Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Consejos y Herramientas para La Seguridad Del Iseries PDF
Consejos y Herramientas para La Seguridad Del Iseries PDF
iSeries
Consejos y herramientas para la seguridad del iSeries
Versión 5
SC10-3122-05
IBM
iSeries
Consejos y herramientas para la seguridad del iSeries
Versión 5
SC10-3122-05
Nota
Antes de utilizar esta información y el producto al que da soporte, asegúrese de leer la
información de los artículos sobre Seguridad básica que encontrará en línea en el Information
Center. La dirección de URL de Internet es http://www.ibm.com/eserver/iseries/infocenter.
Contenido v
Consejos para controlar el acceso de LPD . . . 215 Aplicaciones Java . . . . . . . . . . . . 235
Consejos de seguridad para el Protocolo simple de Applets Java. . . . . . . . . . . . . . 236
gestión de red . . . . . . . . . . . . . 216 Servlets Java. . . . . . . . . . . . . . 236
Consejos para evitar el acceso SNMP . . . . 216 Autenticación y autorización de Java . . . . . 237
Consejos para controlar el acceso de SNMP . . 217
Consejos de seguridad para el servidor INETD . . 217 Capítulo 18. Consideraciones de
Consejos para limitar la posibilidad de vagar por la seguridad para los navegadores . . . 239
red con TCP/IP . . . . . . . . . . . . 218
Riesgo: Daños en el PC local . . . . . . . . 239
Consejos para la seguridad del programa bajo
Riesgo: Acceso a los directorios de iSeries a través
licencia Soporte de servidor de archivos TCP/IP
de unidades correlacionadas . . . . . . . . 239
para OS/400. . . . . . . . . . . . . . 219
Riesgo: Confianza en applets firmados . . . . . 240
| Utilización de VPN para asegurar las aplicaciones
| TCP/IP . . . . . . . . . . . . . . . 220
Capítulo 19. Consejos para la
Capítulo 15. Consejos para la seguridad de Domino para iSeries . . 241
seguridad del PC . . . . . . . . . . 221
Consejos para evitar los virus en el PC . . . . . 221 Parte 5. Consejos y herramientas
Consejos para la seguridad del acceso a datos para la seguridad de Internet en
desde PC . . . . . . . . . . . . . . . 221
iSeries 400 . . . . . . . . . . . . 243
Autorización sobre objetos con acceso desde PC 222
Administración de aplicaciones de Client Access 223
Utilización de SSL con Client Access Express 224 Parte 6. Apéndices . . . . . . . . 245
Seguridad y Operations Navigator . . . . . 225
Consejos para el acceso de ODBC (conectividad de Apéndice. IBM SecureWay: iSeries
base de datos abierta) . . . . . . . . . . 226
400 e Internet . . . . . . . . . . . 247
Consideraciones de seguridad sobre las contraseñas
Seguridad C2 . . . . . . . . . . . . . 247
de sesión de PC . . . . . . . . . . . . 227
Consejos para proteger el iSeries de mandatos y
procedimientos remotos . . . . . . . . . . 229 Avisos . . . . . . . . . . . . . . 249
Consejos para proteger a los PC de mandatos y Marcas registradas. . . . . . . . . . . . 251
procedimientos remotos . . . . . . . . . . 229
Consejos para los servidores de pasarela . . . . 230 Dónde obtener más información y
Consejos para las comunicaciones LAN ayuda. . . . . . . . . . . . . . . 253
inalámbricas. . . . . . . . . . . . . . 231 Acerca de IBM SecureWay . . . . . . . . . 253
Ofertas de servicio . . . . . . . . . . . 253
Capítulo 16. Consejos para el uso de Publicaciones relacionadas . . . . . . . . . 255
los programas de salida de seguridad. 233
Índice. . . . . . . . . . . . . . . 257
Capítulo 17. Consideraciones sobre
seguridad para Java . . . . . . . . 235
Los sistemas proporcionan un gran número de nuevas funciones que son muy
distintas de las aplicaciones de contabilidad tradicionales. Los usuarios entran en
los sistemas con métodos nuevos: redes LAN, de líneas conmutadas (de
marcación), inalámbricas; en resumen, redes de todo tipo. A menudo, los usuarios
no ven jamás una pantalla de conexión. Numerosas organizaciones se están
convirtiendo en “compañías distribuidas”, ya sea con redes propietarias o con
Internet.
| IBM amplía continuamente las funciones de seguridad del iSeries. Para beneficiarse
| de estas mejoras, es necesario evaluar regularmente el paquete de arreglos
| acumulativos que esté disponible en cada momento para el release del que
| disponga. Compruebe si contiene arreglos que conciernan a la seguridad. Además,
| en el “Capítulo 1. Mejoras en la seguridad de iSeries 400” en la página 3 se
| describen las mejoras más importantes para la seguridad del iSeries que ha
| realizado IBM en los releases más recientes del sistema operativo.
xii iSeries 400 Consejos y herramientas para la seguridad del iSeries V5R1
| Information Center: Manuales suplementarios, SK3T-7770-00 (SK3T-4092-00), que
| sustituye al CD-ROM de biblioteca en soporte software.
Acerca de Consejos y herramientas para la seguridad del iSeries 400 (SC41-5300) xiii
v Si prefiere enviar los comentarios por FAX, utilice cualquiera de los números
siguientes:
– Desde España: (93) 321 61 34
– Desde otros países: 34 93 321 61 34
Asegúrese de incluir lo siguiente:
v El nombre del libro.
v El número de publicación del libro.
v El número de página o el tema al que hacen referencia sus comentarios.
xiv iSeries 400 Consejos y herramientas para la seguridad del iSeries V5R1
Resumen de los cambios
| Esta es la sexta edición de Tips and Tools for Securing Your iSeries. Esta edición da
| soporte a las versiones V4R1, V4R2, V4R3, V4R4, V4R5 y V5R1 de OS/400. Para
| ver qué se ofrece en cada uno de estos releases del OS/400 en lo que se refiere a
| nuevas funciones de seguridad, consulte el “Capítulo 1. Mejoras en la seguridad de
| iSeries 400” en la página 3, que proporciona una descripción de la nueva
| información sobre seguridad para cada versión.
RV3M1202-0
| Nota:
Mejoras de la V4R4:
Se ha añadido un nuevo TPN sin arquitectura al sistema iSeries 400. Para obtener
más información, consulte el apartado “Consejos para los Nombres de programas
de transacciones con arquitectura” en la página 127.
Servidor proxy HTTP : El servidor proxy HTTP viene con el Servidor HTTP IBM
para iSeries 400. El servidor proxy recibe las peticiones HTTP de los navegadores
Web, y las vuelve a enviar a los servidores Web. Consulte el Information Center
para conocer más detalles.
VPN en el IBM Firewall para iSeries 400: IBM Firewall para iSeries 400
proporciona teconologías de red privada virtual (VPN). Con las VPN se pueden
crear conexiones cifradas entre el cortafuegos y muchos otros productos
cortafuegos de IBM.
Servidor HTTP para iSeries 400: Ahora se conoce al Internet Connetion Server
(ICS) como el Servidor HTTP IBM para iSeries 400. Ya no existe un producto
Servidor HTTP Seguro por separado. En su lugar, para habilitar SSL en el iSeries
400, debe instalar uno de los siguientes productos criptográficos:
v 5769–AC1
v 5769–AC2
v 5769–AC3
Una vez haya instalado uno de estos productos, SSL estará habilitado para todos
los productos que utilicen SSL, incluido HTTP Server.
El apartado Consejos de seguridad para Telnet de esta publicación y los artículos sobre
Configuración de TCP/IP y consulta del Information Center proporcionan más
información sobre los nuevos puntos de salida de TELNET. Protocolo punto a
punto (PPP): A partir de la V4R2, TCP/IP incluye soporte para PPP. PPP
proporciona un mejor rendimiento y unas posibilidades de seguridad mejoradas
respecto a SLIP. Con PPP, la autenticación de los usuarios está estructurada y no
depende de los scripts creados por usuario. El cifrado de los nombres de los
usuarios y de las contraseñas está disponible siempre que ambas partes de la
conexión lo soporten. PPP también soporta la validación de direcciones IP. Con
esto se asegura que un usuario tenga una dirección dentro de un rango
especificado como protección frente a la suplantación de IP (IP spoofing). PPP
también proporciona la capacidad de configurar el perfil de conexión para
restablecer periódicamente el reto de protegerse contra la suplantación de sesiones.
Para utilizar certificados digitales debe tener instalados los Programas de Utilidad
de Conectividad TCP/IP para iSeries (5769-TC1) y el Servidor HTTP IBM para
iSeries (5769-DG1) en su iSeries. También debe instalar un programa bajo licencia
suministrador de acceso criptográfico (5769-AC1, 5769-AC2 o 5769-AC3) para crear
claves de certificado. Estos productos criptográficos determinan la longitud de
clave máxima permitida para los algoritmos criptográficos.
El tema Web serving with your IBM HTTP Serverque encontrará en el Information
Center proporciona más información sobre las consideraciones de seguridad para
este nuevo servidor.
El tema Web serving with your IBM HTTP Serverque encontrará en el Information
Center proporciona más información sobre las consideraciones de seguridad para
este nuevo servidor.
Firewall para iSeries 400: El IBM Firewall para iSeries 400 (5769–FW1) es un
producto software que habilita al Integrated Netfinity Server para iSeries 400 en el
iSeries para que realice las funciones de un cortafuegos. El cortafuegos separa la
red interna (protegida) de una red externa (no protegida) (generalmente Internet).
Puede ejecutar el IBM Firewall para iSeries 400 en su sistema iSeries de producción
(para proteger tanto su sistema de producción como otros sistemas conectados).
Para obtener la máxima protección de seguridad, por lo general deberá utilizar un
sistema iSeries dedicado y separado como servidor Internet. También puede elegir
ejecutar el cortafuegos en un sistema iSeries multiuso que ejecute las aplicaciones
de producción y que proporcione servicios de Internet. No obstante, el éxito de
esta implementación depende en gran medida tanto del diseño de la aplicación
como de la meticulosidad de sus normas de configuración.
Para el administrador del sistema, el IBM Firewall para iSeries 400 proporciona la
ventaja de utilizar tecnología y un entorno ya conocido. Proporciona un método
económico para proteger la red interna al conectar con otras redes externas no
protegidas. Technical Studio proporciona información completa sobre cómo
configurar el cortafuegos y cómo utilizar sus posibilidades. El sitio Web del
Firewall para iSeries 400 proporciona información actual, consejos, y respuestas a
las preguntas más frecuentes. Visite el sitio Web en el URL siguiente:
http://www.as400.ibm.com/firewall
Para obtener más información sobre los Programas de salida del Protocolo de
Configuración Dinámica de Sistema Principal, consulte ese tema en el Information
Center. El artículo “TCP/IP User Exits” de esta publicación proporciona más
información sobre cómo utilizar los puntos de salida FTP.
RV3M1203-0
Niveles de seguridad
Puede elegir la seguridad que desea que tenga el sistema estableciendo el valor del
sistema de nivel de seguridad (QSECURITY). El sistema ofrece cinco niveles de
seguridad:
Nivel 10:
El sistema no tiene seguridad de ningún tipo. No se precisan contraseñas.
Si el perfil de usuario especificado no existe en el sistema cuando se inicia
una sesión, el sistema crea uno nuevo.
ATENCIÓN:
Valores globales
Su sistema tiene valores globales que afectan a la manera en que su trabajo entra
en el sistema y cómo aparece el sistema ante los demás usuarios del sistema. Estos
valores incluyen lo siguiente:
Valores del sistema:
Los valores del sistema se utilizan para controlar la seguridad en el
sistema. Estos valores se dividen en cuatro grupos:
v Valores del sistema de seguridad general
v Otros valores del sistema relacionados con la seguridad
v Valores del sistema que controlan contraseñas
v Valores del sistema que controlan auditorías
Varios temas de esta publicación tratan de las implicaciones de seguridad
de ciertos valores del sistema. El capítulo 3 de la publicación iSeries
Security Reference describe todos los valores del sistema importantes para la
seguridad.
Atributos de red:
Los atributos de red controlan el modo en que el sistema participa (o
decide no participar) en una red con otros sistemas. Puede obtener más
información acerca de los atributos de red leyendo la publicación .
Descripciones de subsistema y otros elementos de gestión de trabajo:
Los elementos de gestión de trabajo determinan la manera en que el
trabajo entra en el sistema y el entorno en el que el trabajo se lleva a cabo.
Varios temas de esta publicación tratan de las implicaciones de seguridad
de ciertos valores de la gestión de trabajo. El manual proporciona
información completa.
Configuración de comunicaciones:
La configuración de las comunicaciones también afecta a la manera en que
el trabajo entra en el sistema. Varios temas de esta publicación
proporcionan sugerencias para proteger el sistema cuando forma parte de
una red.
Perfiles de grupo
Un perfil de grupo es un tipo especial de perfil de usuario. Puede utilizarlo para
definir la autorización de un grupo de usuarios, en lugar de dar autorización a
cada usuario de uno en uno. También puede utilizar un perfil de grupo como
patrón al crear perfiles de usuario individuales utilizando la función copiar perfil,
o bien, si utiliza Operations Navigator, puede utilizar el menú Políticas de
seguridad para editar las autorizaciones de usuario.
Los archivos, programas, bibliotecas y directorios son los objetos del sistema más
corrientes que requieren protección de seguridad por recursos, pero puede
especificar autorización para cualquier objeto individual del sistema.
Existen dos métodos que puede utilizar para gestionar el acceso de los usuarios a
funciones de aplicaciones mediante el Operations Navigator. El primero utiliza el
soporte de Administración de las aplicaciones:
1. Pulse con el botón de la derecha en el iSeries que está ejecutando la aplicación.
2. Pulse Administración de las aplicaciones. Se abrirá una ventana que contiene
listas de las funciones registradas para el Operations Navigator, aplicaciones de
sistema principal y aplicaciones de cliente (vea la Figura 1 en la página 17).
3. Desde la ventana Administración de las aplicaciones, cambie el valor de uso
por omisión y el indicador de permitir *ALLOBJ como lo desee. El valor por
omisión para las autorizaciones de aplicaciones es *ALLOBJ. Si desea
personalizar el acceso a los programas de aplicación, puede especificar qué
programas tienen autorización. Puede hacerlo pulsando en las opciones de
autorización que aparezcan en la pantalla. Se implementará entonces la nueva
configuración.
Nota: Cuando una función tiene una lista de usuarios a los que se ha otorgado
o denegado el acceso a la función, la columna Uso personalizado
contiene una X.
4. Resalte una función para habilitar el botón Personalizar.
5. Pulse el botón Personalizar para visualizar el recuadro de diálogo Personalizar
uso.
6. En del recuadro de diálogo Personalizar uso, modifique la lista de usuarios y
grupos a los que se ha permitido o denegado el acceso a la función.
El segundo método para gestionar el acceso de los usuarios implica el soporte para
Usuarios y Grupos del Operations Navigator:
1. Acceda a la ventana Propiedades para un usuario o grupo.
2. Pulse el botón Posibilidades.
3. Elija la pestaña Aplicaciones. Se visualizará una lista de las funciones
registradas y el acceso (o uso) que el usuario o grupo tiene para cada función.
La columna Uso derivado de muestra de dónde proviene el acceso.
4. En la ventana Posibilidades, modifique los valores del usuario para las
funciones listadas. Desde este ventana también puede hacer lo siguiente:
v Cambiar los valores para todas las funciones de un grupo jerárquico,
modificando el valor de la función ″padre″.
v Gestionar el acceso a las funciones utilizando perfiles de grupo.
Vea “Seguridad y Operations Navigator” en la página 225 para obtener más
información sobre los temas de seguridad del Operations Navigator.
Si se dedica a escribir aplicaciones, puede utilizar las API del acceso limitado a las
funciones del programa para efectuar lo siguiente:
v Registrar una función
v Recuperar información acerca de la función
v Definir quién puede utilizar la función y quién no
v Comprobar si al usuario se le permite utilizar la función
El administrador del sistema especifica quién tiene acceso permitido a una función.
El administrador puede utilizar la API para gestionar el acceso a las funciones del
programa, o bien utilizar la GUI de la Administración de aplicaciones del
Operations Navigator. La publicación iSeries 400 System API Reference proporciona
información sobre las API de acceso limitado a las funciones del programa. Para
obtener información adicional sobre el control del acceso a funciones, vea
“Seguridad y Operations Navigator” en la página 225.
Auditoría de la seguridad
Los motivos para realizar una auditoría de la seguridad del sistema pueden ser
diversos:
v Para evaluar si el plan de seguridad es completo.
v Para asegurarse de que los controles de seguridad planificados están en
funcionamiento. Este tipo de auditoría suele realizarla el responsable de
seguridad como parte de la administración diaria de la seguridad. También se
lleva a cabo, a veces más detalladamente, como parte de una revisión periódica
de la seguridad por parte de auditores internos o externos.
v Para asegurarse de que la seguridad del sistema sigue el ritmo de los cambios
que se realizan en el entorno del sistema. Estos son algunos ejemplos de los
cambios que afectan a la seguridad:
– Objetos nuevos creados por usuarios del sistema
– Usuarios nuevos admitidos en el sistema
– Cambio de la propiedad de objetos (autorización no ajustada)
– Cambio de responsibilidades (grupo de usuarios modificado)
– Autorización temporal (no revocada a tiempo)
– Instalación de nuevos productos
Las técnicas descritas aquí son apropiadas para todas esas situaciones. Los
elementos para los que realice la auditoría y la frecuencia con que lo haga
dependerán del tamaño y de las necesidades de seguridad de su organización.
Nota: La columna Valor actual del informe muestra el valor actual del sistema.
Compárelo con el valor recomendado para ver dónde puede haber riesgos
de seguridad.
Nombre de valor
del sistema Valor actual Valor recomendado
QALWOBJRST *NONE *NONE
QALWUSRDMN *ALL QTEMP
QATNPGM QEZMAIN QSYS *NONE
QAUDENDACN *NOTIFY *NOTIFY
QAUDFRCLVL *SYS *SYS
QAUDCTL *AUDLVL *AUDLVL *OBJAUD
QAUDLVL *SECURITY *AUTFAIL *CREATE
*DELETE *SECURITY
*SAVRST *NOQTEMP
QPWDEXPITV 60 60
QPWDLMTAJC 1 1
QPWDLMTCHR *NONE AEIOU@$#
QPWDLMTREP 1 2
QPWDMAXLEN 8 8
QPWDMINLEN 6 6
QPWDPOSDIF 1 1
QPWDRQDDGT 1 1
QPWDRQDDIF 0 1
QPWDVLDPGM *NONE *NONE
QRETSVRSEC 0 0
QRMTIPL 0 0
QRMTSIGN *FRCSIGNON *FRCSIGNON
QSECURITY 50 50
QSRVDMP *DMPUSRJOB *NONE
Nombre de
atributo de red Valor actual Valor recomendado
DDMACC *OBJAUT *REJECT
JOBACN *FILE *REJECT
PCSACC *OBJAUT *REJECT
¿Qué es un Asistente?
v Un asistente es una herramienta diseñada para que la utilice un usuario
inexperto para instalar o configurar algún elemento en un sistema.
v El asistente solicita información al usuario formulando preguntas. La respuesta a
cada pregunta determina qué pregunta se formula a continuación.
| v Cuando el asistente ha realizado todas las preguntas, se presenta al usuario un
| diálogo de finalización. El usuario pulsará entonces el botón Finalizar para
| instalar y configurar el elemento.
El Asesor de seguridad forma parte de iSeries Technical Studio. Este sitio Web da
respuesta a muchas de las preguntas sobre seguridad y ofrece información puntual
sobre talleres, clases y otros recursos. El URL para la dirección de Technical Studio
es:
http://www.as400.ibm.com/techstudio
QPWDEXPITV Frecuencia con la que los usuarios del sistema deben 60 (días)
cambiar las contraseñas. Puede especificar un valor
distinto para cada usuario en el perfil de usuario.
QPWDLMTAJC Indica si el sistema impedirá que haya caracteres 1 (sí)
adyacentes iguales.
2
QPWDLMTCHR Caracteres que no pueden utilizarse en las contraseñas. AEIOU#$@
QPWDLMTREP Indica si el sistema impedirá que aparezca el mismo 2 (no se permiten de
carácter más de una vez en la contraseña. forma consecutiva)
| QPWDLVL Indica si las contraseñas de perfil de usuario están 03
| limitadas a 10 caracteres o a un máximo de 128.
Notas:
1. El valor del sistema QPWDEXPITV especifica la frecuencia con la que debe cambiarse la contraseña (por
ejemplo, cada 60 días). Recibe el nombre de intervalo de caducidad. El valor del sistema QPWDRQDDIF
especifica los intervalos de caducidad que deben pasar para que se pueda volver a utilizar la contraseña. En el
Capítulo 3 de la publicación iSeries Security Reference se proporciona más información acerca del funcionamiento
conjunto de estos valores del sistema.
| 2. QPWDLMTCHR no se impone en los niveles de contraseña 2 ó 3. Vea “Niveles de contraseña” para conocer más
| detalles.
| 3. Consulte “Planificación de cambios de nivel de contraseña” en la página 27 para determinar el nivel de
| contraseña adecuado a sus necesidades.
| Niveles de contraseña
| La V5R1 ofrece una mayor seguridad en las contraseñas mediante el valor del
| sistema QPWDLVL. En los releases anteriores, los usuarios estaban limitados a
| contraseñas de un máximo de 10 caracteres y con un rango de caracteres limitado.
| Ahora los usuarios pueden seleccionar una contraseña (o frase de paso) con un
| máximo de 128 caracteres, dependiendo del nivel de contraseña en el que esté
| establecido el sistema. Los niveles de contraseña soportados por la V5R1 son:
| v Nivel 0: Los sistemas de la V5R1 se envían con este nivel. En el nivel 0, las
| contraseñas no tienen más de 10 caracteres de longitud y contienen solamente
| los caraceteres A-Z, 0–9, #, @, $, y _ . Las contraseñas del nivel 0 son menos
| seguras que las de los niveles de contraseña superiores.
| v Nivel 1: Las mismas normas que en el nivel de contraseña 0, pero no se guardan
| las contraseñas para iSeries NetServer.
| v Nivel 2: Las contraseñas de este nivel son seguras y este nivel puede utilizarse
| para pruebas. Las contraseñas se salvan para un usuario en el nivel 0 ó 1 si son
| de 10 caracteres o menos y el juego de caracteres de nivel 0 ó 1. Las contraseñas
| (o frases de paso) de este nivel tienen las siguientes características:
| – un máximo de 128 caracteres de longitud.
| – se componen de cualquier carácter disponible en el teclado.
| – no pueden constar completamente de blancos; los blancos se eliminan del
| final de la contraseña.
| – son sensibles a mayúsculas y minúsculas.
| De forma similar, todos los usuarios deben conectarse utilizando el mismo nivel de
| contraseña. Los niveles de contraseña son globales; los usuarios no pueden elegir
| el nivel en el que les gustaría proteger su contraseña.
| Los productos que utilice en el sistema y en los clientes con los que el sistema
| intercambie información podrían tener problemas cuando el valor del sistema de
| nivel de contraseña (QPWDLVL) esté establecido en 2 ó 3. Cualquier producto o
| cliente que envíe contraseñas al sistema en formato cifrado, en lugar de en el texto
| claro que un usuario entra en una pantalla de inicio de sesión, deberá actualizarse
| para trabajar con las nuevas normas de cifrado de contraseñas para QPWDLVL 2 ó
| 3. El envío de contraseñas cifradas se denomina sustitución de contraseña. La
| sustitución de contraseña se utiliza para evitar que se capture una contraseña
| durante la transmisión por una red. No se aceptarán las sustituciones de
| contraseñas generadas por clientes antiguos que no soporten el nuevo algoritmo
| para QPWDLVL 2 ó 3, incluso si los caracteres específicos tecleados son correctos.
| Esto también es aplicable al acceso de cualquier iSeries a otro iSeries igual que
| utilice los valores cifrados para realizar autenticación de un sistema a otro.
| El problema se agrava por el hecho de que algunos de los productos afectados (es
| decir, Java Toolbox) se proporcionan como middleware. Un producto de terceros
| que incorpore una versión anterior de uno de estos productos no funcionará
| correctamente hasta que se reconstruya utilizando una versión actualizada del
| middleware.
| Dado este y otros ejemplos prácticos, es fácil ver por qué es necesaria una
| planificación minuciosa antes de modificar el valor del sistema QPWDLVL.
| Independientemente del nivel de contraseña del sistema, las contraseñas del nivel 2
| y 3 se crean siempre que se modifica una contraseña o un usuario inicia la sesión
| en el sistema. La creación de una contraseña de nivel 2 y 3 mientras el sistema aún
| sigue en el nivel de contraseña 0 ó 1 ayuda a prepararse para el cambio al nivel de
| contraseña 2 ó 3.
| Se recomienda también que no se cambien los demás valores del sistema para
| contraseñas, QPWDMINLEN y QPWDMAXLEN, hasta que se hayan realizado
| pruebas en QPWDLVL 2. Esto facilitará el retorno a QPWDLVL 1 ó 0, si es
| necesario. No obstante, el valor del sistema QPWDVLDPGM debe especificar
| *REGFAC o *NONE para que el sistema pueda permitir que se cambie QPWDLVL
| a 2. Por consiguiente, si utiliza un programa de validación de contraseñas, puede
| interesarle escribir uno nuevo que pueda registrarse para el punto de salida
| QIBM_QSY_VLD_PASSWRD utilizando el mandato ADDEXITPGM.
| Las secciones siguientes tratan las tareas necesarias para volver a un nivel de
| contraseña inferior.
| Adicionalmente, puede ser necesario volver a cambiar los valores del sistema para
| contraseñas a valores compatibles con contraseñas NetServer y de nivel de
| contraseña 0 ó 1, si son necesarias dichas contraseñas.
Notas:
1. A partir de la V3R2, el sistema se envía con el valor Establecer contraseña como caducada
para QSECOFR fijado en *YES. La primera vez que se inicia la sesión en un sistema
nuevo, debe cambiar la contraseña de QSECOFR.
2. El sistema necesita estos perfiles de usuario para las funciones del sistema, pero no
debe permitir que los usuarios inicien la sesión con estos perfiles. Para sistemas nuevos
instalados con la V3R1 o un release posterior, esta contraseña se envía como *NONE.
Cuando se ejecuta el mandato CFGSYSSEC, el sistema establece estas contraseñas como
*NONE.
3. Para ejecutar Client Access AS/400 para Windows 95/NT utilizando TCP/IP, el perfil
de usuario QUSER debe estar habilitado y tener contraseña. Si ejecuta la herramienta
de seguridad CHGSYSSEC, tendrá que asignar una contraseña al perfil QUSER.
Notas:
1. Para los releases del sistema operativo PowerPC AS (RISC) sólo se requiere un ID de
usuario.
2. Si el representante de servicio de hardware necesita conectarse con esta contraseña e ID
de usuario, cambie la contraseña para un nuevo valor una vez que el servicio técnico
de hardware haya terminado.
| 3. El perfil de usuario de las herramientas de servicio caducará en cuanto se haya
| utilizado por primera vez.
Notas:
1. A partir de la V4R2, el sistema puede desconectar y volver a conectar sesiones TELNET
cuando se ha asignado explícitamente la descripción de dispositivo para la sesión.
2. Si establece este valor del sistema en 1 (Sí), será necesario otorgar autorización sobre los
dispositivos explícitamente a los usuarios que disponen de las autorizaciones especiales
*ALLOBJ o *SERVICE. El modo más sencillo de hacerlo es proporcionar al perfil de
usuario QSECOFR la autorización *CHANGE sobre dispositivos determinados.
Por ejemplo, si desea que el perfil QSECOFR esté disponible únicamente entre las 7
de la mañana y las 10 de la noche, escribirá lo siguiente en la pantalla
CHGACTSCDE:
De hecho, quizá desee disponer del perfil QSECOFR sólo para un número limitado
de horas cada día. Puede utilizar otro perfil de usuario con la clase *SECOFR para
realizar la mayoría de las funciones. De este modo, evitará arriesgar un perfil de
usuario conocido ante los piratas informáticos.
Por ejemplo, cuando se utiliza una contraseña almacenada para las conexiones
SLIP de marcación, la contraseña se establece con el mandato del sistema que crea
el perfil de configuración (WRKTCPPTP). Es preciso tener *IOSYSCFG para utilizar
este mandato. Un script de conexión codificado de forma especial recupera la
contraseña y la descifra durante el procedimiento de marcación. La contraseña
descifrada no es visible para el usuario ni en ninguna anotación de trabajo.
Muchos trabajos de impresión son trabajos de larga ejecución. Hay que tener
cuidado para evitar conflictos de archivo cuando los informes se someten a
procesos por lotes o cuando se añaden al planificador de trabajos. Por ejemplo, es
posible que desee imprimir dos versiones del informe PRTUSRPRF con diferentes
criterios de selección. Si está sometiendo informes a proceso por lotes, debe utilizar
una cola de trabajos que no ejecute más de un trabajo al mismo tiempo, para
asegurarse de que los trabajos de informes se ejecutan secuencialmente.
Si está utilizando un planificador de trabajos, debe planificar los dos trabajos con
suficiente separación para que la primera versión finalice antes de que se inicie el
segundo trabajo.
Capítulo 5. Cómo realizar la puesta a punto del sistema para utilizar las Herramientas de seguridad 43
Tabla 6. Mandatos de las herramientas para perfiles de usuario (continuación)
Opción de1 Archivo de base de
menú Nombre de mandato Descripción datos utilizado
5 DSPACTSCD Utilice el mandato Visualizar planificación de QASECACT2
activación de perfil para visualizar o imprimir
información sobre la planificación para
habilitar e inhabilitar los perfiles de usuario
específicos. La planificación se crea con el
mandato CHGACTSCDE.
6 CHGACTSCDE Utilice el mandato Cambiar entrada de QASECACT2
planificación de activación para que un perfil
de usuario esté disponible para iniciar la
sesión solamente en determinados momentos
del día o de la semana. Para cada perfil de
usuario que se planifica, el sistema crea
entradas de planificación de trabajos para las
horas de habilitación e inhabilitación.
7 DSPEXPSCD Utilice el mandato Visualizar planificación de QASECEXP2
caducidad para visualizar o imprimir la lista
de los perfiles de usuario que se han
planificado para la inhabilitación o eliminación
del sistema en el futuro. El mandato
CHGEXPSCDE se utiliza para preparar la
caducidad de los perfiles de usuario.
8 CHGEXPSCDE Utilice el mandato Cambiar entrada de QASECEXP2
planificación de caducidad para planificar la
eliminación de un perfil de usuario. Puede
eliminarlo temporalmente (inhabilitándolo) o
puede suprimirlo del sistema. Este mandato
utiliza una entrada de planificación de trabajos
que se ejecuta cada día a las 00:01 (1 minuto
después de la medianoche). El trabajo examina
el archivo QASECEXP para determinar si
algún perfil de usuario se ha establecido para
que caduque ese día.
Notas:
1. Las opciones pertenecen al menú SECTOOLS.
2. Este archivo está en la biblioteca QUSRSYS.
Puede avanzar páginas en el menú para ver las opciones adicionales. La Tabla 7 en
la página 45 describe las opciones de menú y los mandatos asociados para las
auditorías de seguridad:
Notas:
1. Las opciones pertenecen al menú SECTOOLS.
Cuando se selecciona una opción de este menú, aparece una pantalla Someter
trabajo (SBMJOB) parecida a la siguiente:
Capítulo 5. Cómo realizar la puesta a punto del sistema para utilizar las Herramientas de seguridad 45
Someter trabajo (SBMJOB)
Teclee elecciones, pulse Intro.
Mandato a ejecutar . . . . . . . PRTADPOBJ USRPRF(*ALL)___________________
___________________________________________________________________________
___________________________________________________________________________
___________________________________________________________________________
___________________________________________________________________________
___________________________________________________________________________
_________________________________________________________ ...
Nombre de trabajo . . . . . . . *JOBD Nombre, *JOBD
Descripción de trabajo . . . . . *USRPRF Nombre, *USRPRF
Biblioteca . . . . . . . . . . Nombre, *LIBL, *CURLIB
Cola de trabajos . . . . . . . . *JOBD Nombre, *JOBD
Biblioteca . . . . . . . . . . Nombre, *LIBL, *CURLIB
Prioridad de trabajo (en JOBQ) . *JOBD 1-9, *JOBD
Prioridad de salida (en OUTQ) . *JOBD 1-9, *JOBD
Dispositivo de impresión . . . . *CURRENT Nombre, *CURRENT, *USRPRF...
Si desea modificar las opciones por omisión del mandato, puede pulsar F4
(Solicitud) en la línea Mandato a ejecutar.
Para ver Someter informes a proceso por lotes, avance página en el menú
SECBATCH. Utilizando las opciones de esta parte del menú, puede por ejemplo,
preparar el sistema para que ejecute con regularidad las versiones modificadas de
los informes.
SECBATCH Someter o planificar informes seguridad para procesar por lotes
Sistema:
Seleccione una de las siguientes opciones:
Puede avanzar páginas para ver más opciones de menú. Cuando se selecciona una
opción de esta parte del menú, se visualiza la pantalla Añadir entrada de
planificación de trabajos (ADDJOBSCDE):
Capítulo 5. Cómo realizar la puesta a punto del sistema para utilizar las Herramientas de seguridad 47
Tabla 8. Mandatos de los informes de seguridad
Opción de1 Archivo de base de datos
menú Nombre de mandato Descripción utilizado
1, 40 PRTADPOBJ Utilice el mandato Imprimir objetos que adoptan QSECADPOLD2
para imprimir una lista de objetos que adoptan la
autorización del perfil de usuario especificado.
Puede especificar un solo perfil, un nombre de
perfil genérico (como por ejemplo, todos los
perfiles que empiezan por Q) o todos los perfiles
de usuario del sistema.
Capítulo 5. Cómo realizar la puesta a punto del sistema para utilizar las Herramientas de seguridad 49
Tabla 8. Mandatos de los informes de seguridad (continuación)
Opción de1 Archivo de base de datos
menú Nombre de mandato Descripción utilizado
Vea la nota 5. PRTPVTAUT Utilice el mandato Imprimir autorizaciones QPVxxxxxx5
privadas para imprimir una lista de las
autorizaciones privadas sobre los objetos del tipo
especificado en la biblioteca especificada. Utilice
este informe para ayudarle a determinar las
fuentes de autorización sobre los objetos.
Capítulo 5. Cómo realizar la puesta a punto del sistema para utilizar las Herramientas de seguridad 51
Tabla 8. Mandatos de los informes de seguridad (continuación)
Opción de1 Archivo de base de datos
menú Nombre de mandato Descripción utilizado
31, 70 CHKOBJITG Utilice el mandato Comprobar integridad de
objetos para determinar si los objetos operativos
(como por ejemplo, los programas) se han
cambiado sin utilizar un compilador. Este
mandato le puede ayudar a detectar intentos de
introducir un programa de virus en el sistema o
de cambiar un programa para seguir
instrucciones no autorizadas. La publicación
iSeries Security Reference proporciona más
información acerca del mandato CHKOBJITG.
Notas:
1. Las opciones pertenecen al menú SECBATCH.
| 2. Este archivo está en la biblioteca QUSRSYS.
3. xx es el tipo de entrada de diario de dos caracteres. Por ejemplo, el archivo de salida modelo para las entradas
de diario AE es QSYS/QASYAEJ4. Los archivos de salida del modelo se describen en el Apéndice F del manual
iSeries Security Reference.
4. El menú SECBATCH contiene opciones para los tipos de objetos que normalmente conciernen a los
administradores de seguridad. Por ejemplo, utilice las opciones 11 o 50 para ejecutar el mandato PRTPUBAUT
en los objetos tipo *FILE. Utilice las opciones generales (18 y 57) para especificar el tipo de objeto.
5. El menú SECBATCH contiene opciones para los tipos de objetos que normalmente conciernen a los
administradores de seguridad. Por ejemplo, las opciones 12 o 51 ejecutan el mandato PRTPVTAUT en los
archivos tipo *FILE. Utilice las opciones generales (19 y 58) para especificar el tipo de objeto.
6. xxxxxx en el nombre del archivo es el tipo de objeto. Por ejemplo, el archivo de los objetos de programa recibe el
nombre de QPBPGM para las autorizaciones de uso público y QPVPGM para las autorizaciones privadas. Los
archivos están en la biblioteca QUSRSYS.
El archivo contiene un miembro para cada biblioteca para la que se ha impreso el informe. El nombre de
miembro es el mismo que el nombre de biblioteca.
Notas:
1. Las opciones pertenecen al menú SECTOOLS.
Capítulo 5. Cómo realizar la puesta a punto del sistema para utilizar las Herramientas de seguridad 53
Tabla 10. Valores establecidos por el mandato CFGSYSSEC (continuación)
Nombre de valor del
sistema Valor Descripción del valor del sistema
1
QSECURITY 50 El nivel de seguridad que se aplica
QPWDEXPITV 60 Con qué frecuencia los usuarios deben cambiar sus contraseñas
QPWDMINLEN 6 Longitud mínima de las contraseñas
QPWDMAXLEN 8 Longitud máxima de las contraseñas
QPWDPOSDIF 1 (Sí) Si cada posición en una contraseña nueva debe ser diferente de la
misma posición en la última contraseña
QPWDLMTCHR Vea la nota 2 Caracteres que no se permiten en las contraseñas
QPWDLMTAJC 1 (Sí) Si los números adyacentes están prohibidos en las contraseñas
QPWDLMTREP 2 (No se puede repetir Si los caracteres repetidos están prohibidos en las contraseñas
consecutivamente)
QPWDRQDDGT 1 (Sí) Si las contraseñas deben tener como mínimo un número
QPWDRQDDIF 1 (32 contraseñas Cuántas contraseñas exclusivas se necesitan antes de que se pueda
exclusivas) repetir una contraseña
QPWDVLDPGM *NONE El programa de salida de usuario que el sistema invoca antes de
validar las contraseñas
Notas:
1. Si actualmente está ejecutando con un valor QSECURITY de 40 o inferior, asegúrese de revisar la información
del Capítulo 2 de la publicación iSeries Security Reference antes de cambiar a un nivel de seguridad superior.
2. Los caracteres restringidos se almacenan en el ID de mensaje CPXB302 del archivo de mensajes
QSYS/QCPFMSG. Se entregan como AEIOU@$#. Puede utilizar el mandato Cambiar descripción de mensaje
(CHGMSGD) para cambiar los caracteres restringidos. El valor del sistema QPWDLMTCHR no se aplica en los
niveles de contraseña 2 ó 3.
Los mandatos que aparecen listados en la Tabla 11 y las API listadas en la Tabla 12
en la página 56 realizan funciones en el sistema que pueden permitir que se
realicen acciones no permitidas. Como administrador de seguridad, debe autorizar
explícitamente a los usuarios para que ejecuten estos mandatos y programas en
lugar de ponerlos a disposición de todos los usuarios del sistema.
Capítulo 5. Cómo realizar la puesta a punto del sistema para utilizar las Herramientas de seguridad 55
Las API de la Tabla 12 se encuentran todas en la biblioteca QSYS:
Tabla 12. Programas cuya autorización de uso público se establece con el mandato
RVKPUBAUT
QTIENDSUP
QTISTRSUP
QWTCTLTR
QWTSETTR
QY2FTML
RV3M1204-0
Consejo de seguridad
| Las autorizaciones demasiado estrictas pueden dar un mal resultado. Frente a
| restricciones demasiado estrictas en las autorizaciones los usuarios reaccionan
| a veces compartiendo contraseñas entre ellos.
Siempre que se utiliza una interfaz del sistema para acceder a un objeto, el sistema
verifica si tiene autoridad sobre el objeto requerido por la interfaz. La autorización
sobre objetos es una herramienta poderosa y flexible para proteger las partidas del
sistema. El reto de un administrador de seguridad es establecer un esquema de
seguridad de objetos efectivo que pueda gestionar y mantener.
El usuario puede realizar solamente las funciones que están en el menú. El usuario
no puede acceder a una línea de mandatos del sistema para llevar a cabo funciones
que no estén en el menú. En teoría, el administrador de seguridad no tiene que
preocuparse de la autorización sobre los objetos ya que los menús y los programas
controlan lo que pueden hacer los usuarios.
El tema Seguridad básica del sistema y planificación del Information Center describe
una técnica para analizar la autorización que los usuarios deben tener sobre los
objetos para ejecutar las aplicaciones actuales. Asigne los usuarios a los grupos y
dé a los grupos la autorización adecuada. Este acercamiento es razonable y lógico.
Sin embargo, si el sistema ha estado funcionando durante muchos años y tiene
muchas aplicaciones, la tarea de analizar las aplicaciones y configurar las
autorizaciones sobre objetos parece excesiva.
Probablemente será capaz de utilizar los menús actuales como ayuda para
configurar un entorno de transición mientras se analizan gradualmente las
aplicaciones y los objetos. A continuación sigue un ejemplo que utiliza el menú
Entrada de Pedidos (OEMENU) (Figura 5 en la página 60) y los archivos y
programas asociados al mismo.
Haga lo siguiente para cambiar este entorno de control de acceso a menú para
ajustarse a la necesidad de consultas:
__ Paso 1. Haga una lista de los usuarios cuyo menú inicial sea OEMENU.
Puede utilizar el mandato Imprimir perfil de usuario (PRTUSRPRF
*ENVINFO) para listar el entorno de cada perfil de usuario del
sistema. El informe incluye el menú inicial, el programa inicial y la
biblioteca actual. La Figura 13 en la página 84 muestra un ejemplo del
informe.
__ Paso 2. Asegúrese de que el objeto OEMENU (puede ser un objeto *PGM o un
objeto *MENU) es propiedad de un perfil de usuario que no se utiliza
para el inicio de sesión. El perfil de usuario debe inhabilitarse o tener
una contraseña *NONE. Para este ejemplo suponga que OEOWNER
posee el objeto de programa OEMENU.
__ Paso 3. Asegúrese de que el perfil de usuario que posee el programa
OEMENU no es un perfil de grupo. Puede utilizar el mandato
siguiente:
DSPUSRPRF USRPRF(OEOWNER) TYPE(*GRPMBR)
__ Paso 4. Cambie el programa OEMENU para adoptar la autorización del perfil
de usuario OEOWNER. (Utilice el mandato CHGPGM para cambiar el
parámetro USRPRF por *OWNER.)
Cuando haya terminado estos pasos, todos los usuarios del sistema que no se
hayan excluido explícitamente serán capaces de acceder (pero no de cambiar) a los
archivos de la biblioteca ORDERLIB. Los usuarios con autorización sobre el
programa OEMENU tendrán capacidad de utilizar los programas que están en el
menú para actualizar archivos de la biblioteca ORDERLIB. Sólo los usuarios que
tengan autorización sobre el programa OEMENU serán capaces de cambiar los
archivos de esta biblioteca. Una combinación de seguridad de objetos y control de
acceso a menú protege los archivos.
Al completar pasos similares para todas las bibliotecas que contienen datos de
usuario, se habrá creado un esquema simple para controlar las actualizaciones de
base de datos. Este método evita que los usuarios del sistema actualicen archivos
de base de datos, excepto cuando utilicen los menús y programas aprobados. Al
mismo tiempo, los archivos de base de datos quedan disponibles para que los
usuarios los vean, los analicen y los copien mediante herramientas de soporte de
decisiones o mediante enlaces desde otro sistema o desde un PC.
Auditoría de la seguridad
Este capítulo describe técnicas para realizar una auditoría de la eficacia de la
seguridad en su sistema. Los motivos para realizar una auditoría de la seguridad
del sistema pueden ser diversos:
v Para evaluar si el plan de seguridad es completo.
v Para asegurarse de que los controles de seguridad planificados están en
funcionamiento. Este tipo de auditoría suele realizarla el responsable de
Las técnicas descritas en este capítulo son apropiadas para todas esas situaciones.
Los elementos para los que realice la auditoría y la frecuencia con que lo haga
dependerán del tamaño y de las necesidades de seguridad de su organización. La
finalidad de este capítulo es averiguar qué información hay disponible, cómo
obtenerla y por qué es necesaria, en lugar de ofrecer directrices sobre la frecuencia
de las auditorías.
Puede utilizar una herramienta de consulta para crear diversos informes de análisis
de su archivo de salida, por ejemplo:
v Una lista de todos los usuarios que tienen las autorizaciones especiales *ALLOBJ
y *SPLCTL.
v Una lista de todos los usuarios ordenados por un campo de perfil de usuario,
por ejemplo programa inicial o clase de usuario.
Puede crear programas de consulta para generar distintos informes del archivo de
salida. Por ejemplo:
v Listar todos los perfiles de usuarios que tengan autorizaciones especiales,
seleccionando registros en los que el campo UPSPAU no sea *NONE.
v Listar todos los usuarios a los que les esté permitido entrar mandatos,
seleccionando registros en los que el campo Limitar posibilidades (denominado
UPLTCP en el archivo de salida de base de datos modelo) sea *NO o *PARTIAL.
v Listar todos los usuarios que tengan un menú inicial o programa inicial concreto.
v Listar los usuarios inactivos fijándose en el campo de fecha de último inicio de
sesión.
Algunos perfiles de usuario suministrados por IBM son de gran tamaño debido
al número de objetos que poseen. No suele ser necesario listarlos y analizarlos.
No obstante, deberá comprbar si hay programas que adoptan la autorización de
los perfiles de usuario suministrados por IBM que tengan la autorización
especial *ALLOBJ, por ejemplo QSECOFR y QSYS.
Para obtener más detalles sobre la auditoría de seguridad vea el capítulo 9 de la
publicación Seguridad, Manual de consulta.
Utilizando estos informes, puede determinar qué hay en una biblioteca y quién
tiene acceso a la misma. Si es necesario, puede utilizar el mandato DSPOBJAUT
para ver también la autorización para objetos seleccionados de la biblioteca.
Nota: Los perfiles que poseen muchos objetos con muchas autorizaciones privadas
pueden llegar a tener un gran tamaño. El tamaño de un perfil de propietario
afecta al rendimiento cuando se visualiza y se trabaja con la autorización
sobre objetos de propiedad y cuando se salvan o se restauran perfiles. Las
operaciones del sistema también pueden resultar afectadas. Para evitar
repercusiones en el rendimiento o en las operaciones del sistema, distribuya
la propiedad de los objetos entre múltiples perfiles. No asigne todos los
objetos (o casi todos) a un único perfil de propietario.
Nota: Los perfiles que poseen muchos objetos con muchas autorizaciones privadas
pueden llegar a tener un gran tamaño. El tamaño de un perfil de propietario
afecta al rendimiento cuando se visualiza y se trabaja con la autorización de
objetos propiedad y cuando se salvan o se restauran perfiles. Las
operaciones del sistema también pueden resultar afectadas. Para evitar
repercusiones en el rendimiento o en las operaciones del sistema, distribuya
la propiedad de los objetos entre múltiples perfiles. No asigne todos los
objetos (o casi todos) a un único perfil de propietario.
Se utiliza una protección especial por bloqueo para asegurar que el sistema puede
grabar entradas de auditoría en el diario de auditoría. Cuando la auditoría está
activa (el valor del sistema QAUDCTL no es *NONE), el trabajo árbitro del sistema
(QSYSARB) mantiene un bloqueo en el diario QSYS/QAUDJRN. No podrá realizar
determinadas operaciones en el diario de auditoría mientras la auditoría esté
activa, por ejemplo:
v Mandato DLTJRN
| v Mandato ENDJRNxxx
v Mandato APYJRNCHG
v Mandato RMVJRNCHG
v Mandato DMPOBJ o DMPSYSOBJ
v Mover el diario
v Restaurar el diario
v Operaciones que funcionen con autorización, por ejemplo el mandato
GRTOBJAUT
v Mandato WRKJRN
Nota: El diario QAUDJRN se crea durante una IPL, si no existe, y el valor del
sistema QAUDCTL se establece en un valor que no sea *NONE. Esto ocurre
solamente tras una situación inusual como, por ejemplo, sustituir un
dispositivo de disco o borrar una agrupación de almacenamiento auxiliar.
Puede imprimir la versión modificada de este informe regularmente para ver qué
objetos precisan su atención.
Puede agrupar los objetos con requisitos de seguridad similares utilizando una
lista de autorizaciones. Conceptualmente, una lista de autorizaciones contiene una
lista de los usuarios y las autorizaciones que estos tienen sobre los objetos
protegidos por la lista. Las listas de autorizaciones constituyen un modo eficaz de
gestionar la autorización de objetos similares del sistema. Sin embargo, en algunos
casos, dificultan el seguimiento de las autorizaciones sobre los objetos.
Puede imprimir una versión modificada del informe para ver las listas de
autorizaciones nuevas o las que han sufrido cambios en las autorizaciones desde la
última vez que se imprimió el informe. También tiene la opción de imprimir una
lista de los objetos protegidos por cada lista de autorizaciones. La Figura 8 muestra
un ejemplo del informe correspondiente a una lista de autorizaciones:
Grupo
Objeto Biblioteca Tipo Propietario primario Texto
CUSTMAS CUSTLIB *FILE AROWNER *NONE
CUSTORD CUSTORD *FILE OEOWNER *NONE
Puede utilizar este informe, por ejemplo, para ver el efecto de la adición de un
nuevo usuario a una lista de autorizaciones (qué autorizaciones recibirá el usuario).
Las tareas que pueden realizarse utilizando listas de autorizaciones incluyen las
siguientes.
v Crear una lista de autorizaciones
v Modificar una lista de autorizaciones.
v Añadir usuarios y grupos.
v Modificar permisos de usuarios.
v Visualizar objetos protegidos.
Al trabajar con listas de autorizaciones le interesa otorgar permisos tanto para los
objetos como para los datos. Los permisos sobre objetos que puede elegir se
enumeran a continuación.
v Operativo: Proporciona el permiso para ver la descripción de un objeto y utilizar
el objeto tal como determina el permiso de datos que el usuario o grupo tiene
sobre ese objeto.
v Gestión: Proporciona el permiso para especificar la seguridad para el objeto,
mover o redenominar el objeto y añadir miembros a los archivos de base de
datos.
v Existencia: Proporciona el permiso para controlar la existencia y la propiedad
del objeto. El usuario o grupo puede suprimir el objeto, liberar almacenamiento
del objeto, efectuar operaciones de salvar y restaurar para el objeto y transferir
la propiedad del objeto. Si un usuario o un grupo tiene un permiso de salvar
especial, el usuario o grupo no necesitará el permiso de existencia para el objeto.
v Alteración (utilizado solamente para archivos de base de datos y paquetes SQL):
Proporciona el permiso necesario para alterar los atributos de un objeto. Si el
usuario o grupo tiene este permiso sobre un archivo de base de datos, el usuario
o grupo puede añadir o eliminar desencadenantes, añadir o eliminar
restricciones referenciales y de unicidad, así como modificar los atributos del
archivo de base de datos. Si el usuario o grupo tiene este permiso sobre un
Para obtener más información sobre cada proceso a medida que cree o edite sus
listas de autorizaciones, consulte las pantallas de ayuda en línea para cada paso.
Para crear y utilizar políticas dentro del Operations navigator, deberá hacer lo
siguiente.
1. Inicie el programa Operations Navigator.
2. Inicie la sesión en iSeries.
3. Seleccione Seguridad y pulse en el recuadro + .
4. Verá Políticas en el menú; pulse con el botón derecho del ratón para obtener el
menú de políticas.
5. Seleccione Explorar y pulse en el título con el botón izquierdo del ratón. Así
obtendrá una lista de las políticas y sus nombres. Por ejemplo: Política de
auditorías y Política de seguridad con una descripción de cada una.
La política de auditorías es la función por la que el sistema hace una auditoría del
acceso a un objeto y crea una entrada en el diario de auditoría. La política de
auditorías hace un seguimiento de todos los usuarios que acceden a un objeto
importante del sistema, así como un seguimiento de todos los objetos a los que
accede un usuario concreto.
Si desea realizar una auditoría sobre un único usuario, puede hacerlo volviendo a
la pantalla del menú principal.
1. En el menú principal seleccione Usuarios y grupos.
2. Expanda la ventana y pulse en Todos los usuarios.
3. Seleccione el usuario que desee supervisar y pulse con el botón de la derecha
para obtener el menú desplegable. Seleccione Propiedades.
4. En el menú Propiedades seleccione y pulse en Posibilidades.
5. El siguiente menú le ofrece la opción de realiza la auditoría de un único
usuario. Efectúe sus selecciones de auditoría y seleccione Aceptar.
Ahora podrá supervisar el uso que hace esa persona del sistema.
Puede utilizar este informe para detectar las nuevas autorizaciones sobre
objetos. También puede serle útil para evitar que la estructura de
autorizaciones privadas se convierta en complicada e imposible de gestionar.
La Figura 9 en la página 81 muestra un ejemplo del informe:
El tema Seguridad básica del sistema y planificación del Information Center y las
publicaciones iSeries Security Reference, describen cómo proteger las colas de
salida y las colas de trabajos.
Selección
|
| Figura 15. Pantalla Seleccionar tipo de consola
|
| 4. Desde la pantalla Seleccionar tipo de consola, pulse F11 (Configurar). Aparecerá
| la pantalla Configurar adaptador de herramientas de servicio.
| 5. En la pantalla Configurar adaptador de herramientas de servicio, entre la
| información sobre el Adaptador de LAN y TCP/IP. Pulse F1 (Ayuda) para
| conocer el tipo de información necesaria en cada campo.
|
|
| Figura 16. Pantalla Configurar adaptador de herramientas de servicio
|
| 6. Pulse F7 (Almacenar) para comprometer los cambios.
| 7. Pulse F14 (Activar) para activar el adaptador.
|
| Figura 17. Pantalla Añadir entrada de tabla de servicios (ADDSRVTBLE) completada
|
| 5. Pulse Intro para añadir la entrada a la tabla.
| 6. Pulse F3 para salir de la pantalla Añadir entrada de tabla de servicios.
| Una vez se ha añadido STS a la tabla de servicios, los usuarios autorizados (vea
| “Creación de un perfil de usuario de herramientas de servicio” en la página 88)
| podrán acceder a herramientas de servicio de LPAR y de Gestión de disco
| utilizando el Operations Navigator y TCP/IP.
| Ahora puede crear perfiles definidos por el usuario a los que puede otorgarse un
| privilegio funcional sobre las herramientas de servicio. Se pueden otorgar a los
| usuarios privilegios sobre herramientas específicas, por ejemplo la gestión de
| DASD o LPAR, o sobre un grupo de herramientas. Puede definir hasta 96 perfiles
| de usuario distintos (lo que hará un total de 100, incluidos los cuatro
| suministrados por IBM), lo que le permitirá gestionar el acceso a herramientas de
| servicio de una manera más eficaz.
| Consejo:
| Utilice los perfiles de usuario de herramientas de servicio para gestionar el
| acceso a herramientas de servicio clave. Cree un perfil que maneje las tareas
| del QSECOFR. Cuando esa persona esté de vacaciones, podrá utilizarse el
| perfil alternativo para realizar esas tareas.
|
|
|
| Figura 18. Trabajar con perfiles de usuario de herramientas de servicio
|
| Desde la pantalla mostrada en Figura 18, puede crear, modificar, suprimir y
| visualizar perfiles de usuario. En este release, el acceso a la gestión de DASD y las
| funciones LPAR tienen GUI como base; puede accederse a todas las demás
| herramientas mediante pantalla verde.
| Para aprender a iniciar la sesión en las herramientas de servicio del sistema (SST),
| vea “Inicio de sesión en las Herramientas de servicio del sistema (SST)” en la
| página 98.
|
| Figura 19. Trabajar con perfiles de dispositivo de herramientas de servicio
|
| Creación de un perfil de dispositivo de herramientas de servicio: Para crear un
| perfil de dispositivo de herramientas de servicio:
| 1. Seleccione 1 (Crear) en la pantalla Trabajar con perfiles de dispositivo de
| herramientas de servicio. Aparecerá la pantalla Crear perfil de dispositivo de
| herramientas de servicio.
| 2. Entre el nombre del nuevo perfil de dispositivo de herramientas de servicio en
| el espacio suministrado.
| 3. Entre información sobre el nuevo perfil de dispositivo:
| v Frase de paso: El nuevo perfil de dispositivo utilizará esta frase de paso.
| v Descripción: Este es un campo opcional que puede utilizarse para
| información más detallada sobre el propietario del perfil de dispositivo, por
| ejemplo el nombre, departamento y número de teléfono.
| 4. Una vez se haya entrado toda la información sobre el perfil de usuario, puede
| elegir entre dos opciones:
| v Para crear el perfil con los atributos por omisión, pulse Intro.
| v Para modificar los atributos por omisión, pulse F5 para ir a la pantalla
| Cambiar atributos de dispositivo de herramientas de servicio. Esta pantalla
| lista todas las herramientas de servicio a las que puede otorgarse privilegio.
| Para cambiar un privilegio, vea “Cambio de un perfil de dispositivo de
| herramientas de servicio” en la página 93 para obtener más información.
|
| Figura 20. Trabajar con datos de seguridad de herramientas de servicio
|
| Restablecimiento de la contraseña por omisión del sistema operativo: Para
| restablecer la contraseña por omisión del sistema operativo:
| 1. Desde la pantalla Trabajar con datos de seguridad de herramientas de servicio,
| seleccione 1 (Restablecer la contraseña por omisión del sistema operativo).
| Aparecerá la pantalla Confirmar restablecer la contraseña por omisión del
| sistema.
|
| Confirmar restablecer la contraseña por omisión del sistema
| Sistema: ____________
| Pulse Intro para confirmar la elección de restablecer la contraseña de inicio
| de sesión del responsable de seguridad del sistema operativo. La contraseña
| se restablecerá al valor por omisión asignado cuando se envió el sistema.
| Pulse F12 para volver y cambiar su elección.
|
|
|
|
| F12=Cancelar
| Alteración temporal de la contraseña del sistema operativo no en vigor
|
|
|
| Figura 21. Restablecer la contraseña por omisión del sistema operativo
|
| 2. Pulse Intro para confirmar restablecer. Aparecerá un mensaje de confirmación.
|
| Confirmar restablecer la contraseña por omisión del sistema
| Sistema: ____________
| Pulse Intro para confirmar la elección de restablecer la contraseña de inicio
| de sesión del responsable de seguridad del sistema operativo. La contraseña
| se restablecerá al valor por omisión asignado cuando se envió el sistema.
| Pulse F12 para volver y cambiar su elección.
|
|
|
|
| F12=Cancelar
| Alteración temporal de la contraseña del sistema operativo establecida
||
|
| Figura 22. Confirmar restablecer la contraseña por omisión del sistema
|
| La contraseña por omisión del sistema es QSECOFR. Deberá cambiar esta
| contraseña por omisión de inmediato. Las contraseñas por omisión son
|
| Figura 23. Cambiar seguridad de instalación del sistema operativo
|
| 2. Seleccione la opción 1 (Protegido). Volverá a aparecer la pantalla Trabajar con
| datos de seguridad de herramientas de servicio, con el mensaje ″Instalación del
| sistema operativo protegida″.
| Repita este procedimiento y seleccione la opción 2 de la pantalla Cambiar
| seguridad de instalación del sistema operativo para cambiar de un estado
| protegido de instalación del sistema operativo a un estado no protegido.
|
| Figura 24. Inicio de sesión de SST
|
| 2. Entre la siguiente información:
| v Perfil de usuario: este perfil debe crearse desde el entorno DST (vea
| “Creación de un perfil de usuario de herramientas de servicio” en la
| página 88).
| v Contraseña: la frase de paso asociada con este perfil de usuario.
| 3. Pulse Intro.
Estas son algunas de las normas básicas a recordar al tratar la seguridad en las
particiones lógicas:
v Se añaden los usuarios a las particiones lógicas del sistema de una partición en
una. Es necesario añadir los usuarios a cada partición lógica a la que desee que
accedan.
| v Limite el número de personas que tengan autorización para ir a las herramientas
| de servicio dedicado (DST) y a las herramientas de servicio del sistema (SST) en
| la partición primaria. Consulte el tema ″Gestión de particiones lógicas con
| Operations Navigator junto con DST y SST″ en el iSeries Information Center
| para obtener más información sobre DST y SST. Consulte “Gestión de
| herramientas de servicio” en la página 84 para obtener información sobre el uso
| de perfiles de usuario de herramientas de servicio para controlar el acceso a las
| actividades de las particiones.
100 iSeries 400 Consejos y herramientas para la seguridad del iSeries V5R1
Una vez la modalidad de una partición secundaria ya no es la de protegida, puede
utilizar DST y SST en la partición secundaria para cambiar el estado de la
partición.
| Autenticación de usuario
| La autenticación de usuario proporciona una garantía sobre quién está utilizando
| el dispositivo de consola. Todos los temas relacionados con la autenticación de
| usuario son los mismos, independientemente del tipo de consola.
| Privacidad de datos
| La privacidad de datos proporciona la seguridad de que los datos de la consola
| solamente podrá leerlos el destinatario correcto. La Consola de operaciones con
| conectividad directa utiliza una conexión física similar a una consola twinaxial o
| una conexión de red segura para que la conectividad de la LAN proteja los datos
| de la consola. La Consola de operaciones que utiliza una conexión directa tiene la
| misma privacidad de datos que una conexión twinaxial. Si la conexión física es
| segura, los datos de la consola permanecen protegidos.
104 iSeries 400 Consejos y herramientas para la seguridad del iSeries V5R1
| La Consola de operaciones con conectividad LAN utiliza una conexión de red
| segura si están instalados los productos criptográficos adecuados (ACx y CEx). La
| sesión de consola utiliza el cifrado más potente posible dependiendo de los
| productos criptográficos instalados en el iSeries y en el PC que ejecute la Consola
| de operaciones.
| Integridad de datos
| La integridad de datos proporciona la seguridad de que los datos de la consola no
| han cambiado por el camino hasta el destinatario. La Consola de operaciones con
| conectividad directa utiliza una conexión física similar a una consola twinaxial o
| una conexión de red segura para que la conectividad de la LAN proteja los datos
| de la consola. La Consola de operaciones que utiliza una conexión directa tiene la
| misma integridad de datos que una conexión twinaxial. Si la conexión física es
| segura, los datos de la consola permanecen protegidos.
|
| Figura 25. Las contraseñas protegen la información del perfil de dispositivo de servicio
|
| Nota: La contraseña de la información del perfil de dispositivo de herramientas de
| servicio se utiliza para bloquear y desbloquear la información del perfil de
| dispositivo de herramientas de servicio (perfil de dispositivo de
| herramientas de servicio y contraseña) en el PC.
106 iSeries 400 Consejos y herramientas para la seguridad del iSeries V5R1
Capítulo 10. Detección de programas sospechosos
Las últimas tendencias en la utilización de sistemas informáticos han aumentado la
probabilidad de que el sistema tenga programas de fuentes no fiables o programas
que llevan a cabo funciones desconocidas. Ejemplos de esto son:
v Un usuario de PC a menudo obtiene programas de otros usuarios de PC. Si el
PC está conectado al sistema iSeries, el programa puede afectar al iSeries.
v Los usuarios que se conectan a redes también pueden obtener programas, por
ejemplo, de los tablones de anuncios.
v Los piratas informáticos se han vuelto cada vez más activos y famosos. A
menudo publican sus métodos y sus resultados. Esto puede llevar a su imitación
por parte de programadores que son normalmente respetuosos con la ley.
Consejo de seguridad
La autorización sobre objetos es siempre la primera línea de defensa. Si no
tiene un buen plan para proteger los objetos, el sistema estará indefenso. En
este capítulo se tratan las maneras en que un usuario autorizado puede
intentar sacar partido de los agujeros del esquema de autorización de objetos.
Sin embargo, debido a que hay funciones nuevas del iSeries que están disponibles
para participar en el entorno de sistemas abiertos, algunas de las funciones de
Existen varias funciones en el iSeries para evitar que nadie utilice un lenguaje de
bajo nivel con soporte para punteros para alterar un programa objeto operativo:
v Si el sistema funciona a un nivel de seguridad 40 o superior, la protección de
integridad incluye protecciones contra el cambio de los objetos de programa. Por
ejemplo, no se puede ejecutar satisfactoriamente un programa que contiene
instrucciones de máquina bloqueadas (protegidas).
v En un nivel de seguridad 40 o superior, el valor de validación del programa
también esta pensado como protección de una operación de restaurar de un
programa salvado (y potencialmente cambiado) en otro sistema. En el capítulo 2
de la publicación iSeries Security Reference se describen las funciones de
protección de la seguridad para el nivel de seguridad 40 y superior, incluyendo
valores de validación del programa.
108 iSeries 400 Consejos y herramientas para la seguridad del iSeries V5R1
| válida, significa que se ha modificado el programa desde que lo firmó su
| desarrollador. Existen APIs que le permiten firmar sus propios programas,
| archivos de salvar y archivos continuos.
| Para obtener más información sobre la firma y cómo puede utilizarse para proteger
| el sistema ante ataques, consulte “Consejos para la firma de objetos” en la
| página 122.
110 iSeries 400 Consejos y herramientas para la seguridad del iSeries V5R1
programa mismo no adopte autorización. El parámetro Utilizar autorización
adoptada (USEADPAUT) de un programa o de un programa de servicio controla
si el programa hereda la autorización adoptada de los programas anteriores de
la pila de programas.
Con la V3R2 y V3R7, puede utilizar una lista de autorizaciones y el valor del
sistema de uso de autorización adoptada (QUSEADPAUT) para controlar quién
puede crear programas que hereden la autorización adoptada. Al especificar un
nombre de lista de autorizaciones en el valor del sistema QUSEADPAUT, el
sistema utiliza esta lista de autorizaciones para determinar cómo crear nuevos
programas.
Entorno más restrictivo: Si desea que la mayoría de los usuarios creen programas
nuevos con el parámetro USEADPAUT establecido en *NO, haga lo siguiente:
1. Para establecer la autorización de uso público para la lista de autorizaciones en
*EXCLUDE, teclee lo siguiente:
CHGAUTLE AUTL(QUSEADPAUT) USER(*PUBLIC)
AUT(*EXCLUDE)
2. Para configurar usuarios específicos que puedan crear programas que utilicen
la autorización adoptada de programas anteriores, teclee lo siguiente:
ADDAUTLE AUTL(QUSEADPAUT) USER(nombre-usuario)
AUT(*USE)
112 iSeries 400 Consejos y herramientas para la seguridad del iSeries V5R1
2. Para evitar que determinados usuarios creen programas que utilicen la
autorización adoptada de programas anteriores, teclee lo siguiente:
ADDAUTLE AUTL(QUSEADPAUT)
USER(nombre-usuario) AUT(*EXCLUDE)
Nota: El caballo de Troya era un caballo de madera hueco de gran tamaño que
estaba lleno de soldados griegos. El caballo fue introducido dentro de las
murallas de Troya, los soldados salieron del caballo y lucharon contra los
Troyanos. En el mundo informático, un programa que oculta funciones
destructivas a menudo recibe el nombre de ″caballo de Troya″.
Puede utilizar el informe inicial como base para evaluar los programas
desencadenantes que ya existen en el sistema. Después puede imprimir el informe
de modificación regularmente para ver si se han añadido nuevos programas
desencadenantes en el sistema.
114 iSeries 400 Consejos y herramientas para la seguridad del iSeries V5R1
Tabla 15. Programas de salida proporcionados por el sistema
Nombre del programa Cuándo se ejecuta el programa
Nombre especificado por el usuario en el Cuando un usuario intenta abrir un archivo DDM en el sistema o efectúa
atributo de red DDMACC. una conexión DRDA.
Nombre especificado por el usuario en el Cuando un usuario intenta utilizar las funciones de Client Access
atributo de red PCSACC. mediante Original Clients para acceder a objetos en el sistema.
Nombre especificado por el usuario en el Cuando un usuario ejecuta la función Cambiar contraseña
valor del sistema QPWDVLDPGM.
Nombre especificado por el usuario en el Cuando un usuario intenta iniciar la sesión de forma interactiva desde
valor del sistema QRMTSIGN. un sistema remoto.
QSYS/QEZUSRCLNP Cuando se ejecuta la función de limpieza automática.
Nombre especificado por el usuario en el Cuando utiliza la función de copia de seguridad de Operation Assistant.
parámetro EXITPGM del mandato
CHGBCKUP.
Nombres especificados por el usuario en Antes y después de salvar, restaurar o suprimir el producto creado con el
el mandato CRTPRDLOD. mandato.
Nombre especificado por el usuario en el Si se especifica un programa por omisión para un mensaje, el sistema
parámetro DFTPGM del mandato ejecuta el programa cuando se emite el mensaje. Debido al gran número
CHGMSGD. de descripciones de mensaje en un sistema típico, la utilización de
programas por omisión es difícil de supervisar. Para evitar que los
usuarios públicos añadan programas por omisión para mensajes,
considere la posibilidad de establecer la autorización de uso público para
archivos de mensajes (objetos *MSGF) en *USE.
Nombre especificado por el usuario en el Cuando el usuario pulsa una tecla de función durante la sesión de
parámetro FKEYPGM del mandato emulación de dispositivo 3270. El sistema devuelve el control a la sesión
STREML3270. de emulación de dispositivo 3270 cuando finaliza el programa de salida.
Nombre especificado por el usuario en el Para procesar datos recogidos por los mandatos siguientes:
parámetro EXITPGM de los mandatos de STRPFRMON, ENDPFRMON, ADDPFRCOL y CHGPFRCOL. El
supervisión del rendimiento. programa se ejecuta cuando finaliza la recogida de datos.
| Nombre especificado por el usuario en el Para cada entrada de diario o grupo de entradas de diario que se han
| parámetro EXITPGM del mandato leído del diario y receptor de diario especificados.
| RCVJRNE.
Nombre especificado por el usuario en la Durante una operación COMMIT o ROLLBACK.
API QTNADDCR.
Nombres especificados por el usuario en Para realizar las funciones del sistema de archivos.
la API QHFRGFS.
Nombre especificado por el usuario en el Para determinar qué imprimir en la página separadora antes o después
parámetro SEPPGM de una descripción de un archivo en spool o de un trabajo de impresión.
de dispositivo de impresora.
QGPL/QUSCLSXT Cuando se cierra un archivo de base de datos para permitir la captura de
información de uso del archivo.
Nombre especificado por el usuario en el Cuando se graba un registro en una archivo de base de datos y no se
parámetro FMTSLR de un archivo lógico. incluye un nombre de formato de registro en el programa de lenguaje de
alto nivel. El programa selector recibe el registro como entrada,
determina el formato de registro utilizado y lo devuelve a la base de
datos.
Nombre especificado por el usuario que Cuando un usuario pulsa la tecla Atención.
se especifica en el valor del sistema
QATNPGM, el parámetro ATNPGM en
un perfil de usuario o el parámetro PGM
del mandato SETATNPGM.
Para cada punto de salida del sistema, el informe muestra si hay programas de
salida registrados actualmente. Cuando un punto de salida tiene programas
registrados actualmente, puede seleccionar la opción 8 (Visualizar programas) de la
versión de pantalla de WRKREGINF para visualizar información acerca de los
programas:
116 iSeries 400 Consejos y herramientas para la seguridad del iSeries V5R1
Trabajar con Información de Registro
Formato
Punto de punto
Opc de salida salida Registrado Texto
QIBM_QGW_NJEOUTBOUND NJEO0100 *YES Entrada de trabajo de red ext
8 QIBM_QHQ_DTAQ DTAQ0100 *YES Servidor de cola de datos
QIBM_QLZP_LICENSE LICM0100 *YES Servidor de gestión de licenc
QIBM_QMF_MESSAGE MESS0100 *YES Servidor de mensajes original
QIBM_QNPS_ENTRY ENTR0100 *YES Servidor de impresión de red
QIBM_QNPS_SPLF SPLF0100 *YES Servidor de impresión de red
QIBM_QNS_CRADDACT ADDA0100 *YES Añadir actividad de descripci
QIBM_QNS_CRCHGACT CHGA0100 *YES Cambiar actividad de descripc
Utilice el mismo método para evaluar estos programas de salida que el utilizado
para otros programas de salida y programas desencadenantes.
Para que el sistema se ejecute correctamente, ciertas bibliotecas del sistema, como
QSYS y QGPL, deben estar en la lista de bibliotecas para cada trabajo. Debe
utilizar la autorización sobre objeto para controlar quién puede añadir programas a
estas bibliotecas. De este modo se facilita la tarea de impedir que alguien coloque
un programa impostor en una de estas bibliotecas con el mismo nombre que un
programa que figura después en una biblioteca de la lista de bibliotecas.
118 iSeries 400 Consejos y herramientas para la seguridad del iSeries V5R1
Opciones del menú SECBATCH:
28 para someter inmediatamente 67 para utilizar el planificador de trabajos
Nota: Este informe contiene los objetos que los programas de salida de PTF crean
en la biblioteca.
Puede crear programas de salida para evaluar las acciones solicitadas para los
perfiles de usuario. La Tabla 16 en la página 122 muestra los puntos de salida
disponibles para los mandatos de perfil de usuario.
El programa de salida, por ejemplo, puede buscar las modificaciones que pudiesen
hacer que el usuario ejecutara una versión no autorizada de un programa. Estas
modificaciones podrían ser la asignación de una descripción de trabajo distinta o
de una nueva biblioteca actual. Su programa de salida puede notificarlo a una cola
de mensajes, o realizar alguna acción (como cambiar o inhabilitar el perfil de
usuario) basándose en la información que el programa de salida recibe.
| Utilizar firmas digitales le dará un mayor control sobre qué software puede
| cargarse en su sistema y le otorgará más poder para detectar cambios una vez
| cargado. El nuevo valor del sistema Verificar restauración de objeto (QVFYOBJRST)
| proporciona un mecanismo para establecer una política restrictiva que requiere que
| todo el software que se cargue en el sistema esté firmado por las fuentes de
| software conocidas. También puede elegir una política más abierta y simplemente
| verificar las firmas si las hay.
| Todo el software de OS/400, así como el software para las opciones y los
| programas bajo licencia de iSeries, están firmados por IBM. Estas firmas ayudan al
| sistema a proteger su propia integridad y se comprueban cuando se aplican
| arreglos al sistema para asegurarse de que el arreglo proviene de IBM y que no ha
| cambiado por el camino. Estas firmas también pueden comprobarse una vez el
| software esté en el sistema. El mandato CHKOBJITG (Comprobar integridad de
| objeto) se ha ampliado para comprobar las firmas, además de otras características
| de integridad de los objetos en el sistema. Adicionalmente, el Gestor de certificados
| digitales tiene paneles que puede utilizar para comprobar las firmas de los objetos,
| incluidos los objetos del sistema operativo.
122 iSeries 400 Consejos y herramientas para la seguridad del iSeries V5R1
| Estando el sistema operativo firmado, podría igualmente utilizar firmas digitales
| para proteger la integridad del software que sea vital para su empresa. Podría
| comprar software que esté firmado por un proveedor de software, o bien podría
| firmar el software que haya adquirido o escrito. Parte de su política de seguridad
| sería entonces utilizar CHKOBJITG periódicamente, o el Gestor de certificados
| digitales, para verificar que las firmas de ese software siguen siendo válidas, es
| decir, que los objetos no han cambiado desde que se firmaron. Podría ser necesario
| también que todo el software que se restaure en el sistema esté firmado por usted
| mismo o por una fuente conocida. Sin embargo, dado que la mayoría del software
| de iSeries IBM no ha producido no está firmado, podría resultar demasiado
| restrictivo para el sistema. El nuevo soporte de firma digital le ofrece flexibilidad
| para decidir el mejor método para proteger la integridad del software.
| Las firmas digitales que protegen el software son tan solo uno de los usos de los
| certificados digitales. Encontrará información adicional sobre la gestión de
| certificados digitales en el tema sobre gestión de certificados digitales del
| Information Center (consulte “Requisitos e información relacionada” en la
| página xii para conocer más detalles).
1. Atributos operativos
2. Definiciones de agrupación
3. Entradas de trabajo de arranque automático
4. Entradas de nombre de estación de trabajo
5. Entradas de tipo de estación de trabajo
6. Entradas de cola de trabajos
7. Entradas de direccionamiento
8. Entradas de comunicaciones
9. Entradas de nombre de ubicación remota
10. Entradas de trabajo de prearranque
Seleccione las opciones para ver detalles acerca de los componentes. Utilice el
mandato Cambiar descripción de subsistema (CHGSBSD) para modificar las dos
primeras opciones del menú. Para modificar otros elementos, utilice el mandato de
añadir, eliminar o modificar (según sea apropiado) para el tipo de entrada. Por
ejemplo, para modificar una entrada de estación de trabajo, utilice el mandato
Cambiar entrada de estación de trabajo (CHGWSE).
124 iSeries 400 Consejos y herramientas para la seguridad del iSeries V5R1
Consulte las entradas de estación de trabajo y las descripciones de trabajo
asociadas. Asegúrese de que nadie ha añadido o actualizado ninguna entrada para
ejecutar programas de los que no se tiene conocimiento.
Todos ellos tienen riesgos potenciales para la seguridad. Debe asegurarse de que
las entradas de trabajo de prearranque sólo realizan funciones autorizadas y
previstas.
El sistema utiliza descripciones de trabajo tanto para los trabajos interactivos como
para los trabajos por lotes. Para los trabajos interactivos, la entrada de estación de
trabajo especifica la descripción de trabajo. Normalmente, el valor de entrada de
estación de trabajo es *USRPRF, de modo que el sistema utiliza la descripción de
trabajo especificada en el perfil de usuario. Para los trabajos por lotes, el usuario
especifica la descripción de trabajo al someter el trabajo.
126 iSeries 400 Consejos y herramientas para la seguridad del iSeries V5R1
Opciones del menú SECBATCH:
15 para someter inmediatamente 54 para utilizar el planificador de trabajos
SYSTEM4
Biblioteca especificada. . . : QGPL
--------------------Autorizaciones especiales-------------
Descripción Perfil *ALL *AUD *IOSYS *JOB *SAV *SEC *SER *SPL
Biblioteca trabajo Propietario usuario OBJ IT CFG CTL SYS ADM VICE CTL
QGPL JOBD1 QSECOFR USERA
QGPL JOBD2 QSECOFR USERB X X X X X X X X
Finalmente, debe asegurarse de que los valores por omisión para el mandato
Someter trabajo (SBMJOB) y el mandato Crear perfil de usuario (CRTUSRPRF) no
se han modificado para que apunten a descripciones de trabajo no previstas.
Si no desea que los TPN con arquitectura se ejecuten con un perfil por omisión,
puede modificar el usuario por omisión de *SYS a *NONE en las entradas de
comunicaciones. En la “Peticiones de TPN con arquitectura” se indican los TPN
con arquitectura y los perfiles de usuario asociados.
128 iSeries 400 Consejos y herramientas para la seguridad del iSeries V5R1
Tabla 17. Programas y usuarios para peticiones de TPN (continuación)
Petición de TPN Programa Perfil de usuario Descripción
X'30F0F6F6' QND5MAIN QUSER Controlador de estación de trabajo APPN 5394
DB2DRDA QCNTEDDDM QUSER DB2DRDA
APINGD QNMAPINGD QUSER APINGD
X'30F0F5F4' QNMEVK QUSER Programas de utilidad de gestión del sistema
X'30F0F2C1' QNPSERVR *NONE Servidor de impresión de red PWS-I
X'30F0F7F9' QOCEVOKE *NONE Calendario de sistemas cruzados
X'30F0F6F1' QOKCSUP QDOC Duplicación de directorio
X'20F0F0F7' QOQSESRV QUSER DIA Versión 2
X'20F0F0F8' QOQSESRV QUSER DIA Versión 2
X'30F0F5F1' QOQSESRV QUSER DIA Versión 2
X'20F0F0F0' QOSAPPC QUSER DIA Versión 1
X'30F0F0F5' QPAPAST2 QUSER Paso a través de S/36—S/38
X'30F0F0F9' QPAPAST2 QUSER Paso a través de impresora
X'30F0F4F6' QPWFSTP0 *NONE Carpetas compartidas Tipo 2
X'30F0F2C8' QPWFSTP1 *NONE Servidor de archivos de Client Access
X'30F0F2C9' QPWFSTP2 *NONE Servidor de archivos de Windows** Client
Access
X'30F0F6F9' QRQSRVX *NONE SQL remoto – servidor convergente
X'30F0F6F5' QRQSRV0 *NONE SQL remoto sin compromiso
X'30F0F6F4' QRQSRV1 *NONE SQL remoto sin compromiso
X'30F0F2D2' QSVRCI QUSER SOC/CT
X'21F0F0F8' QS2RCVR QGATE Receptor SNADS FS2
X'21F0F0F7' QS2STSND QGATE Emisor SNADS FS2
X'30F0F1F6' QTFDWNLD *NONE Función de transferencia de PC
X'30F0F2F4' QTIHNPCS QUSER Función TIE
X'30F0F1F5' QVPPRINT *NONE Impresión virtual en PC
X'30F0F2D3' QWGMTP QWGM Ultimedia Mail/400 Server
X'30F0F8F3' QZDAINIT QUSER Servidor de acceso a datos PWS-I
X'21F0F0F2' QZDRCVR QSNADS Receptor SNADS
X'21F0F0F1' QZDSTSND QSNADS Emisor SNADS
X'30F0F2C5' QZHQTRG *NONE Servidor de cola de datos PWS-I
X'30F0F2C6' QZRCSRVR *NONE Servidor de mandatos remotos PWS-I
X'30F0F2C7' QZSCSRVR *NONE Servidor central PWS-I
130 iSeries 400 Consejos y herramientas para la seguridad del iSeries V5R1
Parte 4. Consejos para las aplicaciones y las comunicaciones
de red
RV3M1202-0
Estos son algunos consejos relacionados con todos los aspectos de la seguridad del
sistema de archivos integrado. El sistema de archivos integrado está diseñado para
seguir los estándares de POSIX con la mayor precisión posible. Esto conduce a un
comportamiento interesante, en el que la autorización de iSeries 400 y los permisos
de POSIX se ″mezclan″:
1. No elimine la autorización privada de un usuario sobre un directorio
propiedad de ese usuario, incluso si el usuario está autorizado mediante la
autorización de uso público, un grupo o una lista de autorizaciones. Al trabajar
con bibliotecas o carpetas en el modelo de seguridad de iSeries estándar,
eliminar la autorización privada del propietario reduciría la cantidad de
información sobre autorizaciones almacenada para un perfil de usuario y no
afectaría a otras operaciones. De todas maneras, debido a la forma en que el
estándar POSIX define la herencia de permisos para directorios, el propietario
de un directorio recién creado tendrá las mismas autorizaciones sobre objetos
para ese directorio que el propietario del padre tiene sobre el padre, incluso si
el propietario del directorio recién creado tiene otras autorizaciones privadas
sobre el padre. Para comprenderlo mejor, he aquí un ejemplo: USERA posee el
directorio /DIRA, pero se han eliminado las autorizaciones privadas de
USERA. USERB tiene autorización privada sobre /DIRA. USERB crea el
directorio /DIRA/DIRB. Dado que USERA no tiene autorizaciones sobre objeto
en /DIRA, USERB no tendrá autorizaciones sobre objeto en /DIRA/DIRB.
USERB no podrá redenominar ni suprimir /DIRA/DIRB sin tener que llevar a
cabo acciones para cambiar las autorizaciones sobre objeto de USERB. Esto
también entra en juego al crear archivos con la API open() utilizando el
distintivo O_INHERITMODE. Si USERB ha creado un archivo /DIRA/FILEB,
USERB no tendrá autorizaciones sobre objeto NI autorizaciones de datos sobre
él. USERB no podrá grabar en el nuevo archivo.
2. La autorización adoptada no se acepta en la mayoría de sistemas de archivos
físicos. Eso incluye los sistemas de archivos raíz (/), QOpenSys, QDLS y los
definidos por el usuario.
3. Los objetos existentes son propiedad del perfil de usuario que los haya creado,
incluso si el campo OWNER del perfil de usuario está establecido como
*GRPPRF.
4. Muchas operaciones del sistema de archivos requieren autorización de datos
*RX para cada componente de la vía de acceso, incluido el directorio raíz (/).
Al experimentar problemas con las autorizaciones, asegúrese de comprobar la
autorización del usuario sobre el propio directorio raíz.
5. Visualizar o recuperar el directorio de trabajo actual (DSPCURDIR, getcwd(),
etc.) requiere autorización de datos *RX para cada componente de la vía de
acceso. No obstante, modificar el directorio de trabajo actual (CD, chdir(), etc.)
solamente requiere autorización de datos *X para cada componente. Por
consiguiente, un usuario puede cambiar el directorio de trabajo actual a una vía
de acceso determinada y luego no poder visualizar esa vía de acceso.
6. La finalidad del mandato COPY es duplicar un objeto. Los valores de
autorización en el nuevo archivo serán los mismos que en el original, excepto el
propietario. La finalidad del mandato CPYTOSTMF, no obstante, es
simplemente duplicar datos. El usuario no puede controlar los valores de
autorización en el nuevo archivo. El creador/propietario tendrá autorización de
datos *RWX, pero las autorizaciones de uso público y de grupo serán
134 iSeries 400 Consejos y herramientas para la seguridad del iSeries V5R1
*EXCLUDE. El usuario debe utilizar otros medios (CHGAUT, chmod(), etc.)
para asignar las autorizaciones deseadas.
7. Un usuario debe ser el propietario o tener autorización sobre objeto *OBJMGT
para recuperar información de autorización sobre un objeto. Esto puede
aparecer en lugares inesperados, como COPY, que debe recuperar la
información de autorización del objeto origen para establecer las autorizaciones
equivalentes en el objeto destino.
8. Al cambiar el propietario o el grupo de un objeto, el usuario no debe tener
solamente la autorización adecuada sobre el objeto, sino que también debe
tener la autorización de datos *ADD sobre el nuevo perfil de usuario de
propietario/grupo y la autorización de datos *DELETE sobre el antiguo perfil
de propietario/grupo. Estas autorizaciones de datos no están relacionadas con
las autorizaciones de datos del sistema de archivos. Estas autorizaciones de
datos pueden visualizarse utilizando el mandato DSPOBJAUT y modificarse
utilizando el mandato EDTOBJAUT. Esto también puede aparecer
inesperadamente en COPY cuando intenta definir el ID de grupo para un
objeto nuevo.
9. El mandato MOV tiene tendencia a sufrir errores de autorización extraños,
especialmente al trasladar de un sistema de archivos físico a otro o al realizar
conversión de datos. En estos casos, el traslado se convierte realmente en una
operación de copiar y suprimir. Por consiguiente, el mandato MOV puede
resultar afectado por las mismas consideraciones sobre autorizaciones que el
mandato COPY (vea los puntos 7 y 8) y el mandato RMVLNK, aparte de otras
consideraciones específicas de MOV.
Nota: Los sistemas de archivos raíz, QOpenSys y los definidos por el usuario son
equivalentes en sus funciones. El sistema de archivos QOpenSys es sensible
a las mayúsculas y el sistema de archivos raíz no. Los sistemas de archivos
definidos por el usuario pueden definirse como sensibles a las mayúsculas y
minúsculas. Dado que estos sistemas de archivos tienen las mismas
características de seguridad, en los temas siguientes se puede dar por
supuesto que sus nombres se utilizan indistintamente.
Capítulo 12. Utilización del Sistema de Archivos Integrado (IFS) para proteger los archivos 135
Al acceder al sistema de archivos raíz como administrador desde una sesión de
PC, puede establecer los atributos de objetos que utiliza el PC para restringir
determinados tipos de acceso:
v Sistema
v Ocultar
v Archivar
v Sólo lectura
Estos atributos del PC se añaden y no sustituyen a los valores de autorización
sobre objeto de iSeries.
Sin embargo, estas autorizaciones sobre objeto existen para todos los objetos del
sistema de archivos raíz. Al crear un objeto utilizando una API de tipo UNIX, ese
objeto hereda estas autorizaciones del directorio padre, dando como resultado lo
siguiente:
v El propietario del objeto nuevo tiene la misma autorización sobre objeto que el
propietario del directorio padre.
v El grupo primario del objeto nuevo tiene la misma autorización sobre objeto que
el grupo primario del directorio padre.
v El público del objeto nuevo tiene la misma autorización sobre objeto que el
público del directorio padre.
La autorización sobre datos del objeto nuevo para propietario, grupo primario y
público se especifica en la API con el parámetro de modalidad. Cuando todas las
autorizaciones sobre objeto están establecidas como ’activadas’, obtendrá el mismo
136 iSeries 400 Consejos y herramientas para la seguridad del iSeries V5R1
comportamiento por parte de las autorizaciones que el que esperaría en un entorno
de tipo UNIX. Es mejor dejarlas ’activadas’, a menos que no desee un
comportamiento como el de POSIX.
Al ejecutar aplicaciones que utilizan API de tipo UNIX, el sistema fuerza todas las
autorizaciones sobre objeto, tanto si son ″visibles″ a las aplicaciones UNIX como si
no. Por ejemplo, el sistema fuerza la autorización de listas de autorizaciones,
aunque en los sistemas operativos de tipo UNIX no exista el concepto de listas de
autorizaciones.
Estos mandatos agrupan las autorizaciones básicas sobre objeto y sobre datos en
subconjuntos de autorizaciones de tipo UNIX.
*RWX Leer/grabar/ejecutar
*RW Leer/grabar
*R Leer
*WX Grabar/ejecutar
*W Grabar
*X Ejecutar
Además, hay interfaces API de tipo UNIX disponibles para trabajar con la
seguridad.
Capítulo 12. Utilización del Sistema de Archivos Integrado (IFS) para proteger los archivos 137
Si los usuarios necesitan crear directorios nuevos en los sistemas de archivos raíz
(/), QOpenSys o los definidos por el usuario, existen diversas opciones de
seguridad:
v Puede enseñar a sus usuarios a que alteren temporalmente la autorización por
omisión al crear nuevos directorios. El valor por omisión es la herencia de la
autorización del directorio padre inmediato. En el caso de un directorio que se
acaba de crear en el directorio raíz, la autorización de uso público por omisión
será *ALL.
v Puede crear un subdirectorio ″maestro″ bajo el directorio raíz. Establezca la
autorización de uso público del directorio maestro en un valor adecuado para su
organización y, a continuación, solicite a sus usuarios que creen todos sus
directorios personales nuevos en este subdirectorio maestro. Sus nuevos
directorios heredarán la autorización.
v Puede cambiar la autorización de uso público para el directorio raíz con el fin de
evitar que los usuarios creen objetos en dicho directorio. (Elimine las
autorizaciones *W, *OBJEXIST, *OBJALTER, *OBJREF y *OBJMGT.) No obstante,
debe evaluar si este cambio puede causar problemas en cualquiera de sus
aplicaciones. Por ejemplo, puede tener aplicaciones de tipo UNIX que puedan
suprimir objetos del directorio raíz.
138 iSeries 400 Consejos y herramientas para la seguridad del iSeries V5R1
Ejemplos:
Este mandato crea los informes completo, de cambios y de supresiones para todos
los objetos de archivo de PAYROLLLIB:
PRTPVTAUT OBJTYPE(*FILE) LIB(PAYROLLLIB)
Este mandato crea los informes completo, de cambios y de supresiones para todos
los objetos de archivo continuo del directorio garry:
PRTPVTAUT OBJTYPE(*STMF) DIR(/GARRY) SCHSUBDIR(*NO)
Este mandato crea los informes completo, de cambios y de supresiones para todos
los objetos de archivo continuo de la estructura de subdirectorios que empieza en
el directorio garry:
PRTPVTAUT OBJTYPE(*STMF) DIR(/GARRY) SCHSUBDIR(*YES)
Ejemplos:
Este mandato crea los informes completo y de cambios para todos los objetos de
archivo de la biblioteca GARRY que no tienen una autorización de uso público
*EXCLUDE:
PRTPUBAUT OBJTYPE(*FILE) LIB(GARRY)
Este mandato crea los informes completo, de cambios y de supresiones para todos
los objetos de archivo continuo de la estructura de subdirectorios que empieza en
el directorio garry, que no tienen una autorización de uso público *EXCLUDE:
PRTPUBAUT OBJTYPE(*STMF) DIR(GARRY) SCHSUBDIR(*YES)
Capítulo 12. Utilización del Sistema de Archivos Integrado (IFS) para proteger los archivos 139
Restricción del acceso al sistema de archivos QSYS.LIB
Puesto que el sistema de archivos raíz se considera como el sistema de archivos
base, el sistema de archivos QSYS.LIB constituye un subdirectorio dentro del
directorio raíz. Por consiguiente, cualquier usuario de PC que disponga de acceso
al iSeries puede manipular los objetos almacenados en las bibliotecas del iSeries (el
sistema de archivos QSYS.LIB) con acciones y mandatos de PC normales.Un
usuario de PC puede, por ejemplo, arrastrar un objeto de QSYS.LIB (como la
biblioteca con sus archivos de datos críticos) a la troceadora.
A medida que vaya ampliando las utilizaciones del sistema y los diferentes
métodos de acceso que puede proporcionar, irá descubriendo que la seguridad de
acceso de menú no es suficiente. En el “Capítulo 6. Utilización de la autorización
sobre objetos para proteger la información” en la página 59 se tratan las estrategias
para proporcionar el control de acceso de menú con la seguridad de objetos. Sin
embargo, el iSeries también proporciona un modo sencillo para impedir el acceso
al sistema de archivos QSYS.LIB a través de la estructura de directorios del sistema
de archivos raíz.Puede utilizar la lista de autorizaciones de QPWFSERVER para
controlar los usuarios que pueden acceder al sistema de archivos QSYS.LIB a
través del directorio raíz.
En la mayor parte de las situaciones, los usuarios no necesitan utilizar una interfaz
de directorio para acceder a los objetos del sistema de archivos QSYS.LIB.
Probablemente, quizá desee establecer la autorización de uso público de la lista de
autorizaciones QPWFSERVER para *EXCLUDE. Recuerde que la autorización de la
lista de autorizaciones abre o cierra la puerta de todas las bibliotecas contenidas en
el sistema de archivos QSYS.LIB, incluyendo las bibliotecas de usuario. Si algún
usuario pone objeciones a esta exclusión, puede evaluar sus requisitos
individualmente. Si lo considera necesario, puede autorizar explícitamente a un
usuario individual a la lista de autorizaciones. Sin embargo, debe asegurarse de
que el usuario tenga la autorización adecuada para los objetos del sistema de
archivos QSYS.LIB. De lo contrario, podrá suprimir objetos o bibliotecas enteras
involuntariamente.
140 iSeries 400 Consejos y herramientas para la seguridad del iSeries V5R1
Notas:
1. Cuando se entrega el sistema, la autorización de uso público para la lista de
autorizaciones QPWFSERVER es *USE.
2. Si autoriza a un usuario individual de forma explícita la lista de autorizaciones
controla el acceso solamente con el servidor de archivos Client Access, el
servidor de archivos NetServer y el servidor de archivos entre iSeries. Ello no
evitará el acceso a los mismos directorios desde FTP, ODBC u otras redes.
Con el sistema de archivos raíz, puede crear un enlace simbólico para un objeto.
Un enlace simbólico es un seudónimo para el nombre de la vía de acceso.
Generalmente, es más corto y más fácil de recordar que el nombre de la vía de
acceso completa. Sin embargo, un enlace simbólico no crea una vía de acceso física
diferente para el objeto. El usuario continúa necesitando la autorización *X para
cada directorio y subdirectorio de la vía de acceso física al objeto.
Para los objetos del sistema de archivos raíz, puede utilizar la seguridad de
directorios del mismo modo que utilizaría la seguridad de bibliotecas en el sistema
de archivos QSYS.LIB. Por ejemplo, puede establecer la autorización de uso público
de un directorio para *EXCLUDE e impedir así que los usuarios públicos puedan
acceder a los objetos del árbol.
Capítulo 12. Utilización del Sistema de Archivos Integrado (IFS) para proteger los archivos 141
apropiada (por ejemplo como PUBLIC *EXCLUDE). Todos los
directorios que cree el usuario bajo su directorio inicial,
heredarán las autorizaciones.
Puesto que los sistemas operativos de tipo UNIX no disponen del concepto de
autorizaciones sobre objeto, la API mkdir() no ofrece soporte para especificar
autorizaciones sobre objeto. Si desea autorizaciones sobre objeto diferentes, puede
utilizar el mandato de iSeries CHGAUT. Sin embargo, al eliminar algunas
autorizaciones sobre objeto, la aplicación de tipo UNIX puede no funcionar como
espera.
También puede especificar estas autorizaciones al utilizar la API open() para crear
un archivo continuo. Alternativamente, cuando utilice la API open() puede
especificar que el objeto herede todas las autorizaciones del directorio padre. Esto
se denomina modalidad de herencia. Al especificar la modalidad de herencia, el
sistema crea una copia exacta para las autorizaciones padre, incluyendo la lista de
autorizaciones, el grupo primario, la autorización pública y las autorizaciones
privadas. Esta función es similar a especificar *INDIR en el mandato CRTDIR.
142 iSeries 400 Consejos y herramientas para la seguridad del iSeries V5R1
público y las autorizaciones privadas. Las aplicaciones de PC no equivalen en
absoluto a especificar la autorización cuando se crea un objeto.
Capítulo 12. Utilización del Sistema de Archivos Integrado (IFS) para proteger los archivos 143
Cuando USERX intenta acceder a SYSTEMB con esta interfaz, SYSTEMA envía el
nombre de perfil de usuario USERX y la contraseña cifrada para SYSTEMB. El
mismo perfil de usuario y la misma contraseña deben existir en SYSTEMB o
SYSTEMB rechaza la petición.
144 iSeries 400 Consejos y herramientas para la seguridad del iSeries V5R1
– Al exportar un directorio u objeto, puede especificar si se permitirá el acceso
mediante un perfil con autorización raíz. El servidor NFS de iSeries compara
la autorización raíz con la autorización especial de *ALLOBJ. Si especifica que
no permitirá la autorización raíz, un usuario NFS con un uid que se
correlacione con un perfil de usuario con autorización especial *ALLOBJ no
podrá acceder al objeto que tenga ese perfil. En su lugar, si se permite el
acceso anónimo, el peticionario se correlacionará con el perfil anónimo.
– Al exportar un directorio u objeto, puede especificar si se permitirán
peticiones anónimas. Una petición anónima es una petición con un uid que
no coincide con ningún uid del sistema. Si elige permitir peticiones anónimas,
el sistema correlaciona el usuario anónimo con el perfil de usuario
QNFSANON suministrado por IBM. Este perfil de usuario no dispone de
ninguna autorización especial o explícita. (Si lo desea, en la exportación,
puede especificar un perfil de usuario diferente para las peticiones anónimas).
v Cuando el iSeries participa en una red NFS (o en cualquier red con sistemas
UNIX que dependan de los uid), probablemente necesite gestionar sus propios
uid en lugar de permitir que el sistema los asigne automáticamente. Debe
coordinar los uid con otros sistemas de la red.
Quizá se dé cuenta de que debe cambiar los uid (incluso para perfiles de usuario
suministrados por IBM) para disponer de compatibilidad con otros sistemas de
la red. A partir de la V3R7, existe un programa disponible para simplificar el
cambio de uid para un perfil de usuario. (Al cambiar el uid para un perfil de
usuario, también debe cambiar el uid de todos los objetos que pertenecen al
perfil, tanto en el directorio raíz como en el directorio QOpenSrv.) El programa
QSYCHGID cambia automáticamente el uid tanto en el perfil de usuario como
en los objetos pertenecientes al mismo. Para obtener información sobre cómo
utilizar este programa, consulte el manual iSeries 400 System API Reference.
Capítulo 12. Utilización del Sistema de Archivos Integrado (IFS) para proteger los archivos 145
146 iSeries 400 Consejos y herramientas para la seguridad del iSeries V5R1
Capítulo 13. Consejos para la seguridad de las
comunicaciones APPC
Cuando el sistema forma parte de una red conjuntamente con otros sistemas, es
como si se abrieran nuevas puertas para acceder a él. Como administrador de
seguridad, debe tener presentes las opciones que puede utilizar para controlar la
entrada en el sistema en un entorno APPC.
Terminología de APPC
APPC proporciona la posibilidad de que un usuario de un sistema trabaje en otro
sistema. El sistema desde el que se inicia la petición recibe uno de estos nombres:
v Sistema (de) origen
v Sistema local
v Cliente
Para que dos sistemas establezcan una sesión APPC, las contraseñas de ubicación
de las descripciones de dispositivo APPC en SISTEMA1 y SISTEMA2 deben ser
idénticas. En ambas debe especificarse *NONE o un mismo valor.
148 iSeries 400 Consejos y herramientas para la seguridad del iSeries V5R1
Consejos para restringir las sesiones APPC
Como administrador de seguridad de un sistema de origen, puede utilizar la
autorización sobre objeto para controlar quién intenta acceder a otros sistemas.
Establezca la autorización de uso público para las descripciones de dispositivo
APPC en *EXCLUDE y otorgue autorización *CHANGE a usuarios determinados.
Utilice el valor del sistema QLMTSECOFR para impedir que los usuarios que
tengan autorización especial *ALLOBJ utilicen las comunicaciones APPC.
Nota: Puede utilizar el mandato Imprimir objetos con autorización de uso público
(PRTPUBAUT *DEVD) y el mandato Imprimir autorizaciones privadas
(PRTPVTAUT *DEVD) para averiguar quién posee autorización sobre las
descripciones de dispositivo de su sistema.
Nota: Si el sistema utiliza un idioma que no es el inglés, debe cambiar el valor por
omisión del mandato en la biblioteca QSYSxxxx para cada idioma nacional
que se utilice en el sistema.
NONE No No
SAME Sí1 Vea la nota 2.
Programa Sí Yes3
Notas:
1. El sistema de origen envía el ID de usuario si el sistema de destino tiene el valor
SECURELOC(*YES) o SECURELOC(*VFYENCPWD).
2. El usuario no entra una contraseña en la petición porque el sistema de origen ya ha
verificado la contraseña. En el caso de SECURELOC(*YES) y de SECURELOC(*NO), el
sistema de origen no envía la contraseña. En el caso de SECURELOC(*VFYENCPWD),
el sistema de origen recupera la contraseña cifrada almacenada y la envía (en formato
cifrado).
3. En la V3R1 y en las versiones posteriores, el sistema envía las contraseñas cifradas si el
sistema de origen y el sistema de destino ofrecen soporte para el cifrado de
contraseñas. De lo contrario, la contraseña no se cifra.
En todos los casos, el sistema de destino decide si se acepta una petición con el
valor de seguridad que está especificado en el sistema de origen. En algunos casos,
el sistema de destino puede rechazar totalmente la petición. En otros casos, el
sistema de destino puede forzar la utilización de otro valor de seguridad. Por
ejemplo, cuando un usuario especifica un ID de usuario y una contraseña en el
mandato STRPASTHR, la petición utiliza SECURITY(PGM). Sin embargo, si el
valor del sistema QRMTSIGN es *FRCSIGNON en el sistema de destino, el usuario
sigue visualizando la pantalla Inicio de sesión. Con el valor *FRCSIGNON, el
sistema siempre utiliza SECURITY(NONE), que es lo mismo que no entrar ID de
usuario ni contraseña en el mandato STRPASTHR.
150 iSeries 400 Consejos y herramientas para la seguridad del iSeries V5R1
Notas:
1. Los sistemas de origen y de destino negocian el valor de seguridad antes de
enviar datos. En el caso en que el sistema de destino especifique
SECURELOC(*NO) y la petición sea SECURITY(SAME), por ejemplo, el sistema
de destino indicará al sistema de origen que se utilizará SECURITY(NONE). El
sistema de origen no envía el ID de usuario.
2. A partir de la V4R2, el sistema de destino rechaza una petición de sesión una
vez que ha caducado la contraseña del usuario en el sistema de destino. Esto
sólo es aplicable a las peticiones de conexión que envían una contraseña, lo que
incluye lo siguiente:
v Peticiones de sesión del tipo SECURITY(PROGRAM).
v Peticiones de sesión del tipo SECURITY(SAME) cuando el valor de
SECURELOC es *VFYENCPWD.
Notas:
1. El usuario por omisión lo determina la entrada de comunicaciones de la descripción de
subsistema. Se describe en “Cómo asigna el sistema de destino un perfil de usuario
para el trabajo”.
*NONE No hay ningún usuario por omisión disponible. Si el sistema de origen no proporciona un
ID de usuario en la petición, el trabajo no se ejecutará.
152 iSeries 400 Consejos y herramientas para la seguridad del iSeries V5R1
Tabla 20. Valores posibles para el parámetro de usuario por omisión (continuación)
Valor Resultado
*SYS Solamente se ejecutarán los programas proporcionados por IBM. No se ejecutará ninguna
aplicación de usuario.
nombre de usuario Si el sistema de origen no envía un ID de usuario, el trabajo se ejecuta bajo este perfil de
usuario.
154 iSeries 400 Consejos y herramientas para la seguridad del iSeries V5R1
Tabla 21. Ejemplo de peticiones de inicio de sesión mediante paso a través (continuación)
Valores del mandato STRPASTHR Sistema de destino
ID de usuario Contraseña Valor SECURELOC Valor QRMTSIGN Resultado
Nombre de perfil de Entrada Cualquiera *SAMEPRF La petición falla.
usuario (distinto del
*VERIFY Un trabajo interactivo se
nombre de perfil de
inicia con el mismo nombre
usuario actual para
de perfil de usuario que el
el trabajo)
perfil de usuario del sistema
origen. La contraseña se envía
al sistema remoto. El nombre
de perfil de usuario debe
existir en el sistema de
destino.
*FRCSIGNON Un trabajo interactivo se
inicia con el nombre
especificado de perfil de
usuario. La contraseña se
envía al sistema destino. El
nombre de perfil de usuario
debe existir en el sistema de
destino.
Para evitar esta posibilidad, establezca el valor del sistema de Acción de error de
E/S de dispositivo (QDEVRCYACN) en *DSCMSG. Cuando se produce una
anomalía en un dispositivo, el sistema finalizará el trabajo del usuario.
156 iSeries 400 Consejos y herramientas para la seguridad del iSeries V5R1
Visualizar lista de configuraciones Página 1
SYSTEM4 12/17/95 07:24:36
Lista de configuraciones . . . . . : QAPPNRMT
Tipo de lista de configuraciones . : *APPNRMT
Texto . . . . . . . . . . . . . . :
----------------Ubicaciones remotas APPN----------------
ID de Punto ID red
Ubicac. red Ubicac. control punto Ubicac.
remota remoto local remoto control protegida
SYSTEM36 APPN SYSTEM4 SYSTEM36 APPN *NO
SYSTEM32 APPN SYSTEM4 SYSTEM32 APPN *NO
SYSTEMU APPN SYSTEM4 SYSTEM33 APPN *YES
SYSTEMJ APPN SYSTEM4 SYSTEMJ APPN *NO
SYSTEMR2 APPN SYSTEM4 SYSTEM1 APPN *NO
------------------------Ubicaciones remotas APPN--------------------------
ID de Punto Sesión
Ubicac. red Ubicac. Una sola Número de control preesta-
remota remoto local sesión conversaciones local blecida
SYSTEM36 APPN SYSTEM4 *NO 10 *NO *NO
SYSTEM32 APPN SYSTEM4 *NO 10 *NO *NO
158 iSeries 400 Consejos y herramientas para la seguridad del iSeries V5R1
Parámetros relativos a la seguridad para los controladores
APPC
La Figura 37 muestra un ejemplo del informe de las comunicaciones
correspondiente a las descripciones de controlador. Después del informe encontrará
explicaciones de los campos del informe.
Nombre Tipo Categoría Creación Controlad. Direcc. Posibil. Sesiones Temporiz. Segundos Nombre
objeto objeto controlad. autom. conmutado llamada APPN CP desconex. supres. dispos.
CTL01 *CTLD *APPC *YES *YES *DIAL *YES *YES 0 1440 AARON
CTL02 *CTLD *APPC *YES *YES *DIAL *YES *YES 0 1440 BASIC
CTL03 *CTLD *APPC *YES *YES *DIAL *YES *YES 0 1440 *NONE
Cuando se especifica *YES para una descripción de línea, cualquier persona con
acceso a la línea puede conectarse al sistema. Ello incluye ubicaciones que están
conectadas mediante puentes y direccionadores.
Si aumenta estos valores, el sistema será más vulnerable a las sesiones parásito.
Si se especifica *YES, se permite a los usuarios locales que no tienen acceso físico a
los modems y a las líneas de comunicaciones que se conecten a otros sistemas.
160 iSeries 400 Consejos y herramientas para la seguridad del iSeries V5R1
dispositivo de pantalla dado. Cuando se llegue a este límite, se desactivará el
dispositivo. Establezca el límite con el valor del sistema QMAXSIGN.
APPN reduce las barreras físicas y de configuración para las comunicaciones. Sin
embargo, tal vez desee crear algunas barreras lógicas entre los sistemas de la red
por motivos de seguridad. Esta capacidad de controlar qué sistemas pueden
conectarse con el suyo suele denominarse soporte de cortafuegos. Los
administradores de red podrían utilizar diversos tipos de nodos para especificar
qué conexiones se permiten entre las ubicaciones de APPC. Por ejemplo, puede que
quiera permitir que el SISTEMA2 se comunique con el SISTEMA1 y el SISTEMA4,
pero no con el SISTEMA3. La página Soporte de filtrado APPN ofrece una
explicación sobre este tema. Para obtener un ejemplo, vea Creación de un filtro de
punto final de sesión. Como ampliación a esto, los administradores pueden utilizar
direccionamiento de clase de servicio (COS) para seleccionar los nodos y grupos de
transmisión elegibles para su inclusión en rutas de sesión de red.
162 iSeries 400 Consejos y herramientas para la seguridad del iSeries V5R1
– Acceso del nodo periférico (cuando el nodo periférico es el peticionario). Por
ejemplo, puede utilizar el filtro de búsqueda de directorio en LONDON para
controlar los posibles destinos de los usuarios del sistema PARIS. Del mismo
modo, puede utilizar el filtro de búsqueda de directorio en CHICAGO para
controlar los posibles destinos de los usuarios de CHICPC1 y CHICPC2.
– Accesos al nodo periférico (cuando el nodo periférico es el destino). Por
ejemplo, puede utilizar el filtro de búsqueda de directorio en CHICAGO para
determinar qué ubicaciones pueden acceder a CHICPC1. Puesto que tanto
CHICAGO como DALLAS proporcionan conexiones a MADISON, debe
preparar los filtros de búsqueda de directorio en CHICAGO y en DALLAS
para limitar las conexiones a MADISON.
Del mismo modo, puede utilizar el filtro de búsqueda de directorio en
CHICAGO para especificar qué ubicaciones de USANET son destinos
permitidos para los usuarios de EURONET.
164 iSeries 400 Consejos y herramientas para la seguridad del iSeries V5R1
Cada nodo contiene un parámetro de clase de servicio (COS) que especifica la
descripción de clase de servicio que se utilizará para calcular la ruta que tomará la
sesión. La clase de servicio también especifica la prioridad de transmisión que
gobernará la cadencia de transferencia de datos una vez se haya establecido la
sesión.
Si sospecha que alguien con acceso al mandato está arrancando TCP/IP (fuera de
horas de trabajo, por ejemplo), puede establecer la auditoría de objetos sobre el
mandato STRTCP. El sistema grabará una entrada de diario de auditoría cada vez
que un usuario ejecute el mandato.
168 iSeries 400 Consejos y herramientas para la seguridad del iSeries V5R1
La Conversión de direcciones de red (NAT) modifica las direcciones IP origen o
destino, o ambas, de los paquetes que fluyen por el sistema. Con NAT, podrá
utilizar el sistema iSeries como pasarela entre dos redes que posean esquemas de
direccionamiento conflictivos o incompatibles. También podrá utilizar NAT para
ocultar las direcciones IP reales de una red, sustituyéndolas dinámicamente por
otras direcciones distintas.
Para poder utilizar NAT, deberá crear un conjunto de reglas que especifiquen el
modo en que se convertirán las direcciones. Las reglas de ″Correlación″ convierten
una dirección estática en otra (por ejemplo, ″a.b.c.d″ se convierte en ″e.f.g.h″).
Puede utilizar una regla de correlación cuando el sistema con una dirección
″e.f.g.h″ real proporcione servicios a los que desee acceder desde otra red. En esa
otra red, es necesario o deseable conocer el sistema por la dirección ″a.b.c.d.″. Las
reglas ″Ocultar″ convierten todas las direcciones de una subred en una única
dirección IP. Puede utilizar una regla Ocultar cuando los sistemas cliente deban
acceder a los servicios de otra red, y sea necesario o deseable utilizar una
estructura alternativa de direccionamiento.
El servidor proxy también puede anotar todas las peticiones URL a efectos de
rastreo. Posteriormente se pueden repasar las anotaciones para supervisar el uso y
mal uso de los recursos de la red.
Puede utilizar el soporte de proxy HTTP del IBM HTTP Server para consolidar el
acceso a la Web. Las direcciones de los clientes PC se ocultan a los servidores Web
a los que acceden; solamente se conoce la dirección IP del servidor proxy. Poner en
antememoria las páginas Web también reduce los requisitos de ancho de banda en
las comunicaciones y la carga de trabajo de los cortafuegos.
170 iSeries 400 Consejos y herramientas para la seguridad del iSeries V5R1
iniciar TCP/IP. Para cada mandato, el sistema utiliza un método distinto para
determinar las aplicaciones (servidores) a iniciar.
Notas:
1. A partir de la V4R1, en IBM HTTP Server para iSeries 400 se utiliza el mandato CHGHTTPA para establecer el
valor AUTOSTART.
172 iSeries 400 Consejos y herramientas para la seguridad del iSeries V5R1
SLIP se ejecuta en una conexión asíncrona. Puede utilizar SLIP para efectuar
conexiones de marcación a y desde el iSeries.Por ejemplo, puede utilizar SLIP para
marcar desde el PC a un sistema iSeries.Después de establecer la conexión, puede
utilizar la aplicación TELNET en el PC para conectarse al servidor TELNET del
iSeries.O puede utilizar la aplicación FTP para transferir archivos entre los dos
sistemas.
174 iSeries 400 Consejos y herramientas para la seguridad del iSeries V5R1
Debido a las diferentes posibilidades y prácticas en materia de seguridad de los
comunicantes, querrá crear diferentes perfiles de configuración para diferentes
entornos de petición. Puede utilizar el mandato STRTCPPTP para configurar el
sistema para aceptar una sesión para un perfil de configuración específico. Para
algunos perfiles de configuración puede arrancar sesiones sólo en determinados
momentos del día, por ejemplo. Puede utilizar la auditoría de seguridad para
llevar un registro de anotaciones cronológicas de la actividad de los perfiles de
usuario asociados.
Puede evitar que un usuario SLIP acceda a otros sistemas de la red especificando
N (No) para el campo Permitir reenvío de datagramas IP en el perfil de
configuración. Esto impide que un usuario acceda a la red antes de que inicie
sesión en su sistema. Sin embargo, una vez que el usuario haya iniciado la sesión
de forma satisfactoria en el sistema, el valor de reenvío de datagramas no tiene
efecto. No limita la capacidad del usuario para utilizar una aplicación TCP/IP en
el sistema iSeries (por ejemplo, FTP o TELNET), para establecer una conexión con
otro sistema de la red.
Cuando crea un perfil de conexión para una sesión remota que necesite validación,
haga lo siguiente:
__ Paso 1. Asegúrese de que el valor del sistema Retener datos de seguridad del
servidor (QRETSVRSEC) es 1 (Sí). Este valor del sistema determina si
permitirá que las contraseñas que pueden descifrarse se almacenen en
un área protegida de su sistema.
__ Paso 2. Utilice el mandato WRKTCPPTP para crear un perfil de configuración
que tenga las características siguientes:
v Para la modalidad del perfil de configuración, especifique *DIAL.
v Para el Nombre de acceso de servicio remoto, especifique el ID de
usuario que el sistema remoto espera. Por ejemplo, si va a
conectarse con otro iSeries, especifique el nombre del perfil de
usuario en el iSeries.
v Para la Contraseña de acceso de servicio remoto, especifique la
contraseña que el sistema remoto espera para este ID de usuario. En
el iSeries, esta contraseña se almacena en un área protegida en un
formato que puede descifrarse.Los nombres y las contraseñas que
asigna a los perfiles de configuración están asociados con el perfil de
usuario de QTCP. Los nombres y las contraseñas no son accesibles
con ninguna interfaz o mandato de usuario. Sólo los programas
registrados del sistema pueden acceder a esta información de
contraseña.
Con PPP, el iSeries puede tener conexiones de alta velocidad directamente con un
proveedor de servicios de Internet o con otros sistemas de una intranet o una
extranet.Las LAN remotas pueden realmente conectarse mediante marcación al
iSeries.
176 iSeries 400 Consejos y herramientas para la seguridad del iSeries V5R1
Recuerde que PPP, al igual que SLIP, proporciona una conexión de red para el
iSeries.Esencialmente, una conexión PPP trae al peticionario a la puerta del
sistema. El peticionario sigue necesitando un ID de usuario y una contraseña para
entrar en el sistema y conectarse a un servidor TCP/IP como TELNET o FTP. A
continuación se proporcionan algunas consideraciones de seguridad con esta nueva
posibilidad de conexión:
| Nota: Cuando tenga Estaciones de red conectadas a su iSeries, debe tener TELNET
| en ejecución. Las Estaciones de red utilizan TN5250E (TELNET) para las
| sesiones de iSeries.
178 iSeries 400 Consejos y herramientas para la seguridad del iSeries V5R1
2) RFC1700 proporciona información sobre las
asignaciones de números de puerto comunes.
__ Paso f. Para el protocolo, especifique *TCP.
__ Paso g. Para el campo de perfil de usuario, especifique un nombre
de perfil de usuario protegido en el sistema. (Los perfiles
de usuario protegidos no son propietarios de programas
que adoptan autorización y no tienen contraseñas
conocidas por otros usuarios.) Restringiendo el puerto a
un usuario específico, excluye automáticamente a todos los
demás usuarios. Si el puerto está restringido al perfil
QTCP, los servidores TELNET pueden ejecutarse. Si está
restringido a un perfil que no sea QTCP, los servidores
TELNET no podrán utilizar ese puerto.
180 iSeries 400 Consejos y herramientas para la seguridad del iSeries V5R1
soporta en todos los tipos de TELNET, incluyendo TCP/IP TELNET, IPX TELNET,
y Workstation Gateway. Si está utilizando el parámetro INACTTIMO o TELNET
para definir el tiempo de espera de las sesiones, deberá cambiar y utilizar el valor
del sistema QINACTITV. Workstation Gateway utiliza un temporizador
independiente en el valor INACTTIMO que funciona además del valor
QINACTITV. Cualquiera de estos dos valores puede desencadenar un tiempo de
espera de sesión excedido en Workstation Gateway.
Control de la función por ubicación: Es posible que desee controlar qué funciones
permite o qué menú ve el usuario basándose en la ubicación en la que se origina la
petición TELNET. La API (interfaz de programación de aplicaciones) QDCRDEVD
proporciona acceso a la dirección IP del peticionario. A continuación se
proporcionan algunas sugerencias para utilizar este soporte:
v Para la V4R1, podría utilizar la API en un programa inicial para todos los
usuarios (si la actividad de TELNET es significativa en su entorno). Basándose
en la dirección IP del usuario que solicita el inicio de sesión, puede establecer el
menú para el usuario o incluso cambiar a un perfil de usuario específico.
v A partir de la V4R2, puede utilizar el programa de salida de TELNET para
tomar decisiones basándose en la dirección IP del peticionario. Esto elimina la
necesidad de definir un programa inicial en cada perfil de usuario. Puede, por
ejemplo, establecer el menú inicial del usuario, establecer el programa inicial
para el usuario o especificar bajo qué perfil de usuario se ejecutará la sesión
TELNET.
Notas:
1. Esta validación se produce antes de que se ejecute el programa de salida TELNET. El
programa de salida recibe una indicación acerca de si la validación ha sido satisfactoria
o insatisfactoria. El programa de salida todavía puede permitir o denegar la sesión,
independientemente del indicador. La indicación tiene uno de los valores siguientes:
v Valor = 0, Contraseña de cliente no validada (o no se ha recibido una contraseña).
v Valor = 1, Contraseña de cliente en texto claro validada
v Valor = 2, Contraseña de cliente cifrada validada
182 iSeries 400 Consejos y herramientas para la seguridad del iSeries V5R1
Para obtener más información sobre los programas de salida TELNET, vea el
Apéndice E, Puntos y programas de salida de aplicaciones TCP/IP, en la
publicación TCP/IP Configuration and Reference. Puede encontrar un programa de
ejemplo en la ubicación Web siguiente:
http://www.as400.ibm.com/tstudio/tech_ref/tcp/indexfr.htm
FTP requiere un ID de usuario y una contraseña. Sin embargo, puede utilizar los
puntos de salida del Servidor FTP para proporcionar una función FTP anónimo
para los usuarios invitados (los usuarios que no tienen ID de usuario ni contraseña
en el sistema). Para un FTP anónimo seguro, debe escribir programas de salida
para los puntos de salida Inicio de sesión de Servidor FTP y Validación de petición
de Servidor FTP.
184 iSeries 400 Consejos y herramientas para la seguridad del iSeries V5R1
Para cada intento no satisfactorio, el sistema anota el mensaje CPF2234 en las
anotaciones cronológicas QHST. Puede escribir un programa para supervisar las
anotaciones cronológicas QHST para el mensaje. Si el programa detecta intentos
repetidos, puede finalizar los servidores FTP.
v Puede utilizar el parámetro Tiempo de espera de inactividad (INACTTIMO) en la
configuración FTP para reducir posibles conflictos cuando el usuario deja una
sesión FTP desatendida. Lea la documentación o la ayuda en línea para
comprender el funcionamiento en común del parámetro INACTTIMO y del
temporizador de conexión (para el arranque del servidor).
BOOTP es un protocolo TCP/IP que se utiliza para permitir que una estación de
trabajo sin ningún tipo de soporte de almacenamiento (cliente) solicite un archivo
que contenga un código inicial de un servidor de la red. El servidor BOOTP
escucha al puerto 67 del servidor BOOTP. Al recibir una petición de un cliente, el
servidor busca la dirección IP definida para el cliente y le devuelve una respuesta
con la dirección IP del cliente y el nombre del archivo de carga. A continuación, el
cliente inicia una petición TFTP al servidor solicitando el archivo de carga. La
correlación entre la dirección IP y la dirección de hardware del cliente se mantiene
en la tabla BOOTP del iSeries.
186 iSeries 400 Consejos y herramientas para la seguridad del iSeries V5R1
2) RFC1700 proporciona información sobre las
asignaciones de números de puerto comunes.
__ Paso f. Para el protocolo, especifique *UCD.
__ Paso g. Para el campo de perfil de usuario, especifique un nombre
de perfil de usuario protegido en el sistema. (Los perfiles
de usuario protegidos no son propietarios de programas
que adoptan autorización y no tienen contraseñas
conocidas por otros usuarios.) Restringiendo el puerto a
un usuario específico, excluye automáticamente a todos los
demás usuarios.
Puede utilizar DHCP para que sea más sencillo para los usuarios conectarse al
iSeries por primera vez.Esto obedece a que el usuario no necesita especificar
información de configuración de TCP/IP. También puede utilizar DHCP para
reducir el número de direcciones internas de TCP/IP que necesita en una subred.
El servidor DHCP puede asignar temporalmente direcciones IP a usuarios activos
(de su agrupación de direcciones IP).
188 iSeries 400 Consejos y herramientas para la seguridad del iSeries V5R1
Entrada de puerto
El sistema llama al programa de salida siempre que lee un paquete de
datos del puerto 67 (el puerto de DHCP). El programa de salida recibe el
paquete de datos completo. El programa de salida puede decidir si el
sistema debe procesar o descartar el paquete. Puede utilizar este punto
de salida cuando las características de protección de DHCP no sean
suficientes para sus necesidades.
Asignación de dirección
El sistema llama al programa de salida siempre que DHCP asigne
formalmente una dirección a un cliente.
Liberación de dirección
El sistema llama al programa de salida siempre que DHCP libera
formalmente una dirección y la vuelve a colocar en la agrupación de
direcciones.
La IBM Network Station para AS/400 (un cliente de estación de trabajo sin ningún
tipo de soporte de almacenamiento) se conecta inicialmente al servidor BOOTP o al
servidor DHCP. El servidor BOOTP o el servidor DHCP responden con la dirección
IP del cliente y el nombre del archivo de carga. A continuación, el cliente inicia una
petición TFTP al servidor solicitando el archivo de carga. Cuando el cliente termina
de bajar el archivo de carga, finaliza la sesión TFTP.
190 iSeries 400 Consejos y herramientas para la seguridad del iSeries V5R1
Consejos para la seguridad del Servidor de EXECution remoto
El servidor de EXECution remoto (REXEC) recibe y ejecuta mandatos de un cliente
REXEC. Generalmente, un cliente REXEC es una aplicación de PC o UNIX que
soporta el envío de mandatos REXEC. El soporte que proporciona este servidor es
similar a la posibilidad que está disponible al utilizar el submandato RCMD
(mandato remoto) para el servidor FTP.
192 iSeries 400 Consejos y herramientas para la seguridad del iSeries V5R1
Consejos para la seguridad del servidor Sistema de nombres de
dominio (DNS)
| El servidor Sistema de nombres de dominio (DNS) proporciona la conversión de
| un nombre de sistema principal a una dirección IP y viceversa. En el iSeries, el
| servidor DNS tiene la misión de proporcionar la conversión de direcciones para la
| red interna segura (intranet).
194 iSeries 400 Consejos y herramientas para la seguridad del iSeries V5R1
__ Paso c. En la pantalla Trabajar con restricciones de puerto TCP/IP,
especifique la opción 1 (Añadir).
__ Paso d. Para el rango del puerto más bajo, especifique 25.
__ Paso e. Para el rango del puerto más alto, especifique *ONLY.
Notas:
1) La restricción de puertos entra en vigor cuando se
vuelve a arrancar TCP/IP. Si TCP/IP está activo
cuando se establecen las restricciones de puertos, debe
finalizar TCP/IP y arrancarlo de nuevo.
2) RFC1700 proporciona información sobre las
asignaciones de números de puerto comunes.
__ Paso f. Para el protocolo, especifique *TCP.
__ Paso g. Para el campo de perfil de usuario, especifique un nombre
de perfil de usuario protegido en el sistema. (Los perfiles
de usuario protegidos no son propietarios de programas
que adoptan autorización y no tienen contraseñas
conocidas por otros usuarios.) Restringiendo el puerto a
un usuario específico, excluye automáticamente a todos los
demás usuarios.
__ Paso h. Repita los pasos del 3c al 3g para el protocolo *UDP.
__ Paso 4. Para proporcionar protección extra, retenga las colas de distribución
SNADS que utiliza la aplicación SMTP tecleando los mandatos
siguientes:
HLDDSTQ DSTQ(QSMTPQ) PTY(*NORMAL)
HLDDSTQ DSTQ(QSMTPQ) PTY(*HIGH)
El PTF SMTP de nueva función se introddujo en las V4R2, V4R3 y V4R4 para
controlar el correo SPAM.
Otro ejemplo:
7.8.9.3 255.255.255.255
NOTA:
v Si se utiliza el área de datos para bloquear retransmisiones
(QUSRSYS/QTMSNORLY), se bloquearán TODAS las retransmisiones. Si el área
de datos no está presente pero existe QUSRSYS/QTMSADRLST.ACCEPTRLY y
tiene al menos una entrada, solamente podrán retransmitirse las direcciones de
la lista.
v Si la dirección está en QUSRSYS/QTMSADRLST.REJECTCNN no se permitirá la
conexión. Esto bloquea la retransmisión y la entrega de correo desde esta
196 iSeries 400 Consejos y herramientas para la seguridad del iSeries V5R1
dirección. Si QUSRSYS/QTMSADRLST.REJECTCNN no existe o no tiene
entradas válidas, se permitirán todas las conexiones.
v Si el registro por diario está activado, las direcciones rechazadas se registrarán
por diario.
Para averiguar si el registro por diario está activado:
– Utilice PF4 en el mandato CHGSMTPA y busque el parámetro Journal que
estaría establecido como *YES para indicar activado.
| – Para visualizar el diario, (’sues/jrnl’ es la biblioteca y archivo, dec14’ es el
| nombre del miembro que está creando):
| DSPJRN JRN(QZMF) OUTPUT(*OUTFILE) OUTFILE(sues/jrnl) OUTMBR(dec14) ENTDTALEN(512)
Nota: El mensaje anterior siempre irá seguido del siguiente mensaje para
indicar qué miembro de archivo tiene problemas. Las entradas sin
errores seguirán utilizándose.
Excepto en los errores de entrada, el mensaje anterior dará como resultado las
acciones que se producirían si no hubiera archivo.
Un error al obtener espacio temporal para listas, que dará como resultado las
acciones que se producirían si no hubiera archivo:
Para obtener más información sobre las máscaras de subred, consulte el Manual
de consulta y configuración de TCP/IP, capítulo 2, apartado Subredes.
198 iSeries 400 Consejos y herramientas para la seguridad del iSeries V5R1
Notas:
1) La restricción de puertos entra en vigor cuando se
vuelve a arrancar TCP/IP. Si TCP/IP está activo
cuando se establecen las restricciones de puertos, debe
finalizar TCP/IP y arrancarlo de nuevo.
2) RFC1700 proporciona información sobre las
asignaciones de números de puerto comunes.
__ Paso f. Para el protocolo, especifique *TCP.
__ Paso g. Para el campo de perfil de usuario, especifique un nombre
de perfil de usuario protegido en el sistema. (Los perfiles
de usuario protegidos no son propietarios de programas
que adoptan autorización y no tienen contraseñas
conocidas por otros usuarios.) Restringiendo el puerto a
un usuario específico, excluye automáticamente a todos los
demás usuarios.
__ Paso h. Repita los pasos del 3c al 3g para el protocolo *UDP.
__ Paso 4. Revise el apartado “Consejos de seguridad para el protocolo simple de
transferencia de correo” en la página 194 para obtener sugerencia para
proteger el servidor SMTP. (El servidor POP necesita los servicios del
servidor SMTP).
Un usuario (un visitante del sitio Web) nunca verá ninguna pantalla de Inicio de
sesión de iSeries.No obstante, el administrador del iSeries debe autorizar
explícitamente todos los documentos HTML y programas CGI, definiéndolos en
directivas HTTP.Además, el administrador puede configurar tanto la seguridad de
los recursos y la autenticación de los usuarios (ID de usuario y contraseña), en
algunas o en todas las peticiones.
200 iSeries 400 Consejos y herramientas para la seguridad del iSeries V5R1
Consejos para evitar el acceso
Si no desea que nadie utilice el programa para acceder al sistema, deberá evitar la
ejecución del servidor HTTP. Haga lo siguiente:
__ Paso 1. Para evitar que los trabajos del servidor HTTP se arranquen
automáticamente al arrancar TCP/IP, teclee lo siguiente:
CHGHTTPA AUTOSTART(*NO)
Notas:
a. AUTOSTART(*NO) es el valor por omisión.
b. “Control de los servidores TCP/IP que se inician automáticamente”
en la página 170 proporciona más información acerca del control
de los servidores TCP/IP que se inician automáticamente.
__ Paso 2. Por omisión, el trabajo del servidor HTTP utiliza el perfil de usuario
QTMHHTTP. Para evitar que se arranque el servidor HTTP, establezca
el estado del perfil de usuario QTMHHTTP en *DISABLED.
Quizá desee también que un solo sistema iSeries proporcione varios sitio Web
lógicos.Por ejemplo, su sistema iSeries puede ofrecer soporte para sucursales
diferentes de su empresa con conjuntos de clientes diferentes.Para cada una de
estas sucursales de la empresa, desea que aparezca un solo sitio Web de modo
totalmente independiente para el visitante. Además, quizá desee proporcionar
sitios Web internos (una intranet) con información confidencial acerca de su
empresa.
Tanto con el servidor *ADMIN como con TELNET tiene la posibilidad de llevar
a cabo funciones de administración de modo remoto, quizás a través de una
conexión Internet. Si realiza la administración a través de un enlace público
(Internet), puede exponer al husmeo una contraseña y un ID de usuario
potentes. El ″husmeador″ puede utilizarlos para intentar acceder al sistema
utilizando, por ejemplo, TELNET o FTP.
Notas:
1. Con TELNET, la pantalla de Inicio de sesión se trata como cualquier otra
pantalla. Aunque la contraseña no se visualiza al teclearla, el sistema la
transmite sin cifrado ni codificación.
2. Con el servidor *ADMIN, la contraseña se codifica, pero no se cifra. El
esquema de codificación es un estándar comercial y, por lo tanto,
generalmente conocido entre la comunidad pirata. Aunque la codificación no
resulta fácil de comprender para el ″pirata informático″ ocasional, un pirata
informático con experiencia probablemente disponga de las herramientas
necesarias para intentar decodificar la contraseña.
Consejo de seguridad
Si tiene pensado realizar la administración remota a través de Internet,
deberá utilizar la instancia *ADMIN con SSL, de forma que las
transmisiones estén cifradas. No utilice una aplicación poco segura, como
una versión de TELNET anterior a la V4R4 (TELNET da soporte a SSL a
partir de la V4R4). Si está utilizando el servidor *ADMIN a través de una
intranet de usuarios autorizados, es probable que pueda utilizarlo con
seguridad para la administración.
202 iSeries 400 Consejos y herramientas para la seguridad del iSeries V5R1
página de Bienvenida por omisión. Un cliente no puede ver ninguno de los
documentos del servidor excepto la página de Bienvenida hasta que el
administrador del servidor define las directivas para el servidor. Para definir
directivas, utilice un navegador Web y el servidor *ADMIN o el mandato
Trabajar con configuración HTTP (WRKHTTPCFG). Ambos métodos requieren la
autorización especial *IOSYSCFG. Al conectar el iSeries a Internet, resulta aún
más importante evaluar y controlar el número de usuarios de la organización
que tienen autorización especial *IOSYSCFG.
Protección de recursos
El Internet Connection Server y el IBM HTTP Server para AS/400 incluyen
directivas HTTP que pueden proporcionar un control detallado de la información
que utiliza el servidor. Puede utilizar las directivas para intercambiar a otros
perfiles de usuario de iSeries y para requerir la autenticación de ciertos recursos.A
continuación se ofrecen algunas sugerencias y consideraciones para utilizar este
soporte:
Nota: ″Web serving with your IBM HTTP Server″ en el Information Center
proporciona descripciones completas de las directivas HTTP disponibles y
cómo utilizarlas. Incluye ejemplos de seguridad y consideraciones.
v El servidor HTTP empieza a partir de la base de ″autorización explícita″. El
servidor no acepta una petición a menos que dicha petición esté definida
explícitamente en las directivas. En otras palabras, el servidor rechaza
inmediatamente todas las peticiones de un URL a menos que dicho URL esté
definido en las directivas (por nombre o genéricamente). Para beneficiarse de
esta protección inicial que proporcionan las directivas, tenga en cuenta lo
siguiente:
– Al añadir una directiva al servidor HTTP, defina el valor de la plantilla para
la vía de acceso del modo más específico posible. De este modo reducirá la
posibilidad de que alguien pueda examinar el sistema y descubrir archivos.
Evite la utilización de nombres de archivo genéricos y de comodines.
– Utilice las directivas Map o Pass para enmascarar los nombres de los archivos
en el servidor web de iSeries. (Las directivas Map y Pass son métodos para
correlacionar el URL enviado por el cliente con un recurso o nombre diferente
del servidor). Por ejemplo, el cliente (navegador) puede emitir un URL
parecido a:
http://hostname/webdata/products
El peticionario que vea este URL no tendrá ni idea de que los datos del
producto están en el archivo WWWDATA de la biblioteca WEBDATA del
sistema iSeries.Este método protege (oculta) los nombres de archivo y de
biblioteca de iSeries de los piratas potenciales.También proporciona la
flexibilidad para cambiar la aplicación iSeries sin tener que cambiar el URL.
v Puede utilizar directivas de protección para solicitar un ID de usuario y una
contraseña antes de aceptar una petición de alguno de sus recursos o de todos
ellos. A continuación se ofrecen algunas consideraciones para el uso de este
soporte:
– Cuando un usuario (cliente) solicita un recurso protegido, el servidor exige al
navegador una contraseña y un ID de usuario. El navegador solicita al
204 iSeries 400 Consejos y herramientas para la seguridad del iSeries V5R1
– Puede utilizar el Gestor de certificados digitales (DCM) para crear su propia
Autoridad certificadora en la intranet. El Certificado digital asocia
automáticamente un certificado con el perfil de usuario iSeries del
propietario. El certificado tiene las mismas autorizaciones y los mismos
permisos que el perfil asociado.
v Cuando el servidor acepta una petición, entra en función la seguridad normal de
los recursos del iSeries.El perfil de usuario del iSeries que ha solicitado el
recurso debe disponer de la autorización necesaria para el recurso (por ejemplo,
la carpeta o el archivo físico del recurso que contiene el documento HTML).Por
omisión, los trabajos se ejecutan bajo el perfil de usuario QTMHHTTP. Puede
utilizar una directiva para cambiar a un perfil de usuario iSeries distinto.En este
caso, el sistema utiliza la autorización del perfil de usuario para acceder a los
objetos. A continuación se ofrecen algunas consideraciones para este soporte:
– El intercambio de perfiles de usuario puede resultar especialmente útil
cuando el servidor proporciona más de un sitio Web lógico. Puede asociar un
perfil de usuario diferente a las directivas para cada sitio Web y utilizar la
seguridad de recursos de iSeries para proteger los documentos de cada sitio.
– Puede utilizar la posibilidad de intercambiar perfiles de usuario en
combinación con el objeto de validación. El servidor utiliza un ID de usuario
y una contraseña exclusivos (separados del ID de usuario y contraseña
normales de iSeries) para evaluar la petición inicial. Una vez el servidor ha
autenticado al usuario, el sistema intercambia a un perfil de usuario del
iSeries diferente, beneficiándose de la seguridad de los recursos del
iSeries.Así, el usuario no conoce el nombre verdadero del perfil de usuario y
no puede intentar utilizarlo de otros modos (tales como FTP).
v Algunas peticiones del servidor HTTP necesitan ejecutar un programa en el
servidor HTTP. Por ejemplo, un programa podría acceder a datos de su sistema.
Para que el programa pueda ejecutarse, el administrador del sistema debe
correlacionar la petición (URL) con un programa específico definido por el
usuario, que se ajuste a los estándares de interfaz de usuario CGI. A
continuación, se incluyen algunas consideraciones para los programas CGI:
– Puede utilizar las directivas de protección para los programas CGI tal y como
lo hace para documentos HTML. Así, puede solicitar una contraseña y un ID
de usuario antes de ejecutar el programa.
– Por omisión, los programas CGI se ejecutan bajo el perfil de usuario
QTMHHTP1. Puede intercambiar a un perfil de usuario iSeries diferente antes
de ejecutar el programa.Por consiguiente, puede establecer la seguridad de
recursos del iSeries normales para los recursos a los que acceden los
programas CGI.
– Como administrador de seguridad, debe revisar la seguridad antes de
autorizar la utilización de cualquier programa CGI en el sistema. Debe
conocer la procedencia del programa y las funciones que realiza el programa
CGI. También debe supervisar las posibilidades de los perfiles de usuario bajo
los cuales está ejecutando los programas CGI y efectuar una comprobación
con los programas CGI para determinar, por ejemplo, si puede acceder a una
línea de mandatos. Trate los programas CGI con la misma vigilancia con la
que trata los programas que adoptan la autorización.
– Asimismo, debe asegurarse de evaluar los objetos confidenciales que pueden
tener una autorización de uso público inadecuada. En algunas ocasiones, un
programa CGI no diseñado correctamente, permite que un usuario engañoso
y con los conocimientos necesarios intente vagar por el sistema.
– Utilice una biblioteca de usuario específica, por ejemplo, la CGILIB, para
mantener todos los programas de CGI. Utilice la autorización sobre objetos
para controlar quién puede colocar nuevos objetos en esa biblioteca y quién
| Los temas sobre SSL y servidores Web (HTTP) del Information center proporcionan
información completa para instalar, configurar y gestionar el proceso de cifrado.
Estos temas proporcionan tanto una visión general de las características del
servidor como algunas consideraciones para su utilización.
Internet Connection Server proporciona soporte http y https cuando se instala uno
de los siguientes programas bajo licencia:
v 5722–NC1
v 5722–NCE
Cuando están instaladas estas opciones, se hace referencia al producto como
Internet Connection Secure Server.
| IBM HTTP Server para iSeries (5722–DG1) proporciona soporte de http y https.
| Debe instalar uno de los siguientes productos criptográficos para habilitar SSL:
206 iSeries 400 Consejos y herramientas para la seguridad del iSeries V5R1
| v 5722–AC2
| v 5722–AC3
| Recordatorio
| Es buena práctica de Internet (netiquette) informar a sus clientes cuándo son
| seguras las transmisiones y cuándo no, especialmente cuando su sitio Web
| utilice solamente un servidor seguro en ciertos documentos.
|
|
http://www.ietf.org
Usos de LDAP:
208 iSeries 400 Consejos y herramientas para la seguridad del iSeries V5R1
como un nombre o dirección y un tipo. Los tipos suelen consistir en series
nemotécnicas, por ejemplo cn para nombre común o mail para la dirección de
correo electrónico.
Cada entrada de directorio tiene además los siguientes atributos operativos, que el
servidor LDAP mantiene automáticamente:
v CreatorsName, que contiene el DN de enlace utilizado al crear la entrada.
v CreateTimestamp, que contiene la hora en que se creó la entrada.
v modifiersName, que contiene el DN de enlace utilizado en la última modificación
de la entrada (inicialmente es igual que CreatorsName).
v modifyTimestamp, que contiene la hora de la última modificación de la entrada
(inicialmente es igual que CreateTimestamp).
LDAP hace referencias a entradas con Nombres distinguidoss (DNs). Los nombres
distinguidos constan del nombre de la propia entrada así como de los nombres, del
final al principio, de los objetos que tiene por encima en el directorio. Por ejemplo,
el DN completo para la entrada del lado inferior izquierdo de Figura 41 en la
página 210 es cn=Tim Jones, o=IBM, c=US. Cada entrada tiene al menos un atributo
que se utiliza para nombrar la entrada. Este atributo de denominación se llama el
Nombre distinguido relativo (RDN) de la entrada. La entrada superior a un RDN
dado es su Nombre distinguido padre. En el ejemplo anterior, cn=Tim Jones da
nombre a la entrada, por lo que es el RDN. o=IBM, c=US es el DN padre para
cn=Tim Jones.
210 iSeries 400 Consejos y herramientas para la seguridad del iSeries V5R1
Servicios de Directorio es bastante compatible con otros servidores de directorio
LDAP del grupo de productos IBM SecureWay. No obstante, podría no ser tan
compatible con otros servidores LDAP.
v Los datos para el servidor LDAP que proporcionan los Servicios de Directorio
residen en una base de datos de OS/400.
Más información:
Para ver ejemplos del uso de los directorios LDAP, consulte “Ejemplo del uso de
los Servicios de Directorio”.
| Para conocer más datos sobre los conceptos de LDAP, vea los Servicios de
| Directorio de Red (LDAP) en el Information Center (vea “Requisitos e información
| relacionada” en la página xii para más detalles).
| El directorio está listo para aceptar datos. Jonathon se encargará de ello. Podría
| utilizar los programas de utilidad shell que se incluyen con los Servicios de
Puede utilizar un cliente V2 con un servidor V3. Tenga en cuenta que, si embargo,
en una petición de búsqueda el servidor V3 puede devolver datos en el formato
UTF-8, mientras que un cliente V2 sólo puede manejar datos del juego de
caracteres IA5.
http://www.ietf.org
| Para obtener más información sobre estos temas, consulte el tema sobre Servicio de
| directorio de redes (LDAP) en el Information Center (vea “Requisitos e
| información relacionada” en la página xii para conocer más detalles).
Nota: El iSeries no ofrece una versión segura del Workstation Gateway Server.Por
consiguiente, si su programa ofrece el control al servidor WSG (por ejemplo,
en los formularios rellenables), recuerde que la transmisión WSG no se
cifrará.
212 iSeries 400 Consejos y herramientas para la seguridad del iSeries V5R1
Consejos para evitar el acceso de WSG
Si no quiere que nadie utilice WSG para acceder al sistema, debe evitar el
funcionamiento del servidor WSG. Haga lo siguiente:
__ Paso 1. Para evitar que los trabajos del servidor WSG se arranquen
automáticamente al arrancar TCP/IP, teclee lo siguiente:
CHGWSGA AUTOSTART(*NO)
Notas:
a. AUTOSTART(*NO) es el valor por omisión.
b. El atributo DSPSGN controla si el sistema puede visualizar paneles
de inicio de sesión. DSPSGN(*NO) es el valor por omisión.
c. “Control de los servidores TCP/IP que se inician automáticamente”
en la página 170 proporciona más información acerca del control
de los servidores TCP/IP que se inician automáticamente.
__ Paso 2. Para evitar que WSG se arranque y evitar que alguien asocie una
aplicación de usuario, tal como una aplicación socket, con el puerto
que el sistema utiliza normalmente para HTTP, haga lo siguiente:
__ Paso a. Teclee GO CFGTCP para visualizar el menú Configurar
TCP/IP.
__ Paso b. Seleccione la opción 4 (Trabajar con restricciones de puerto
TCP/IP).
__ Paso c. En la pantalla Trabajar con restricciones de puerto TCP/IP,
especifique la opción 1 (Añadir).
__ Paso d. Para el rango del puerto más bajo, especifique 5061.
__ Paso e. Para el rango del puerto más alto, especifique *ONLY.
Notas:
1) La restricción de puertos entra en vigor cuando se
vuelve a arrancar TCP/IP. Si TCP/IP está activo
cuando se establecen las restricciones de puertos, debe
finalizar TCP/IP y arrancarlo de nuevo.
2) RFC1700 proporciona información sobre las
asignaciones de números de puerto comunes.
__ Paso f. Para el protocolo, especifique *TCP.
__ Paso g. Para el campo de perfil de usuario, especifique un nombre
de perfil de usuario protegido en el sistema. (Los perfiles
de usuario protegidos no son propietarios de programas
que adoptan autorización y no tienen contraseñas
conocidas por otros usuarios.) Restringiendo el puerto a
un usuario específico, excluye automáticamente a todos los
demás usuarios.
214 iSeries 400 Consejos y herramientas para la seguridad del iSeries V5R1
Consejos de seguridad para el Daemon de impresora de líneas
El LPD (daemon de impresora de líneas) proporciona la posibilidad de distribuir la
salida de impresora para el sistema. El sistema no realiza ningún proceso de inicio
de sesión para LPD.
216 iSeries 400 Consejos y herramientas para la seguridad del iSeries V5R1
conocidas por otros usuarios.) Restringiendo el puerto a
un usuario específico, excluye automáticamente a todos los
demás usuarios.
__ Paso h. Repita los pasos del 2c al 2g para el protocolo *UDP.
218 iSeries 400 Consejos y herramientas para la seguridad del iSeries V5R1
v La entrada *DFTROUTE en la tabla de ruta TCP/IP. Esto permite a los usuarios
entrar la dirección IP del sistema del salto siguiente cuando su destino es una
red desconocida. Un usuario puede alcanzar o poner en contacto una red remota
utilizando la ruta por omisión.
v Configuración del servidor de nombre remoto. Este soporte permite a otro
servidor de la red ubicar nombres de sistemas principales para los usuarios.
v Tabla del sistema remoto.
220 iSeries 400 Consejos y herramientas para la seguridad del iSeries V5R1
Capítulo 15. Consejos para la seguridad del PC
Muchos usuarios del sistema tienen un PC en la mesa como estación de trabajo.
Utilizan herramientas que funcionan en el PC y utilizan el PC para conectarse al
iSeries.
Parte del software de cliente, por ejemplo, el cliente Client Access AS/400 para
Windows 95/NT, utiliza el sistema de archivos integrado para almacenar y acceder
a los datos del iSeries. Con el sistema de archivos integrado, todo el iSeries resulta
más fácilmente disponible para los usuarios de PC.La autorización sobre objetos se
vuelve incluso más importante. A través del sistema de archivos integrado, un
usuario con la autorización suficiente puede ver una biblioteca de iSeries como si
fuera un directorio de PC.Mediante mandatos simples de movimiento y de copia
se pueden mover datos instantáneamente de una biblioteca del iSeries a un
directorio de PC o viceversa.El sistema hace automáticamente los cambios
adecuados en el formato de los datos.
Notas:
1. Puede utilizar una lista de autorizaciones para controlar la utilización de
objetos en el sistema de archivos QSYS.LIB. Consulte el apartado “Restricción
del acceso al sistema de archivos QSYS.LIB” en la página 140 para obtener más
información.
2. En el “Capítulo 12. Utilización del Sistema de Archivos Integrado (IFS) para
proteger los archivos” en la página 133 se proporciona más información acerca
de los temas de seguridad con el sistema de archivos integrado.
Para todos los sistemas que tengan PC conectados, pero especialmente para los
sistemas con software de cliente que utilice el sistema de archivos integrado,
resulta decisivo un buen esquema de autorización sobre objetos. Debido a que la
seguridad está integrada en el OS/400, cualquier petición para acceder a los datos
debe pasar a través del proceso de comprobación de autorización. La
comprobación de autorización se aplica a las peticiones de cualquier fuente y para
el acceso a datos que utilicen cualquier método.
Otra opción para evitar la copia de archivos es utilizar un programa de salida que
se ejecute siempre que un usuario de PC arranque una función del iSeries (que no
222 iSeries 400 Consejos y herramientas para la seguridad del iSeries V5R1
sea el inicio de sesión interactivo).Puede especificar un programa de salida en el
atributo de red PCSACC utilizando el mandato Cambiar atributo de red
(CHGNETA). O puede registrar programas de salida utilizando el mandato
Trabajar con información de registro (WRKREGINF). El método que utilice
dependerá del modo en que los PC accedan a los datos del sistema y del programa
cliente que utilicen los PC. El programa de salida (QIBM_QPWFS_FILE_SERV) es
aplicable al acceso al IFS desde Client Access y Net Server. No evita el acceso
desde un PC con otros mecanismos, como FTP u ODBC.
Las políticas son una herramienta para que la utilicen los administradores al
configurar software en sus PC cliente. Las políticas pueden restringir las funciones
y aplicaciones a las que puede acceder un usuario en el PC. Las políticas también
pueden sugerir o imponer configuraciones para que las utilicen determinados
usuarios o determinados PC.
Nota: Las políticas no ofrecen control sobre los recursos de iSeries 400. Las
políticas no son un sustituto de la seguridad de iSeries. Las políticas pueden
utilizarse para afectar a la forma en que Client Access Express accede al
iSeries desde un PC concreto, por parte de un usuario concreto. No obstante,
no cambian la manera en que se accede a los recursos del iSeries 400 a
través de otros mecanismos.
Client Access Express soporta dos estrategias distintas para implementar el control
de administración dentro de su red: Las políticas del sistema Microsoft y la
Administración de aplicaciones del Operations Navigator. Tenga en cuenta lo
siguiente al decidir qué estrategia se ajusta mejor a sus necesidades.
Las políticas son reguladas por el PC, no dependen de los releases específicos del
OS/400. Las políticas pueden ser aplicables a los PC, así como a los usuarios de
Windows. Esto significa que los usuarios se refieren al perfil de usuario de
Windows, no al perfil de usuario del iSeries. Las políticas pueden utilizarse para
″configurar″, así como para restringir. Por lo general, las políticas pueden ofrecer
más granularidad que la Administración de aplicaciones y pueden ofrecen un
mayor rango de funciones. Esto se debe a que no es necesaria la conexión con el
sistema iSeries para determinar si el usuario puede utilizar o no la función. La
implementación de políticas es más complicada que la implementación de la
Administración de aplicaciones debido a que es necesario el uso del editor de
políticas del sistema Microsoft y los PC deben configurarse individualmente para
bajar las políticas.
224 iSeries 400 Consejos y herramientas para la seguridad del iSeries V5R1
Seguridad y Operations Navigator
El Operations Navigator proporciona una interfaz al iSeries de fácil uso para los
usuarios que tienen Client Access. Con cada release nuevo de OS/400, es posible
acceder a más funciones del iSeries a través de Operations Navigator.
Una interfaz de fácil manejo proporciona muchas ventajas, lo que incluye un coste
bajo de soporte técnico y una imagen mejorada para el sistema. También supone
retos en la seguridad. Como administrador de seguridad ya no puede confiar en la
ignorancia de los usuarios para proteger los recursos. Operations Navigator
convierte muchas funciones en funciones sencillas y visibles para los usuarios.
Debe asegurarse de diseñar e implementar políticas de seguridad para los perfiles
de usuario y la seguridad de objetos para cumplir las necesidades de seguridad.
A partir de la V4R4, iSeries Client Access Express para Windows también soporta
el uso del Editor de políticas del sistema de Windows NT para controlar qué
funciones pueden llevarse a cabo desde un cliente PC concreto, sin tener en cuenta
quén esté utilizando ese PC.
226 iSeries 400 Consejos y herramientas para la seguridad del iSeries V5R1
– Cuando un usuario solicita una operación que afecta a todo un archivo (tal
como suprimir o borrar un archivo), el sistema llama al programa
QIBM_QZDA_NDB1. Puede utilizar el programa de salida para aceptar o
rechazar estas peticiones.
– Cuando una aplicación ODBC envía una petición de Lenguaje de consulta
estructurada (SQL), el sistema llama a los programas QIBM_QZDA_SQL1 y
QIBM_QZDA_SQL2. El programa de salida puede evaluar la petición y
determinar si permite la petición específica. Por ejemplo, la petición puede
consistir en ver un conjunto de registros o en añadir o suprimir registros de
un archivo de la base de datos.
– Cuando el sistema recibe una petición de información acerca de la estructura
de base de datos (una petición de catálogo), el sistema llama al programa
QIBM_QZDA_ROI1 program.—Tenga en cuenta que el servidor de bases de
datos IBM utiliza estos puntos de salida. Los controladores de ODBC del
iSeries de otros proveedores no utilizaran probablemente los mismos puntos
de salida. Pueden proporciona su propio servidor o bien pueden utilizar
DRDA (Acceso a base de datos relacional distribuida) para acceder al iSeries
400. Las peticiones de DRDA llegan a través de DDM (Gestion de base de
datos distribuida). A partir de la V4R3, si el punto de salida de DDM tiene un
programa definido, se llamará a dicho programa en una conexión DRDA. Los
siguientes PTF habilitan esta función en la V4R1 y la V4R2:
VRM410 SF46018 VRM420 SF46017
Cuando se elige permitir que se ignore la pantalla Inicio de sesión, debe tener en
cuenta las contrapartidas en la seguridad.
También necesita educar a sus usuarios acerca del efecto de desconectar su sesión
de Client Access. Muchos usuarios dan por supuesto (lógica pero incorrectamente)
que la opción de desconexión detiene completamente la conexión al iSeries.De
hecho, cuando un usuario selecciona la opción de desconectar, el iSeries permite
que la sesión (licencia) del usuario esté disponible para otro usuario.No obstante,
la conexión del cliente al iSeries continúa abierta. Otro usuario podría entrar a
través del PC no protegido y acceder a los recursos del iSeries sin haber entrado
nunca un ID de usuario y una contraseña.
Puede sugerir dos opciones para los usuarios que necesitan desconectar sus
sesiones:
v Asegúrese de que sus PC dispongan de una función de bloqueo que requiera
una contraseña. De este modo, un PC desatendido no estará disponible para
quien no conozca la contraseña.
v Para desconectar completamente una sesión, finalice la sesión de Windows o
reinicie (rearranque) el PC. De este modo concluirá la sesión del iSeries.
228 iSeries 400 Consejos y herramientas para la seguridad del iSeries V5R1
poderoso, pueden arriesgarse los recursos de iSeries en un PC desatendido.Como
en el ejemplo anterior, la solución es asegurar que los usuarios comprendan el
riesgo y utilicen la función de bloqueo del PC.
USERB
USERA USERC
USERE
SERVIDOR SERVIDOR
AS/400 PASARELA USERD
USERGTW
RV3M1207-0
Con otro software, el servidor de pasarela pasa las peticiones de los usuarios
individuales al iSeries.El iSeries sabe que USERA está solicitando acceso a un
objeto determinado.La pasarela es casi transparente para el iSeries.
Si el sistema está en una red que tiene servidores de pasarela, debe evaluar qué
autorización se debe proporcionar a los ID de usuario utilizados por los servidores
de pasarela. También debe comprender lo siguiente:
v Los mecanismos de seguridad que los servidores de pasarela hacen cumplir.
v Cómo aparecen los usuarios en sentido directo ante el sistema iSeries.
230 iSeries 400 Consejos y herramientas para la seguridad del iSeries V5R1
Consejos para las comunicaciones LAN inalámbricas
Algunos clientes pueden utilizar la LAN inalámbrica de iSeries para comunicarse
con el sistema iSeries sin utilizar cables.La LAN inalámbrica de iSeries utiliza
tecnología de comunicaciones por radio frecuencia.Como administrador de
seguridad, debe conocer las siguientes características de seguridad de los
productos de la LAN inalámbrica de iSeries:
v Estos productos de la LAN inalámbrica utilizan tecnología de difusión de
espectro. Esta misma tecnología la utilizó el gobierno en el pasado para asegurar
las transmisiones de radio. Para alguien que intente rastrear electrónicamente las
transmisiones de datos, éstas parecen ser un ruido, más que una transmisión
real.
v La conexión inalámbrica tiene tres parámetros de configuración relevantes para
la seguridad:
– Velocidad de datos (dos velocidades de datos posibles)
– Frecuencia (cinco frecuencias posibles)
– Identificador del sistema (8 millones de identificadores posibles)
| Notas:
| 1. Encontrará información adicional sobre este tema en el Information Center iSeries. Vea “Requisitos e información
| relacionada” en la página xii para obtener más detalles.
234 iSeries 400 Consejos y herramientas para la seguridad del iSeries V5R1
Capítulo 17. Consideraciones sobre seguridad para Java
Java está teniendo una rápida y amplia aceptación y utilización. Es posible que
utilice Toolbox for Java en el sistema para desarrollar nuevas aplicaciones. Los
usuarios que dispongan de acceso a Internet pueden estar accediendo a páginas
Web que ejecuten applets Java. Aunque Java es un lenguaje potente que
proporciona herramientas y características para ayudar a los programadores a
escribir programas seguros, Java no puede asegurar la información por sí solo. Este
apartado trata las consideraciones sobre seguridad para:
v Aplicaciones Java
v Applets Java
v Servlets Java
v Autenticación y autorización de Java
Para obtener más información puede utilizar el libro rojo, Java 2 Network Security.
Está ubicado en la siguiente dirección del navegador,
http://www.redbooks.ibm.com/abstracts/sg242109.html
Aplicaciones Java
Las aplicaciones Java residen en el sistema iSeries 400 o en el PC en el que se
ejecutan, y se ejecutan utilizando la máquina virtual Java instalada en dicho
sistema. Los problemas de seguridad para las aplicaciones Java en iSeries son los
mismos que para las demás aplicaciones de iSeries.
A partir de la V4R4, Java para iSeries Java soporta SSL (capa de sockets segura).
Los datos (incluidos los ID de usuario y contraseñas) pueden cifrarse cuando los
usuarios acceden a aplicaciones Java del iSeries desde Internet. No obstante, antes
de la V4R4, no había soporte integrado para SSL, pero eso solamente impedía el
cifrado de datos con SSL. No impedía el cifrado de datos utilizando un algoritmo
dentro del propio programa Java. Existen diversas maneras de cifrar los datos; SSL
sólo es una de ellas.
Para obtener más información puede utilizar el libro rojo, Java 2 Network Security.
Está ubicado en la siguiente dirección del navegador,
http://www.redbooks.ibm.com/abstracts/sg242109.html
Applets Java
Los applets Java son pequeños programas Java que residen en un servidor web. Se
bajan a un cliente y se ejecutan en el cliente mediante el código Java
proporcionado por un navegador Web. Dado que los applets se ejecutan en el
cliente, lo que hagan será problema del cliente. Una buena gestión de seguridad
del servidor iSeries protege los recursos del iSeries sin tener en cuenta lo que el
applet intente hacer. Por otro lado, quién puede acceder al applet será problema
del servidor iSeries. Utilice las directivas del servidor HTTP y la seguridad por
recursos de OS/400 para controlar el acceso al applet.
Los applets Java tienen el potencial para acceder a su iSeries pero, por lo general,
las aplicaciones Java sólo pueden establecer una sesión con el servidor desde el
que se originó la aplicación. Por consiguiente, una aplicación Java puede acceder a
su iSeries desde un PC conectado solamente cuando la aplicación provenga de su
iSeries (por ejemplo, de su servidor Web).
Para obtener más información puede utilizar el libro rojo, Java 2 Network Security.
Está ubicado en la siguiente dirección del navegador,
http://www.redbooks.ibm.com/abstracts/sg242109.html
Servlets Java
Los servlets son componentes del lado del servidor, escritos en Java, que amplían
de forma dinámica la funcionalidad de un servidor web sin modificar el código del
servidor web. El IBM WebSphere Application Server que se envía con IBM HTTP
Server para iSeries proporciona soporte para servlets en el iSeries.
236 iSeries 400 Consejos y herramientas para la seguridad del iSeries V5R1
Es más complicado asegurar los servlets que otros tipos de programas Java.
Aplicar la seguridad por recursos a un servlet no lo asegura lo suficiente. Una vez
un servidor web ha cargado un servlet, la seguridad por recursos no evita que
otros lo ejecuten.
Debe utilizar la seguridad por recursos en los objetos que utilice el servidor.
También puede mejorar la seguridad de los servlets utilizando las siguientes
directivas de protección del IBM HTTP Server para iSeries:
v Ejecute los servlets bajo el perfil de usuario del solicitante (UserID=%%CLIENT),
o bajo un perfil de usuario especificado.
v No permita que los servlets se ejecuten bajo el perfil del servidor web.
v Controle quién puede ejecutar el servlet (aplicar máscaras a las palabras clave de
la directiva de protección).
v Utilice los grupos de HTTP Server y las listas de control de acceso (ACL).
Para obtener más información puede utilizar el libro rojo, Java 2 Network Security.
Está ubicado en la siguiente dirección del navegador,
http://www.redbooks.ibm.com/abstracts/sg242109.html
Para obtener información detallada adicional revise la página iSeries 400 Toolbox
para Java: Servicio de autenticación y autorización en el iSeries Information Center.
También puede utilizar el libro rojo, Java 2 Network Security. Está ubicado en la
siguiente dirección del navegador,
http://www.redbooks.ibm.com/abstracts/sg242109.html
Un applet firmado lleva asociada una firma digital para establecer su autenticidad.
Cuando un usuario accede a una página Web que tiene un applet firmado, el
usuario ve un mensaje. El mensaje indica la firma del applet (quién y cuándo lo
firmó). Cuando el usuario acepta el applet, el usuario permite al applet pasar por
alto los valores de seguridad del navegador. El applet firmado puede grabar en las
unidades locales del PC, incluso aunque los valores por omisión del navegador lo
impidan. El applet firmado puede también grabar en las unidades correlacionadas
del iSeries porque para el PC son unidades locales.
Para los applets Java propios procedentes del iSeries, es posible que necesite
utilizar applets firmados. Sin embargo, debe indicar a los usuarios que, en general,
no acepten applets firmados de origen desconocido.
240 iSeries 400 Consejos y herramientas para la seguridad del iSeries V5R1
Capítulo 19. Consejos para la seguridad de Domino para
iSeries
| Encontrará información sobre el uso de Domino en el iSeries en el siguiente URL:
| http://www.as400.ibm.com/domino/ . Desde esa página puede enlazar con la
| biblioteca de consulta de Domino, así como con productos y estudios de casos.
RV3M1204-0
| Para saber más sobre los riesgos de seguridad de Internet y las soluciones de
| seguridad de iSeries 400 que puede utilizar para proteger sus sistemas y recursos,
| revise estos temas en el Information Center (vea “Requisitos e información
| relacionada” en la página xii para más detalles):
| v Seguridad básica del sistema y planificación: Aprenda a planificar, configurar,
| gestionar y poner a prueba la seguridad de su sistema. Consulte este teme si no
| tiene experiencia en seguridad, o si no la tiene en la seguridad del iSeries 400.
| v IBM SecureWay: iSeries 400 e Internet: Este tema proporciona una visión
| general de las ofertas y los puntos fuertes de la seguridad en Internet iSeries
| 400. Consulte este tema para obtener más información sobre las opciones de
| seguridad de redes, aplicaciones y transacciones.
Seguridad C2
C2 es un estándar de seguridad definido por el gobierno de los EE.UU. en el
Department of Defense Trusted System Evaluation Criteria (DoD 5200.28.STD). Es
posible que se pregunte por qué le interesa tener la calificación C2. Para poder
realizar solicitudes y que se le contrate como desarrollador de proyectos dentro de
la estructura gubernamental puede ser necesario que su sistema se ejecute con el
nivel de seguridad C2.
| Desde que recibió su primera calificación C2, el objetivo de IBM ha sido conseguir
| nuevas calificaciones C2 para el hardware adicional de iSeries 400 y los releases de
| OS/400 a través del proceso RAMP (Ratings Maintenance Phase) del Departamento
| de Defensa de los Estados Unidos. Hasta la fecha, el iSeries 400 ha recibido
Para obtener el nivel de seguridad C2, los sistemas deben cumplir unas
condiciones estrictas en las áreas siguientes:
v Control de acceso discrecional
v Fiabilidad del usuario
v Auditoría de la seguridad
v Aislamiento de recursos
248 iSeries 400 Consejos y herramientas para la seguridad del iSeries V5R1
Avisos
Esta información se ha desarrollado para productos y servicios ofrecidos en los
Estados Unidos. IBM puede no ofrecer los productos, servicios o características
tratados en este documento en otros países. Consulte al representante de IBM local
acerca de los productos y servicios disponibles actualmente en su zona. Cualquier
referencia a un producto, programa o servicio IBM no implica que únicamente
pueda utilizarse dicho producto, programa o servicio IBM. En su lugar, puede
utilizarse cualquier producto, programa o servicio funcionalmente equivalente que
no vulnere ninguno de los derechos de propiedad intelectual de IBM. No obstante,
es responsabilidad del usuario evaluar y verificar el funcionamiento de cualquier
producto, programa o servicio no IBM.
Todos los precios aquí mostrados son precios recomendados de venta de IBM, son
actuales y sujetos a cambio sin previo aviso. Los precios de los concesionarios
pueden variar.
LICENCIA DE COPYRIGHT:
250 iSeries 400 Consejos y herramientas para la seguridad del iSeries V5R1
Esta información contiene programas de aplicación de ejemplo en lenguaje fuente,
que ilustran técnicas de programación en distintas plataformas operativas. Puede
copiar, modificar y distribuir dichos programas de ejemplo en cualquier forma sin
pago a IBM para el propósito de desarrollar, utilizar, comercializar o distribuir
programas de aplicación que se ajusten a la interfaz de programación de
aplicaciones correspondiente a la plataforma operativa para la que se han escrito
los programas de ejemplo. Estos ejemplos no se han probado exhaustivamente bajo
todas las condiciones. IBM, por tanto, no puede garantizar ni implicar la fiabilidad,
servicio o funcionamiento de estos programas. Puede copiar, modificar y distribuir
dichos programas de ejemplo en cualquier forma sin pago a IBM para el propósito
de desarrollar, utilizar, comercializar o distribuir programas de aplicación que se
ajusten a las interfaces de programación de aplicaciones de IBM.
Si está examinando esta información mediante una copia software, puede que no
aparezcan las fotografías ni las ilustraciones a color.
Marcas registradas
Los términos siguientes son marcas registradas de International Business Machines
Corporation en Estados Unidos y/o en otros países:
UNIX es marca registrada en los Estados Unidos y en otros países con licencia
exclusivamente a través de X/Open Company Limited.
Avisos 251
252 iSeries 400 Consejos y herramientas para la seguridad del iSeries V5R1
Dónde obtener más información y ayuda
Existen muchos recursos disponibles si necesita más información acerca de la
seguridad o si necesita ayuda. Encontrará información adicional sobre estos temas
en el iSeries Information Center (vea “Requisitos e información relacionada” en la
página xii para conocer más detalles).
Ofertas de servicio
A continuación encontrará las descripciones de diversas ofertas que IBM tiene
disponibles para ayudarle con la seguridad del iSeries o en la conexión a Internet.
Para obtener más información, póngase en contacto con el representante de IBM.
En los EE.UU. puede ponerse en contrato con la oficina de distribución local
Express Services o puede llamar al número 1-800-IBM-4YOU. También puede
encontrar información actual sobre las ofertas de servicio visitando la siguiente
Web IBM:
http://www.as.ibm.com/asus
Al finalizar este servicio, su iSeries estará configurado para permitir que los
usuarios tengan acceso a los archivos utilizando FTP anónimo, y para impedir su
acceso a lo archivos de uso restringido.Los usuarios de FTP tendrán además la
posibilidad de subir archivos a una biblioteca específica.
254 iSeries 400 Consejos y herramientas para la seguridad del iSeries V5R1
Security Analysis Lab: Con la oferta de laboratorio de análisis de seguridad, los
consultores de IBM intentan infiltrarse en las redes de los clientes. Evalúan la
vulnerabilidad de la red y recomiendan mejoras de la seguridad.
Publicaciones relacionadas
Las publicaciones siguientes proporcionan más información acerca de la seguridad
del iSeries:
v APPC Programming, SC41-5443-00, describe el soporte de comunicaciones
avanzadas programa a programa (APPC) para el sistema iSeries.Este manual
proporciona ayuda para desarrollar programas de aplicación que utilizan APPC
y para definir el entorno para las comunicaciones APPC. Incluye consideraciones
sobre el programa de aplicación, requisitos de configuración y mandatos, gestión
de problemas para APPC y consideraciones generales sobre gestión de redes.
v En la publicación AS/400 Internet Security: Protecting Your AS/400 from HARM on
the Internet, SG24-4929, se tratan los elementos de seguridad y los riesgos
asociados a la conexión del iSeries a Internet. Proporciona ejemplos,
recomendaciones, consejos y técnicas para las aplicaciones de TCP/IP.
| v Copia de seguridad y recuperación, SC10-3123-05 (SC41-5304-05), proporciona
| información acerca de la puesta a punto y la gestión de:
| – Registro por diario, protección de vía de acceso y control de compromiso
| – Agrupaciones de almacenamiento auxiliar (ASP)
| – Protección de disco (paridad de dispositivo, duplicación de disco y suma de
| comprobación)
| – Planificar una estrategia para salvar el sistema.
| – Realizar operaciones de salvar básicas.
| – Seleccionar qué opciones de disponibilidad son adecuadas para el sistema.
| – Recuperar el sistema si se produce una anomalía.
| Encontrará información adicional sobre estos temas en el iSeries Information
| Center. Vea “Requisitos e información relacionada” en la página xii para obtener
| más detalles.
v CL Programming, SC41-5721-04, proporciona descripciones detalladas para
codificar especificaciones de descripción de datos (DDS) para archivos que se
pueden describir externamente. Estos archivos son archivos físicos, lógicos, de
pantalla, de impresión y de función de comunicaciones intersistemas (ICF).
v IBM Network Station Manager para AS/400, SC10-3088-00 (SC41-0632-01), describe
cómo poner a punto, configurar y gestionar la Network Station.
v An Implementation Guide for AS/400 Security and Auditing, GG24-4200, proporciona
sugerencias prácticas y ejemplos para muchas áreas de la seguridad de iSeries.
v Implementing iSeriesSecurity, 3rd Edition by Wayne Madden and Carol Woodbury.
Loveland, Colorado: 29th Street Press, a division of Duke Communications
International, 1998. Proporciona sugerencias de ayuda y prácticas para planificar,
poner a punto y gestionar la seguridad de iSeries.
Número de pedido ISBN:
Nota: Para V4R1, las descripciones del Internet Connection Server (antes HTTP)
en el Internet Connection Secure Server se encuentran en el manual HTTP
Server for iSeries Webmaster’s Guide.
v Soporte de servidor de archivos TCP/IP para OS/400 Installation and User’s Guide,
SC41-0125, proporciona información introductoria, instrucciones para la
instalación y procedimientos de puesta a punto para la oferta del programa bajo
licencia Soporte de servidor de archivos. Explica las funciones disponibles con el
producto e incluye ejemplos y sugerencias para utilizarlo con otros sistemas.
v Trusted Computer Systems Evaluation Criteria DoD 5200.28.STD, describe los
criterios de niveles de confianza para sistemas PC. TCSEC es una publicación
del gobierno de los Estados Unidos. Pueden obtenerse copias en:
256 iSeries 400 Consejos y herramientas para la seguridad del iSeries V5R1
Índice
Caracteres acceso de petición de cliente (PCSACC),
atributo de red (continuación)
anotaciones de seguridad de
herramientas de servicio
Especiales utilización de programa de
salida 114
utilización 96
ver actividad 96
*ALWPTF 5
(ICSS), Internet Connection Secure Acceso limitado a las funciones del anotaciones de seguridad del sistema
Server 9 programa 6 ver 94
*IOSYSCFG (configuración del sistema), acción al llegar al límite de intentos de ANZDFTPWD (Analizar contraseñas por
autorización especial inicio de sesión (QMAXSGNACN), omisión), mandato
necesaria para mandatos de valor del sistema descripción 43
configuración APPC 149 valor establecido por el mandato utilización sugerida 39
(IP) Protocolo Internet, filtrado de CFGSYSSEC 53 ANZPRFACT (Analizar actividad de
paquetes 7, 168 valor recomendado 34 perfil), mandato
(NAT), Conversión de direcciones de acción de recuperación de dispositivo creación de usuarios exentos 43
red 168 (QDEVRCYACN), valor del sistema descripción 43
*PGMADP (adopción de programa), nivel evitar riesgos en la seguridad 155 utilización sugerida 37
de auditoría 110 valor establecido por el mandato Añadir Entrada de planificación de
(PPP), Protocolo punto a punto 8 CFGSYSSEC 53 trabajos (ADDJOBSCDE), mandato
(PRTPUBAUT), mandato, Imprimir valor recomendado 34 SECBATCH, menú 46
objetos con autorizaciones de uso acción de trabajo de red (JOBACN), Añadir recogida del rendimiento
público 139 atributo de red 155 (ADDPFRCOL), mandato
(PRTPUBAUT), mandato Imprimir acciones de auditoría 69 programa de salida 114
autorización de uso público 6 activación API, Creación de un archivo continuo con
(PRTPVTAUT), mandato, Imprimir perfil de usuario 36, 43 open() o creat() 142
objetos con autorización privada 138 actualización, autorización, V4R2 7 API, creación de un directorio 142
(PRTPVTAUT) mandato, Imprimir ADDJOBSCDE (Añadir entrada de API de Llamada de programa
autorización privada 6 planificación de trabajos), mandato distribuido 229
(QVFYOBJRST) valor del sistema verificar SECBATCH, menú 46 API QHFRGFS
objetos en restauración ADDPFRCOL (Añadir recogida del programa de salida 114
firma digital 108 rendimiento), mandato API QTNADDCR
valores del sistema de restauración programa de salida 114 programa de salida 114
valores del sistema de restauración ADDSRVTBLE (Añadir entrada de tabla aplicaciones, Operations Navigator,
(QVFYOBJRST) 108 de servicios), mandato 86 administración de 6
(RSTUSRPRF) mandato, Restaurar perfil Administración de aplicaciones de Aplicaciones Java 235
de usuario 6 Operations Navigator 6 APPC (comunicaciones avanzadas
*SAVSYS (salvar sistema), autorización adopción de programa (*PGMADP), nivel programa a programa)
especial de auditoría 110 asignación de perfil de usuario 152
control 117 almacenamiento consejos de seguridad 147
(SNMP), protocolo simple de gestión de contraseñas 40 descripción de controlador
red 216 umbral CPSSN (sesiones de punto de
(SSL), Capa de Sockets Segura 5 receptor de diario de auditoría control), parámetro 159
*VFYENCPWD (verificar contraseña (QAUDJRN) 70 parámetro AUTOCRTDEV
cifrada), valor 151, 157 análisis (creación automática de
(VPN), Red privada virtual 5 anomalía de programa 68 dispositivo) 159
autorización sobre objeto 67 parámetros relativos a la
perfil de usuario seguridad 159
por autorizaciones especiales 48 temporizador de desconexión,
A por clases de usuario 48 parámetro 159
acceso perfiles de usuario 65 descripción de dispositivo
control 59 Analizar actividad de perfil APPN (posibilidad de APPN),
Acceso a los directorios de iSeries 400 a (ANZPRFACT), mandato parámetro 158
través de unidades creación de usuarios exentos 43 arranque de programa SNUF,
correlacionadas 239 descripción 43 parámetro 158
Acceso al sistema de archivos QSYS.LIB, utilización sugerida 37 función en la seguridad 148
restricción 140 Analizar contraseñas por omisión LOCPWD (contraseña de
acceso de petición de cliente (PCSACC), (ANZDFTPWD), mandato ubicación), parámetro 148
atributo de red descripción 43 parámetros relativos a la
fuente del programa de salida de utilización sugerida 39 seguridad 156
ejemplo 233 anomalía de programa PREESTSSN (sesión
restringir el acceso a datos desde auditoría 68 preestablecida), parámetro 158
PC 221 protección con APPN 149
258 iSeries 400 Consejos y herramientas para la seguridad del iSeries V5R1
autorización sobre objeto caducidad Client Access (continuación)
*SAVSYS (salvar sistema), autorización perfil de usuario control del acceso a datos 221
especial 117 definición de planificación 38, 43 evitar virus en PC 221
control 117 visualización de planificación 43 ignorar inicio de sesión 228
acceso a datos por usuarios de Cambiar auditoría de seguridad implicaciones de seguridad 221
PC 222 (CHGSECAUD), mandato implicaciones del sistema de archivos
acceso a mandatos de restaurar 118 descripción 44 integrado 222
acceso a mandatos de salvar 118 utilización sugerida 130 métodos de acceso a datos 221
adoptada 109 Cambiar copia de seguridad protección de mandatos remotos 229
limitación 110 (CHGBCKUP), mandato restringir mandatos remotos 229
supervisión 109 programa de salida 114 servidores de pasarela 230
análisis 67 Cambiar descripción de mensaje transferencia de archivos 221
colas de salida 81 (CHGMSGD), mandato virus en PC 221
colas de trabajos 81 programa de salida 114 Client Access Express 5
complementar con control de acceso a Cambiar diario (CHGJRN), mandato 70, utilización de SSL con 224
menús 61 72 Client Access Express, utilización de
cuándo se impone 59 Cambiar entrada de planificación de SSL 224
de uso público 73 activación (CHGACTSCDE), mandato clientes Windows 95, puesta de
en el nivel de seguridad 10 ó 20 59 descripción 43 contraseñas en antememoria para 8
entorno de transición 61 utilización sugerida 36 cola de mensajes (MSGQ), parámetro 83
especial 82 Cambiar entrada de planificación de cola de mensajes de trabajo inactivo
gestión 73 caducidad (CHGEXPSCDE), mandato (QINACTMSGQ), valor del sistema
herramientas de descripción 43 valor establecido por el mandato
seguridadmandatos 41 utilización sugerida 38 CFGSYSSEC 53
idiomas nacionales 64 Cambiar lista de bibliotecas del sistema valor recomendado 34
iniciación a 61 (CHGSYSLIBL), mandato cola de salida
introducción 15, 16 restricción del acceso 118 impresión de parámetros relativos a la
objetos nuevos 74 Cambiar lista de perfiles activos seguridad 50
seguridad de bibliotecas 63 (CHGACTPRFL), mandato impresión de perfiles de usuario 83
supervisión 73, 80 descripción 43 supervisión del acceso 81
visión general 59 utilización sugerida 37 cola de trabajos
visualización 67 Cambiar recogida del rendimiento impresión de parámetros relativos a la
Autorizaciones de nivel de columna para (CHGPFRCOL), mandato seguridad 50
archivos de base de datos 7 programa de salida 114 supervisión del acceso 81
Avisos 249 cambio Cómo evitar que los usuarios de
ayuda 253 auditoría de seguridad 44 marcación accedan a otros
contraseñas con Herramientas de sistemas 175
Servicio Dedicado (DST) 32 comprobación
B contraseñas conocidas
públicamente 31
contraseñas por omisión 43
integridad de objetos 48, 108
bajada
contraseñas proporcionadas por descripción 67, 68
autorización necesaria 222
IBM 31 objetos alterados 67, 68
base de datos, autorizaciones a nivel de
lista de perfiles activos 43 programas ocultos 114
columna para archivos de 7
mensajes de error de inicio de Comprobar integridad de objetos
bibliografía 255
sesión 35 (CHKOBJITG), mandato
biblioteca
receptor de diario de auditoría 70, 72 descripción 48, 67, 68
listado
uid 145 utilización sugerida 108
contenido 67
capa de sockets segura (SSL) Comunicaciones, elementos básicos de
todas las bibliotecas 67
utilización con Client Access APPC 148
biblioteca actual (CURLIB),
Express 224 comunicaciones, seguridad de
parámetro 83
Capa de Sockets Segura (SSL) 5 APPC 147
biblioteca protegida
CFGSYSSEC (Configurar seguridad del comunicaciones inalámbricas 231
comprobación de objetos de
sistema), mandato comunicaciones TCP/IP
usuario 118
descripción 52 BOOTP (Protocolo Bootstrap)
BOOTP (Protocolo Bootstrap)
utilización sugerida 25 consejos de seguridad 186
consejos de seguridad 186
cifrado restricción de puerto 186
restricción de puerto 186
comunicaciones TCP/IP 179, 184 consejos para la seguridad 167
contraseña DHCP (Protocolo de configuración
sesiones de PC 227 dinámica de sistema principal
C cifrado irreversible 39 (DHCP))
C2, seguridad clase de usuario consejos de seguridad 187
descripción 247 análisis de asignación 48 restricción de puerto 188
caballo de Troya discrepancia con autorización DNS (sistema de nombres de dominio
comprobación de 114 especial 83 (DNS))
descripción 113 Client Access consejos de seguridad 193
heredar autorización adoptada 112 autorización sobre objeto 222 restricción de puerto 193
cifrado de contraseñas 227 entrada preventiva 167
Índice 259
comunicaciones TCP/IP (continuación) comunicaciones TCP/IP (continuación) Consideraciones sobre seguridad para los
FTP (protocolo de transferencia de SNMP (protocolo simple de gestión de navegadores 239
archivos) red) Consola de operaciones
contraseñas no cifradas 184 consejos de seguridad 216, 217 asistente de configuración 106
evitar autoarranque del evitar autoarranque del autenticación de dispositivo 104
servidor 183 servidor 216 autenticación de usuario 104
fuente del programa de salida de restricción de puerto 216 conectividad directa 104, 105
ejemplo 233 TELNET conectividad LAN 104, 105
QMAXSIGN (número máximo de consejos de seguridad 178 consola remota 103
intentos de inicio de sesión), contraseñas no cifradas 179 criptografía 103
valor del sistema 184 evitar autoarranque del integridad de datos 105
restricción de puerto 183 servidor 178 perfiles de usuario 103
restringir el soporte de proceso por inicio de sesión automático 181 perfiles de usuario de herramientas de
lotes 185 programa de salida 180 servicio 103
HTTP (Protocolo de Transferencia de QAUTOVRT (configuración privacidad de datos 104
Hipertexto) automática del dispositivo utilización 103
restricción de puerto 213 virtual), valor del sistema 179 Consola de operaciones con conectividad
Internet Connection Secure Server QLMTSECOFR (responsable de LAN
(ICSS) seguridad de límites), valor del asistente de configuración
consejos de seguridad 206 sistema 181 contraseña de perfil de dispositivo
descripción 206 QMAXSIGN (número máximo de de herramientas de servicio 106
Internet Connection Server (ICS) intentos de inicio de sesión), perfil de dispositivo de
consejos de seguridad 200 valor del sistema 179 herramientas de servicio 106
descripción 200 QRMTSIGN (inicio de sesión cambio de contraseña 105
evitar autoarranque del remoto), valor del sistema 181 utilización 105
servidor 201 restricción de puerto 178 contenido
LPD (daemon de impresora de líneas) TFTP (protocolo trivial de herramientas de seguridad 42
consejos de seguridad 215 transferencia de archivos) contraseña
descripción 215 consejos de seguridad 189 almacenamiento 40
evitar autoarranque del restricción de puerto 189 cambio con Herramientas de Servicio
servidor 215 WSG (Workstation Gateway Server) Dedicado (DST) 32
restricción de puerto 215 consejos de seguridad 212 cambio de la proporcionada por
POP (Protocolo de Oficina Postal) descripción 212 IBM 31
consejos de seguridad 198 evitar autoarranque del cifrado
descripción 198 servidor 213 comunicaciones TCP/IP 179, 184
evitar autoarranque del Conceptos básicos de una sesión sesiones de PC 227
servidor 198 APPC 148 cifrado irreversible 39
restricción de puerto 198 conectividad de base de datos abierta comprobación del valor por
proteger aplicaciones de puerto 170 (ODBC) omisión 43
restringir control de acceso 226 definir normas 25
archivos de configuración 170 fuente del programa de salida de diferencia necesaria (QPWDRQDDIF),
dirección Internet del gestor ejemplo 233 valor del sistema
(INTNETADR), parámetro 217 Conexiones, marcación SLIP , valor establecido por el mandato
mandato STRTCP 167 control 173 CFGSYSSEC 53
salidas 218 confianza en applets firmados 240 valor recomendado 25
vagar 218 configuración automática (QAUTOCFG), exigir carácter numérico
REXECD (servidor de EXECution valor del sistema (QPWDRQDDGT), valor del sistema
remoto) valor establecido por el mandato valor establecido por el mandato
consejos de seguridad 191 CFGSYSSEC 53 CFGSYSSEC 53
restricción de puerto 191 valor recomendado 34 valor recomendado 25
RouteD (Daemon de ruta) configuración automática de dispositivo intervalo de caducidad
consejos de seguridad 192 virtual (QAUTOVRT), valor del sistema (QPWDEXPITV), valor del sistema
SLIP (Protocolo de Línea de Interfaz TELNET 179 valor establecido por el mandato
Serie) valor establecido por el mandato CFGSYSSEC 53
control 172 CFGSYSSEC 53 valor recomendado 25
descripción 172 valor recomendado 34 limitar caracteres repetidos
seguridad de marcación 175 configuración del sistema (*IOSYSCFG), (QPWDLMTREP), valor del sistema
seguridad de marcación de autorización especial valor establecido por el mandato
entrada 173 necesaria para mandatos de CFGSYSSEC 53
SMTP (protocolo simple de configuración APPC 149 valor recomendado 25
transferencia de correo) Configurar seguridad del sistema longitud máxima (QPWDMAXLEN),
consejos de seguridad 194 (CFGSYSSEC), mandato valor del sistema
descripción 194 descripción 52 valor establecido por el mandato
evitar autoarranque del utilización sugerida 25 CFGSYSSEC 53
servidor 194 Consejos de seguridad 183 valor recomendado 25
inundación 195 Consideraciones sobre seguridad para
restricción de puerto 194 Java 235
260 iSeries 400 Consejos y herramientas para la seguridad del iSeries V5R1
contraseña (continuación)
longitud mínima (QPWDMINLEN),
control (continuación)
dirección Internet del gestor
CH
valor del sistema (INTNETADR), parámetro 217 CHGACTPRFL (Cambiar lista de perfiles
valor establecido por el mandato inicio de sesión 25 activos), mandato
CFGSYSSEC 53 mandatos remotos 155, 229 descripción 43
valor recomendado 25 nombres de programas de utilización sugerida 37
necesidad de diferente posición en transacciones con arquitectura 127 CHGACTSCDE (Cambiar entrada de
contraseña (QPWDPOSDIF), valor PC (personal computer) 221 planificación de activación), mandato
del sistema posibilidad de restaurar 117 descripción 43
valor establecido por el mandato posibilidad de salvar 117 utilización sugerida 36
CFGSYSSEC 53 programas de salida 114 CHGBCKUP (Cambiar copia de
valor recomendado 25 programas desencadenantes 113 seguridad), mandato
por omisión 38 programas planificados 117 programa de salida 114
programa de validación sesiones APPC 149 CHGEXPSCDE (Cambiar entrada de
(QPWDVLDPGM), valor del sistema Soporte de proceso por lotes de planificación de caducidad), mandato
valor establecido por el mandato FTP 185 descripción 43
CFGSYSSEC 53 TCP/IP utilización sugerida 38
valor recomendado 25 archivos de configuración 170 CHGJRN (Cambiar diario), mandato
QPGMR (programador), perfil de entrada 167 desconexión del receptor 70, 72
usuario 54 salidas 218 CHGMSGD (Cambiar descripción de
QSRV (servicio), perfil de usuario 54 transferencia de archivos del mensaje), mandato
QSRVBAS (servicio básico), perfil de Sistema/36 64 programa de salida 114
usuario 54 control de acceso a menús CHGPFRCOL (Cambiar recogida del
QSYSOPR (operador del sistema), complementar con autorización sobre rendimiento), mandato
perfil de usuario 54 objetos 61 programa de salida 114
QUSER (usuario), perfil de descripción 60 CHGSECAUD (Cambiar auditoría de
usuario 54 entorno de transición 61 seguridad), mandato
restringir caracteres limitaciones 60 descripción 44
(QPWDLMTCHR), valor del sistema parámetros de perfil de usuario 60 utilización sugerida 130
valor establecido por el mandato control de auditoría (QAUDCTL), valor CHGSYSLIBL (Cambiar lista de
CFGSYSSEC 53 del sistema bibliotecas del sistema), mandato
valor recomendado 25 cambio 44 restricción del acceso 118
restringir caracteres adyacentes visualización 44 CHKOBJITG (Comprobar integridad de
(QPWDLMTAJC), valor del sistema Control de conexiones de marcación objetos), mandato
valor establecido por el mandato SLIP 173 descripción 48, 67, 68
CFGSYSSEC 53 Control de los servidores TCP/IP que se utilización sugerida 108
valor recomendado 25 inician automáticamente 170
supervisión de actividad 39 conversión de direcciones de red,
contraseña conocida públicamente NAT 7 D
cambio 31 Conversión de direcciones de red daemon de impresora de líneas (LDP)
contraseña de ubicación (NAT) 168 consejos de seguridad 215
APPN 149 CP (Cambiar perfil), entrada de diario descripción 215
contraseña de ubicación (LOCPWD), utilización sugerida 36, 37 evitar autoarranque del servidor 215
parámetro 148 CPF1107, mensaje 35 restricción de puerto 215
contraseña por omisión del sistema CPF1120, mensaje 35 Daemon de ruta (RouteD)
QSECOFR 95 CPSSN (sesiones de punto de control), consejos de seguridad 192
contraseña por omisión del sistema parámetro 159 datos de seguridad de herramientas de
operativo creación automática de controlador servicio
restablecer 95 (AUTOCRTCTL), parámetro 159 restauración
contraseñas Creación de un archivo continuo con las cinta 97
cambio 31 API open() o creat() 142 óptico 97
control Creación de un directorio con una restauración de perfiles
*SAVSYS (salvar sistema), autorización API 142 seleccionados 97
especial 117 Creación de un objeto utilizando una restauración de todos los perfiles 97
acceso interfaz de PC 142 salvar
a mandatos de restaurar 118 Crear carga de producto (CRTPRDLOD), cinta 97
a mandatos de salvar 118 mandato óptico 97
de la información 59 programa de salida 114 datos de seguridad de servicio
acceso a datos desde PC 221 Crear directorio, mandato 142 utilización 94
autorización adoptada 109, 110 CRTPRDLOD (Crear carga de producto), DDMACC (acceso a petición DDM),
cambios en la lista de bibliotecas 118 mandato atributo de red
conectividad de base de datos abierta programa de salida 114 fuente del programa de salida de
(ODBC) 226 ejemplo 233
contraseñas 25 restringir el acceso a datos desde
descripción de dispositivo APPC 149 PC 221
descripciones de subsistema 123 restringir mandatos remotos 229
Índice 261
DDMACC (acceso a petición DDM), diario de auditoría (QAUDJRN) DST (Herramientas de Servicio
atributo de red (continuación) cambio del receptor 72 Dedicado) (continuación)
utilización de programa de dañado 70 contraseñas 34
salida 114, 155 desconexión del receptor 70, 72
definición entradas del sistema 70
atributos de red 52
valores de seguridad 52
gestión 69
limpieza automática 70
E
Ejecutar mandato remoto
valores del sistema 52 umbral de almacenamiento de
(RUNRMTCMD), mandato
desactivación receptor 70
restringir 229
perfil de usuario 36 diario de auditoría dañado 70
Elementos básicos de las comunicaciones
desconexión diario de auditoría de seguridad
APPC 148
receptor de diario 70 impresión de entradas 48
elementos básicos de seguridad 13
receptor de diario de auditoría 70, 72 diferencia necesaria en contraseña
eliminación
descripción de controlador (QPWDRQDDIF), valor del sistema
entradas de direccionamiento
impresión de parámetros relativos a la valor establecido por el mandato
PGMEVOKE 155
seguridad 48 CFGSYSSEC 53
perfil de usuario
descripción de dispositivo dirección Internet del gestor
automática 38, 43
impresión de parámetros relativos a la (INTNETADR), parámetro
perfiles de usuario inactivos 37
seguridad 48 restringir 217
empantanarse 195
descripción de dispositivo de impresora direccionamiento de nodo
emulación de dispositivo 3270
programa de salida para páginas intermedio 158
programa de salida 114
separadoras 114 Directorio raíz, autorización de uso
ENDPFRMON (Finalizar supervisión del
descripción de subsistema público 137
rendimiento), mandato
consejos de seguridad directorios, seguridad 141
programa de salida 114
entrada de cola de trabajos 125 DLTJRNRCV (Suprimir receptor de
enlace protegido 148
entrada de comunicaciones 125 diario), mandato
entorno de usuario
entrada de direccionamiento 125 paro de la función de auditoría 72
supervisión 83
entrada de nombre de estación de DNS (sistema de nombres de dominio
entrada de cola de trabajos
trabajo 124 (DNS))
consejos de seguridad 125
entrada de nombre de ubicación consejos de seguridad 193
entrada de comunicaciones
remota 125 restricción de puerto 193
consejos de seguridad 125
entrada de tipo de estación de DSPACTPRFL (Visualizar lista de perfiles
modalidad 152
trabajo 124 activos)
usuario por omisión 152
entrada de trabajo de arranque descripción 43
entrada de diario
automático 124 DSPACTSCD (Visualizar planificación de
CP (Cambiar perfil)
entrada de trabajo de activación), mandato
utilización sugerida 36, 37
prearranque 126 descripción 43
envío 69
consideraciones de seguridad 33 DSPAUDJRNE (Visualizar entradas de
recibir
entrada de comunicaciones diario de auditoría), mandato
programa de salida 114
modalidad 152 descripción 48
entrada de diario SV (valor del sistema)
usuario por omisión 152 utilización sugerida 130
utilización sugerida 118
entrada de direccionamiento DSPAUTUSR (Visualizar usuarios
entrada de direccionamiento
eliminación de la entrada autorizados), mandato
consejos de seguridad 125
PGMEVOKE 155 auditoría 65
eliminación de la entrada
impresión de parámetros relativos a la DSPEXPSCD (Visualizar planificación de
PGMEVOKE 155
seguridad 48 caducidad), mandato
entrada de estación de trabajo
supervisión de valores relevantes para descripción 43
consideraciones de seguridad 33
la seguridad 123 utilización sugerida 38
entrada de nombre de estación de trabajo
valores relevantes para la DSPLIB (Visualizar biblioteca), mandato
consejos de seguridad 124
seguridad 123 utilización 67
entrada de nombre de ubicación remota
descripción de trabajo DSPOBJAUT (Visualizar autorización
consejos de seguridad 125
consejos de seguridad 126 sobre objeto), mandato
entrada de pedidos (OEMENU),
impresión de parámetros relativos a la utilización 67
menú 60
seguridad 48 DSPOBJD (Visualizar descripción de
entrada de tipo de estación de trabajo
impresión de perfiles de usuario 83 objeto), mandato
consejos de seguridad 124
Detección de programas uso de archivo de salida 66
Enviar entrada de diario (SNDJRNE)
sospechosos 107 DSPPGMADP (Visualizar programas que
command 69
DHCP (Protocolo de configuración adoptan), mandato
envío
dinámica de sistema principal (DHCP)) auditoría 68
entrada de diario 69
consejos de seguridad 187 DSPSECAUD (Visualizar auditoría de
Establecer programa de atención
restricción de puerto 188 seguridad), mandato
(SETATNPGM), mandato
diario descripción 44
programa de salida 114
gestión 70 DSPUSRPRF (Visualizar perfil de
evaluación
diario de auditoría usuario), mandato
programas planificados 117
impresión de entradas 48 uso de archivo de salida 66
salida registrada 116
trabajar con 72 DST (Herramientas de Servicio Dedicado)
cambio de contraseñas 32
262 iSeries 400 Consejos y herramientas para la seguridad del iSeries V5R1
evitar gestión (continuación) impresión (continuación)
conflictos de archivos de las posibilidad de salvar 108, 117 lista de programas
herramientas de seguridad 41 programas desencadenantes 113 desencadenantes 114
evitar y detectar fechorías 121 programas planificados 117 objetos con autorización de uso
explorar gestión de red (SNMP), protocolo público 49
alteraciones de objetos 67, 68 simple 216 parámetros de cola de salida relativos
a la seguridad 50
parámetros de cola de trabajos
F H relativos a la seguridad 50
programas desencadenantes 48
fechorías, evitar y detectar 121 habilitación
valores de comunicaciones relativos a
Filtrado de paquetes de Protocolo perfil de usuario
la seguridad 48
Internet (IP) 7, 168 automática 43
valores de descripción de subsistema
Finalizar supervisión del rendimiento herramientas de seguridad
relativos a la seguridad 48
(ENDPFRMON), mandato archivos 41
valores del sistema 48
programa de salida 114 autorización para mandatos 41
Imprimir atributos de seguridad del
Firewall para iSeries 400 9 conflictos de archivos 41
sistema (PRTSYSSECA), mandato
firma de objetos 122 contenido 42
descripción 48
introducción 122 mandatos 42
ejemplo de salida 19
firmas digitales menús 42
utilización sugerida 25
introducción 122 protección de la salida 41
Imprimir autorización de cola
física, seguridad 121 puesta a punto 41
(PRTQAUT), mandato
FMTSLR (programa de selección de salvar 42
descripción 50
formato de registro), parámetro 114 seguridad 41
utilización sugerida 81
forzar Herramientas de seguridad (SECTOOLS),
Imprimir autorización de descripción de
creación de programa 108 menú 42
trabajo (PRTJOBDAUT), mandato
forzar creación (FRCCRT), herramientas de servicio
descripción 48
parámetro 108 herramientas de servicio (perfiles de
utilización sugerida 126
FRCCRT (forzar creación), usuario) 84
Imprimir autorización de uso público,
parámetro 108 Herramientas de Servicio Dedicado (DST)
mandato (PRTPUBAUT) 6
FTP (protocolo de transferencia de cambio de contraseñas 32
Imprimir autorización privada
archivos) 183 contraseñas 34
(PRTPVTAUT), mandato 6
contraseñas no cifradas 184 herramientas de servicio del sistema
Imprimir autorizaciones privadas
evitar autoarranque del servidor 183 (SST)
(PRTPVTAUT), mandato
fuente del programa de salida de inicio de sesión 98
descripción 50
ejemplo 233 HTTP (Protocolo de Transferencia de
ejemplo 81
QMAXSIGN (número máximo de Hipertexto)
lista de autorizaciones 48, 75
intentos de inicio de sesión), valor restricción de puerto 213
utilización sugerida 149
del sistema 184 HTTP, servidor proxy 7
Imprimir descripción de subsistema
restricción de puerto 183 husmear 179, 228
(PRTSBSDAUT), mandato
restringir el soporte de proceso por
descripción 48
lotes 185
utilización sugerida 153
fuente
programas de salida de
I Imprimir objetos con autorización de uso
IBM Firewall para iSeries 400, VPN 7 público (PRTPUBAUT), mandato
seguridad 233
IBM SecureWay 253 descripción 49
función del sistema de archivos
ICS (Internet Connection Server) utilización sugerida 74, 149
programa de salida 114
consejos de seguridad 200 Imprimir objetos con autorización
funciones, acceso limitado a las del
descripción 200 privada (PRTPVTAUT), mandato 138
programa 6
evitar autoarranque del servidor 201 Imprimir objetos con autorizaciones de
funciones de seguridad, auditoría 64
ICSS (Internet Connection Secure Server) uso público (PRTPUBAUT),
consejos de seguridad 206 mandato 139
descripción 206 Imprimir objetos de usuario
G identificación (PRTUSROBJ), mandato
gestión usuario de APPC 150 descripción 48
autorización 73 ignorar inicio de sesión utilización sugerida 118
autorización adoptada 109, 110 implicaciones de seguridad 228 Imprimir objetos que adoptan
autorización de uso público 73 impresión (PRTADPOBJ), mandato
autorización especial 82 atributos de red 48 descripción 48
autorización privada 80 atributos de seguridad del utilización sugerida 110
autorización sobre objetos nuevos 74 sistema 19 Imprimir perfil de usuario (PRTUSRPRF),
colas de salida 81 entradas de diario de auditoría 48 mandato
colas de trabajos 81 información de lista de autorizaciones especiales, ejemplo 82
descripción de subsistema 123 autorizaciones 48, 75 descripción 48
diario de auditoría 69 información sobre objeto discrepancias, ejemplo 83
entorno de usuario 83 adoptado 48 información de contraseña 37, 39
listas de autorizaciones 74 lista de objetos no IBM 48 información del entorno, ejemplo 84
posibilidad de restaurar 108, 117
Índice 263
Imprimir programas desencadenantes intervalo de tiempo de espera de trabajo lista de perfiles activos
(PRTTRGPGM), mandato inactivo (QINACTITV), valor del cambio 43
descripción 48 sistema listado
utilización sugerida 114 valor establecido por el mandato contenido de biblioteca 67
Imprimir seguridad de comunicaciones CFGSYSSEC 53 perfiles de usuario seleccionados 66
(PRTCMNSEC), mandato valor recomendado 34 todas las bibliotecas 67
descripción 48 INTNETADR (dirección Internet del LOCPWD (contraseña de ubicación),
ejemplo 156, 160 gestor), parámetro parámetro 148
Imprimir valores internos de perfil restringir 217 LP, seguridad 99
(PRTPRFINT), mandato 6 inundación 195 LPD (daemon de impresora de líneas)
inactivo iSeries 400, acceso a los directorios a consejos de seguridad 215
usuario través de unidades descripción 215
listado 66 correlacionadas 239 evitar autoarranque del servidor 215
INETD 217 iSeries 400, Asesor de seguridad 23 restricción de puerto 215
Informe de objetos adoptados por perfil iSeries 400, Asistente de seguridad 6, 21
de usuario 110 iSeries 400, mandato Crear
Informe Visualizar objetos de lista de
autorizaciones Informe Lista de
directorio 142
iSeries 400, Servidor HTTP 4, 7
LL
llamada no calificada 118
objetos 75 iSeries 400e, Asesor de seguridad 6
lleno
inhabilitación
receptor de diario de auditoría
perfil de usuario
(QAUDJRN) 70
automática 37, 43
impacto 38
J
Java, aplicaciones 235
iniciación a
herramientas de seguridad 41
Java, applets 236
Java, consideraciones sobre
M
inicio mandato
seguridad 235
trabajo de paso a través 153 revocar autorización de uso
Java, servlets 236
inicio automático, control de los público 52
JOBACN (acción de trabajo de red),
servidores TCP/IP 170 mandato, CL
atributo de red 155
inicio de sesión ADDJOBSCDE (Añadir entrada de
control 25 planificación de trabajos)
establecimiento de valores del SECBATCH, menú 46
sistema 34 L ADDPFRCOL (Añadir recogida del
ignorar 228 Lightweight Directory Access Protocol rendimiento)
sin ID de usuario y contraseña 33 (LDAP) programa de salida 114
supervisión de intentos 39 características de seguridad 207, 212 ANZDFTPWD (Analizar contraseñas
Inicio de sesión, pantalla consideraciones 212 por omisión)
cambio de mensajes de error 35 ejemplo 211 descripción 43
inicio de sesión automático estructura de directorio utilización sugerida 39
TELNET 181 atributos 208 ANZPRFACT (Analizar actividad de
inicio de sesión remoto (QRMTSIGN), entradas 208 perfil)
valor del sistema objetos 208 creación de usuarios exentos 43
TELNET 181 tipo 208 descripción 43
Integrado, sistema de archivos 133 introducción 208 utilización sugerida 37
integridad usos 208 Cambiar diario (CHGJRN) 70, 72
comprobación limitación CFGSYSSEC (Configurar seguridad
descripción 67, 68 adoptada 110 del sistema)
integridad de objetos posibilidades descripción 52
auditoría 67, 68 listado de usuarios 66 utilización sugerida 25
Internet Connection Secure Server limpieza, automática Comprobar integridad de objetos
(ICSS) 9 programa de salida 114 (CHKOBJITG)
consejos de seguridad 206 limpieza automática descripción 67, 68
descripción 206 programa de salida 114 CRTPRDLOD (Crear carga de
Internet Connection Server 9 lista de autorizaciones producto)
Internet Connection Server (ICS) controlar Utilizar autorización programa de salida 114
consejos de seguridad 200 adoptada 112 CHGACTPRFL (Cambiar lista de
descripción 200 impresión de información de perfiles activos)
evitar autoarranque del servidor 201 autorización 48, 75 descripción 43
intervalo de tiempo de espera de trabajo supervisión 74 utilización sugerida 37
desconectado (QDSCJOBITV), valor del lista de bibliotecas CHGACTSCDE (Cambiar entrada de
sistema implicaciones de seguridad 118 planificación de activación)
valor establecido por el mandato lista de bibliotecas del sistema descripción 43
CFGSYSSEC 53 (QSYSLIBL), valor del sistema utilización sugerida 36
valor recomendado 34 protección 118 CHGBCKUP (Cambiar copia de
lista de copia de seguridad seguridad)
programa de salida 114 programa de salida 114
264 iSeries 400 Consejos y herramientas para la seguridad del iSeries V5R1
mandato, CL (continuación) mandato, CL (continuación) mandato, CL (continuación)
CHGEXPSCDE (Cambiar entrada de PRTADPOBJ (Imprimir objetos que SBMRMTCMD (Someter mandato
planificación de caducidad) adoptan) (continuación) remoto)
descripción 43 utilización sugerida 110 restringir 155
utilización sugerida 38 PRTCMNSEC (Imprimir seguridad de SETATNPGM (Establecer programa de
CHGJRN (Cambiar diario) 70, 72 comunicaciones) atención)
CHGMSGD (Cambiar descripción de descripción 48 programa de salida 114
mensaje) ejemplo 156, 160 SNDJRNE (Enviar entrada de
programa de salida 114 PRTJOBDAUT (Imprimir autorización diario) 69
CHGPFRCOL (Cambiar recogida del de descripción de trabajo) STREML3270 (Arrancar emulación de
rendimiento) descripción 48 pantalla 3270)
programa de salida 114 utilización sugerida 126 programa de salida 114
CHGSECAUD (Cambiar auditoría de PRTPUBAUT (Imprimir objetos con STRPFRMON (Arrancar supervisión
seguridad) autorización de uso público) del rendimiento)
descripción 44 descripción 48 programa de salida 114
utilización sugerida 130 utilización sugerida 74, 149 STRTCP (Arrancar TCP/IP)
CHGSYSLIBL (Cambiar lista de PRTPVTAUT (Imprimir autorizaciones restringir 167
bibliotecas del sistema) privadas) Suprimir receptor de diario
restricción del acceso 118 descripción 50 (DLTJRNRCV) 72
CHKOBJITG (Comprobar integridad ejemplo 81 Trabajar con atributos de diario
de objetos) lista de autorizaciones 48, 75 (WRKJRNA) 72
descripción 48, 67, 68 utilización sugerida 149 Trabajar con diario (WRKJRN) 72
utilización sugerida 108 PRTQAUT (Imprimir autorización de TRCJOB (Rastrear trabajo)
DLTJRNRCV (Suprimir receptor de cola) programa de salida 114
diario) 72 descripción 50 Visualizar autorización sobre objeto
DSPACTPRFL (Visualizar lista de utilización sugerida 81 (DSPOBJAUT) 67
perfiles activos) PRTSBSDAUT (Imprimir descripción Visualizar biblioteca (DSPLIB) 67
descripción 43 de subsistema) Visualizar descripción de objeto
DSPACTSCD (Visualizar planificación descripción 48 (DSPOBJD)
de activación) utilización sugerida 153 uso de archivo de salida 66
descripción 43 PRTSYSSECA (Imprimir atributos de Visualizar perfil de usuario
DSPAUDJRNE (Visualizar entradas de seguridad del sistema) (DSPUSRPRF)
diario de auditoría) descripción 48 uso de archivo de salida 66
descripción 48 ejemplo de salida 19 Visualizar programas que adoptan
utilización sugerida 130 utilización sugerida 25 (DSPPGMADP)
DSPAUTUSR (Visualizar usuarios PRTTRGPGM (Imprimir programas auditoría 68
autorizados) desencadenantes) Visualizar usuarios autorizados
auditoría 65 descripción 48 (DSPAUTUSR)
DSPEXPSCD (Visualizar planificación utilización sugerida 114 auditoría 65
de caducidad) PRTUSROBJ (Imprimir objetos de WRKJRN (Trabajar con diario) 72
descripción 43 usuario) WRKJRNA (Trabajar con atributos de
utilización sugerida 38 descripción 48 diario) 72
DSPLIB (Visualizar biblioteca) 67 utilización sugerida 118 WRKREGINF (Trabajar con
DSPOBJAUT (Visualizar autorización PRTUSRPRF (Imprimir perfil de información de registro)
sobre objeto) 67 usuario) programa de salida 116
DSPOBJD (Visualizar descripción de autorizaciones especiales, WRKSBSD (Trabajar con descripción
objeto) ejemplo 82 de subsistema 123
uso de archivo de salida 66 descripción 48 mandato, Imprimir objetos con
DSPPGMADP (Visualizar programas discrepancias, ejemplo 83 autorización privada
que adoptan) información de contraseña 37, 39 (PRTPVTAUT) 138
auditoría 68 información del entorno, mandato, Imprimir objetos con
DSPSECAUD (Visualizar auditoría de ejemplo 84 autorizaciones de uso público
seguridad) RCVJRNE (Recibir entradas de diario) (PRTPUBAUT) 139
descripción 44 programa de salida 114 mandato (PRTPUBAUT), Imprimir
DSPUSRPRF (Visualizar perfil de RUNRMTCMD (Ejecutar mandato autorización de uso público 6
usuario) remoto) mandato Crear directorio de iSeries
uso de archivo de salida 66 restringir 229 400 142
ENDPFRMON (Finalizar supervisión RVKPUBAUT (Revocar autorización mandato de restaurar
del rendimiento) de uso público) restricción del acceso 118
programa de salida 114 descripción 52 mandato de salvar
Enviar entrada de diario detalles 55 restricción del acceso 118
(SNDJRNE) 69 utilización sugerida 123 mandato Imprimir valores internos de
herramientas de seguridad 42 Salvar objeto (SAVOBJ) 72 perfil (PRTPRFINT) 6
planificación de activación 43 SAVOBJ (Salvar objeto) 72 mandato remoto
PRTADPOBJ (Imprimir objetos que SBMJOB (Someter trabajo) prevención 155, 229
adoptan) SECBATCH, menú 45 restricción con la entrada
descripción 48 PGMEVOKE 155
Índice 265
marcación automática (AUTODIAL), Nuevos objetos, seguridad 141 PC (personal computer) (continuación)
campo 160 número máximo de intentos de inicio de implicaciones del sistema de archivos
máximo sesión (QMAXSIGN), valor del sistema integrado 222
tamaño FTP (protocolo de transferencia de métodos de acceso a datos 221
receptor de diario de auditoría archivos) 184 protección de mandatos remotos 229
(QAUDJRN) 70 TELNET 179 restringir mandatos remotos 229
mejoras de seguridad 9 valor establecido por el mandato servidores de pasarela 230
Mejoras de seguridad para la V4R1 9 CFGSYSSEC 53 transferencia de archivos 221
Mejoras de seguridad para la V4R2 7 valor recomendado 34 virus en PC 221
Mejoras de seguridad para la V4R5 4 PCSACC (acceso de petición de cliente),
Mejoras de seguridad para la V5R1 3 atributo de red
mensaje
CPF1107 35
O fuente del programa de salida de
ejemplo 233
objeto
CPF1120 35 restringir el acceso a datos desde
alterado
CPF2234 185 PC 221
comprobación 67, 68
programa de salida 114 utilización de programa de
gestión de autorización sobre uno
mensaje CPF2234 185 salida 114
nuevo 74
mensaje del sistema (QSYSMSG), cola de perfil
impresión
mensajes análisis con consulta 65
autorización adoptada 48
fuente del programa de salida de usuario 65
no IBM 48
ejemplo 233 gran tamaño, examen 66
origen de autorización 48
utilización sugerida 130 listado de inactivos 66
origen de autorización
menú listado de usuarios con
impresión de lista 75
herramientas de seguridad 42 autorizaciones especiales 66
objeto, autorización 67
menú inicial (INLMNU), parámetro 83 listado de usuarios con posibilidad
objeto de usuario
Métodos que utiliza el sistema para de mandatos 66
en bibliotecas protegidas 118
enviar información sobre un listado seleccionados 66
objeto nuevo
usuario 150 perfil de dispositivo de herramientas de
gestión de autorización 74
modalidad servicio
objetos, propiedad 64
entrada de comunicaciones 152 atributos
Objetos, seguridad para nuevos 141
consola 105
objetos con autorización privada
cambio de contraseña 105
(PRTPVTAUT), mandato, Imprimir 138
N objetos con autorizaciones de uso público
contraseña 105
contraseña por omisión 105
NAT (conversión de direcciones de (PRTPUBAUT), mandato,
protección 106
red) 7 Imprimir 139
perfil de grupo
Navegadores, consideraciones sobre ODBC (conectividad de base de datos
introducción 15
seguridad 239 abierta)
perfil de usuario
nivel de auditoría (QAUDLVL), valor del control de acceso 226
activos permanentemente, lista
sistema fuente del programa de salida de
cambio 43
cambio 44 ejemplo 233
análisis
visualización 44 ofertas de servicio 253
por autorizaciones especiales 48
nivel de columna, autorizaciones para operación de compromiso
por clases de usuario 48
archivos de base de datos 7 programa de salida 114
análisis con consulta 65
nivel de contraseña operación de retrotracción
asignación para trabajo APPC 152
confirmación 98 programa de salida 114
auditoría
nivel de seguridad (QSECURITY), valor Operations Navigator, administración de
usuarios autorizados 65
del sistema aplicaciones 6
autorizaciones especiales con
descripción 13 Operations Navigator, seguridad 225
discrepancia y clase de usuario 83
valor establecido por el mandato
comprobación de la contraseña por
CFGSYSSEC 53
omisión 43
nivel de seguridad 10
autorización sobre objeto 59
P contraseña por omisión 38
página separadora control de acceso a menús 60
migrar desde 59
programa de salida 114 eliminación automática 38
nivel de seguridad 20
pantalla Visualizar usuarios autorizados eliminación de inactivos 37
autorización sobre objeto 59
(DSPAUTUSR) 65 estado inhabilitado (*DISABLED) 38
migrar desde 59
paquetes, Protocolo Internet (IP), filtrado gran tamaño, examen 66
niveles de contraseña
de 7, 168 impedir la inhabilitación 37
cambio 27, 28, 30, 31
parasitismo 158 impresión 66
definición 26
particiones lógicas 100 autorizaciones especiales 82
introducción 26
PC (personal computer) entorno 84
planificación 27
autorización sobre objeto 222 inhabilitación
nombres de programas de transacción
cifrado de contraseñas 227 automática 37
con arquitectura
control del acceso a datos 221 introducción 15
lista suministrada por IBM 128
evitar virus en PC 221 listado
nombres de programas de transacciones
ignorar inicio de sesión 228 inactivo 66
con arquitectura
implicaciones de seguridad 221 seleccionados 66
consejos de seguridad 127
266 iSeries 400 Consejos y herramientas para la seguridad del iSeries V5R1
perfil de usuario (continuación) perfiles de usuario de herramientas de planificación de cambios de nivel de
usuarios con autorizaciones servicio (continuación) contraseña (continuación)
especiales 66 características (continuación) cambios de nivel de contraseña (de 0
usuarios con posibilidad de ID de usuario 88 a 2) 28
mandatos 66 lista de privilegios funcionales 88 cambios de nivel de contraseña (de 1
planificación de activación 36 creación 88 a 2) 28
planificación de caducidad 38 gestión de DST 84 cambios de nivel de contraseña (de 2
planificación de desactivación 36 habilitación 91 a 3) 30
proceso inactivo 37 inhabilitación 91 disminución de niveles de
supervisión 121 número máximo 87 contraseña 30, 31
supervisión de autorizaciones otorgar 89 QPWDLVL, cambios 27, 28
especiales 82 perfiles de usuario de herramientas de planificador de trabajos
supervisión de clases de usuario 83 servicio (DST) 84 evaluación de programas 117
supervisión de valores de entorno 83 QSECOFR POP (Protocolo de Oficina Postal)
visualización de planificación de perfil de usuario 87 consejos de seguridad 198
caducidad 38 QSRV descripción 198
perfil de usuario (RSTUSRPRF) mandato, perfil de usuario 87 evitar autoarranque del servidor 198
Restaurar 6 revocar 89 restricción de puerto 198
perfil de usuario de gran tamaño 66 supresión 90 posibilidad de APPN (ANN),
perfil proporcionado por IBM utilización 87 parámetro 158
cambio de contraseña 31 visualización 90 posibilidad de mandatos
perfiles de dispositivo de herramientas de visualización de privilegios listado de usuarios 66
servicio 92 funcionales 90 posibilidad de restaurar
atributos permitir inicio de sesión remoto control 117
cambiar valores por omisión 92 (QRMTSIGN), valor del sistema supervisión 108
otorgar 93 efecto del valor *FRCSIGNON 150 posibilidad de salvar
restablecer valores por fuente del programa de salida de control 117
omisión 93 ejemplo 233 supervisión 108
revocar 93 utilización de programa de PREESTSSN (sesión preestablecida),
autenticación 91 salida 114 parámetro 158
cambio 93 valor establecido por el mandato prevención
descripción 93 CFGSYSSEC 53 entrada TCP/IP 167
características permitir restauración de objeto procedimiento almacenado
descripción 92 (QALWOBJRST), valor del sistema como herramienta de seguridad 226
frase de paso 92 utilización sugerida 118 programa
Consola de operaciones con valor establecido por el mandato adoptar autorización
conectividad LAN 91 CFGSYSSEC 53 auditoría 68
contraseña personalización forzar creación 108
resincronizar el PC y el iSeries 92 valores de seguridad 52 oculto
restablecer 92 planificación comprobación de 114
creación 92 informes de seguridad 46 planificado
habilitación 94 perfil de usuario evaluación 117
inhabilitación 94 activación 36, 43 programa de atención
número máximo 91 caducidad 38, 43 impresión de perfiles de usuario 83
privilegios desactivación 36 programa de salida 114
otorgar 92 planificación de cambios de nivel de programa de detección de virus 108
privilegios funcionales 91 contraseña programa de salida
restablecer contraseña 92 aumento del nivel de contraseña 27, acceso de petición DDM (DDMACC),
supresión 93 28 atributo de red 114, 233
utilización 91 cambio del nivel de contraseña de 1 a acceso de petición de cliente
visualización 0 31 (PCSACC), atributo de red 114, 233
atributos 93 cambio del nivel de contraseña de 2 a API QHFRGFS 114
estado 93 0 31 API QTNADDCR 114
perfiles de usuario de herramientas de cambio del nivel de contraseña de 2 a cambiar descripción de mensaje
servicio 1 30 (mandato CHGMSGD) 114
11111111 cambio del nivel de contraseña de 3 a conectividad de base de datos abierta
perfil de usuario 87 0 30 (ODBC) 233
22222222 cambio del nivel de contraseña de 3 a crear carga de producto (mandato
perfil de usuario 87 1 30 CRTPRDLOD) 114
cambio 89 cambio del nivel de contraseña de 3 a descripción de dispositivo de
cambio de contraseña 89 2 30 impresora 114
cambio de descripción 90 cambios de nivel de contraseña descripción de mensaje 114
características planificación de cambios de evaluación 114
contraseña 88 nivel 27, 28 fuentes 233
descripción 88 cambios de nivel de contraseña (de 0 función de registro 116
fecha de caducidad 88 a 1) 27 funciones del sistema de
frase de paso 88 archivos 114
Índice 267
programa de salida (continuación) protección de integridad PRTADPOBJ (Imprimir objetos que
limpieza automática nivel de seguridad (QSECURITY) adoptan), mandato
(QEZUSRCLNP) 114 40 13 descripción 48
lista de copia de seguridad (mandato protección de integridad mejorada utilización sugerida 110
CHGBCKUP) 114 nivel de seguridad (QSECURITY) PRTCMNSEC (Imprimir seguridad de
mandato RCVJRNE 114 50 14 comunicaciones), mandato
operación de compromiso 114 proteger ubicación (SECURELOC), descripción 48
operación de retrotracción 114 parámetro 157 ejemplo 156, 160
páginas separadoras 114 *VFYENCPWD (verificar contraseña PRTJOBDAUT (Imprimir autorización de
permitir inicio de sesión remoto cifrada), valor 151, 157 descripción de trabajo), mandato
(QRMTSIGN), valor del descripción 151 descripción 48
sistema 114, 233 diagrama 148 utilización sugerida 126
programa de atención 114 Protocolo Bootstrap (BOOTP) PRTPUBAUT (Imprimir objetos con
programa de validación de contraseña consejos de seguridad 186 autorización de uso público), mandato
(QPWDVLDPGM), valor del restricción de puerto 186 descripción 48
sistema 114, 233 Protocolo de configuración dinámica de utilización sugerida 74, 149
programa QUSCLSXT 114 sistema principal (DHCP) PRTPVTAUT (Imprimir autorizaciones
QATNPGM (programa de atención), consejos de seguridad 187 privadas), mandato
valor del sistema 114 restricción de puerto 188 descripción 50
recibir entradas de diario 114 Protocolo de Línea de Interfaz Serie ejemplo 81
recogida de rendimiento 114 (SLIP) lista de autorizaciones 48, 75
selección de formato 114 control 172 utilización sugerida 149
selección de formato de archivo descripción 172 PRTQAUT (Imprimir autorización de
lógico 114 seguridad de marcación 175 cola), mandato
SETATNPGM (Establecer programa de seguridad de marcación de descripción 50
atención), mandato 114 entrada 173 utilización sugerida 81
STREML3270 (Arrancar emulación de Protocolo de Oficina Postal (POP) PRTSBSDAUT (Imprimir descripción de
pantalla 3270), mandato 114 consejos de seguridad 198 subsistema), mandato
tecla de función de emulación descripción 198 descripción 48
3270 114 evitar autoarranque del servidor 198 utilización sugerida 153
TRCJOB (Rastrear trabajo), restricción de puerto 198 PRTSYSSECA (Imprimir atributos de
mandato 114 protocolo de transferencia de archivos seguridad del sistema), mandato
uso del archivo de base de datos 114 (FTP) descripción 48
programa de salida QEZUSRCLNP 114 contraseñas no cifradas 184 ejemplo de salida 19
programa de selección de formato de evitar autoarranque del servidor 183 utilización sugerida 25
registro (FMTSLR), parámetro 114 fuente del programa de salida de PRTTRGPGM (Imprimir programas
programa de validación de contraseña ejemplo 233 desencadenantes), mandato
(QPWDVLDPGM), valor del sistema QMAXSIGN (número máximo de descripción 48
fuente del programa de salida de intentos de inicio de sesión), valor utilización sugerida 114
ejemplo 233 del sistema 184 PRTUSROBJ (Imprimir objetos de
utilización de programa de restricción de puerto 183 usuario), mandato
salida 114 restringir el soporte de proceso por descripción 48
programa desencadenante lotes 185 utilización sugerida 118
evaluación del uso 114 Protocolo de Transferencia de Hipertexto PRTUSRPRF (Imprimir perfil de usuario),
impresión de lista 114 (HTTP) mandato
listado 48 restricción de puerto 213 autorizaciones especiales, ejemplo 82
supervisión de utilización 113 Protocolo Internet (IP), filtrado de descripción 48
programa inicial (INLPGM), paquetes 7 discrepancias, ejemplo 83
parámetro 83 Protocolo punto a punto (PPP) 8 información de contraseña 37, 39
programa oculto protocolo simple de gestión de red información del entorno, ejemplo 84
comprobación de 114 (SNMP) publicaciones
programa QUSCLSXT 114 consejos de seguridad 216, 217 relacionadas 255
Programas de salida de seguridad, evitar autoarranque del servidor 216 puesta a punto
uso 233 restricción de puerto 216 auditoría de seguridad 44
programas que adoptan Protocolo simple de gestión de red Puesta de contraseñas en antememoria
visualización 68 (SNMP) 216 para clientes Windows 95 8
programas que adoptan autorización protocolo simple de transferencia de punto a punto (PPP), protocolo
limitación 110 correo (SMTP) consideraciones sobre seguridad 176
supervisión de utilización 109 consejos de seguridad 194 puntos de salida TCP/IP 10
Programas sospechosos, detección 107 descripción 194 puntos de salida TELNET 7
propiedad de objetos 64 evitar autoarranque del servidor 194 puntos de salida V4R2, TELNET 7
protección inundación 195
aplicaciones de puerto de restricción de puerto 194
TCP/IP 170
contra los virus informáticos 107
protocolo trivial de transferencia de
archivos (TFTP)
Q
QALWOBJRST 5
consejos de seguridad 189
restricción de puerto 189
268 iSeries 400 Consejos y herramientas para la seguridad del iSeries V5R1
QALWOBJRST (permitir restauración de QLANSrv y QNetWare, sistemas de QPWDRQDDIF (diferencia necesaria en
objeto), valor del sistema archivos 143 contraseña), valor del sistema
utilización sugerida 118 QLMTSECOFR (responsable de seguridad valor establecido por el mandato
valor establecido por el mandato de límites), valor del sistema CFGSYSSEC 53
CFGSYSSEC 53 TELNET 181 valor recomendado 25
QAUDCTL (control de auditoría), valor valor establecido por el mandato QPWDVLDPGM (programa de validación
del sistema CFGSYSSEC 53 de contraseña), valor del sistema
cambio 44 valor recomendado 34 fuente del programa de salida de
visualización 44 QMAXSGNACN (acción al llegar al ejemplo 233
QAUDJRN, diario de auditoría límite de intentos de inicio de sesión), utilización de programa de
cambio del receptor 72 valor del sistema salida 114
dañado 70 valor establecido por el mandato valor establecido por el mandato
desconexión del receptor 70, 72 CFGSYSSEC 53 CFGSYSSEC 53
entradas del sistema 70 valor recomendado 34 valor recomendado 25
gestión 69 QMAXSIGN (número máximo de QPWFSERVER 140
limpieza automática 70 intentos de inicio de sesión) QRETSVRSEC (Retener datos de
umbral de almacenamiento de valor recomendado 34 seguridad del servidor), valor del
receptor 70 QMAXSIGN (número máximo de sistema
QAUDLVL (nivel de auditoría), valor del intentos de inicio de sesión), valor del descripción 40
sistema sistema utilización para la marcación de salida
cambio 44 FTP (protocolo de transferencia de de SLIP 176
visualización 44 archivos) 184 QRMTSIGN (inicio de sesión remoto),
QAUTOCFG (configuración automática), TELNET 179 valor del sistema
valor del sistema valor establecido por el mandato TELNET 181
valor establecido por el mandato CFGSYSSEC 53 QRMTSIGN (permitir inicio de sesión
CFGSYSSEC 53 QPGMR (programador), perfil de usuario remoto), valor del sistema
valor recomendado 34 contraseña establecida con el mandato efecto del valor *FRCSIGNON 150
QAUTOVRT (configuración automática CFGSYSSEC 54 fuente del programa de salida de
del dispositivo virtual), valor del QPWDEXPITV (intervalo de caducidad ejemplo 233
sistema de contraseña), valor del sistema utilización de programa de
TELNET 179 valor establecido por el mandato salida 114
valor establecido por el mandato CFGSYSSEC 53 valor establecido por el mandato
CFGSYSSEC 53 valor recomendado 25 CFGSYSSEC 53
valor recomendado 34 QPWDLMTAJC (restricción de caracteres QSECURITY (nivel de seguridad), valor
QCONSOLE adyacentes en contraseña), valor del del sistema
contraseña por omisión 105 sistema descripción 13
QDCRDEVD (Recuperar descripción de valor establecido por el mandato valor establecido por el mandato
dispositivo), API 181 CFGSYSSEC 53 CFGSYSSEC 53
QDEVRCYACN (acción de recuperación valor recomendado 25 QSRV (servicio), perfil de usuario
de dispositivo), valor del sistema QPWDLMTCHR (restricción de caracteres contraseña establecida con el mandato
evitar riesgos en la seguridad 155 en contraseña), valor del sistema CFGSYSSEC 54
valor establecido por el mandato valor establecido por el mandato QSRVBAS (servicio básico), perfil de
CFGSYSSEC 53 CFGSYSSEC 53 usuario
valor recomendado 34 valor recomendado 25 contraseña establecida con el mandato
QDSCJOBITV (intervalo de tiempo de QPWDMAXLEN (longitud máxima de CFGSYSSEC 54
espera de trabajo desconectado), valor contraseña), valor del sistema QSYS.LIB, sistema de archivos, restricción
del sistema valor establecido por el mandato del acceso 140
valor establecido por el mandato CFGSYSSEC 53 QSYS38 (Sistema/38), biblioteca
CFGSYSSEC 53 valor recomendado 25 restringir mandatos 64
valor recomendado 34 QPWDMINLEN (longitud mínima de QSYSCHID (Cambiar el uid) API 145
QDSPSGNINF (visualizar información de contraseña), valor del sistema QSYSLIBL (lista de bibliotecas del
inicio de sesión), valor del sistema valor establecido por el mandato sistema), valor del sistema
valor establecido por el mandato CFGSYSSEC 53 protección 118
CFGSYSSEC 53 valor recomendado 25 QSYSMSG (mensaje del sistema), cola de
valor recomendado 34 QPWDPOSDIF (necesidad de diferente mensajes
QFileSvr.400, sistema de archivos 143 posición en contraseña), fuente del programa de salida de
QINACTITV (intervalo de tiempo de valor establecido por el mandato ejemplo 233
espera de trabajo inactivo), valor del CFGSYSSEC 53 utilización sugerida 130
sistema valor recomendado 25 QSYSOPR (operador del sistema), perfil
valor establecido por el mandato QPWDRQDDGT (necesidad de carácter de usuario
CFGSYSSEC 53 numérico en contraseña), valor del contraseña establecida con el mandato
valor recomendado 34 sistema CFGSYSSEC 54
QINACTMSGQ (cola de mensajes de valor establecido por el mandato QUSEADPAUT (utilizar autorización
trabajo inactivo), valor del sistema CFGSYSSEC 53 adoptada), valor del sistema 112
valor establecido por el mandato valor recomendado 25 QUSER (usuario), perfil de usuario
CFGSYSSEC 53 contraseña establecida con el mandato
valor recomendado 34 CFGSYSSEC 54
Índice 269
QVFYOBJRST (Verificar restauración de Revocar autorización de uso público seguridad, auditoría (continuación)
objeto) (RVKPUBAUT), mandato sugerencias para la utilización
valor del sistema 122 descripción 52 (continuación)
QVFYOBJRST (verificar restauración de detalles 55 nivel de auditoría *PGMADP 110
objeto), valor del sistema utilización sugerida 123 valor *PGMFAIL 108
utilización sugerida 118 REXECD (servidor de EXECution remoto) valor *SAVRST 108
consejos de seguridad 191 valor *SECURITY 108
restricción de puerto 191 visión general 130
R RouteD (Daemon de ruta)
consejos de seguridad 192
seguridad, auditoría de funciones de 64
seguridad, iSeries 400 Asesor 23
Raíz (/), QOpenSys y definidos por
RUNRMTCMD (Ejecutar mandato seguridad, iSeries 400 Asistente 21
usuario, sistemas de archivos 135
remoto), mandato seguridad, Mejoras para la V4R1 9
Rastrear trabajo (TRCJOB), mandato
restringir 229 Seguridad, método del Sistema de
programa de salida 114
RVKPUBAUT (Revocar autorización de archivos integrado 133
RCVJRNE (Recibir entradas de diario)
uso público), mandato seguridad, particiones lógicas 100
programa de salida 114
descripción 52 Seguridad, uso de programas de
receptor
detalles 55 salida 233
cambio 72
utilización sugerida 123 seguridad C2
desconexión 70, 72
descripción 247
salvar 72
seguridad de bibliotecas 63
supresión 72
receptor de diario S seguridad de inicio de sesión
definición 13
cambio 72 salida registrada
seguridad de instalación del sistema
desconexión 70, 72 evaluación 116
operativo
gestión 70 salvar
cambio 96
supresión 72 herramientas de seguridad 42
no protegido 96
receptor de diario de auditoría receptor de diario de auditoría 72
protegido 96
salvar 72 Salvar objeto (SAVOBJ), mandato 72
seguridad de las comunicaciones
supresión 72 SAVOBJ (Salvar objeto), mandato
APPC 147
recibir entradas de diario salvar receptor de diario de
Seguridad de los directorios 141
programa de salida 114 auditoría 72
seguridad de menú’.control de acceso a
Recibir entradas de diario (RCVJRNE) SBMJOB (Someter trabajo), mandato
menús
programa de salida 114 SECBATCH, menú 45
complementar con autorización sobre
recogida de rendimiento SBMRMTCMD (Someter mandato
objetos 61
programa de salida 114 remoto), mandato
descripción 60
recomendación restringir 155
entorno de transición 61
valores del sistema de contraseña 25 SECBATCH (Someter informes de
limitaciones 60
valores del sistema de inicio de proceso por lotes), menú
parámetros de perfil de usuario 60
sesión 34 operación de someter informes 45
seguridad de recursos
recuperación planificación de informes 46
acceso limitado
diario de auditoría dañado 70 SECTOOLS (Herramientas de seguridad),
introducción 16
red, sistema de archivos 144 menú 42
definición 13
red (SNMP), protocolo simple de SECURE(NONE)
Seguridad en LP 99
gestión 216 descripción 150
seguridad física 121
Red privada virtual (VPN) 5 SECURE(PROGRAM)
Seguridad para los sistemas de archivos
referencias, Autorización 7 descripción 150
raíz (/), QOpenSys y los definidos por
relacionadas, publicaciones 255 SECURE(SAME)
el usuario 137
responsable de seguridad de límites descripción 150
Seguridad para nuevos objetos 141
(QLMTSECOFR), valor del sistema SECURELOC (proteger ubicación),
seguridad por recursos
TELNET 181 parámetro 157
introducción 15
valor establecido por el mandato *VFYENCPWD (verificar contraseña
Seguridad y Operations Navigator 225
CFGSYSSEC 53 cifrada), valor 151, 157
Server, Internet Connection 9
valor recomendado 34 descripción 151
Service Tools Server (STS)
respuesta automática (AUTOANS), diagrama 148
configuración
campo 160 SecureWay 253
DST 85
Restaurar perfil de usuario (RSTUSRPRF), SECURITY(NONE)
OS/400 86
mandato 6 con el valor *FRCSIGNON para el
DST (herramientas de servicio) 85
Restricción del acceso al sistema de valor del sistema QRMTSIGN 150
gestión de disco 85
archivos QSYS.LIB 140 seguridad
parámetros 86
restringir las sesiones APPC 149 comunicaciones TCP/IP 167
particiones lógicas 85, 100
Retener datos de seguridad del servidor herramientas de seguridad 41
tabla de servicios
(QRETSVRSEC), valor del sistema seguridad, auditoría
configuración 86
descripción 40 sugerencias para la utilización
Servicios de revisión de seguridad 253
utilización para la marcación de salida auditoría de objetos 167
servidor
de SLIP 176 CP (Cambiar perfil), entrada de
definición 147
revocar diario 36, 37
servidor de EXECution remoto (REXECD)
autorización de uso público 52 entrada de diario SV (valor del
consejos de seguridad 191
sistema) 118
270 iSeries 400 Consejos y herramientas para la seguridad del iSeries V5R1
servidor de EXECution remoto SNDJRNE (Enviar entrada de diario), supresión
(REXECD) (continuación) mandato 69 receptor de diario de auditoría 72
restricción de puerto 191 SNGSSN (una sola sesión), Suprimir receptor de diario
servidor de pasarela parámetro 158 (DLTJRNRCV), mandato 72
elementos de seguridad 230 SNMP (protocolo simple de gestión de
Servidor HTTP para iSeries 400 4, 7 red)
Servidor proxy HTTP 7
Servlets Java 236
consejos de seguridad 216, 217
evitar autoarranque del servidor 216
T
TCP/IP
Sesión APPC, conceptos básicos 148 restricción de puerto 216
punto a punto (PPP), protocolo
sesión preestablecida (PREESTSSN), someter
consideraciones sobre
parámetro 158 informes de seguridad 45
seguridad 176
sesiones APPC, restricción 149 Someter mandato remoto
TCP/IP, puntos de salida 10
sesiones de punto de control (CPSSN), (SBMRMTCMD)
TELNET
parámetro 159 restringir 155
consejos de seguridad 178
SETATNPGM (Establecer programa de Someter trabajo (SBMJOB), mandato
contraseñas no cifradas 179
atención), mandato SECBATCH, menú 45
descripción 178
programa de salida 114 soporte de gestión de cambio de diario
evitar autoarranque del servidor 178
Sistema/38 (QSYS38), biblioteca del sistema 70
inicio de sesión automático 181
restringir mandatos 64 soporte de idioma nacional
programa de salida 180
sistema basado en objetos autorización sobre objeto 64
QAUTOVRT (configuración
implicaciones de seguridad 59 Soporte de servidor de archivos TCP/IP
automática del dispositivo virtual),
protección contra los virus para OS/400, programa bajo
valor del sistema 179
informáticos 107 licencia 219
QLMTSECOFR (responsable de
sistema cliente SSL
seguridad de límites), valor del
definición 147 utilización con Client Access
sistema 181
sistema de archivos, QFileSvr.400 143 Express 224
QMAXSIGN (número máximo de
Sistema de archivos, restricción del acceso STRPFRMON (Arrancar supervisión del
intentos de inicio de sesión), valor
a QSYS.LIB 140 rendimiento), mandato
del sistema 179
sistema de archivos de red 144 programa de salida 114
QRMTSIGN (inicio de sesión remoto),
sistema de archivos integrado STRTCP (Arrancar TCP/IP), mandato
valor del sistema 181
implicaciones de seguridad 222 restringir 167
restricción de puerto 178
Sistema de archivos integrado 133 STS (Service Tools Server)
TELNET, puntos de salida 7
Sistema de archivos integrado, configuración
temporizador de desconexión,
seguridad 133 DST 85
parámetro 159
sistema de destino OS/400 86
TFTP (protocolo trivial de transferencia
definición 147 DST (herramientas de servicio) 85
de archivos)
sistema de nombres de dominio (DNS) gestión de disco 85
consejos de seguridad 189
consejos de seguridad 193 parámetros 86
restricción de puerto 189
restricción de puerto 193 particiones lógicas 85, 100
trabajar con
sistema de origen tabla de servicios
atributos de diario 72
definición 147 configuración 86
Trabajar con atributos de diario
sistema local subir
(WRKJRNA), mandato 72
definición 147 autorización necesaria 223
Trabajar con descripción de subsistema
sistema remoto supervisión
(WRKSBSD), mandato 123
definición 147 actividad de contraseña 39
Trabajar con diario (WRKJRN),
sistemas de archivos, QLANSrv y actividad de inicio de sesión 39
mandato 72
QNetWare 143 anomalía de programa 68
Trabajar con información de registro
Sistemas de archivos, seguridad para raíz autorización 73
(WRKREGINF), mandato
(/), QOpenSys y definidos por autorización adoptada 109, 110
programa de salida 116
usuario 137 autorización de uso público 73
trabajo APPC
Sistemas de archivos raíz (/), QOpenSys autorización especial 82
asignación de perfil de usuario 152
y definidos por usuario 135 autorización privada 80
trabajo de paso a través
sitio Web seguro 206 autorización sobre objeto 67
inicio 153
SLIP (Protocolo de Línea de Interfaz autorización sobre objetos nuevos 74
trabajo remoto
Serie) colas de salida 81
prevención 155
control 172 colas de trabajos 81
transferencia de archivos
descripción 172 descripción de subsistema 123
PC (personal computer) 221
seguridad de marcación 175 entorno de usuario 83
restringir 64
seguridad de marcación de integridad de objetos 67, 68
transferencia de archivos del Sistema/36
entrada 173 listas de autorizaciones 74
restringir 64
SMTP (protocolo simple de transferencia perfil de usuario
TRCJOB (Rastrear trabajo), mandato
de correo) modificaciones 121
programa de salida 114
consejos de seguridad 194 posibilidad de restaurar 108, 117
descripción 194 posibilidad de salvar 108, 117
evitar autoarranque del servidor 194 programas desencadenantes 113
inundación 195 programas planificados 117
restricción de puerto 194
Índice 271
U valor de seguridad
definición 52
valor del sistema (continuación)
QMAXSGNACN (acción al llegar al
uid valor de validación 108 límite de intentos de inicio de
cambio 145 valor de validación del programa 108 sesión)
una sola sesión (SNGSSN), valor del sistema valor establecido por el mandato
parámetro 158 impresión relativa a la seguridad 19, CFGSYSSEC 53
unidades correlacionadas, acceso a los 48 QMAXSIGN (número máximo de
directorios de iSeries 400 239 inicio de sesión intentos de inicio de sesión)
USEADPAUT (utilizar autorización recomendaciones 34 FTP (protocolo de transferencia de
adoptada), parámetro 111 introducción 14 archivos) 184
uso del archivo mandato para establecer 52 TELNET 179
programa de salida 114 QALWOBJRST (permitir restauración valor establecido por el mandato
usuario de objeto) CFGSYSSEC 53
trabajo APPC 150 utilización sugerida 118 valor recomendado 34
usuario, métodos que utiliza el sistema valor establecido por el mandato QPWDEXPITV (intervalo de
para enviar información sobre un 150 CFGSYSSEC 53 caducidad de contraseña)
usuario (RSTUSRPRF) mandato, QAUDCTL (control de auditoría) valor establecido por el mandato
Restaurar perfil de 6 cambio 44 CFGSYSSEC 53
usuario de APPC obtiene acceso al visualización 44 valor recomendado 25
sistema destino 150 QAUDLVL (nivel de auditoría) QPWDLMTAJC (restricción de
usuario por omisión cambio 44 caracteres adyacentes en contraseña)
entrada de comunicaciones visualización 44 valor establecido por el mandato
valores posibles 152 QAUTOCFG (configuración CFGSYSSEC 53
para arquitectura TPN 127 automática) valor recomendado 25
usuario público valor establecido por el mandato QPWDLMTCHR (restricción de
definición 73 CFGSYSSEC 53 caracteres en contraseña)
usuarios de marcación accediendo a otros valor recomendado 34 valor establecido por el mandato
sistemas, cómo evitarlo 175 QAUTOVRT (configuración CFGSYSSEC 53
Utilización de SSL con Client Access automática de dispositivo virtual) valor recomendado 25
Express 224 TELNET 179 QPWDLMTREP (límite de caracteres
utilizar autorización adoptada valor establecido por el mandato repetidos en contraseña)
(QUSEADPAUT), valor del CFGSYSSEC 53 valor establecido por el mandato
sistema 112 valor recomendado 34 CFGSYSSEC 53
utilizar autorización adoptada QDEVRCYACN (acción de valor recomendado 25
(USEADPAUT), parámetro 111 recuperación de dispositivo) QPWDLMTREP (necesidad de
evitar riesgos en la seguridad 155 diferente posición en contraseña)
valor establecido por el mandato valor establecido por el mandato
V CFGSYSSEC 53 CFGSYSSEC 53
V4R1 valor recomendado 34 valor recomendado 25
mejoras de seguridad 9 QDSCJOBITV (intervalo de tiempo de QPWDLVL (nivel de contraseña)
V4R1, (ICSS), Internet Connection Secure espera de trabajo desconectado) valor recomendado 25
Server 9 valor establecido por el mandato QPWDMAXLEN (longitud máxima de
V4R1, Firewall para iSeries 400 9 CFGSYSSEC 53 contraseña)
V4R1, Internet Connection Secure Server valor recomendado 34 valor establecido por el mandato
(ICSS) 9 QDSPSGNINF (visualizar información CFGSYSSEC 53
V4R1, Internet Connection Server 9 de inicio de sesión) valor recomendado 25
V4R1, Mejoras de seguridad para 9 valor establecido por el mandato QPWDMINLEN (longitud mínima de
V4R1, Server, Internet Connection 9 CFGSYSSEC 53 contraseña)
V4R2, (PPP), Protocolo punto a punto 8 valor recomendado 34 valor establecido por el mandato
V4R2, actualización, autorización 7 QINACTITV (intervalo de tiempo de CFGSYSSEC 53
V4R2, autorización de actualización 7 espera de trabajo inactivo) valor recomendado 25
V4R2, Autorización de referencias 7 valor establecido por el mandato QPWDRQDDGT (necesidad de
V4R2, clientes Windows 95, puesta de CFGSYSSEC 53 carácter numérico en contraseña)
contraseñas en antememoria para 8 valor recomendado 34 valor establecido por el mandato
V4R2, Mejoras de seguridad 7 QINACTMSGQ (cola de mensajes de CFGSYSSEC 53
V4R2, Protocolo punto a punto (PPP) 8 trabajo inactivo) valor recomendado 25
V4R2, Puesta de contraseñas en valor establecido por el mandato QPWDRQDDIF (diferencia necesaria
antememoria para clientes Windows CFGSYSSEC 53 en contraseña)
95 8 valor recomendado 34 valor establecido por el mandato
V4R2, puntos de salida TELNET 7 QLMTSECOFR (responsable de CFGSYSSEC 53
V4R2, referencias, Autorización 7 seguridad de límites) valor recomendado 25
V4R5, Mejoras de seguridad 4 TELNET 181 QPWDVLDPGM (programa de
V4R5, Puntos de salida, TCP/IP 10 valor establecido por el mandato validación de contraseña)
V4R5, Puntos de salida TCP/IP 10 CFGSYSSEC 53 fuente del programa de salida de
V5R1, Mejoras de seguridad 3 valor recomendado 34 ejemplo 233
vagar, TCP/IP utilización de programa de
restringir 218 salida 114
272 iSeries 400 Consejos y herramientas para la seguridad del iSeries V5R1
valor del sistema (continuación) visualización (continuación) WSG (Workstation Gateway Server)
valor establecido por el mandato perfil de usuario (continuación) (continuación)
CFGSYSSEC 53 planificación de caducidad 43 descripción 212
valor recomendado 25 programas que adoptan 68 evitar autoarranque del servidor 213
QRETSVRSEC (Retener datos de QAUDCTL (control de auditoría),
seguridad del servidor) valor del sistema 44
utilización para la marcación de QAUDLVL (nivel de auditoría), valor
salida de SLIP 176 del sistema 44
QRMTSIGN (inicio de sesión remoto) usuarios autorizados 65
TELNET 181 Visualizar auditoría de seguridad
QRMTSIGN (permitir inicio de sesión (DSPSECAUD), mandato
remoto) descripción 44
efecto del valor Visualizar autorización sobre objeto
*FRCSIGNON 150 (DSPOBJAUT), mandato 67
fuente del programa de salida de Visualizar biblioteca (DSPLIB),
ejemplo 233 mandato 67
utilización de programa de Visualizar descripción de objeto
salida 114 (DSPOBJD), mandato
valor establecido por el mandato uso de archivo de salida 66
CFGSYSSEC 53 Visualizar entradas de diario de auditoría
QSECURITY (nivel de seguridad) (DSPAUDJRNE), mandato
descripción 13 descripción 48
valor establecido por el mandato utilización sugerida 130
CFGSYSSEC 53 visualizar información de inicio de sesión
QSYSLIBL (lista de bibliotecas del (QDSPSGNINF), valor del sistema
sistema) valor establecido por el mandato
protección 118 CFGSYSSEC 53
QUSEADPAUT (utilizar autorización valor recomendado 34
adoptada) 112 Visualizar Pantalla de descripción de
Retener datos de seguridad del subsistema 124
servidor (QRETSVRSEC) Visualizar perfil de usuario
descripción 40 (DSPUSRPRF), mandato
seguridad uso de archivo de salida 66
definición 52 Visualizar planificación de activación
valores de seguridad con arquitectura (DSPACTSCD), mandato
con el parámetro SECURELOC descripción 43
(proteger ubicación) 151 Visualizar planificación de caducidad
descripción 150 (DSPEXPSCD), mandato
ejemplos de aplicación 150 descripción 43
valores globales 14 utilización sugerida 38
verificar contraseña cifrada Visualizar programas que adoptan
(*VFYENCPWD), valor 151, 157 (DSPPGMADP), mandato
verifificar restauración de objeto auditoría 68
(QVFYOBJRST), valor del sistema Visualizar usuarios autorizados
utilización sugerida 118 (DSPAUTUSR), mandato
virus auditoría 65
definición 107 VPN en el IBM Firewall para iSeries
detección 67, 68 400 7
detección de 108
exploración 67, 68
mecanismos de protección del
iSeries 108
W
Workstation Gateway Server (WSG)
protección contra 107
consejos de seguridad 212
virus informático
descripción 212
definición 107
evitar autoarranque del servidor 213
detección de 108
WRKJRN (Trabajar con diario), mandato
mecanismos de protección del
utilización 72
iSeries 108
WRKJRNA (Trabajar con atributos de
protección contra 107
diario), mandato
visualización
utilización 72
auditoría de seguridad 44
WRKREGINF (Trabajar con información
autorización sobre objeto 67
de registro), mandato
miembros de perfil de grupo 62
programa de salida 116
perfil de usuario
WRKSBSD (Trabajar con descripción de
autorizaciones privadas 127
subsistema), mandato 123
lista de perfiles activos 43
WSG (Workstation Gateway Server)
planificación de activación 43
consejos de seguridad 212
Índice 273
274 iSeries 400 Consejos y herramientas para la seguridad del iSeries V5R1
Hoja de Comentarios
iSeries
Consejos y herramientas para la seguridad del iSeries
Versión 5
Por favor, sírvase facilitarnos su opinión sobre esta publicación, tanto a nivel general (organización, contenido,
utilidad, facilidad de lectura,...) como a nivel específico (errores u omisiones concretos). Tenga en cuenta que los
comentarios que nos envíe deben estar relacionados exclusivamente con la información contenida en este manual
y a la forma de presentación de ésta.
Para realizar consultas técnicas o solicitar información acerca de productos y precios, por favor diríjase a su
sucursal de IBM, business partner de IBM o concesionario autorizado.
Para preguntas de tipo general, llame a ″IBM Responde″ (número de teléfono 901 300 000).
Al enviar comentarios a IBM, se garantiza a IBM el derecho no exclusivo de utilizar o distribuir dichos
comentarios en la forma que considere apropiada sin incurrir por ello en ninguna obligación con el remitente.
Comentarios:
Nombre Dirección
Compañía
IBM S.A.
National Language Solutions Center
Av. Diagonal, 571
08029 Barcelona
España
SC10-3122-05
IBM
SC10-3122-05