 81
identificación de un usuario 150 restringir el acceso a datos desde complementar con control de acceso a
inicio de trabajo de paso a través 153 PC 221 menús 61
mandato remoto 155 restringir mandatos remotos 229 cuándo se impone 59
restricción con la entrada utilización de programa de de uso público 73
PGMEVOKE 155 salida 114, 155 en el nivel de seguridad 10 ó 20 59
repartir responsabilidad de la impresión relativa a la seguridad 19, entorno de transición 61
seguridad 151 48 especial 82
restricción de sesiones 149 JOBACN (acción de trabajo de gestión 73
sesión 148 red) 155 herramientas de
terminología 147 mandato para establecer 52 seguridadmandatos 41
valores de seguridad con arquitectura PCSACC (acceso de petición de idiomas nacionales 64
con el parámetro SECURELOC cliente) iniciación a 61
(proteger ubicación) 151 fuente del programa de salida de introducción 15, 16
descripción 150 ejemplo 233 objetos nuevos 74
ejemplos de aplicación 150 restringir el acceso a datos desde seguridad de bibliotecas 63
APPC, elementos básicos de las PC 221 supervisión 73, 80
comunicaciones 148 utilización de programa de visión general 59
applets firmados, confianza 240 salida 114 autorización adoptada
Applets Java 236 atributos de seguridad con ODBC 226
archivo impresión 19 impresión de lista de objetos 48
herramientas de seguridad 41 auditoría limitación 110
archivo de base de datos anomalía de programa 68 procedimientos almacenados 226
programa de salida para información autorización sobre objeto 67 supervisión de utilización 109
de uso 114 integridad de objetos 67, 68 Autorización de actualización, V4R2 7
protección del acceso desde PC 221 auditoría, acciones 69 Autorización de referencias 7
archivo lógico auditoría, diario autorización de uso público
programa de salida para selección de trabajar con 72 impresión 49
formato de registro 114 auditoría, receptor de diario revocar 52
archivos, QFileSvr.400, sistema de 143 salvar 72 revocar con el mandato
archivos, QLANSrv y QNetWare, umbral de almacenamiento 70 RVKPUBAUT 55
sistemas de 143 auditoría de funciones de seguridad 64 supervisión 73
Archivos, restricción del acceso al sistema auditoría de seguridad autorización de uso público mandato
QSYS.LIB 140 introducción 18, 64 (PRTPUBAUT), Imprimir 6
Archivos, seguridad para raíz (/), operaciones de restauración 118 Autorización de uso público para el
QOpenSys y definidos por usuario, puesta a punto 44 directorio raíz 137
sistemas de 137 sugerencias para la utilización autorización especial
archivos de base de datos, autorizaciones auditoría de objetos 167 *SAVSYS (salvar sistema)
a nivel de columna 7 CP (Cambiar perfil), entrada de control 117
archivos de configuración, TCP/IP diario 36, 37 análisis de asignación 48
restricción del acceso 170 entrada de diario SV (valor del discrepancia con clase de usuario 83
archivos de red, sistema 144 sistema) 118 listado de usuarios 66
arquitectura, valores de seguridad con nivel de auditoría *PGMADP 110 supervisión 82
con el parámetro SECURELOC valor *PGMFAIL 108 autorización privada
(proteger ubicación) 151 valor *SAVRST 108 supervisión 80
descripción 150 valor *SECURITY 108 autorización privada (PRTPVTAUT)
ejemplos de aplicación 150 visión general 130 mandato, Imprimir 6
visualización 44
autorización sobre objeto caducidad Client Access (continuación)
*SAVSYS (salvar sistema), autorización perfil de usuario control del acceso a datos 221
especial 117 definición de planificación 38, 43 evitar virus en PC 221
control 117 visualización de planificación 43 ignorar inicio de sesión 228
acceso a datos por usuarios de Cambiar auditoría de seguridad implicaciones de seguridad 221
PC 222 (CHGSECAUD), mandato implicaciones del sistema de archivos
acceso a mandatos de restaurar 118 descripción 44 integrado 222
acceso a mandatos de salvar 118 utilización sugerida 130 métodos de acceso a datos 221
adoptada 109 Cambiar copia de seguridad protección de mandatos remotos 229
limitación 110 (CHGBCKUP), mandato restringir mandatos remotos 229
supervisión 109 programa de salida 114 servidores de pasarela 230
análisis 67 Cambiar descripción de mensaje transferencia de archivos 221
colas de salida 81 (CHGMSGD), mandato virus en PC 221
colas de trabajos 81 programa de salida 114 Client Access Express 5
complementar con control de acceso a Cambiar diario (CHGJRN), mandato 70, utilización de SSL con 224
menús 61 72 Client Access Express, utilización de
cuándo se impone 59 Cambiar entrada de planificación de SSL 224
de uso público 73 activación (CHGACTSCDE), mandato clientes Windows 95, puesta de
en el nivel de seguridad 10 ó 20 59 descripción 43 contraseñas en antememoria para 8
entorno de transición 61 utilización sugerida 36 cola de mensajes (MSGQ), parámetro 83
especial 82 Cambiar entrada de planificación de cola de mensajes de trabajo inactivo
gestión 73 caducidad (CHGEXPSCDE), mandato (QINACTMSGQ), valor del sistema
herramientas de descripción 43 valor establecido por el mandato
seguridadmandatos 41 utilización sugerida 38 CFGSYSSEC 53
idiomas nacionales 64 Cambiar lista de bibliotecas del sistema valor recomendado 34
iniciación a 61 (CHGSYSLIBL), mandato cola de salida
introducción 15, 16 restricción del acceso 118 impresión de parámetros relativos a la
objetos nuevos 74 Cambiar lista de perfiles activos seguridad 50
seguridad de bibliotecas 63 (CHGACTPRFL), mandato impresión de perfiles de usuario 83
supervisión 73, 80 descripción 43 supervisión del acceso 81
visión general 59 utilización sugerida 37 cola de trabajos
visualización 67 Cambiar recogida del rendimiento impresión de parámetros relativos a la
Autorizaciones de nivel de columna para (CHGPFRCOL), mandato seguridad 50
archivos de base de datos 7 programa de salida 114 supervisión del acceso 81
Avisos 249 cambio Cómo evitar que los usuarios de
ayuda 253 auditoría de seguridad 44 marcación accedan a otros
contraseñas con Herramientas de sistemas 175
Servicio Dedicado (DST) 32 comprobación
B contraseñas conocidas
públicamente 31
contraseñas por omisión 43
integridad de objetos 48, 108
bajada
contraseñas proporcionadas por descripción 67, 68
autorización necesaria 222
IBM 31 objetos alterados 67, 68
base de datos, autorizaciones a nivel de
lista de perfiles activos 43 programas ocultos 114
columna para archivos de 7
mensajes de error de inicio de Comprobar integridad de objetos
bibliografía 255
sesión 35 (CHKOBJITG), mandato
biblioteca
receptor de diario de auditoría 70, 72 descripción 48, 67, 68
listado
uid 145 utilización sugerida 108
contenido 67
capa de sockets segura (SSL) Comunicaciones, elementos básicos de
todas las bibliotecas 67
utilización con Client Access APPC 148
biblioteca actual (CURLIB),
Express 224 comunicaciones, seguridad de
parámetro 83
Capa de Sockets Segura (SSL) 5 APPC 147
biblioteca protegida
CFGSYSSEC (Configurar seguridad del comunicaciones inalámbricas 231
comprobación de objetos de
sistema), mandato comunicaciones TCP/IP
usuario 118
descripción 52 BOOTP (Protocolo Bootstrap)
BOOTP (Protocolo Bootstrap)
utilización sugerida 25 consejos de seguridad 186
consejos de seguridad 186
cifrado restricción de puerto 186
restricción de puerto 186
comunicaciones TCP/IP 179, 184 consejos para la seguridad 167
contraseña DHCP (Protocolo de configuración
sesiones de PC 227 dinámica de sistema principal
C cifrado irreversible 39 (DHCP))
C2, seguridad clase de usuario consejos de seguridad 187
descripción 247 análisis de asignación 48 restricción de puerto 188
caballo de Troya discrepancia con autorización DNS (sistema de nombres de dominio
comprobación de 114 especial 83 (DNS))
descripción 113 Client Access consejos de seguridad 193
heredar autorización adoptada 112 autorización sobre objeto 222 restricción de puerto 193
cifrado de contraseñas 227 entrada preventiva 167
Índice 259
comunicaciones TCP/IP (continuación) comunicaciones TCP/IP (continuación) Consideraciones sobre seguridad para los
FTP (protocolo de transferencia de SNMP (protocolo simple de gestión de navegadores 239
archivos) red) Consola de operaciones
contraseñas no cifradas 184 consejos de seguridad 216, 217 asistente de configuración 106
evitar autoarranque del evitar autoarranque del autenticación de dispositivo 104
servidor 183 servidor 216 autenticación de usuario 104
fuente del programa de salida de restricción de puerto 216 conectividad directa 104, 105
ejemplo 233 TELNET conectividad LAN 104, 105
QMAXSIGN (número máximo de consejos de seguridad 178 consola remota 103
intentos de inicio de sesión), contraseñas no cifradas 179 criptografía 103
valor del sistema 184 evitar autoarranque del integridad de datos 105
restricción de puerto 183 servidor 178 perfiles de usuario 103
restringir el soporte de proceso por inicio de sesión automático 181 perfiles de usuario de herramientas de
lotes 185 programa de salida 180 servicio 103
HTTP (Protocolo de Transferencia de QAUTOVRT (configuración privacidad de datos 104
Hipertexto) automática del dispositivo utilización 103
restricción de puerto 213 virtual), valor del sistema 179 Consola de operaciones con conectividad
Internet Connection Secure Server QLMTSECOFR (responsable de LAN
(ICSS) seguridad de límites), valor del asistente de configuración
consejos de seguridad 206 sistema 181 contraseña de perfil de dispositivo
descripción 206 QMAXSIGN (número máximo de de herramientas de servicio 106
Internet Connection Server (ICS) intentos de inicio de sesión), perfil de dispositivo de
consejos de seguridad 200 valor del sistema 179 herramientas de servicio 106
descripción 200 QRMTSIGN (inicio de sesión cambio de contraseña 105
evitar autoarranque del remoto), valor del sistema 181 utilización 105
servidor 201 restricción de puerto 178 contenido
LPD (daemon de impresora de líneas) TFTP (protocolo trivial de herramientas de seguridad 42
consejos de seguridad 215 transferencia de archivos) contraseña
descripción 215 consejos de seguridad 189 almacenamiento 40
evitar autoarranque del restricción de puerto 189 cambio con Herramientas de Servicio
servidor 215 WSG (Workstation Gateway Server) Dedicado (DST) 32
restricción de puerto 215 consejos de seguridad 212 cambio de la proporcionada por
POP (Protocolo de Oficina Postal) descripción 212 IBM 31
consejos de seguridad 198 evitar autoarranque del cifrado
descripción 198 servidor 213 comunicaciones TCP/IP 179, 184
evitar autoarranque del Conceptos básicos de una sesión sesiones de PC 227
servidor 198 APPC 148 cifrado irreversible 39
restricción de puerto 198 conectividad de base de datos abierta comprobación del valor por
proteger aplicaciones de puerto 170 (ODBC) omisión 43
restringir control de acceso 226 definir normas 25
archivos de configuración 170 fuente del programa de salida de diferencia necesaria (QPWDRQDDIF),
dirección Internet del gestor ejemplo 233 valor del sistema
(INTNETADR), parámetro 217 Conexiones, marcación SLIP , valor establecido por el mandato
mandato STRTCP 167 control 173 CFGSYSSEC 53
salidas 218 confianza en applets firmados 240 valor recomendado 25
vagar 218 configuración automática (QAUTOCFG), exigir carácter numérico
REXECD (servidor de EXECution valor del sistema (QPWDRQDDGT), valor del sistema
remoto) valor establecido por el mandato valor establecido por el mandato
consejos de seguridad 191 CFGSYSSEC 53 CFGSYSSEC 53
restricción de puerto 191 valor recomendado 34 valor recomendado 25
RouteD (Daemon de ruta) configuración automática de dispositivo intervalo de caducidad
consejos de seguridad 192 virtual (QAUTOVRT), valor del sistema (QPWDEXPITV), valor del sistema
SLIP (Protocolo de Línea de Interfaz TELNET 179 valor establecido por el mandato
Serie) valor establecido por el mandato CFGSYSSEC 53
control 172 CFGSYSSEC 53 valor recomendado 25
descripción 172 valor recomendado 34 limitar caracteres repetidos
seguridad de marcación 175 configuración del sistema (*IOSYSCFG), (QPWDLMTREP), valor del sistema
seguridad de marcación de autorización especial valor establecido por el mandato
entrada 173 necesaria para mandatos de CFGSYSSEC 53
SMTP (protocolo simple de configuración APPC 149 valor recomendado 25
transferencia de correo) Configurar seguridad del sistema longitud máxima (QPWDMAXLEN),
consejos de seguridad 194 (CFGSYSSEC), mandato valor del sistema
descripción 194 descripción 52 valor establecido por el mandato
evitar autoarranque del utilización sugerida 25 CFGSYSSEC 53
servidor 194 Consejos de seguridad 183 valor recomendado 25
inundación 195 Consideraciones sobre seguridad para
restricción de puerto 194 Java 235
contraseña (continuación)
longitud mínima (QPWDMINLEN),
control (continuación)
dirección Internet del gestor
CH
valor del sistema (INTNETADR), parámetro 217 CHGACTPRFL (Cambiar lista de perfiles
valor establecido por el mandato inicio de sesión 25 activos), mandato
CFGSYSSEC 53 mandatos remotos 155, 229 descripción 43
valor recomendado 25 nombres de programas de utilización sugerida 37
necesidad de diferente posición en transacciones con arquitectura 127 CHGACTSCDE (Cambiar entrada de
contraseña (QPWDPOSDIF), valor PC (personal computer) 221 planificación de activación), mandato
del sistema posibilidad de restaurar 117 descripción 43
valor establecido por el mandato posibilidad de salvar 117 utilización sugerida 36
CFGSYSSEC 53 programas de salida 114 CHGBCKUP (Cambiar copia de
valor recomendado 25 programas desencadenantes 113 seguridad), mandato
por omisión 38 programas planificados 117 programa de salida 114
programa de validación sesiones APPC 149 CHGEXPSCDE (Cambiar entrada de
(QPWDVLDPGM), valor del sistema Soporte de proceso por lotes de planificación de caducidad), mandato
valor establecido por el mandato FTP 185 descripción 43
CFGSYSSEC 53 TCP/IP utilización sugerida 38
valor recomendado 25 archivos de configuración 170 CHGJRN (Cambiar diario), mandato
QPGMR (programador), perfil de entrada 167 desconexión del receptor 70, 72
usuario 54 salidas 218 CHGMSGD (Cambiar descripción de
QSRV (servicio), perfil de usuario 54 transferencia de archivos del mensaje), mandato
QSRVBAS (servicio básico), perfil de Sistema/36 64 programa de salida 114
usuario 54 control de acceso a menús CHGPFRCOL (Cambiar recogida del
QSYSOPR (operador del sistema), complementar con autorización sobre rendimiento), mandato
perfil de usuario 54 objetos 61 programa de salida 114
QUSER (usuario), perfil de descripción 60 CHGSECAUD (Cambiar auditoría de
usuario 54 entorno de transición 61 seguridad), mandato
restringir caracteres limitaciones 60 descripción 44
(QPWDLMTCHR), valor del sistema parámetros de perfil de usuario 60 utilización sugerida 130
valor establecido por el mandato control de auditoría (QAUDCTL), valor CHGSYSLIBL (Cambiar lista de
CFGSYSSEC 53 del sistema bibliotecas del sistema), mandato
valor recomendado 25 cambio 44 restricción del acceso 118
restringir caracteres adyacentes visualización 44 CHKOBJITG (Comprobar integridad de
(QPWDLMTAJC), valor del sistema Control de conexiones de marcación objetos), mandato
valor establecido por el mandato SLIP 173 descripción 48, 67, 68
CFGSYSSEC 53 Control de los servidores TCP/IP que se utilización sugerida 108
valor recomendado 25 inician automáticamente 170
supervisión de actividad 39 conversión de direcciones de red,
contraseña conocida públicamente NAT 7 D
cambio 31 Conversión de direcciones de red daemon de impresora de líneas (LDP)
contraseña de ubicación (NAT) 168 consejos de seguridad 215
APPN 149 CP (Cambiar perfil), entrada de diario descripción 215
contraseña de ubicación (LOCPWD), utilización sugerida 36, 37 evitar autoarranque del servidor 215
parámetro 148 CPF1107, mensaje 35 restricción de puerto 215
contraseña por omisión del sistema CPF1120, mensaje 35 Daemon de ruta (RouteD)
QSECOFR 95 CPSSN (sesiones de punto de control), consejos de seguridad 192
contraseña por omisión del sistema parámetro 159 datos de seguridad de herramientas de
operativo creación automática de controlador servicio
restablecer 95 (AUTOCRTCTL), parámetro 159 restauración
contraseñas Creación de un archivo continuo con las cinta 97
cambio 31 API open() o creat() 142 óptico 97
control Creación de un directorio con una restauración de perfiles
*SAVSYS (salvar sistema), autorización API 142 seleccionados 97
especial 117 Creación de un objeto utilizando una restauración de todos los perfiles 97
acceso interfaz de PC 142 salvar
a mandatos de restaurar 118 Crear carga de producto (CRTPRDLOD), cinta 97
a mandatos de salvar 118 mandato óptico 97
de la información 59 programa de salida 114 datos de seguridad de servicio
acceso a datos desde PC 221 Crear directorio, mandato 142 utilización 94
autorización adoptada 109, 110 CRTPRDLOD (Crear carga de producto), DDMACC (acceso a petición DDM),
cambios en la lista de bibliotecas 118 mandato atributo de red
conectividad de base de datos abierta programa de salida 114 fuente del programa de salida de
(ODBC) 226 ejemplo 233
contraseñas 25 restringir el acceso a datos desde
descripción de dispositivo APPC 149 PC 221
descripciones de subsistema 123 restringir mandatos remotos 229
Índice 261
DDMACC (acceso a petición DDM), diario de auditoría (QAUDJRN) DST (Herramientas de Servicio
atributo de red (continuación) cambio del receptor 72 Dedicado) (continuación)
utilización de programa de dañado 70 contraseñas 34
salida 114, 155 desconexión del receptor 70, 72
definición entradas del sistema 70
atributos de red 52
valores de seguridad 52
gestión 69
limpieza automática 70
E
Ejecutar mandato remoto
valores del sistema 52 umbral de almacenamiento de
(RUNRMTCMD), mandato
desactivación receptor 70
restringir 229
perfil de usuario 36 diario de auditoría dañado 70
Elementos básicos de las comunicaciones
desconexión diario de auditoría de seguridad
APPC 148
receptor de diario 70 impresión de entradas 48
elementos básicos de seguridad 13
receptor de diario de auditoría 70, 72 diferencia necesaria en contraseña
eliminación
descripción de controlador (QPWDRQDDIF), valor del sistema
entradas de direccionamiento
impresión de parámetros relativos a la valor establecido por el mandato
PGMEVOKE 155
seguridad 48 CFGSYSSEC 53
perfil de usuario
descripción de dispositivo dirección Internet del gestor
automática 38, 43
impresión de parámetros relativos a la (INTNETADR), parámetro
perfiles de usuario inactivos 37
seguridad 48 restringir 217
empantanarse 195
descripción de dispositivo de impresora direccionamiento de nodo
emulación de dispositivo 3270
programa de salida para páginas intermedio 158
programa de salida 114
separadoras 114 Directorio raíz, autorización de uso
ENDPFRMON (Finalizar supervisión del
descripción de subsistema público 137
rendimiento), mandato
consejos de seguridad directorios, seguridad 141
entrada de cola de trabajos 125 DLTJRNRCV (Suprimir receptor de
enlace protegido 148
entrada de comunicaciones 125 diario), mandato
entorno de usuario
entrada de direccionamiento 125 paro de la función de auditoría 72
supervisión 83
entrada de nombre de estación de DNS (sistema de nombres de dominio
entrada de cola de trabajos
trabajo 124 (DNS))
entrada de nombre de ubicación consejos de seguridad 193
entrada de comunicaciones
remota 125 restricción de puerto 193
entrada de tipo de estación de DSPACTPRFL (Visualizar lista de perfiles
modalidad 152
trabajo 124 activos)
usuario por omisión 152
entrada de trabajo de arranque descripción 43
entrada de diario
automático 124 DSPACTSCD (Visualizar planificación de
CP (Cambiar perfil)
entrada de trabajo de activación), mandato
utilización sugerida 36, 37
prearranque 126 descripción 43
envío 69
consideraciones de seguridad 33 DSPAUDJRNE (Visualizar entradas de
recibir
entrada de comunicaciones diario de auditoría), mandato
modalidad 152 descripción 48
entrada de diario SV (valor del sistema)
usuario por omisión 152 utilización sugerida 130
utilización sugerida 118
entrada de direccionamiento DSPAUTUSR (Visualizar usuarios
entrada de direccionamiento
eliminación de la entrada autorizados), mandato
PGMEVOKE 155 auditoría 65
eliminación de la entrada
impresión de parámetros relativos a la DSPEXPSCD (Visualizar planificación de
PGMEVOKE 155
seguridad 48 caducidad), mandato
entrada de estación de trabajo
supervisión de valores relevantes para descripción 43
consideraciones de seguridad 33
la seguridad 123 utilización sugerida 38
entrada de nombre de estación de trabajo
valores relevantes para la DSPLIB (Visualizar biblioteca), mandato
seguridad 123 utilización 67
entrada de nombre de ubicación remota
descripción de trabajo DSPOBJAUT (Visualizar autorización
consejos de seguridad 126 sobre objeto), mandato
entrada de pedidos (OEMENU),
impresión de parámetros relativos a la utilización 67
menú 60
seguridad 48 DSPOBJD (Visualizar descripción de
entrada de tipo de estación de trabajo
impresión de perfiles de usuario 83 objeto), mandato
Detección de programas uso de archivo de salida 66
Enviar entrada de diario (SNDJRNE)
sospechosos 107 DSPPGMADP (Visualizar programas que
command 69
DHCP (Protocolo de configuración adoptan), mandato
envío
dinámica de sistema principal (DHCP)) auditoría 68
entrada de diario 69
consejos de seguridad 187 DSPSECAUD (Visualizar auditoría de
Establecer programa de atención
restricción de puerto 188 seguridad), mandato
(SETATNPGM), mandato
diario descripción 44
gestión 70 DSPUSRPRF (Visualizar perfil de
evaluación
diario de auditoría usuario), mandato
programas planificados 117
impresión de entradas 48 uso de archivo de salida 66
salida registrada 116
trabajar con 72 DST (Herramientas de Servicio Dedicado)
cambio de contraseñas 32
evitar gestión (continuación) impresión (continuación)
conflictos de archivos de las posibilidad de salvar 108, 117 lista de programas
herramientas de seguridad 41 programas desencadenantes 113 desencadenantes 114
evitar y detectar fechorías 121 programas planificados 117 objetos con autorización de uso
explorar gestión de red (SNMP), protocolo público 49
alteraciones de objetos 67, 68 simple 216 parámetros de cola de salida relativos
a la seguridad 50
parámetros de cola de trabajos
F H relativos a la seguridad 50
programas desencadenantes 48
fechorías, evitar y detectar 121 habilitación
valores de comunicaciones relativos a
Filtrado de paquetes de Protocolo perfil de usuario
la seguridad 48
Internet (IP) 7, 168 automática 43
valores de descripción de subsistema
Finalizar supervisión del rendimiento herramientas de seguridad
relativos a la seguridad 48
(ENDPFRMON), mandato archivos 41
valores del sistema 48
programa de salida 114 autorización para mandatos 41
Imprimir atributos de seguridad del
Firewall para iSeries 400 9 conflictos de archivos 41
sistema (PRTSYSSECA), mandato
firma de objetos 122 contenido 42
descripción 48
introducción 122 mandatos 42
ejemplo de salida 19
firmas digitales menús 42
introducción 122 protección de la salida 41
Imprimir autorización de cola
física, seguridad 121 puesta a punto 41
(PRTQAUT), mandato
FMTSLR (programa de selección de salvar 42
descripción 50
formato de registro), parámetro 114 seguridad 41
forzar Herramientas de seguridad (SECTOOLS),
Imprimir autorización de descripción de
creación de programa 108 menú 42
trabajo (PRTJOBDAUT), mandato
forzar creación (FRCCRT), herramientas de servicio
descripción 48
parámetro 108 herramientas de servicio (perfiles de
FRCCRT (forzar creación), usuario) 84
Imprimir autorización de uso público,
parámetro 108 Herramientas de Servicio Dedicado (DST)
mandato (PRTPUBAUT) 6
FTP (protocolo de transferencia de cambio de contraseñas 32
Imprimir autorización privada
archivos) 183 contraseñas 34
(PRTPVTAUT), mandato 6
contraseñas no cifradas 184 herramientas de servicio del sistema
Imprimir autorizaciones privadas
evitar autoarranque del servidor 183 (SST)
(PRTPVTAUT), mandato
fuente del programa de salida de inicio de sesión 98
descripción 50
ejemplo 233 HTTP (Protocolo de Transferencia de
ejemplo 81
QMAXSIGN (número máximo de Hipertexto)
lista de autorizaciones 48, 75
intentos de inicio de sesión), valor restricción de puerto 213
del sistema 184 HTTP, servidor proxy 7
Imprimir descripción de subsistema
restricción de puerto 183 husmear 179, 228
(PRTSBSDAUT), mandato
restringir el soporte de proceso por
descripción 48
lotes 185
fuente
programas de salida de
I Imprimir objetos con autorización de uso
IBM Firewall para iSeries 400, VPN 7 público (PRTPUBAUT), mandato
seguridad 233
IBM SecureWay 253 descripción 49
función del sistema de archivos
ICS (Internet Connection Server) utilización sugerida 74, 149
consejos de seguridad 200 Imprimir objetos con autorización
funciones, acceso limitado a las del
descripción 200 privada (PRTPVTAUT), mandato 138
programa 6
evitar autoarranque del servidor 201 Imprimir objetos con autorizaciones de
funciones de seguridad, auditoría 64
ICSS (Internet Connection Secure Server) uso público (PRTPUBAUT),
consejos de seguridad 206 mandato 139
descripción 206 Imprimir objetos de usuario
G identificación (PRTUSROBJ), mandato
gestión usuario de APPC 150 descripción 48
autorización 73 ignorar inicio de sesión utilización sugerida 118
autorización adoptada 109, 110 implicaciones de seguridad 228 Imprimir objetos que adoptan
autorización de uso público 73 impresión (PRTADPOBJ), mandato
autorización especial 82 atributos de red 48 descripción 48
autorización privada 80 atributos de seguridad del utilización sugerida 110
autorización sobre objetos nuevos 74 sistema 19 Imprimir perfil de usuario (PRTUSRPRF),
colas de salida 81 entradas de diario de auditoría 48 mandato
colas de trabajos 81 información de lista de autorizaciones especiales, ejemplo 82
descripción de subsistema 123 autorizaciones 48, 75 descripción 48
diario de auditoría 69 información sobre objeto discrepancias, ejemplo 83
entorno de usuario 83 adoptado 48 información de contraseña 37, 39
listas de autorizaciones 74 lista de objetos no IBM 48 información del entorno, ejemplo 84
posibilidad de restaurar 108, 117
Índice 263
Imprimir programas desencadenantes intervalo de tiempo de espera de trabajo lista de perfiles activos
(PRTTRGPGM), mandato inactivo (QINACTITV), valor del cambio 43
descripción 48 sistema listado
utilización sugerida 114 valor establecido por el mandato contenido de biblioteca 67
Imprimir seguridad de comunicaciones CFGSYSSEC 53 perfiles de usuario seleccionados 66
(PRTCMNSEC), mandato valor recomendado 34 todas las bibliotecas 67
descripción 48 INTNETADR (dirección Internet del LOCPWD (contraseña de ubicación),
ejemplo 156, 160 gestor), parámetro parámetro 148
Imprimir valores internos de perfil restringir 217 LP, seguridad 99
(PRTPRFINT), mandato 6 inundación 195 LPD (daemon de impresora de líneas)
inactivo iSeries 400, acceso a los directorios a consejos de seguridad 215
usuario través de unidades descripción 215
listado 66 correlacionadas 239 evitar autoarranque del servidor 215
INETD 217 iSeries 400, Asesor de seguridad 23 restricción de puerto 215
Informe de objetos adoptados por perfil iSeries 400, Asistente de seguridad 6, 21
de usuario 110 iSeries 400, mandato Crear
Informe Visualizar objetos de lista de
autorizaciones Informe Lista de
directorio 142
iSeries 400, Servidor HTTP 4, 7
LL
llamada no calificada 118
objetos 75 iSeries 400e, Asesor de seguridad 6
lleno
inhabilitación
receptor de diario de auditoría
perfil de usuario
(QAUDJRN) 70
automática 37, 43
impacto 38
J
Java, aplicaciones 235
iniciación a
herramientas de seguridad 41
Java, applets 236
Java, consideraciones sobre
M
inicio mandato
seguridad 235
trabajo de paso a través 153 revocar autorización de uso
Java, servlets 236
inicio automático, control de los público 52
JOBACN (acción de trabajo de red),
servidores TCP/IP 170 mandato, CL
atributo de red 155
inicio de sesión ADDJOBSCDE (Añadir entrada de
control 25 planificación de trabajos)
establecimiento de valores del SECBATCH, menú 46
sistema 34 L ADDPFRCOL (Añadir recogida del
ignorar 228 Lightweight Directory Access Protocol rendimiento)
sin ID de usuario y contraseña 33 (LDAP) programa de salida 114
supervisión de intentos 39 características de seguridad 207, 212 ANZDFTPWD (Analizar contraseñas
Inicio de sesión, pantalla consideraciones 212 por omisión)
cambio de mensajes de error 35 ejemplo 211 descripción 43
inicio de sesión automático estructura de directorio utilización sugerida 39
TELNET 181 atributos 208 ANZPRFACT (Analizar actividad de
inicio de sesión remoto (QRMTSIGN), entradas 208 perfil)
valor del sistema objetos 208 creación de usuarios exentos 43
TELNET 181 tipo 208 descripción 43
Integrado, sistema de archivos 133 introducción 208 utilización sugerida 37
integridad usos 208 Cambiar diario (CHGJRN) 70, 72
comprobación limitación CFGSYSSEC (Configurar seguridad
descripción 67, 68 adoptada 110 del sistema)
integridad de objetos posibilidades descripción 52
auditoría 67, 68 listado de usuarios 66 utilización sugerida 25
Internet Connection Secure Server limpieza, automática Comprobar integridad de objetos
(ICSS) 9 programa de salida 114 (CHKOBJITG)
consejos de seguridad 206 limpieza automática descripción 67, 68
descripción 206 programa de salida 114 CRTPRDLOD (Crear carga de
Internet Connection Server 9 lista de autorizaciones producto)
Internet Connection Server (ICS) controlar Utilizar autorización programa de salida 114
consejos de seguridad 200 adoptada 112 CHGACTPRFL (Cambiar lista de
descripción 200 impresión de información de perfiles activos)
evitar autoarranque del servidor 201 autorización 48, 75 descripción 43
intervalo de tiempo de espera de trabajo supervisión 74 utilización sugerida 37
desconectado (QDSCJOBITV), valor del lista de bibliotecas CHGACTSCDE (Cambiar entrada de
sistema implicaciones de seguridad 118 planificación de activación)
valor establecido por el mandato lista de bibliotecas del sistema descripción 43
CFGSYSSEC 53 (QSYSLIBL), valor del sistema utilización sugerida 36
valor recomendado 34 protección 118 CHGBCKUP (Cambiar copia de
lista de copia de seguridad seguridad)
programa de salida 114 programa de salida 114
mandato, CL (continuación) mandato, CL (continuación) mandato, CL (continuación)
CHGEXPSCDE (Cambiar entrada de PRTADPOBJ (Imprimir objetos que SBMRMTCMD (Someter mandato
planificación de caducidad) adoptan) (continuación) remoto)
descripción 43 utilización sugerida 110 restringir 155
utilización sugerida 38 PRTCMNSEC (Imprimir seguridad de SETATNPGM (Establecer programa de
CHGJRN (Cambiar diario) 70, 72 comunicaciones) atención)
CHGMSGD (Cambiar descripción de descripción 48 programa de salida 114
mensaje) ejemplo 156, 160 SNDJRNE (Enviar entrada de
programa de salida 114 PRTJOBDAUT (Imprimir autorización diario) 69
CHGPFRCOL (Cambiar recogida del de descripción de trabajo) STREML3270 (Arrancar emulación de
rendimiento) descripción 48 pantalla 3270)
programa de salida 114 utilización sugerida 126 programa de salida 114
CHGSECAUD (Cambiar auditoría de PRTPUBAUT (Imprimir objetos con STRPFRMON (Arrancar supervisión
seguridad) autorización de uso público) del rendimiento)
descripción 44 descripción 48 programa de salida 114
utilización sugerida 130 utilización sugerida 74, 149 STRTCP (Arrancar TCP/IP)
CHGSYSLIBL (Cambiar lista de PRTPVTAUT (Imprimir autorizaciones restringir 167
bibliotecas del sistema) privadas) Suprimir receptor de diario
restricción del acceso 118 descripción 50 (DLTJRNRCV) 72
CHKOBJITG (Comprobar integridad ejemplo 81 Trabajar con atributos de diario
de objetos) lista de autorizaciones 48, 75 (WRKJRNA) 72
descripción 48, 67, 68 utilización sugerida 149 Trabajar con diario (WRKJRN) 72
utilización sugerida 108 PRTQAUT (Imprimir autorización de TRCJOB (Rastrear trabajo)
DLTJRNRCV (Suprimir receptor de cola) programa de salida 114
diario) 72 descripción 50 Visualizar autorización sobre objeto
DSPACTPRFL (Visualizar lista de utilización sugerida 81 (DSPOBJAUT) 67
perfiles activos) PRTSBSDAUT (Imprimir descripción Visualizar biblioteca (DSPLIB) 67
descripción 43 de subsistema) Visualizar descripción de objeto
DSPACTSCD (Visualizar planificación descripción 48 (DSPOBJD)
de activación) utilización sugerida 153 uso de archivo de salida 66
descripción 43 PRTSYSSECA (Imprimir atributos de Visualizar perfil de usuario
DSPAUDJRNE (Visualizar entradas de seguridad del sistema) (DSPUSRPRF)
diario de auditoría) descripción 48 uso de archivo de salida 66
descripción 48 ejemplo de salida 19 Visualizar programas que adoptan
utilización sugerida 130 utilización sugerida 25 (DSPPGMADP)
DSPAUTUSR (Visualizar usuarios PRTTRGPGM (Imprimir programas auditoría 68
autorizados) desencadenantes) Visualizar usuarios autorizados
auditoría 65 descripción 48 (DSPAUTUSR)
DSPEXPSCD (Visualizar planificación utilización sugerida 114 auditoría 65
de caducidad) PRTUSROBJ (Imprimir objetos de WRKJRN (Trabajar con diario) 72
descripción 43 usuario) WRKJRNA (Trabajar con atributos de
utilización sugerida 38 descripción 48 diario) 72
DSPLIB (Visualizar biblioteca) 67 utilización sugerida 118 WRKREGINF (Trabajar con
DSPOBJAUT (Visualizar autorización PRTUSRPRF (Imprimir perfil de información de registro)
sobre objeto) 67 usuario) programa de salida 116
DSPOBJD (Visualizar descripción de autorizaciones especiales, WRKSBSD (Trabajar con descripción
objeto) ejemplo 82 de subsistema 123
uso de archivo de salida 66 descripción 48 mandato, Imprimir objetos con
DSPPGMADP (Visualizar programas discrepancias, ejemplo 83 autorización privada
que adoptan) información de contraseña 37, 39 (PRTPVTAUT) 138
auditoría 68 información del entorno, mandato, Imprimir objetos con
DSPSECAUD (Visualizar auditoría de ejemplo 84 autorizaciones de uso público
seguridad) RCVJRNE (Recibir entradas de diario) (PRTPUBAUT) 139
descripción 44 programa de salida 114 mandato (PRTPUBAUT), Imprimir
DSPUSRPRF (Visualizar perfil de RUNRMTCMD (Ejecutar mandato autorización de uso público 6
usuario) remoto) mandato Crear directorio de iSeries
uso de archivo de salida 66 restringir 229 400 142
ENDPFRMON (Finalizar supervisión RVKPUBAUT (Revocar autorización mandato de restaurar
del rendimiento) de uso público) restricción del acceso 118
programa de salida 114 descripción 52 mandato de salvar
Enviar entrada de diario detalles 55 restricción del acceso 118
(SNDJRNE) 69 utilización sugerida 123 mandato Imprimir valores internos de
herramientas de seguridad 42 Salvar objeto (SAVOBJ) 72 perfil (PRTPRFINT) 6
planificación de activación 43 SAVOBJ (Salvar objeto) 72 mandato remoto
PRTADPOBJ (Imprimir objetos que SBMJOB (Someter trabajo) prevención 155, 229
adoptan) SECBATCH, menú 45 restricción con la entrada
descripción 48 PGMEVOKE 155
Índice 265
marcación automática (AUTODIAL), Nuevos objetos, seguridad 141 PC (personal computer) (continuación)
campo 160 número máximo de intentos de inicio de implicaciones del sistema de archivos
máximo sesión (QMAXSIGN), valor del sistema integrado 222
tamaño FTP (protocolo de transferencia de métodos de acceso a datos 221
receptor de diario de auditoría archivos) 184 protección de mandatos remotos 229
(QAUDJRN) 70 TELNET 179 restringir mandatos remotos 229
mejoras de seguridad 9 valor establecido por el mandato servidores de pasarela 230
Mejoras de seguridad para la V4R1 9 CFGSYSSEC 53 transferencia de archivos 221
Mejoras de seguridad para la V4R2 7 valor recomendado 34 virus en PC 221
Mejoras de seguridad para la V4R5 4 PCSACC (acceso de petición de cliente),
Mejoras de seguridad para la V5R1 3 atributo de red
mensaje
CPF1107 35
O fuente del programa de salida de
ejemplo 233
objeto
CPF1120 35 restringir el acceso a datos desde
alterado
CPF2234 185 PC 221
comprobación 67, 68
programa de salida 114 utilización de programa de
gestión de autorización sobre uno
mensaje CPF2234 185 salida 114
nuevo 74
mensaje del sistema (QSYSMSG), cola de perfil
impresión
mensajes análisis con consulta 65
autorización adoptada 48
fuente del programa de salida de usuario 65
no IBM 48
ejemplo 233 gran tamaño, examen 66
origen de autorización 48
utilización sugerida 130 listado de inactivos 66
origen de autorización
menú listado de usuarios con
impresión de lista 75
herramientas de seguridad 42 autorizaciones especiales 66
objeto, autorización 67
menú inicial (INLMNU), parámetro 83 listado de usuarios con posibilidad
objeto de usuario
Métodos que utiliza el sistema para de mandatos 66
en bibliotecas protegidas 118
enviar información sobre un listado seleccionados 66
objeto nuevo
usuario 150 perfil de dispositivo de herramientas de
gestión de autorización 74
modalidad servicio
objetos, propiedad 64
entrada de comunicaciones 152 atributos
Objetos, seguridad para nuevos 141
consola 105
objetos con autorización privada
cambio de contraseña 105
(PRTPVTAUT), mandato, Imprimir 138
N objetos con autorizaciones de uso público
contraseña 105
contraseña por omisión 105
NAT (conversión de direcciones de (PRTPUBAUT), mandato,
protección 106
red) 7 Imprimir 139
perfil de grupo
Navegadores, consideraciones sobre ODBC (conectividad de base de datos
introducción 15
seguridad 239 abierta)
perfil de usuario
nivel de auditoría (QAUDLVL), valor del control de acceso 226
activos permanentemente, lista
sistema fuente del programa de salida de
cambio 43
cambio 44 ejemplo 233
análisis
visualización 44 ofertas de servicio 253
por autorizaciones especiales 48
nivel de columna, autorizaciones para operación de compromiso
por clases de usuario 48
archivos de base de datos 7 programa de salida 114
análisis con consulta 65
nivel de contraseña operación de retrotracción
asignación para trabajo APPC 152
confirmación 98 programa de salida 114
auditoría
nivel de seguridad (QSECURITY), valor Operations Navigator, administración de
usuarios autorizados 65
del sistema aplicaciones 6
autorizaciones especiales con
descripción 13 Operations Navigator, seguridad 225
discrepancia y clase de usuario 83
valor establecido por el mandato
comprobación de la contraseña por
CFGSYSSEC 53
omisión 43
nivel de seguridad 10
autorización sobre objeto 59
P contraseña por omisión 38
página separadora control de acceso a menús 60
migrar desde 59
programa de salida 114 eliminación automática 38
nivel de seguridad 20
pantalla Visualizar usuarios autorizados eliminación de inactivos 37
(DSPAUTUSR) 65 estado inhabilitado (*DISABLED) 38
migrar desde 59
paquetes, Protocolo Internet (IP), filtrado gran tamaño, examen 66
niveles de contraseña
de 7, 168 impedir la inhabilitación 37
cambio 27, 28, 30, 31
parasitismo 158 impresión 66
definición 26
particiones lógicas 100 autorizaciones especiales 82
introducción 26
PC (personal computer) entorno 84
planificación 27
autorización sobre objeto 222 inhabilitación
nombres de programas de transacción
cifrado de contraseñas 227 automática 37
con arquitectura
control del acceso a datos 221 introducción 15
lista suministrada por IBM 128
evitar virus en PC 221 listado
nombres de programas de transacciones
ignorar inicio de sesión 228 inactivo 66
con arquitectura
implicaciones de seguridad 221 seleccionados 66
perfil de usuario (continuación) perfiles de usuario de herramientas de planificación de cambios de nivel de
usuarios con autorizaciones servicio (continuación) contraseña (continuación)
especiales 66 características (continuación) cambios de nivel de contraseña (de 0
usuarios con posibilidad de ID de usuario 88 a 2) 28
mandatos 66 lista de privilegios funcionales 88 cambios de nivel de contraseña (de 1
planificación de activación 36 creación 88 a 2) 28
planificación de caducidad 38 gestión de DST 84 cambios de nivel de contraseña (de 2
planificación de desactivación 36 habilitación 91 a 3) 30
proceso inactivo 37 inhabilitación 91 disminución de niveles de
supervisión 121 número máximo 87 contraseña 30, 31
supervisión de autorizaciones otorgar 89 QPWDLVL, cambios 27, 28
especiales 82 perfiles de usuario de herramientas de planificador de trabajos
supervisión de clases de usuario 83 servicio (DST) 84 evaluación de programas 117
supervisión de valores de entorno 83 QSECOFR POP (Protocolo de Oficina Postal)
visualización de planificación de perfil de usuario 87 consejos de seguridad 198
caducidad 38 QSRV descripción 198
perfil de usuario (RSTUSRPRF) mandato, perfil de usuario 87 evitar autoarranque del servidor 198
Restaurar 6 revocar 89 restricción de puerto 198
perfil de usuario de gran tamaño 66 supresión 90 posibilidad de APPN (ANN),
perfil proporcionado por IBM utilización 87 parámetro 158
cambio de contraseña 31 visualización 90 posibilidad de mandatos
perfiles de dispositivo de herramientas de visualización de privilegios listado de usuarios 66
servicio 92 funcionales 90 posibilidad de restaurar
atributos permitir inicio de sesión remoto control 117
cambiar valores por omisión 92 (QRMTSIGN), valor del sistema supervisión 108
otorgar 93 efecto del valor *FRCSIGNON 150 posibilidad de salvar
restablecer valores por fuente del programa de salida de control 117
omisión 93 ejemplo 233 supervisión 108
revocar 93 utilización de programa de PREESTSSN (sesión preestablecida),
autenticación 91 salida 114 parámetro 158
cambio 93 valor establecido por el mandato prevención
descripción 93 CFGSYSSEC 53 entrada TCP/IP 167
características permitir restauración de objeto procedimiento almacenado
descripción 92 (QALWOBJRST), valor del sistema como herramienta de seguridad 226
frase de paso 92 utilización sugerida 118 programa
Consola de operaciones con valor establecido por el mandato adoptar autorización
conectividad LAN 91 CFGSYSSEC 53 auditoría 68
contraseña personalización forzar creación 108
resincronizar el PC y el iSeries 92 valores de seguridad 52 oculto
restablecer 92 planificación comprobación de 114
creación 92 informes de seguridad 46 planificado
habilitación 94 perfil de usuario evaluación 117
inhabilitación 94 activación 36, 43 programa de atención
número máximo 91 caducidad 38, 43 impresión de perfiles de usuario 83
privilegios desactivación 36 programa de salida 114
otorgar 92 planificación de cambios de nivel de programa de detección de virus 108
privilegios funcionales 91 contraseña programa de salida
restablecer contraseña 92 aumento del nivel de contraseña 27, acceso de petición DDM (DDMACC),
supresión 93 28 atributo de red 114, 233
utilización 91 cambio del nivel de contraseña de 1 a acceso de petición de cliente
visualización 0 31 (PCSACC), atributo de red 114, 233
atributos 93 cambio del nivel de contraseña de 2 a API QHFRGFS 114
estado 93 0 31 API QTNADDCR 114
perfiles de usuario de herramientas de cambio del nivel de contraseña de 2 a cambiar descripción de mensaje
servicio 1 30 (mandato CHGMSGD) 114
11111111 cambio del nivel de contraseña de 3 a conectividad de base de datos abierta
perfil de usuario 87 0 30 (ODBC) 233
22222222 cambio del nivel de contraseña de 3 a crear carga de producto (mandato
perfil de usuario 87 1 30 CRTPRDLOD) 114
cambio 89 cambio del nivel de contraseña de 3 a descripción de dispositivo de
cambio de contraseña 89 2 30 impresora 114
cambio de descripción 90 cambios de nivel de contraseña descripción de mensaje 114
características planificación de cambios de evaluación 114
contraseña 88 nivel 27, 28 fuentes 233
descripción 88 cambios de nivel de contraseña (de 0 función de registro 116
fecha de caducidad 88 a 1) 27 funciones del sistema de
frase de paso 88 archivos 114
Índice 267
programa de salida (continuación) protección de integridad PRTADPOBJ (Imprimir objetos que
limpieza automática nivel de seguridad (QSECURITY) adoptan), mandato
(QEZUSRCLNP) 114 40 13 descripción 48
lista de copia de seguridad (mandato protección de integridad mejorada utilización sugerida 110
CHGBCKUP) 114 nivel de seguridad (QSECURITY) PRTCMNSEC (Imprimir seguridad de
mandato RCVJRNE 114 50 14 comunicaciones), mandato
operación de compromiso 114 proteger ubicación (SECURELOC), descripción 48
operación de retrotracción 114 parámetro 157 ejemplo 156, 160
páginas separadoras 114 *VFYENCPWD (verificar contraseña PRTJOBDAUT (Imprimir autorización de
permitir inicio de sesión remoto cifrada), valor 151, 157 descripción de trabajo), mandato
(QRMTSIGN), valor del descripción 151 descripción 48
sistema 114, 233 diagrama 148 utilización sugerida 126
programa de atención 114 Protocolo Bootstrap (BOOTP) PRTPUBAUT (Imprimir objetos con
programa de validación de contraseña consejos de seguridad 186 autorización de uso público), mandato
(QPWDVLDPGM), valor del restricción de puerto 186 descripción 48
sistema 114, 233 Protocolo de configuración dinámica de utilización sugerida 74, 149
programa QUSCLSXT 114 sistema principal (DHCP) PRTPVTAUT (Imprimir autorizaciones
QATNPGM (programa de atención), consejos de seguridad 187 privadas), mandato
valor del sistema 114 restricción de puerto 188 descripción 50
recibir entradas de diario 114 Protocolo de Línea de Interfaz Serie ejemplo 81
recogida de rendimiento 114 (SLIP) lista de autorizaciones 48, 75
selección de formato 114 control 172 utilización sugerida 149
selección de formato de archivo descripción 172 PRTQAUT (Imprimir autorización de
lógico 114 seguridad de marcación 175 cola), mandato
SETATNPGM (Establecer programa de seguridad de marcación de descripción 50
atención), mandato 114 entrada 173 utilización sugerida 81
STREML3270 (Arrancar emulación de Protocolo de Oficina Postal (POP) PRTSBSDAUT (Imprimir descripción de
pantalla 3270), mandato 114 consejos de seguridad 198 subsistema), mandato
tecla de función de emulación descripción 198 descripción 48
3270 114 evitar autoarranque del servidor 198 utilización sugerida 153
TRCJOB (Rastrear trabajo), restricción de puerto 198 PRTSYSSECA (Imprimir atributos de
mandato 114 protocolo de transferencia de archivos seguridad del sistema), mandato
uso del archivo de base de datos 114 (FTP) descripción 48
programa de salida QEZUSRCLNP 114 contraseñas no cifradas 184 ejemplo de salida 19
programa de selección de formato de evitar autoarranque del servidor 183 utilización sugerida 25
registro (FMTSLR), parámetro 114 fuente del programa de salida de PRTTRGPGM (Imprimir programas
programa de validación de contraseña ejemplo 233 desencadenantes), mandato
(QPWDVLDPGM), valor del sistema QMAXSIGN (número máximo de descripción 48
fuente del programa de salida de intentos de inicio de sesión), valor utilización sugerida 114
ejemplo 233 del sistema 184 PRTUSROBJ (Imprimir objetos de
utilización de programa de restricción de puerto 183 usuario), mandato
salida 114 restringir el soporte de proceso por descripción 48
programa desencadenante lotes 185 utilización sugerida 118
evaluación del uso 114 Protocolo de Transferencia de Hipertexto PRTUSRPRF (Imprimir perfil de usuario),
impresión de lista 114 (HTTP) mandato
listado 48 restricción de puerto 213 autorizaciones especiales, ejemplo 82
supervisión de utilización 113 Protocolo Internet (IP), filtrado de descripción 48
programa inicial (INLPGM), paquetes 7 discrepancias, ejemplo 83
parámetro 83 Protocolo punto a punto (PPP) 8 información de contraseña 37, 39
programa oculto protocolo simple de gestión de red información del entorno, ejemplo 84
comprobación de 114 (SNMP) publicaciones
programa QUSCLSXT 114 consejos de seguridad 216, 217 relacionadas 255
Programas de salida de seguridad, evitar autoarranque del servidor 216 puesta a punto
uso 233 restricción de puerto 216 auditoría de seguridad 44
programas que adoptan Protocolo simple de gestión de red Puesta de contraseñas en antememoria
visualización 68 (SNMP) 216 para clientes Windows 95 8
programas que adoptan autorización protocolo simple de transferencia de punto a punto (PPP), protocolo
limitación 110 correo (SMTP) consideraciones sobre seguridad 176
supervisión de utilización 109 consejos de seguridad 194 puntos de salida TCP/IP 10
Programas sospechosos, detección 107 descripción 194 puntos de salida TELNET 7
propiedad de objetos 64 evitar autoarranque del servidor 194 puntos de salida V4R2, TELNET 7
protección inundación 195
aplicaciones de puerto de restricción de puerto 194
TCP/IP 170
contra los virus informáticos 107
protocolo trivial de transferencia de
archivos (TFTP)
Q
QALWOBJRST 5
QALWOBJRST (permitir restauración de QLANSrv y QNetWare, sistemas de QPWDRQDDIF (diferencia necesaria en
objeto), valor del sistema archivos 143 contraseña), valor del sistema
utilización sugerida 118 QLMTSECOFR (responsable de seguridad valor establecido por el mandato
valor establecido por el mandato de límites), valor del sistema CFGSYSSEC 53
CFGSYSSEC 53 TELNET 181 valor recomendado 25
QAUDCTL (control de auditoría), valor valor establecido por el mandato QPWDVLDPGM (programa de validación
del sistema CFGSYSSEC 53 de contraseña), valor del sistema
cambio 44 valor recomendado 34 fuente del programa de salida de
visualización 44 QMAXSGNACN (acción al llegar al ejemplo 233
QAUDJRN, diario de auditoría límite de intentos de inicio de sesión), utilización de programa de
cambio del receptor 72 valor del sistema salida 114
dañado 70 valor establecido por el mandato valor establecido por el mandato
desconexión del receptor 70, 72 CFGSYSSEC 53 CFGSYSSEC 53
entradas del sistema 70 valor recomendado 34 valor recomendado 25
gestión 69 QMAXSIGN (número máximo de QPWFSERVER 140
limpieza automática 70 intentos de inicio de sesión) QRETSVRSEC (Retener datos de
umbral de almacenamiento de valor recomendado 34 seguridad del servidor), valor del
receptor 70 QMAXSIGN (número máximo de sistema
QAUDLVL (nivel de auditoría), valor del intentos de inicio de sesión), valor del descripción 40
sistema sistema utilización para la marcación de salida
cambio 44 FTP (protocolo de transferencia de de SLIP 176
visualización 44 archivos) 184 QRMTSIGN (inicio de sesión remoto),
QAUTOCFG (configuración automática), TELNET 179 valor del sistema
valor del sistema valor establecido por el mandato TELNET 181
valor establecido por el mandato CFGSYSSEC 53 QRMTSIGN (permitir inicio de sesión
CFGSYSSEC 53 QPGMR (programador), perfil de usuario remoto), valor del sistema
valor recomendado 34 contraseña establecida con el mandato efecto del valor *FRCSIGNON 150
QAUTOVRT (configuración automática CFGSYSSEC 54 fuente del programa de salida de
del dispositivo virtual), valor del QPWDEXPITV (intervalo de caducidad ejemplo 233
sistema de contraseña), valor del sistema utilización de programa de
TELNET 179 valor establecido por el mandato salida 114
valor establecido por el mandato CFGSYSSEC 53 valor establecido por el mandato
CFGSYSSEC 53 valor recomendado 25 CFGSYSSEC 53
valor recomendado 34 QPWDLMTAJC (restricción de caracteres QSECURITY (nivel de seguridad), valor
QCONSOLE adyacentes en contraseña), valor del del sistema
contraseña por omisión 105 sistema descripción 13
QDCRDEVD (Recuperar descripción de valor establecido por el mandato valor establecido por el mandato
dispositivo), API 181 CFGSYSSEC 53 CFGSYSSEC 53
QDEVRCYACN (acción de recuperación valor recomendado 25 QSRV (servicio), perfil de usuario
de dispositivo), valor del sistema QPWDLMTCHR (restricción de caracteres contraseña establecida con el mandato
evitar riesgos en la seguridad 155 en contraseña), valor del sistema CFGSYSSEC 54
valor establecido por el mandato valor establecido por el mandato QSRVBAS (servicio básico), perfil de
CFGSYSSEC 53 CFGSYSSEC 53 usuario
valor recomendado 34 valor recomendado 25 contraseña establecida con el mandato
QDSCJOBITV (intervalo de tiempo de QPWDMAXLEN (longitud máxima de CFGSYSSEC 54
espera de trabajo desconectado), valor contraseña), valor del sistema QSYS.LIB, sistema de archivos, restricción
del sistema valor establecido por el mandato del acceso 140
valor establecido por el mandato CFGSYSSEC 53 QSYS38 (Sistema/38), biblioteca
CFGSYSSEC 53 valor recomendado 25 restringir mandatos 64
valor recomendado 34 QPWDMINLEN (longitud mínima de QSYSCHID (Cambiar el uid) API 145
QDSPSGNINF (visualizar información de contraseña), valor del sistema QSYSLIBL (lista de bibliotecas del
inicio de sesión), valor del sistema valor establecido por el mandato sistema), valor del sistema
valor establecido por el mandato CFGSYSSEC 53 protección 118
CFGSYSSEC 53 valor recomendado 25 QSYSMSG (mensaje del sistema), cola de
valor recomendado 34 QPWDPOSDIF (necesidad de diferente mensajes
QFileSvr.400, sistema de archivos 143 posición en contraseña), fuente del programa de salida de
QINACTITV (intervalo de tiempo de valor establecido por el mandato ejemplo 233
espera de trabajo inactivo), valor del CFGSYSSEC 53 utilización sugerida 130
sistema valor recomendado 25 QSYSOPR (operador del sistema), perfil
valor establecido por el mandato QPWDRQDDGT (necesidad de carácter de usuario
CFGSYSSEC 53 numérico en contraseña), valor del contraseña establecida con el mandato
valor recomendado 34 sistema CFGSYSSEC 54
QINACTMSGQ (cola de mensajes de valor establecido por el mandato QUSEADPAUT (utilizar autorización
trabajo inactivo), valor del sistema CFGSYSSEC 53 adoptada), valor del sistema 112
valor establecido por el mandato valor recomendado 25 QUSER (usuario), perfil de usuario
CFGSYSSEC 53 contraseña establecida con el mandato
valor recomendado 34 CFGSYSSEC 54
Índice 269
QVFYOBJRST (Verificar restauración de Revocar autorización de uso público seguridad, auditoría (continuación)
objeto) (RVKPUBAUT), mandato sugerencias para la utilización
valor del sistema 122 descripción 52 (continuación)
QVFYOBJRST (verificar restauración de detalles 55 nivel de auditoría *PGMADP 110
objeto), valor del sistema utilización sugerida 123 valor *PGMFAIL 108
utilización sugerida 118 REXECD (servidor de EXECution remoto) valor *SAVRST 108
consejos de seguridad 191 valor *SECURITY 108
restricción de puerto 191 visión general 130
R RouteD (Daemon de ruta)
seguridad, auditoría de funciones de 64
seguridad, iSeries 400 Asesor 23
Raíz (/), QOpenSys y definidos por
RUNRMTCMD (Ejecutar mandato seguridad, iSeries 400 Asistente 21
usuario, sistemas de archivos 135
remoto), mandato seguridad, Mejoras para la V4R1 9
Rastrear trabajo (TRCJOB), mandato
restringir 229 Seguridad, método del Sistema de
RVKPUBAUT (Revocar autorización de archivos integrado 133
RCVJRNE (Recibir entradas de diario)
uso público), mandato seguridad, particiones lógicas 100
descripción 52 Seguridad, uso de programas de
receptor
detalles 55 salida 233
cambio 72
utilización sugerida 123 seguridad C2
desconexión 70, 72
descripción 247
salvar 72
seguridad de bibliotecas 63
supresión 72
receptor de diario S seguridad de inicio de sesión
definición 13
cambio 72 salida registrada
seguridad de instalación del sistema
desconexión 70, 72 evaluación 116
operativo
gestión 70 salvar
cambio 96
supresión 72 herramientas de seguridad 42
no protegido 96
receptor de diario de auditoría receptor de diario de auditoría 72
protegido 96
salvar 72 Salvar objeto (SAVOBJ), mandato 72
seguridad de las comunicaciones
supresión 72 SAVOBJ (Salvar objeto), mandato
APPC 147
recibir entradas de diario salvar receptor de diario de
Seguridad de los directorios 141
programa de salida 114 auditoría 72
seguridad de menú’.control de acceso a
Recibir entradas de diario (RCVJRNE) SBMJOB (Someter trabajo), mandato
menús
programa de salida 114 SECBATCH, menú 45
complementar con autorización sobre
recogida de rendimiento SBMRMTCMD (Someter mandato
objetos 61
programa de salida 114 remoto), mandato
descripción 60
recomendación restringir 155
entorno de transición 61
valores del sistema de contraseña 25 SECBATCH (Someter informes de
limitaciones 60
valores del sistema de inicio de proceso por lotes), menú
parámetros de perfil de usuario 60
sesión 34 operación de someter informes 45
seguridad de recursos
recuperación planificación de informes 46
acceso limitado
diario de auditoría dañado 70 SECTOOLS (Herramientas de seguridad),
introducción 16
red, sistema de archivos 144 menú 42
definición 13
red (SNMP), protocolo simple de SECURE(NONE)
Seguridad en LP 99
gestión 216 descripción 150
seguridad física 121
Red privada virtual (VPN) 5 SECURE(PROGRAM)
Seguridad para los sistemas de archivos
referencias, Autorización 7 descripción 150
raíz (/), QOpenSys y los definidos por
relacionadas, publicaciones 255 SECURE(SAME)
el usuario 137
responsable de seguridad de límites descripción 150
Seguridad para nuevos objetos 141
(QLMTSECOFR), valor del sistema SECURELOC (proteger ubicación),
seguridad por recursos
TELNET 181 parámetro 157
introducción 15
valor establecido por el mandato *VFYENCPWD (verificar contraseña
Seguridad y Operations Navigator 225
CFGSYSSEC 53 cifrada), valor 151, 157
Server, Internet Connection 9
valor recomendado 34 descripción 151
Service Tools Server (STS)
respuesta automática (AUTOANS), diagrama 148
configuración
campo 160 SecureWay 253
DST 85
Restaurar perfil de usuario (RSTUSRPRF), SECURITY(NONE)
OS/400 86
mandato 6 con el valor *FRCSIGNON para el
DST (herramientas de servicio) 85
Restricción del acceso al sistema de valor del sistema QRMTSIGN 150
gestión de disco 85
archivos QSYS.LIB 140 seguridad
parámetros 86
restringir las sesiones APPC 149 comunicaciones TCP/IP 167
particiones lógicas 85, 100
Retener datos de seguridad del servidor herramientas de seguridad 41
tabla de servicios
(QRETSVRSEC), valor del sistema seguridad, auditoría
configuración 86
descripción 40 sugerencias para la utilización
Servicios de revisión de seguridad 253
utilización para la marcación de salida auditoría de objetos 167
servidor
de SLIP 176 CP (Cambiar perfil), entrada de
definición 147
revocar diario 36, 37
servidor de EXECution remoto (REXECD)
autorización de uso público 52 entrada de diario SV (valor del
sistema) 118
servidor de EXECution remoto SNDJRNE (Enviar entrada de diario), supresión
(REXECD) (continuación) mandato 69 receptor de diario de auditoría 72
restricción de puerto 191 SNGSSN (una sola sesión), Suprimir receptor de diario
servidor de pasarela parámetro 158 (DLTJRNRCV), mandato 72
elementos de seguridad 230 SNMP (protocolo simple de gestión de
Servidor HTTP para iSeries 400 4, 7 red)
Servidor proxy HTTP 7
Servlets Java 236
consejos de seguridad 216, 217
evitar autoarranque del servidor 216
T
TCP/IP
Sesión APPC, conceptos básicos 148 restricción de puerto 216
punto a punto (PPP), protocolo
sesión preestablecida (PREESTSSN), someter
consideraciones sobre
parámetro 158 informes de seguridad 45
seguridad 176
sesiones APPC, restricción 149 Someter mandato remoto
TCP/IP, puntos de salida 10
sesiones de punto de control (CPSSN), (SBMRMTCMD)
TELNET
parámetro 159 restringir 155
SETATNPGM (Establecer programa de Someter trabajo (SBMJOB), mandato
contraseñas no cifradas 179
atención), mandato SECBATCH, menú 45
descripción 178
programa de salida 114 soporte de gestión de cambio de diario
Sistema/38 (QSYS38), biblioteca del sistema 70
inicio de sesión automático 181
restringir mandatos 64 soporte de idioma nacional
sistema basado en objetos autorización sobre objeto 64
QAUTOVRT (configuración
implicaciones de seguridad 59 Soporte de servidor de archivos TCP/IP
automática del dispositivo virtual),
protección contra los virus para OS/400, programa bajo
valor del sistema 179
informáticos 107 licencia 219
QLMTSECOFR (responsable de
sistema cliente SSL
seguridad de límites), valor del
definición 147 utilización con Client Access
sistema 181
sistema de archivos, QFileSvr.400 143 Express 224
QMAXSIGN (número máximo de
Sistema de archivos, restricción del acceso STRPFRMON (Arrancar supervisión del
intentos de inicio de sesión), valor
a QSYS.LIB 140 rendimiento), mandato
del sistema 179
sistema de archivos de red 144 programa de salida 114
QRMTSIGN (inicio de sesión remoto),
sistema de archivos integrado STRTCP (Arrancar TCP/IP), mandato
valor del sistema 181
implicaciones de seguridad 222 restringir 167
Sistema de archivos integrado 133 STS (Service Tools Server)
TELNET, puntos de salida 7
Sistema de archivos integrado, configuración
temporizador de desconexión,
seguridad 133 DST 85
parámetro 159
sistema de destino OS/400 86
TFTP (protocolo trivial de transferencia
definición 147 DST (herramientas de servicio) 85
de archivos)
sistema de nombres de dominio (DNS) gestión de disco 85
consejos de seguridad 193 parámetros 86
restricción de puerto 193 particiones lógicas 85, 100
trabajar con
sistema de origen tabla de servicios
atributos de diario 72
definición 147 configuración 86
Trabajar con atributos de diario
sistema local subir
(WRKJRNA), mandato 72
definición 147 autorización necesaria 223
Trabajar con descripción de subsistema
sistema remoto supervisión
(WRKSBSD), mandato 123
definición 147 actividad de contraseña 39
Trabajar con diario (WRKJRN),
sistemas de archivos, QLANSrv y actividad de inicio de sesión 39
mandato 72
QNetWare 143 anomalía de programa 68
Trabajar con información de registro
Sistemas de archivos, seguridad para raíz autorización 73
(WRKREGINF), mandato
(/), QOpenSys y definidos por autorización adoptada 109, 110
usuario 137 autorización de uso público 73
trabajo APPC
Sistemas de archivos raíz (/), QOpenSys autorización especial 82
asignación de perfil de usuario 152
y definidos por usuario 135 autorización privada 80
trabajo de paso a través
sitio Web seguro 206 autorización sobre objeto 67
inicio 153
SLIP (Protocolo de Línea de Interfaz autorización sobre objetos nuevos 74
trabajo remoto
Serie) colas de salida 81
prevención 155
control 172 colas de trabajos 81
transferencia de archivos
descripción 172 descripción de subsistema 123
PC (personal computer) 221
seguridad de marcación 175 entorno de usuario 83
restringir 64
seguridad de marcación de integridad de objetos 67, 68
transferencia de archivos del Sistema/36
entrada 173 listas de autorizaciones 74
restringir 64
SMTP (protocolo simple de transferencia perfil de usuario
TRCJOB (Rastrear trabajo), mandato
de correo) modificaciones 121
consejos de seguridad 194 posibilidad de restaurar 108, 117
descripción 194 posibilidad de salvar 108, 117
evitar autoarranque del servidor 194 programas desencadenantes 113
inundación 195 programas planificados 117
Índice 271
U valor de seguridad
definición 52
valor del sistema (continuación)
QMAXSGNACN (acción al llegar al
uid valor de validación 108 límite de intentos de inicio de
cambio 145 valor de validación del programa 108 sesión)
una sola sesión (SNGSSN), valor del sistema valor establecido por el mandato
parámetro 158 impresión relativa a la seguridad 19, CFGSYSSEC 53
unidades correlacionadas, acceso a los 48 QMAXSIGN (número máximo de
directorios de iSeries 400 239 inicio de sesión intentos de inicio de sesión)
USEADPAUT (utilizar autorización recomendaciones 34 FTP (protocolo de transferencia de
adoptada), parámetro 111 introducción 14 archivos) 184
uso del archivo mandato para establecer 52 TELNET 179
programa de salida 114 QALWOBJRST (permitir restauración valor establecido por el mandato
usuario de objeto) CFGSYSSEC 53
trabajo APPC 150 utilización sugerida 118 valor recomendado 34
usuario, métodos que utiliza el sistema valor establecido por el mandato QPWDEXPITV (intervalo de
para enviar información sobre un 150 CFGSYSSEC 53 caducidad de contraseña)
usuario (RSTUSRPRF) mandato, QAUDCTL (control de auditoría) valor establecido por el mandato
Restaurar perfil de 6 cambio 44 CFGSYSSEC 53
usuario de APPC obtiene acceso al visualización 44 valor recomendado 25
sistema destino 150 QAUDLVL (nivel de auditoría) QPWDLMTAJC (restricción de
usuario por omisión cambio 44 caracteres adyacentes en contraseña)
entrada de comunicaciones visualización 44 valor establecido por el mandato
valores posibles 152 QAUTOCFG (configuración CFGSYSSEC 53
para arquitectura TPN 127 automática) valor recomendado 25
usuario público valor establecido por el mandato QPWDLMTCHR (restricción de
definición 73 CFGSYSSEC 53 caracteres en contraseña)
usuarios de marcación accediendo a otros valor recomendado 34 valor establecido por el mandato
sistemas, cómo evitarlo 175 QAUTOVRT (configuración CFGSYSSEC 53
Utilización de SSL con Client Access automática de dispositivo virtual) valor recomendado 25
Express 224 TELNET 179 QPWDLMTREP (límite de caracteres
utilizar autorización adoptada valor establecido por el mandato repetidos en contraseña)
(QUSEADPAUT), valor del CFGSYSSEC 53 valor establecido por el mandato
sistema 112 valor recomendado 34 CFGSYSSEC 53
utilizar autorización adoptada QDEVRCYACN (acción de valor recomendado 25
(USEADPAUT), parámetro 111 recuperación de dispositivo) QPWDLMTREP (necesidad de
evitar riesgos en la seguridad 155 diferente posición en contraseña)
valor establecido por el mandato valor establecido por el mandato
V CFGSYSSEC 53 CFGSYSSEC 53
V4R1 valor recomendado 34 valor recomendado 25
mejoras de seguridad 9 QDSCJOBITV (intervalo de tiempo de QPWDLVL (nivel de contraseña)
V4R1, (ICSS), Internet Connection Secure espera de trabajo desconectado) valor recomendado 25
Server 9 valor establecido por el mandato QPWDMAXLEN (longitud máxima de
V4R1, Firewall para iSeries 400 9 CFGSYSSEC 53 contraseña)
V4R1, Internet Connection Secure Server valor recomendado 34 valor establecido por el mandato
(ICSS) 9 QDSPSGNINF (visualizar información CFGSYSSEC 53
V4R1, Internet Connection Server 9 de inicio de sesión) valor recomendado 25
V4R1, Mejoras de seguridad para 9 valor establecido por el mandato QPWDMINLEN (longitud mínima de
V4R1, Server, Internet Connection 9 CFGSYSSEC 53 contraseña)
V4R2, (PPP), Protocolo punto a punto 8 valor recomendado 34 valor establecido por el mandato
V4R2, actualización, autorización 7 QINACTITV (intervalo de tiempo de CFGSYSSEC 53
V4R2, autorización de actualización 7 espera de trabajo inactivo) valor recomendado 25
V4R2, Autorización de referencias 7 valor establecido por el mandato QPWDRQDDGT (necesidad de
V4R2, clientes Windows 95, puesta de CFGSYSSEC 53 carácter numérico en contraseña)
contraseñas en antememoria para 8 valor recomendado 34 valor establecido por el mandato
V4R2, Mejoras de seguridad 7 QINACTMSGQ (cola de mensajes de CFGSYSSEC 53
V4R2, Protocolo punto a punto (PPP) 8 trabajo inactivo) valor recomendado 25
V4R2, Puesta de contraseñas en valor establecido por el mandato QPWDRQDDIF (diferencia necesaria
antememoria para clientes Windows CFGSYSSEC 53 en contraseña)
95 8 valor recomendado 34 valor establecido por el mandato
V4R2, puntos de salida TELNET 7 QLMTSECOFR (responsable de CFGSYSSEC 53
V4R2, referencias, Autorización 7 seguridad de límites) valor recomendado 25
V4R5, Mejoras de seguridad 4 TELNET 181 QPWDVLDPGM (programa de
V4R5, Puntos de salida, TCP/IP 10 valor establecido por el mandato validación de contraseña)
V4R5, Puntos de salida TCP/IP 10 CFGSYSSEC 53 fuente del programa de salida de
V5R1, Mejoras de seguridad 3 valor recomendado 34 ejemplo 233
vagar, TCP/IP utilización de programa de
restringir 218 salida 114
valor del sistema (continuación) visualización (continuación) WSG (Workstation Gateway Server)
valor establecido por el mandato perfil de usuario (continuación) (continuación)
CFGSYSSEC 53 planificación de caducidad 43 descripción 212
valor recomendado 25 programas que adoptan 68 evitar autoarranque del servidor 213
QRETSVRSEC (Retener datos de QAUDCTL (control de auditoría),
seguridad del servidor) valor del sistema 44
utilización para la marcación de QAUDLVL (nivel de auditoría), valor
salida de SLIP 176 del sistema 44
QRMTSIGN (inicio de sesión remoto) usuarios autorizados 65
TELNET 181 Visualizar auditoría de seguridad
QRMTSIGN (permitir inicio de sesión (DSPSECAUD), mandato
remoto) descripción 44
efecto del valor Visualizar autorización sobre objeto
*FRCSIGNON 150 (DSPOBJAUT), mandato 67
fuente del programa de salida de Visualizar biblioteca (DSPLIB),
ejemplo 233 mandato 67
utilización de programa de Visualizar descripción de objeto
salida 114 (DSPOBJD), mandato
valor establecido por el mandato uso de archivo de salida 66
CFGSYSSEC 53 Visualizar entradas de diario de auditoría
QSECURITY (nivel de seguridad) (DSPAUDJRNE), mandato
descripción 13 descripción 48
valor establecido por el mandato utilización sugerida 130
CFGSYSSEC 53 visualizar información de inicio de sesión
QSYSLIBL (lista de bibliotecas del (QDSPSGNINF), valor del sistema
sistema) valor establecido por el mandato
protección 118 CFGSYSSEC 53
QUSEADPAUT (utilizar autorización valor recomendado 34
adoptada) 112 Visualizar Pantalla de descripción de
Retener datos de seguridad del subsistema 124
servidor (QRETSVRSEC) Visualizar perfil de usuario
descripción 40 (DSPUSRPRF), mandato
seguridad uso de archivo de salida 66
definición 52 Visualizar planificación de activación
valores de seguridad con arquitectura (DSPACTSCD), mandato
con el parámetro SECURELOC descripción 43
(proteger ubicación) 151 Visualizar planificación de caducidad
descripción 150 (DSPEXPSCD), mandato
ejemplos de aplicación 150 descripción 43
valores globales 14 utilización sugerida 38
verificar contraseña cifrada Visualizar programas que adoptan
(*VFYENCPWD), valor 151, 157 (DSPPGMADP), mandato
verifificar restauración de objeto auditoría 68
(QVFYOBJRST), valor del sistema Visualizar usuarios autorizados
utilización sugerida 118 (DSPAUTUSR), mandato
virus auditoría 65
definición 107 VPN en el IBM Firewall para iSeries
detección 67, 68 400 7
detección de 108
exploración 67, 68
mecanismos de protección del
iSeries 108
W
Workstation Gateway Server (WSG)
protección contra 107
virus informático
descripción 212
definición 107
detección de 108
WRKJRN (Trabajar con diario), mandato
mecanismos de protección del
utilización 72
iSeries 108
WRKJRNA (Trabajar con atributos de
protección contra 107
diario), mandato
visualización
utilización 72
auditoría de seguridad 44
WRKREGINF (Trabajar con información
de registro), mandato
miembros de perfil de grupo 62
perfil de usuario
WRKSBSD (Trabajar con descripción de
autorizaciones privadas 127
subsistema), mandato 123
lista de perfiles activos 43
WSG (Workstation Gateway Server)
planificación de activación 43
Índice 273
Hoja de Comentarios
iSeries
Versión 5
Número de Publicación SC10-3122-05
Por favor, sírvase facilitarnos su opinión sobre esta publicación, tanto a nivel general (organización, contenido,
utilidad, facilidad de lectura,...) como a nivel específico (errores u omisiones concretos). Tenga en cuenta que los
comentarios que nos envíe deben estar relacionados exclusivamente con la información contenida en este manual
y a la forma de presentación de ésta.
Para realizar consultas técnicas o solicitar información acerca de productos y precios, por favor diríjase a su
sucursal de IBM, business partner de IBM o concesionario autorizado.
Para preguntas de tipo general, llame a ″IBM Responde″ (número de teléfono 901 300 000).
Al enviar comentarios a IBM, se garantiza a IBM el derecho no exclusivo de utilizar o distribuir dichos
comentarios en la forma que considere apropiada sin incurrir por ello en ninguna obligación con el remitente.
Comentarios:
Gracias por su colaboración.

Para enviar sus comentarios:
v Envíelos por correo a la dirección indicada en el reverso.
v Envíelos por fax al número siguiente: España Desde España: (93) 321 61 34
Si desea obtener respuesta de IBM, rellene la información siguiente:
Nombre Dirección
Compañía
Número de teléfono Dirección de e-mail

Hoja de Comentarios
SC10-3122-05
IBM
IBM S.A.
National Language Solutions Center
Av. Diagonal, 571
08029 Barcelona
España
SC10-3122-05
IBM
Printed in Denmark by IBM Danmark A/S
SC10-3122-05

Consejos y Herramientas para La Seguridad Del Iseries PDF

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Consejos y Herramientas para La Seguridad Del Iseries PDF

Cargado por

Copyright:

Formatos disponibles

IBM

Sexta Edición (Mayo 2001)

Resumen de los cambios. . . . . . . xv Capítulo 5. Cómo realizar la puesta a

Capítulo 2. Elementos básicos de la Parte 3. Consejos para la seguridad

© Copyright IBM Corp. 1996, 2001 iii

iv iSeries 400 Consejos y herramientas para la seguridad del iSeries V5R1

vi iSeries 400 Consejos y herramientas para la seguridad del iSeries V5R1

© Copyright IBM Corp. 1996, 2001 vii

© Copyright IBM Corp. 1996, 2001 ix

De pronto parece que los sistemas tienen un conjunto de puertas y ventanas

Este libro proporciona consejos prácticos para la utilización de las funciones de

| En este libro también se describe cómo configurar y utilizar las herramientas de

A quién está dirigido este manual

Si es el responsable de la administración de la seguridad de uno o varios sistemas

© Copyright IBM Corp. 1996, 2001 xi

| Nota: En el “Capítulo 2. Elementos básicos de la seguridad de iSeries” en la

Cómo utilizar esta publicación

Seleccione lo que necesite

| Requisitos e información relacionada

| El Information Center contiene asesores y temas de importancia como, por

| Con cada nuevo pedido de hardware, recibirá la siguiente información en

| Para obtener más información sobre Operations Navigator, consulte el Information

Cómo enviar sus comentarios

| También se han realizado otras modificaciones técnicas y tipográficas de menor

© Copyright IBM Corp. 1996, 2001 xv

Por el picor que hay en mis dedos

© Copyright IBM Corp. 1996, 2001 1

| El iSeries Information Center (IC) es su recurso principal para buscar

| Para obtener más información sobre cómo acceder al Information Center,

© Copyright IBM Corp. 1996, 2001 3

Mejoras de seguridad para la V4R5

4 iSeries 400 Consejos y herramientas para la seguridad del iSeries V5R1

Los Servicios de Directorio iSeries incluyen las siguientes mejoras y nuevas

Mejoras de seguridad para la V4R4

Capítulo 1. Mejoras en la seguridad de iSeries 400 5

Mejoras de seguridad para la V4R3

Asesor de seguridad iSeries 400e: El Asesor de seguridad es una herramienta,

Asistente de seguridad iSeries 400: El Asistente de seguridad le ayuda a configurar

Mandato Imprimir valores internos de perfil (PRTPRFINT): Puede utilizar el

Mandato Imprimir autorización privada (PRTPVTAUT) e Imprimir autorización

Mandato Restaurar perfil de usuario (RSTUSRPRF): La autorización especial

6 iSeries 400 Consejos y herramientas para la seguridad del iSeries V5R1

NAT (conversión de direcciones de red): La Conversión de direcciones de red (NAT)

En la V4R3 se introdujo la Conversión de direcciones de red (NAT) para el

Mejoras de seguridad para la V4R2

Puede disponer de la posibilidad de otorgar y revocar la autorización a nivel de

Capítulo 1. Mejoras en la seguridad de iSeries 400 7

El apartado Consideraciones de seguridad para el Protocolo punto a punto de esta

El estándar de la industria para los certificados digitales es el formato X.509. Los

8 iSeries 400 Consejos y herramientas para la seguridad del iSeries V5R1

Internet Connection Secure Server: Con la V4R1, el nuevo Internet Connection

El IBM Firewall para iSeries 400 proporciona las siguientes posibilidades:

Capítulo 1. Mejoras en la seguridad de iSeries 400 9

Net.Commerce para iSeries: El Internet Connection Server y el Internet Connection

Para obtener la información más actualizada acerca de las ofertas de correo

Puntos de salida TCP/IP: A partir de la V4R1, más aplicaciones TCP/IP utilizan

10 iSeries 400 Consejos y herramientas para la seguridad del iSeries V5R1

© Copyright IBM Corp. 1996, 2001 11

A partir de la V4R3 y en futuros releases, no podrá establecer

© Copyright IBM Corp. 1996, 2001 13

Nota: El nivel 50 es el nivel necesario para la certificación de C2 (y para la

El capítulo 2 de la publicación iSeries Security Reference proporciona más

14 iSeries 400 Consejos y herramientas para la seguridad del iSeries V5R1