Scribd Logo
Importer

Bienvenue sur Scribd !

  • Asegurar AS400

    Transféré par

    Danny Daniel
    143 vues64 pages

    Copyright

    © Attribution Non-Commercial (BY-NC)

    Formats disponibles

    DOC, PDF, TXT ou lisez en ligne sur Scribd

    Avez-vous trouvé ce document utile ?

    Ce contenu est-il inapproprié ?

    Signaler ce document

    Droits d'auteur :

    Attribution Non-Commercial (BY-NC)
    Téléchargez comme DOC, PDF, TXT ou lisez en ligne sur Scribd
    Signaler comme contenu inapproprié
    143 vues64 pages

    Asegurar AS400

    Transféré par

    Danny Daniel

    Droits d'auteur :

    Attribution Non-Commercial (BY-NC)
    Téléchargez comme DOC, PDF, TXT ou lisez en ligne sur Scribd
    Signaler comme contenu inapproprié
    sur 64

    Asegurar AS/400s

    Ms y ms propietarios de AS/400 estn explorando sus opciones para vincular sus sistemas a Internet. La primera pregunta que hacen es por lo general, "Cmo puedo hacerlo?" La segunda pregunta es: "Qu pasa con la seguridad?" Este folleto intenta responder a la segunda pregunta para AS/400 en Internet: "Qu pasa con la seguridad?" Nota: Para obtener respuestas a la primera pregunta, "Cmo lo hago," veo "Dnde obtener ms informacin y asistencia". En l se enumeran publicacin y ofertas de servicios que estn disponibles para ayudarle. En particular, vea el nuevo libro rojo, fresco Ttulo Sobre el AS/400 y el Internet, SG24-4815 y de la configuracin y de referencia TCDPIIP . AS/400 Fortalezas Seguridad: La respuesta simple a "Qu pasa con la seguridad?" es que AS/400 tiene fuertes caractersticas de seguridad, que incluye lo siguiente:

    AS/400 seguridad integrada es extremadamente difcil de eludir en comparacin con las ofertas de seguridad de otros sistemas que son paquetes de software adicionales. AS/400 arquitectura basada en objetos hace que sea tcnicamente difcil de crear y propagar el virus. En el AS/400, un programa no puede modificar otro programa. AS/400 arquitectura basada en objetos requiere el uso proporcionados por el sistema interfaces para acceder a los objetos. No se puede acceder a un objeto directamente por su direccin en el sistema. No se puede manipular el puntero de un objeto para hacer un punto a otro objeto. (Manipulacin Pointer es una tcnica popular para los hackers en otras arquitecturas de sistemas.) AS/400 flexibilidad le permite configurar la seguridad de su sistema para satisfacer sus necesidades.

    Su poltica de seguridad y las necesidades: La larga respuesta a "Qu pasa con la seguridad?" empieza por "depende". Su definicin de la seguridad puede ser diferente a otra persona. La configuracin de seguridad apropiada depende tanto de la forma en que se conecte a Internet y qu funciones de Internet que desea utilizar. Quieres ser un cliente o un servidor de slo lectura? O usted quiere tomar los primeros pasos hacia el comercio electrnico? En ltima instancia, la respuesta larga es que la seguridad depende de usted. AS/400 proporciona un slido conjunto de herramientas de seguridad, pero usted debe tomar el tiempo para aprender acerca de las herramientas y

    utilizarlas. Tambin debe aprender sobre la seguridad de red - tanto los riesgos y las posibles soluciones. Si usted tiene una poltica de seguridad de hoy en da, es probable que tenga que revisarlo para abordar sus planes para una conexin a Internet. Si usted no tiene una poltica de seguridad hoy en da, ahora es el momento de desarrollar una. Al ampliar su organizacin en Internet, una poltica de seguridad proporciona una piedra angular importante para su planificacin. El resto de esta gua proporciona ejemplos de conexiones a Internet, algunos de los riesgos de seguridad asociados con ellos, y la consideracin para ayudarle a reducir esos riesgos. Los ejemplos se basan en uno al otro. Leer a travs de ellos y desarrollar una combinacin que se ajuste ms a sus necesidades.

    Un cambio en el pensamiento de Seguridad


    Si usted est pensando en la vinculacin de su sistema informtico de negocios AS/400 a Internet, es probable que tenga que empezar por revisar algunas de sus ideas sobre la seguridad. El sistema AS/400 tpica existe en un ambiente agradable, con un conjunto bien definido de usuarios potenciales. Proporciona una entrada de seguridad (y la contrasea de inicio de sesin) y el acceso bastante abierto una vez que ests dentro. La mayora de los archivos estn disponibles para ser vistos por cualquier usuario que pueda registrarse en el sistema (la autoridad pblica es USE). Unos archivos confidenciales y sensibles, tales como los archivos de nmina, debe estar disponible slo para unos pocos usuarios (autoridades pblicas estn EXCLUIR ). Desde una perspectiva de seguridad, el AS/400 tpica se asemeja a un edificio. Las puertas (y ventanas) estn bloqueados. Los usuarios necesitan una clave (password) para acceder. Dentro del edificio, la mayora de las habitaciones tienen puertas que no estn bloqueados. Algunas de las habitaciones, o cajones de archivos dentro de las habitaciones, tienen cerraduras que requieren claves (autorizacin). Al proporcionar acceso a su sistema a travs de Internet, es posible que dejando muchos extranjeros de todo el mundo entrar en el sistema, o al menos examinar los documentos que estn en su sistema. El punto de vista del sistema que se muestra como una casa para hacerte sentir incmodo, y lo que debera.Es necesario pasar a una necesidad de saber enfoque pensamiento de seguridad. Decida lo que el visitante necesita saber Internet y evitar el acceso a cualquier otra cosa. Cmo se configura una necesidad de conocer el medio ambiente depende del tipo de servidor de Internet que desea proporcionar.

    Adems de tomar una mirada ms estricta, ms rigurosa a la seguridad en su propio sistema, es necesario ampliar su visin. A medida que su red crece, tanto a nivel interno con la LAN, por ejemplo, como externamente con Internet, debe tener en cuenta tanto la seguridad del sistema y la seguridad de la red.

    Proceder con Precaucin


    En este momento, tiene que dar el primer paso importante de convertirse en un pensador de seguridad ms rigurosos. Cambie a una "necesidad de saber" y la mentalidad "de necesidad de hacer". Cada vez que desee hacer una nueva aplicacin disponible en Internet, comience por hacer las siguientes preguntas: Qu hace el usuario de Internet tiene que saber y hacer? Cmo evitamos que el usuario de Internet de ver o hacer cualquier otra cosa?

    Qu acceso funciona su programa o aplicacin da a los usuarios de Internet, ya sea directa o indirectamente?

    TCP / IP e Internet estn diseados para la apertura y la interoperabilidad para que los clientes de Internet y servidores de Internet de muchos proveedores diferentes pueden comunicarse e intercambiar informacin con xito. Esta apertura hace que sea difcil de construir las capacidades de seguridad de red. En primer lugar, los distintos proveedores deben ponerse de acuerdo sobre las normas de seguridad. Por ejemplo, cuando se enva contraseas encriptadas, ambas partes deben utilizar el mismo mtodo para generar claves de cifrado y los mismos algoritmos para cifrar y descifrar. Muchos grupos estn trabajando para desarrollar estndares de seguridad de la red, pero queda mucho trabajo por hacer. En el pasado, con una red limitada, privado, podra equiparar la seguridad con la seguridad del sistema. Mediante el uso de las capacidades de seguridad fuertes de AS/400, puede estar seguro de que su informacin est protegida. Ahora, cuando se conecta a Internet, o proporcionar acceso dial-up a su sistema, tiene que pensar tambin en la seguridad de redes, que es un objetivo principal de este folleto. Muy pocos usuarios de Internet son maliciosos. La mayora estn simplemente buscando informacin y las formas ms eficientes de hacer negocios. Sin embargo, los hackers estn ah fuera, y hay que estar preparados. AS/400 proveedores de capacidades de seguridad ms integradas que muchos servidores de Internet. Sin embargo, dado el entorno actual es ms amigable que el de Internet, es posible que no se utilice la totalidad de las capacidades de seguridad de AS/400 que estn disponibles. Por esta razn, los ejemplos ms adelante en

    este folleto tienen un enfoque paso a paso para la conexin a Internet. Se empieza con el lado de Internet de su sistema encerrado tan firmemente como sea posible, al igual que el edificio se ha descrito anteriormente. Ustedes puertas abiertas (las nuevas aplicaciones de Internet o nueva servidores TCP / IP), poco a poco, una a la vez, despus de evaluar cuidadosamente los riesgos y las precauciones de seguridad.

    Seguridad - una definicin


    Los temas siguientes proporcionan ejemplos de cmo se puede vincular su sistema de informtica empresarial AS/400 a Internet. Cada ejemplo incluye consejos y consideraciones para garantizar la seguridad. Pero primero, vamos a definir lo que entendemos por "seguridad". Una poltica de seguridad Definir lo que se quiere proteger y lo que espera de los usuarios del sistema. Una poltica de seguridad define la importancia de los activos de la empresa que estn en nuestro sistema. Proporciona una base para la planificacin de la seguridad cuando sea disear nuevas aplicaciones o ampliar su red. En l se describen las responsabilidades del usuario, tales como la proteccin de la informacin confidencial y la creacin de contraseas no triviales. La autenticacin de usuarios asegurando que slo las personas autorizadas (o trabajos) pueden entrar en el sistema. Al vincular el sistema a una red pblica como Internet, autenticacin de usuarios adquiere nuevas dimensiones. Una diferencia importante entre la Internet y de la intranet es su capacidad de confiar en la identidad de un usuario que se registre en. Proteccin de los recursos asegurando que slo los usuarios autorizados pueden acceder a los objetos en el sistema. La capacidad para obtener todo tipo de recursos de sistemas es una fuerza AS/400. Sin embargo, usted podra encontrar que usted no utiliza todas las capacidades de seguridad de los recursos de AS/400, sobre todo si se basan principalmente en el control de acceso a los mens. Tambin puede encontrar que la conexin a Internet obliga a cambiar su definicin de un usuario "pblico" en el sistema. Sistema de Integridad La integridad del sistema es la capacidad del sistema para proporcionar los resultados esperados, en consonancia con el rendimiento esperado. Para AS/400, la integridad del sistema es el componente ms alto de seguridad, ya que la integridad del sistema es una parte fundamental de la

    arquitectura del AS/400. AS/400 arquitectura, por ejemplo, hace que sea extremadamente difcil para un revoltoso de imitar o modificar un programa de sistema operativo (cuando se utiliza el nivel de seguridad 40 o 50). Cuando usted piensa acerca de la conexin a Internet, usted necesita pensar acerca de la integridad de su sistema y cmo un hacker puede tratar de asalto l.Un hacker puede poner en peligro la integridad de su sistema sin tener xito en la sesin en el sistema. Un hacker puede, por ejemplo, poner en peligro la capacidad del sistema para dar servicio a solicitudes de los usuarios por la inundacin de su sistema. Su almacenamiento en disco puede ser inundada, por ejemplo, con el correo no deseado o con la salida impresa. Su procesador puede ser abrumado por ejemplo, por las solicitudes de error. Esto comnmente se llama denegacin de servicio. Sus usuarios legtimos, o bien no pueden iniciar sesin o recibir malos resultados debido a que su sistema est gastando los recursos relativos a las solicitudes autorizadas. Integridad de los datos Garantizar la fiabilidad de los datos que entra en su sistema. Cuando los datos que entra en el sistema proviene de una red pblica, es posible que tenga varias protecciones de seguridad: Proteger los datos de ser "olfate" e interpretado, por lo general mediante la encriptacin. Asegrese de que la transmisin no se ha modificado (integridad de datos). Demostrar que se produjo la transmisin (no repudio). En el futuro, es posible que tenga el equivalente electrnico del correo registrado o certificado. La auditora de seguridad de monitoreo eventos relevantes para la seguridad de proporcionar un registro de acceso acertados y fallidos (negado). Accesos exitosos dicen que est haciendo qu. Accesos sin xito dicen que o bien que alguien est tratando de romper su seguridad o que alguien est teniendo dificultades para acceder a su sistema. (Por ejemplo, puede que no tenga su pgina Web correctamente configurado.)

    AS/400 seguridad mnima


    En los temas siguientes se supone que est comenzando con un sistema AS/400 que es bsicamente seguro. Como mnimo, el sistema debe cumplir con las siguientes normas de seguridad:

    Establezca el nivel de seguridad (valor del sistema QSECURITY) para tener por lo menos 30. Nivel 40 o 50 es muy recomendable, ya que proporcionan una mayor proteccin de la integridad Establezca los valores del sistema de seguridad pertinentes que ser al menos tan restrictivas como las configuraciones recomendadas. Usted puede utilizar el sistema de impresin atributos de seguridad (PRTSYSSECA) comando para comparar los ajustes a los valores recomendados. Asegrese de que no hay perfiles de usuarios, incluidos los perfiles de usuario suministrados por IBM, tiene contraseas por defecto. Utilizarn el control de contraseas por defecto (CDKDFTPWD) de comandos o de las contraseas predeterminadas analizados (ANZDFTPWD) comando para comprobar esto. Utilice las autorizaciones sobre objetos para proteger sus recursos importantes del sistema. Control de acceso de men no tiene sentido de muchas de las herramientas que son utilizadas por los usuarios de Internet. Debe configurar las autorizaciones sobre objetos en el sistema. Utilice las herramientas de seguridad y consejos y herramientas para la seguridad del AS/400 para ayudar a administrar y supervisar la seguridad en su sistema. NOTA: Para las versiones anteriores a la V3R2, las herramientas de seguridad estn disponibles en la Seguridad ToolKit PRPQ. El comando PRTSYSSECA mando y CHKDFTPWD o ANZDFTPWD son parte de las herramientas de seguridad.

    Algunos comentarios sobre los ejemplos: Los ejemplos que siguen ofrecen opciones tpicas para conectar su sistema a Internet. Ellos discuten los riesgos de seguridad y las posibles soluciones. Estas no son las nicas opciones disponibles, ni son necesariamente las opciones ms seguras. Un cortafuegos correctamente configurado y administrado casi siempre es el mtodo ms seguro para conectar su sistema al resto del mundo. Mediante el uso de un servidor de seguridad, los dos estn limitando sus puntos de exposicin y ocultar la configuracin de red de los dems. La necesidad de considerar un cortafuegos cuando se conecta el servidor AS/400 a Internet no es diferente que cuando se conecta a otros servidores de Internet.

    Como organizaciones ampliar su uso de Internet y proporcionar acceso a Internet a ms y ms informacin, firewalls rpidamente se vendrn un estndar de la industria en ciertas situaciones. Aunque un firewall puede ser en el futuro, podra ser ms de lo que sea necesario o pueda pagar hoy. Varios de los siguientes ejemplos no tienen cortafuegos. La mayor parte de las consideraciones de seguridad son vlidos con y sin un firewall. Estos ejemplos siguen una progresin tpica de la expansin de uso de Internet. Comienzan con el supuesto de que no se est usando el protocolo TCP / IP para comunicarse con otros sistemas de la red propia. Ejemplo 1 - que conecta a los usuarios de Internet Su primera incursin en la Internet podra ser la de proporcionar a los usuarios con acceso a la Internet. Tanto el AS/400 y sus equipos ya se encuentran en un (red de rea local) inalmbrica. En lugar de poner un mdem en cada PC, se desea proporcionar un punto central de acceso a Internet. Cada equipo contar con software de navegador de Web. Lo que la configuracin se ve igual La figura 1 muestra una forma comn para conectar a los usuarios de LAN a Internet. Los usuarios de PC pueden acceder directamente a Internet a travs del router. Tambin pueden seguir teniendo acceso a su AS/400 a travs de la LAN utilizando AS/400 Client Access, por ejemplo. Consideraciones de seguridad para este ejemplo Los siguientes son algunos de los riesgos de seguridad para el ejemplo 1 y las alternativas para hacer frente a los riesgos. En este ejemplo se da por supuesto que no quieres que nadie desde fuera de la red para acceder a AS/400. El objetivo particular es proteger el AS/400 y sus datos. Nota: A menos que utilice el filtrado de paquetes en el router, los PC de esta configuracin son ms vulnerables a los ataques de lo que son con una conexin dial-up. Cuando un router est conectado a la misma LAN que los PC, un posible intruso puede intentar acceder a sus ordenadores cuando estn encendidos. Riesgo 1 - Direcciones IP Publicado: Por lo general, con este tipo de conexin (LAN al router de Internet), cada sistema (PC) que se conecta a Internet debe tener una direccin IP. Tener una direccin IP es similar a tener un nmero de telfono publicado. Cada vez que un

    usuario de la red enva una solicitud de Internet, el paquete contiene la direccin IP del PC del usuario. Cualquier host en Internet que un PC contactos conoce la direccin IP del PS. Un posible intruso podra ser capaz de acceder a esa informacin y tratar de acceder al PC mediante el uso de la direccin IP. Soluciones de Seguridad Asegrese de que el AS/400 no tiene una direccin IP. Esto protege el AS/400 de los ataques directos, incluyendo ataques de denegacin de servicio. Eduque a sus usuarios de PC sobre la necesidad de proteger sus PCs de intentos de intrusin. Sus computadoras no deberan, por ejemplo, pueden configurar para iniciar los servidores TCP / IP (como TELNET o FTP). Asegrese de que un intruso que irrumpe con xito en un PC no se puede ir ms all de ese equipo en la red. Esta proteccin puede ser difcil, y depende en cierta medida de las prcticas de seguridad de los usuarios de PC. Un intruso se ver en el PC para obtener informacin, como los nombres de sistemas o programas de comunicacin de puesta en marcha, que podran ayudar a la ruptura intruso en otro sistema de la red. El intruso tambin buscar identificadores de usuario y contraseas almacenadas en el PC. El AS/400 es vulnerable tanto a la parte ms dbil (PC con las prcticas de seguridad deficientes) y la contrasea ms trivial. Utilice AS/400 autoridad objeto de proteger sus datos crticos. Utilice los valores del sistema de proteccin contra suspiro-en repetidos intentos. Utilice la auditora de seguridad detectar intentos no autorizados de acceso a ambos sistemas y objetos en el sistema. Asegrese de que nadie se inicia ninguna servidores TCP / IP en su sistema. Los hackers suelen ser ms familiarizados con la aplicacin TCP / IP (como FTP y Telnet) que estn con AS/400 Client Access. Si un hacker se encuentra el nombre del sistema AS/400 cuando se navega por un ordenador, el hacker probablemente tratar de utilizar TELNET o FTP para acceder a AS/400 en lugar de tratar AS/400 Client Access. Controlar IOSYSCFG autoridad especial para restringir quin puede configurar TCP / IP. Restringir el que tiene autoridad para utilizar el comando STRTCP (Start TCP / IP). Si su router tiene la capacidad de filtrado de paquetes, configurar el router para reaccionar sesiones TCP / IP con una direccin IP de origen que est fuera de su red.

    Riesgo 2 - Descarga de virus: Un virus es un programa que puede modificar otros programas para incluir una copia de s mismo. El programa de virus normalmente realiza operaciones que pueden ocupar los recursos del sistema o destruir datos. Cuando los usuarios se conectan a Internet, puede ser que sin querer descargar un programa con un virus. Se pueden almacenar el programa infectado en una carpeta compartida o en el sistema de archivos integrado en el AS/400. Ese virus puede entonces ser copiado accidentalmente a otros ordenadores en su red. Soluciones de Seguridad El que AS/400, utilice autoridad objeto de controlar que los usuarios de PC pueden crear nuevos objetos. Si los usuarios de PC utilizan carpetas compartidas, utilice la autoridad de DLO (objetos de biblioteca de documentos) de limitar a la creacin de nuevos documentos en carpetas especficas. Si los usuarios de PC utilizan el sistema de archivos integrado, el uso de la autoridad a los directorios de controlar donde pueden colocar nuevos objetos. Asegrese de que la mayora de los usuarios no tienen autoridad para crear autoridad del directorio raz de RWX de RX. Ejecutar peridicamente programas de deteccin de virus contra los directorios o carpetas donde los usuarios de PC ponen nuevos objetos. (Para ejecutar un programa de virus scan, es probable que tenga que firmar desde un PC y un enlace a la carpeta o directorio que contiene nuevos programas.) Instale software antivirus-scan en todos los PC y requieren que los usuarios de PC para correr regularmente. Considere incluir el programa de exploracin de virus en cada rutina de arranque PC. Considere organizar el movimiento de nuevos objetos a partir de unidades de PC privado a un entorno compartido. Moverlos a una unidad temporal (carpeta o directorio compartido) en primer lugar. Luego haga que un administrador del sistema moverlos a un entorno compartido despus de ejecutar un programa antivirus-scan. Eduque a sus usuarios, tanto acerca de los virus y de los riesgos de descargar programas de fuentes no fiables. Ejemplo 2 - Proporcionar E-Mail

    Ahora que los usuarios estn conectados, quieren intercambiar e-mail (notas y mensajes electrnicos) con el mundo exterior. Lo que la configuracin se ve igual Fsicamente, la conexin an puede verse como el ejemplo de la figura 1 . Ya sea que usted necesita para aadir software de correo electrnico, o puede utilizar el software que usted ya tiene. A continuacin se presentan dos posibles opciones de software. Muchas ms opciones estn disponibles. Si ya utiliza cualquiera OfficeVision o JustMail para OS/400, puede hacer cambios en la configuracin para poder enviar y recibir correo electrnico a travs de Internet. Tienes que empezar a tanto ICP / IP y el servidor SMTP (Simple Mail Transfer Protocol). Es necesario realizar cambios en el directorio de distribucin del sistema para que funcione correctamente con SMTP. Tanto la configuracin y de referencia TCP / IP y el fro Ttulo Sobre el libro AS/400 e Internet describen cmo configurar SMTP y OfficeVision o JustMail para OS/400 de correo externo. Puede instalar el software de correo electrnico, como UltiMail Lite en sus PC. Software de correo electrnico basado en PC proporciona la capacidad para cargar y descargar el correo. Se conecta a su PC en un servidor para almacenar y reenviar correo. AS/400 proporciona esta capacidad con el servidor de Post Office Protocol (POP). O bien, su PC puede utilizar un servicio de correo de store-and-forward fuera de un proveedor de servicio. Consideraciones de seguridad para este ejemplo Al agregar el correo electrnico, la planificacin de su seguridad debe ser ms especfico. Ya no se puede simplemente configurar un router para excluir todas las sesiones cuyo origen est fuera de su red. Ahora se puede suponer que el AS/400 no participar. Usuarios AS/400 que no tienen la capacidad de navegador web an pueden enviar y recibir e-mail si decide permitirlo. A continuacin se presentan dos riesgos de seguridad cuando se agrega e-mail al ejemplo que se muestra en la Figura 1 y las alternativas para hacer frente a los riesgos. En este ejemplo se da por supuesto que no quiere que nadie de fuera de la red para evaluar cualquier sistema dentro de la red, con la excepcin del envo de correo electrnico a los usuarios de la red. El objetivo particular es proteger el AS/400 y sus datos.

    Figura 1

    Riesgo 3-Publicado AS/400 Direccin: Si desea que su AS/400 para proporcionar servicios de correo electrnico para sus usuarios, es necesario registrar el AS/400 en Internet con una direccin IP. Su AS/400 ahora se hace visible para el mundo exterior y con sujecin a intento de intrusin. Solucin de Seguridad

    Utilice AS/400 capacidades de seguridad para proteger el sistema de autorizacin de sesin. Esto incluye tanto la creacin y el inicio de sesin los valores del sistema de contraseas y asegurarse de que no hay perfiles de usuario tienen contraseas por defecto. Captulo 2 en Consejos y herramientas para la seguridad del AS/400 tiene sugerencias para el control de seal interactiva. Hasta que est listo para las aplicaciones internas TCP / IP (siguiendo las precauciones en ejemplos posteriores), configurar TCP / IP para que slo el servidor SMTP y, posiblemente, el servidor POP se inician automticamente. Utilice el comando adecuado atributos xxx Cambiar para evitar que otros servidores se inicien automticamente. Por ejemplo, para evitar que TELNET se inicie automticamente, escriba lo siguiente: CHGTELNA AUTOSTART (* NO) Utilice los siguientes comandos para configurar AUTOSTART (* NO):
    CHGTELNA CHGHTTPA CHGFYPA CHGWSGA CHGLPDA CHGSNMPA

    El comando para iniciar los servidores TCP / IP (STRTCPSVE) buques con la autoridad pblica establecida en excluir. Asegrese de que la autoridad no ha cambiado y revisar la lista de los usuarios que estn autorizados a utilizar el comando.

    Considere cambiar el valor predeterminado para el parmetro Server en el comando STRTCPSVR. Las naves defecto como * Todo cambio que se inicie slo el servidor SMTP (o los servidores SMTP y POP). Si ejecuta aplicaciones TCP / IP (como FTP) en su red interna, debe configurar su router para rechazar todos los paquetes externos que van a cualquier puerto excepto el puerto SMTP (correo). (Todas las aplicaciones TCP / IP se asocia a un puerto TCP / IP especial. Un puerto es como una puerta de entrada en el que la configuracin TCP / IP.)

    Riesgo 4 - Inundaciones: Un juego que juegan los hackers es inundar el sistema con el correo no deseado. Esto puede afectar negativamente al rendimiento del sistema. El correo electrnico tambin puede tomar mucho espacio en el almacenamiento en disco que el sistema deje de funcionar. Soluciones de seguridad: Las siguientes son sugerencias para limitar el impacto de los intentos de inundar el sistema. Si es posible, evitar el uso de un * CUALQUIER * CUALQUIER entrada en el directorio de distribucin del sistema. Esto hace que sea ms difcil para alguien para inundar el sistema con el correo no deseado que se enruta a travs de su sistema a otro sistema. Sin un * CUALQUIER * CUALQUIER ingreso, el sistema rechazar el correo que no se dirige a un usuario vlido en tu red. Establecer un lmite de umbral de almacenamiento auxiliar. Esto evita que los objetos no deseados de la inundacin de su sistema al punto en que no puede funcionar. (La copia de seguridad y recuperacin avanzada de libros describe cmo configurar un lmite de umbral de almacenamiento auxiliar.) Riesgo 5 - Explorar la Red Usted puede haber hecho un buen trabajo de la seguridad de su AS/400 para que los hackers no pueden iniciar la sesin. Sin embargo, usted podra encontrar que el AS/400 proporciona un camino para llegar a otros sistemas de la red. Porque esos sistemas no estn conectados directamente a Internet y que no esperan que el intento de intrusin, su proteccin de seguridad puede ser menos rigurosa que la tuya. (Ellos viven en un barrio seguro y no necesitan cerraduras dobles o una alarma antirrobo.)

    Soluciones de Seguridad

    Si utiliza SLIP (Protocolo Line Interface) en la red, utilice el mandato Trabajar con TCP / IP comando Point-to-Point (WRKTCPPTP) para configurar SLIP * Perfiles de ANS (respuesta) para evitar el reenvo de datagramas IP. Esto evita que alguien que se entera de que su sistema de marcacin y el uso de su sistema para acceder a otro sistema conectado (ya sea un PC o un AS/400) que podran tener un activo TCP / IP del servidor. Si usted tiene una conexin LAN-router, establezca los atributos de no permitir el reenvo de datagramas IP. (Es necesario comprender cmo esto podra afectar el resto del trfico en la red.) Si el AS/400 es parte de una red APPN, utilizar el nuevo soporte de filtrado PPN. Proporciona una proteccin de tipo firewall en su red APPN que le permite especificar qu pares ubicacin pueden comunicarse. El captulo APPX en Consejos y herramientas para la seguridad del AS/400 describe cmo utilizar soporte de filtrado APPN.

    Riesgo 6 - Recepcin virus a travs de E-Mail El correo entrante es una fuente potencial de virus de PC. Alguien puede adjuntar un programa a una nota. O alguien puede enviar un programa a un usuario en el sistema. Tal vez ni el remitente ni el receptor se dieron cuenta de que el programa aparentemente inofensivo se est propagando un virus. Soluciones de Seguridad

    Debido a la arquitectura de AS/400 's, el correo entrante es poco probable para infectar AS/400 s mismo con un virus. Un programa de AS/400 no puede llegar disfrazado de otra cosa. Sin embargo, los virus de PC pueden llegar en el correo. Siga las mismas prcticas de proteccin antivirus que se describen en "Riesgo Virus 2-Downloading". Educar a los usuarios sobre la posibilidad de recibir los programas de virus por e-mail, posiblemente, de sus amigos y colegas.

    Riesgo 7 - Misdirected E-Mail Cuando su sistema de correo electrnico interno est conectado a la Internet, usted tiene la posibilidad de que un usuario enve informacin confidencial con el mundo exterior. Esto puede ocurrir por accidente, y tal vez incluso sin el conocimiento del usuario, si su conexin de correo electrnico no est configurado correctamente.

    Soluciones de Seguridad

    Al configurar su direccin de correo conexiones, prueba de lo que ocurre con el correo dirigido incorrectamente. Alguno de una ID de usuario incorrecta o un nombre de sistema incorrecto (que no est en tu red) hacen que el correo que se enva a travs de su enlace de correo de Internet? Si es posible, configurar su sistema de correo electrnico para requerir la confirmacin del usuario antes de e-mail se enva fuera de la red. Educar a los usuarios acerca de sus polticas para el envo de informacin confidencial a travs de e-mail.

    Riesgo 8 - La exposicin de informacin confidencial A medida que expande el uso de Internet y de las redes en general, los usuarios pueden explorar diferentes formas de trabajar. Tal vez se puede marcar en su sistema desde su casa o mientras viaja. Pueden utilizar el correo electrnico como una herramienta para colaborar con colegas en un proyecto. Con la tecnologa actual, la informacin en Internet no suele ser encriptada. Se transmite "en claro", lo que significa que es vulnerable a oler. Oler en la propia red troncal de Internet es poco probable debido a que la espina dorsal se compone de conexiones dedicadas de alta velocidad. Sin embargo, las conexiones de los perifricos, tales como la lnea telefnica de la casa de su empleado o la LAN en el lugar de un colega, no son necesariamente bien protegidos. Soluciones de seguridad: La solucin principal para la posibilidad de inhalacin de datos confidenciales es la educacin. Usted necesita actualizar su poltica de seguridad y educar a los usuarios. Ellos deben tratar a una red pblica tal como lo tratan a las lneas telefnicas no protegidos y los lugares pblicos. Si la informacin es lo suficientemente sensible que no lo leera en un autobs o en avin, entonces es probable que no debe enviarla a travs de Internet. Si la informacin es suficiente confidencial que usted no repetirla en un telfono celular, entonces es probable que no debe enviarla a travs de Internet.

    Si no le enviar por correo normal, excepto tal vez con un sobre doble, entonces usted probablemente no debera enviarla a travs de Internet. Considere proporcionar perfiles de usuario diferentes para Internet y uso del correo electrnico, por lo menos para los usuarios con perfiles de gran

    alcance. De esta manera, si alguien ve un correo electrnico que un empleado enva, el espa no tendr el nombre de un perfil de gran alcance en el sistema. Proporcionar una pgina de inicio Sus usuarios no han estado navegando por la Web y el intercambio de e-mail con sus colegas de otras organizaciones. No pasar mucho tiempo antes de que alguien sugiere: "Deberamos tener nuestra propia pgina web." Otros se unen: "La Web es una gran manera de conseguir visibilidad, con muy poco gasto Tener una pgina principal que hace que nuestra empresa un aspecto moderno y de vanguardia.". Ejemplo 3 - Pgina de Inicio sin Interna TCP / IP En este ejemplo se asume lo siguiente: Usted no utiliza TCP / IP internamente dentro de su propia red. Para cepillar la seguridad, se puede asumir que todos los intentos de acceso a los servidores TCP / IP vienen de fuera de la red. Los PCs se conectan al AS/400 con AS/400 Client Access, que utiliza un protocolo distinto de TCP / IP. El servidor de Internet no podr proporcionar informacin, no actualice los datos de su sistema (un servidor de slo lectura).

    Est utilizando el servidor HTTP proporcionado por IBM que forma parte de V3R2. Si usted est usando un diverso precauciones de seguridad.

    Lo que la configuracin se ve igual Fsicamente, la conexin an puede verse como el ejemplo de la figura 1 . Se utiliza el servidor HTTP para servir a su pgina de inicio y otras pginas con hipervnculos a los visitantes de Internet. Es necesario trabajar con su ISP para obtener una direccin IP y nombre de dominio. (Puede que ya tenga una direccin IP si el sistema AS/400 tiene una conexin de correo electrnico a travs de Internet.) Consideraciones de seguridad para este ejemplo A continuacin se presentan nuevos riesgos de seguridad cuando se utiliza una configuracin como la de la Figura 1 y proporcionar una pgina de inicio en Internet. Este ejemplo asume que usted no utiliza TCP / IP del servidor para los usuarios internos o aplicaciones.

    Riesgo 9 - Visibilidad del AS/400 Direccin: Si usted ha estado proporcionando el correo electrnico, el AS/400 ya podra tener una direccin IP. Sin embargo, cuando se crea una pgina de inicio y conocer que, usted est haciendo un esfuerzo consciente para informar a la gente de su presencia en Internet. Los hackers son ms propensos a tomar conciencia de la existencia del sistema y tratar de entrar en ella. Solucin de Seguridad Siga las mismas sugerencias que se encuentran en "riesgo 3-Publicado AS/400." Ten en cuenta que las posibilidades de ser blanco son ms altos y que tiene que ser an ms conscientes de la seguridad. A menudo, cuando se produce una intrusin, es a causa de los errores u omisiones en la aplicacin de la seguridad, no a causa de fallas en el sistema mismo. Utilice Consejos y herramientas para la seguridad del AS/400 como una gua para la revisin de sus polticas y prcticas de seguridad. Use la auditora de seguridad para ayudar a detectar intentos de entrar en el sistema.

    Comience slo los servidores TCP / IP que se necesitan: probablemente SMTL, POP y HTTP. Usted necesita asegurarse de que no inicia los servidores TCP / IP que permiten el inicio de sesin (por ejemplo, FTP, Telnet o estacin de trabajo de puerta de enlace).

    Riesgo 10 - Ingenio Desarrollador: Ahora que ha creado una pgina de inicio, puede encontrarse con que los usuarios y desarrolladores intencin era proporcionar "un servicio ms" a sus visitantes de Internet. Los usuarios y desarrolladores no pueden analizar a fondo los posibles riesgos de seguridad de los servicios que desean ofrecer. Soluciones de seguridad

    Elevar el nivel de concienciacin sobre la seguridad y la preocupacin de su organizacin. Incluya revisiones de seguridad como parte del diseo de la aplicacin. Considere la posibilidad de contratar a una organizacin externa para realizar una auditora de seguridad de sus sistemas. Monitorear regularmente las autoridades privadas que el perfil de usuario QTMHHTPP y QTMHHTPP! perfil de usuario tiene. (Utilice el comando TYPE DSPUSRPRF (* OBJAUT).) Un cliente que utiliza el servidor HTTP nunca signos en el sistema. El visitante se ejecuta el sistema. El

    vistor ejecuta bajo los usuarios QTMHHTTP el servidor HTTP nunca signos de su sistema. El visitante se ejecuta bajo el perfil de usuario QTMHHTTP y slo puede acceder a lo que el perfil QTMHHTTP o del pblico pueden tener acceso. Programas CGI utilizan el perfil de usuario QTMHHTP.

    Nota: HTTP en AS/400 est diseado para que "poner" los objetos desde un explorador Web no est permitido. Por lo tanto, un usuario web browser no puede, por ejemplo, poner un programa CGI en su sistema. Controlar cuidadosamente la autorizacin especial * IOSYSCFG y controlar el contenido de las directivas HTTP. El cliente HTTP (homepage visitante) slo puede realizar las funciones que se definen explcitamente en las directrices para el servidor HTTP. Utilice el mandato Trabajar con configuracin HTTP (WRKHTTP) con definir estas directivas. El comando WRKHTTP requiere autorizacin especial * IOSYSCFG. No instale programas CGI (Common Gateway Interface) o habilitar DB2WWW sin tanto conocimiento de las funciones que llevan a cabo y evaluar los riesgos de seguridad potenciales. Si no se define ningn programa CGI y no activa el programa DB2WWWQ, el usuario HTTP no puede hacer nada en su sistema excepto ver documentos de hipertexto que ha especificado. (El tema Consejos para controlar el acceso HTTP en Consejos y herramientas para la seguridad del AS/400 y el captulo HTTP en la configuracin TCP / IP y Guas proporcionar ms formacin sobre el control de HTTP.) Cuando est listo para ampliar su pgina de inicio para ms del documento de visin, revise la informacin en el "Ejemplo 6 - Proporcionar aplicaciones adicionales."

    Asegrese de que las pginas Web internas que se crean no son visibles fuera de la red interna.

    Ejemplo 4 - Pgina principal de Interior TCP / IP Al explorar el Internet, los usuarios han descubierto que les gusta usar las aplicaciones TCP / IP. Por ejemplo, es posible ahora tener el servidor FTP que se ejecuta en el AS/400 para permitir a los usuarios descargar archivos. Lo que la configuracin se parece sin un firewall

    Es evidente que el uso de un servidor de seguridad proporciona la mejor proteccin para su sistema de produccin en este escenario. Sin embargo, si usted decide no utilizar un servidor de seguridad, la configuracin podra seguir buscando el ejemplo de laFigura 1 . Consideraciones de seguridad para este ejemplo Su red ha llegado a un punto donde no se puede distinguir fcilmente entre las solicitudes de los usuarios internos y las peticiones de la parte exterior. Cuando usted tiene un servidor como FTP o Telnet activas en el sistema, se ha abierto una puerta para los de afuera para tratar de iniciar la sesin. Aunque la configuracin puede continuar para parecerse Figura 1 (sin cortafuegos y no hay ningn servidor de Internet dedicado), los riesgos son mayores. Los siguientes son riesgos adicionales y posibles soluciones. Riesgo 11 - No autorizado Sign-on: Para tratar de evitar que los forasteros firmar correctamente en el sistema, considerar la adopcin de las siguientes estrategias: Soluciones de Seguridad

    Configure el router para rechazar las sesiones TCP / IP para puertos especficos (tales como puertos TELENET) si la sesin se origina desde una direccin IP externa. Asegrese de que est utilizando todas las herramientas de AS/400 para evitar autorizado el inicio de sesin. Consulte el Captulo 2 en Consejos y herramientas para la seguridad del AS/400. En particular, utilizar lo siguiente: Utilice los programas de salida de FTP (disponible a partir de V3R2) para autorizar o denegar las solicitudes de FTP, como inicio de sesin FTP. Si desea proporcionar servicios FTP a los forasteros, utilice FTP annimo y limitar severamente las capacidades que ofrece el programa de salida. Si es posible detener los servidores TCP / IP, como FTP y Telnet, durante las horas libres. Los hackers tienden a atacar ms a menudo fuera de las horas normales de trabajo. Utilice el tiempo de espera de inactividad capacidades de AS/400 y los servidores FTP. Cuando se termina automticamente sesiones que han estado inactivas por un perodo prolongado, se reducen las posibilidades

    de que un intruso puede cuestas en una sesin. Piggy-respaldo est colgando una sesin ilegtima a otra sesin activa en el mismo host.

    Utilice el comando de activacin Perfil Organizador (SCDPRFACT) para hacer los perfiles de usuario de gran alcance, como los perfiles oficiales de seguridad, no est disponible para el inicio de sesin durante offhours. (Comando ADDACTSCDE para V3R2.) Use el agente de seguridad lmite (QLKTSECOFR) valor del sistema para evitar perfiles poderosos de embarcar en dispositivos virtuales.

    Lo que la configuracin se ve igual que con un Firewall Usted puede sentir el riesgo de una intrusin han crecido demasiado alto y que necesita un servidor de seguridad. El cortafuegos proporciona un nico punto de la exposicin a los extranjeros, lo que reduce las reas de preocupacin. "Firewalls-Visin general" proporciona una visin general de las funciones que realiza un servidor de seguridad. Ejemplo Page 5-Home con AS/400 dedicado servidor de Internet El sistema AS/400 es fundamental para su negocio. Se sospecha que una pgina web es slo el comienzo. Su herramienta de comunicacin y de servicio al cliente es probable que crezca rpidamente. Usted decide separar su sever Internet desde su sistema de produccin mediante la instalacin de un sistema AS/400 dedicado como servidor de Internet. Lo que las configuraciones se ve igual sin un Firewall Si el servidor AS/400 necesita poca o ninguna informacin de su sistema de produccin, puede que no necesite un servidor de seguridad debido a que su servidor de Internet no est conectado a la red. O, si usted necesita para conectar el servidor de Internet con el AS/400 para descargar la informacin peridicamente, se controla cuidadosamente tanto la configuracin de las comunicaciones y el plazo para la conexin. (Se conecta por perodos muy cortos, y monitorear cuidadosamente la actividad mientras est conectado.) Consideraciones de seguridad para este ejemplo sin un Firewall A continuacin se presentan las consideraciones de seguridad adicionales y posibles soluciones cuando decide tener un servidor dedicado a Internet sin un firewall.

    Riesgo 12 Interrupcin del Servicio: Cuando el servidor de Internet est separada fsicamente de la red de produccin, los sistemas de produccin estn protegidos contra la piratera. Sin embargo, el servidor de Internet en s mismo puede ser un objetivo. El impacto podra ser menos intenso, pero puede afectar a su capacidad de prestar servicios a sus clientes de Internet. Soluciones de Seguridad

    No descuide la seguridad en el servidor de Internet: Proteger autorizados muestra-ons. Asegrese de que no hay perfiles de usuario tienen contraseas por defecto. (Utilice el comando CHKDFTPWD o el comando ANZDFTPWD.) Limite el nmero de perfiles de usuario que usted tiene en su servidor de Internet. No deberan tener ese mismo nombre que los perfiles de usuario que tiene en su sistema de produccin. Configure las autorizaciones sobre objetos para asegurarse de que los usuarios no autorizados no puedan modificar la informacin que su estn presentando a sus clientes de Internet.

    Comience slo los servidores TCP / IP que necesita para los servicios de Internet que usted brinda. Si su servidor no necesita TELENET, no lo inicie en el servidor de Internet. Si utiliza FTP para proporcionar servicios a los forasteros (como la descarga de archivos o programas), considere el uso de programas de salida de FTP annimo y (disponibles a partir de V3R2). Esto le da ms control sobre lo que hace que el visitante FTP. Estrictamente limitar la cantidad de informacin confidencial que se almacena en el servidor de Internet. Esto incluye los programas de cdigo para las aplicaciones que usted considera que es importante la propiedad intelectual.

    Penetracin de riesgo 13 de la red: Si decide conectar el servidor de Internet de la red de produccin, un hacker puede tratar de obtener de su servidor a los sistemas de produccin.

    Soluciones de Seguridad

    Active la conexin slo cuando lo necesita. O bien, considere el uso de la cinta de transferencia de datos y no conectar los dos sistemas. Si descarga datos de forma peridica en lugar de acceder a los datos "en vivo", que no es necesario un enlace que est activo todo el tiempo. Utilice una conexin APPN y soporte de filtrado APPN (funcin de tipo firewall) entre el AS/400 Internet y el AS/400 produccin. Asegrese de que el reenvo de datagramas IP no est activo en su servidor de Internet. Utilice un conjunto nico de perfiles de usuario en el servidor de Internet. No copie los perfiles de usuario de su sistema de produccin en el sistema de Internet. Estrictamente limitar y controlar los perfiles de usuario que tienen autorizacin especial.

    Lo que la configuracin se parece con un Firewall Es posible que necesite conectar el servidor de Internet de la red de produccin, si, por ejemplo, las aplicaciones de Internet necesitan acceder a los archivos de base de datos para determinar la disponibilidad del producto. Su configuracin puede ser como la figura 2 . El servidor de Internet est fuera del firewall.Se convierte en un sistema no es de confianza.

    Consideraciones de seguridad para este ejemplo con un servidor de seguridad A continuacin se presentan algunas de las consideraciones de seguridad y las posibles soluciones cuando se tiene un servidor de Internet dedicado y un servidor de seguridad. Nota: Usted tiene el mismo potencial para la interrupcin de su servidor de Internet que tengas sin un firewall. Ver "Riesgo 12-interrupcin del servicio." Riesgo 14 - Confiar en el servidor: El tratamiento de su propio servidor de Internet AS/400 como un extrao puede ser difcil. Cuando usted est planeando el flujo de informacin entre el servidor de Internet y de la red, es fcil caer en la trampa de confiar en el servidor. Sus desarrolladores pueden asumir incorrectamente, por ejemplo, que ciertas transacciones de ciertos identificadores de usuario son seguros. Soluciones de Seguridad

    Utilizar el cortafuegos para limitar el tipo de interaccin que se produce entre su red de confianza y su servidor de Internet. Si es posible, evitar que los visitantes de Internet de la firma en el servidor de Internet. (No empiece TELENET. Utilice slo FTP annimo.) Esto impide que el conocimiento de los identificadores de usuario y contraseas y limita el trfico IP que tendr la direccin de su servidor de Internet como la direccin de origen. Utilice un conjunto nico de perfiles de usuario en el servidor de Internet. No copie los perfiles de usuario de su sistema de produccin en el sistema de Internet. Esto evita que las aplicaciones que buscan perfiles de usuario de confundir un usuario interno con alguien intente acceder a su sistema a travs de una laguna en su servidor de Internet. Asegrese de que su servidor de Internet no ayuda a los hackers para penetrar en su red. Las aplicaciones que se conectan a su servidor a la red seguro deben tener autoridad pblica de exclusin. Utilice el tiempo de espera de inactividad capacidades de AS/400 y los servidores FTP. Cuando se termina automticamente sesiones que han estado inactivas por un perodo prolongado, se reducen las posibilidades de que un intruso puede cuestas en una sesin.

    Ejemplo 6 - Proporcionar Aplicaciones adicionales

    Usted decide ir ms all de proporcionar una pgina de inicio de slo lectura y los documentos con hipervnculos. Desea utilizar la Internet para proporcionar aplicaciones reales a sus clientes y socios comerciales. Usted puede hacer algunos o todos de los siguientes: Usar la puerta de enlace HTML (servidor de pasarela de estacin de trabajo) para hacer algunas de sus aplicaciones actuales 5.250 a disposicin de los clientes de Internet. Proporcionar TELENET para que los clientes de Internet a firmar en el servidor Internet AS/400.

    Crear programas CGI (Common Gateway Interface) que los clientes pueden poner en marcha (RUN), seleccionando los puntos calientes en su pgina principal. Utilice DB2WWW para proporcionar acceso a la informacin de base de datos.

    Lo que la configuracin se ve igual Para obtener el rendimiento y razones de seguridad, es probable que tenga un servidor de Internet AS/400 dedicado que sea desconectada de la red de produccin o separados de la red de produccin por un firewall. Consideraciones de seguridad para este ejemplo A continuacin se presentan nuevos riesgos de seguridad y las posibles soluciones al expandir su servidor de Internet para ofrecer aplicaciones ms all del correo electrnico y leer slo documentos. Riesgo 15 - Interrupcin del Servicio: Su servidor est sujeto a ataques de denegacin de servicio contra los hackers que simplemente quieren causar problemas con la capacidad del sistema para llevar a cabo. Soluciones de Seguridad Siga las sugerencias de "Riesgo 4 - Inundaciones" y Risk12-la interrupcin del servicio. En el sistema del servidor, establecer lmites de almacenamiento (MAXSTG parmetros) para los perfiles de usuario, incluyendo tanto los perfiles de clientes y el perfil de usuario OTSTROS. Esto evita que alguien que firma en su sistema

    con uno de estos perfiles de uso de una gran cantidad de almacenamiento auxiliar. Asegrese de que su sistema de servidor est configurado para limitar el nmero de dispositivos virtuales que el sistema crea automticamente. Esto evita que un revoltoso se inicie muchas sesiones diferentes slo para amarrar los recursos del sistema. Riesgo 16 - Exploracin de su servidor: Algunos visitantes de Internet a tratar de salir de las aplicaciones que usted proporciona para que puedan explorar el sistema y la red. Su desafo es ofrecerles servicios adecuados sin darles rienda suelta. Soluciones de Seguridad Configure su servidor WSG (gateway estacin de trabajo) para utilizar la estacin de trabajo del servidor de puerta de enlace de sesin interfaz de punto de salida de validacin. Tambin configurar el WSG para no mostrar un signo-en la pantalla. Esto permite que el administrador de WSG para controlar tanto lo que se utilizan perfiles de usuario y qu aplicaciones se pueden ejecutar a travs de la WSG. Tambin elimina el envo de nombres y contraseas de perfil de usuario a travs de Internet. Restringir la autoridad de los perfiles de usuario que utiliza el sistema para las aplicaciones TCP / IP. Por ejemplo, los programas CGI utilizan el perfil de usuario OTMHHTP1. Utilice las directivas y secuencias de comandos que los servidores TCP / IP proporcionan para controlar qu aplicaciones pueden hacer. Esto se aplica a HTTP, WSG, y DB2WWW.

    Disear con cuidado y controlar las capacidades de los programas CGI. Cuando se utiliza V3R2 apoyo a los programas CGI, se especifica que las bibliotecas pueden ejecutar programas CGI from.Consider CGI restriccin en el sistema para una sola biblioteca, como CGILIB. Entonces usted puede monitorear cuidadosamente el contenido de la biblioteca y el control que puede colocar nuevos objetos en la biblioteca. (Asegrese de que la autoridad pblica a la biblioteca es USE o menos.) Utilice la impresin adopcin objetos (PRTADPOBJ) de comandos para controlar los nuevos programas que adoptan autorizacin y estn disponibles para los clientes de Internet. Evale cuidadosamente las funciones que estos programas proporcionan. (Comando PRTADPINF en el Security Toolkit PRDPQ.)

    Si usted permite que TELENET, limitar la capacidad de los perfiles de usuario que realice disponible. Por ejemplo, establecer ya sea un programa inicial o un men inicial para restringir lo que el usuario puede hacer. Utilice el parmetro capacidades lmite del perfil de usuario para evitar que el usuario la emisin de todos pero el lenguaje de control ms inofensivo (CL) comandos. El parmetro de la capacidad lmite tambin se evita que el usuario cambie el programa inicial y el men inicial. Tenga en cuenta que el inicio de sesin TELNET informacin no est cifrada. Un posible intruso puede "oler" el ID de usuario y la contrasea de una sesin de Telnet. Es necesario limitar severamente lo que los usuarios pueden hacer telnet por la forma de configurar los perfiles de usuario que "publicar" para el uso de Telnet. Uso de FTP programas de salida. El parmetro de la capacidad lmite no se aplica a los comandos que el usuario FTP somete. Revise el Captulo 4 de Consejos y herramientas para la seguridad del AS/400 para otros consejos de seguridad TCP / IP.

    Firewalls - Informacin general Un servidor de seguridad controla el acceso y el flujo de informacin entre una red segura (de confianza) y una red no segura (no confiable). Por lo general, una combinacin de hardware y software proporciona la funcin de servidor de seguridad. Un servidor de seguridad podra combinarse en el mismo hardware con un router, o podra ser un sistema separado. Dependiendo de las funciones de firewall que usted necesita, usted puede encontrar que un router proporciona suficiente funcin del tipo de servidor de seguridad para sus necesidades. Firewall puede proporcionar los siguientes beneficios cuando la red est conectada a Internet:

    Acceso controlado a los sistemas internos. Administracin de la seguridad concentrado. Mayor privacidad y el secreto de la configuracin de red. Aplicacin de la poltica de seguridad. Proteccin de los servicios vulnerables, como los sistemas de archivos de red.

    Mejora de la disponibilidad del sistema mediante el bloqueo de ataques de denegacin de ataques de servicio. Estadsticas de uso de la red y el uso indebido. Proteccin de la reputacin de su organizacin lo ms seguro y confiable.

    A continuacin se presentan breves descripciones de algunas funciones de firewall comunes. Los cortafuegos son variados en la funcin que ellos proporcionan. Tanto la tecnologa y estndares para servicios de tipo firewall se estn expandiendo rpidamente. Trfico bloqueo Una de las funciones de un firewall es bloquear el trfico no deseado entre las redes seguras y no seguras. Trfico de bloqueo puede ser de carcter general, no se permite el trfico FTP) o especficos (no se permite el trfico FTP desde un cierto rango de direcciones IP a una direccin IP determinada). Los routers tambin son capaces de realizar el trfico de bloqueo. Sin embargo, como las reglas se vuelven ms complejos, la configuracin de un router se vuelve muy difcil. Enfoque de la pasarela del cortafuegos es ms fcil de configurar y administrar. Red puerta de enlace Lgicamente, un firewall proporciona una puerta de enlace entre la red e Internet. Trfico, tanto dentro y fuera de la red pasa a travs de la puerta de enlace, que puede consistir en uno o ms sistemas de cortafuegos (hardware y software). A travs de Internet, la direccin IP y el nombre de dominio del servidor de seguridad representan la red. El firewall puede ocultar tanto las direcciones IP y los nombres de dominio de la red interna. Aplicacin de pasarela del servidor de seguridad proporciona un conjunto de servidores para vincular a los usuarios de la red segura de servicios de Internet.Estos servidores se denominan servidores proxy. El usuario FTP se conecta al servidor proxy FTP que a continuacin se conecta al servidor de FTP de Internet que el usuario ha solicitado. El servidor FTP de Internet sabe sobre el servidor proxy, pero la direccin IP real del usuario se sustituye por la direccin del proxy. Los servidores proxy son especficos de la aplicacin. Ellos son comnmente disponibles para FTP, HTTP y Telnet. Rels correo son otra forma especializada de un servidor proxy.

    Un servidor de socket (SOCKS servidor) proporciona una funcin similar a los servidores proxy. Servidores de los calcetines tienen la ventaja de ser en general, en lugar de especfico de la aplicacin. Si los usuarios quieren que las aplicaciones de Internet que no estn disponibles en un servidor proxy, un servidor SOCKS requiere un poco de configuracin de los clientes que se conectan a ella. Sirviendo Nombres de Dominio El firewall protege u oculta los dominios de intranet y direcciones. Todo el trfico saliente tiene la apariencia de que la direccin es la de un servidor de seguridad. Por lo tanto, todo el trfico entrante slo conoce de la direccin de los servidores de seguridad. El firewall tiene suficiente informacin para asignar informacin de direccin correcta para el trfico de su red interna. Al configurar el servidor de seguridad, es necesario asegurarse de que los servidores de nombres de dominio no se puede utilizar para resolver los nombres de dominio de intranet. El servidor de seguridad no se debera definir a Internet como un servidor de nombres de dominio. AS/400 y el futuro Sin duda, usted ha ledo que la computacin en red es importante para el futuro de IBM y para el futuro de AS/400. IBM cree que la computacin en red es fundamental para el futuro de las organizaciones de nuestros clientes. Usted ya ha visto mejoras AS/400 importantes para apoyar la red informtica, como tanto los servidores IP que soporte conexin a Internet y capacidad de cifrado de nivel de sesin para conexiones LU6.2 nueva TCP / IP. Usted puede esperar ver ms mejoras AS/400 en las reas de computacin en red y la seguridad en el futuro, tales como las siguientes:

    Sockets seguros (conexiones TCP / IP cifrados) Funciones de cortafuegos estrechamente integrado Funciones de integridad de datos de red

    Al extender su empresa, ampliar su red, y aventurarse en el Internet, usted puede esperar que IBM y AS/.400 Serie Avanzada para ser justo detrs de ti con las funciones y servicios que usted necesita. Dnde obtener ms informacin y asistencia

    Muchos recursos estn disponibles si usted necesita ms informacin sobre la seguridad y la Internet, o si usted necesita ayuda. Ofertas de servicios A continuacin se presentan descripciones o varias ofertas que estn disponibles en IBM para ayudarle, ya sea con AS/400 de seguridad o con la conexin a Internet. Para obtener ms informacin, pngase en contacto con su representante de IBM. En los EE.UU., puede ponerse en contacto con su oficina de marketing exprs Servicios locales, o puede llamar al 1-800-IBM-4YOU. Revisin de seguridad para AS/400: Revisin de seguridad para AS/400 de IBM est disponible en los servicios de disponibilidad. La revisin incluye lo siguiente:

    El uso de herramientas de seguridad Un cuestionario al cliente Una entrevista para recabar informacin sobre las prcticas de seguridad.

    El resultado del examen es un informe que resume los potenciales riesgos de seguridad y hace recomendaciones preliminares para la accin correctiva. Planificacin de la seguridad, implementacin y servicios de consultora tambin estn disponibles en IBM Availability Services. SmoothStart de Web Server/400 de I / NET. ** Un especialista en servicios de IBM instalar, configurar y adaptar Server/400 Web del I / NET, para que su empresa tenga una presencia en la World Wide Web. En la realizacin de este servicio, usted tendr una pgina Web prototipo, Web Server/400 instalado y operacional, y AS/400 TCP / IP configurado y listo para conectarse a Internet oa su intranet interna. La planificacin de la conexin a Internet de AS/400: Esta oferta de servicio le proporciona la informacin y orientacin que necesita para determinar qu funciones de AS/400 para ofrecer a los usuarios de Internet. La sesin de planificacin abarcar las funciones de conexin a Internet para AS/400 (V3R2) y compararlo con Web Server/400 de I / Net. A la finalizacin de este servicio, usted ser capaz de evaluar la aplicabilidad de la conexin a Internet para AS/400 en el entorno.

    SmoothStart para la conexin a Internet para AS/400-Anonymous FTP V3R2: Con V3R2 de OS/400, ahora se puede utilizar annimo como un ID de usuario vlido para los usuarios de protocolo de transferencia de archivos (FTP). Con FTP annimo, puede ofrecer a los usuarios de Internet, Intranet o en su propio interior, el acceso a los archivos en el AS/400 y sin la necesidad de distribuir los identificadores de usuario y contraseas de los usuarios. El SmoothStart para la conexin a Internet para el servicio FTP AS/400Anonymous le proporcionar un especialista en servicios para ayudar a realizar las siguientes acciones:

    Planificar el uso de FTP annimo para su entorno Configurar una salida de usuario FTP que permitir a sus usuarios, tanto para obtener los archivos de una biblioteca de AS/400 y poner los archivos a una biblioteca especfica. En la realizacin de este servicio, el AS/400 se puede configurar tanto para permitir a los usuarios acceder a los archivos mediante FTP annimo y evitar que accedan a los archivos que se restringe. Usuarios de FTP tambin podrn cargar archivos a una biblioteca especfica.

    SmoothStart para la conexin a Internet para AS/400-POP Mail Server V3R2: V3R2 de OS/400 permite AS/400 ser un Post Office Protocol R3 (POP3) servidor de correo electrnico y mantener en los buzones de los usuarios que ejecutan un cliente POP3. Los usuarios pueden recoger su correo electrnico cada vez que estn listos. El SmoothStart para la conexin a Internet para AS/400-POP Mail Server ofrece V3R2 le proporciona un especialista en servicios para configurar los objetos necesarios para permitir que el AS/400 para ser un servidor de correo POP3 para los clientes que estn utilizando programas de correo como Eudora, Ultimail y otros clientes POP3 que se ejecutan en AIX, Windows, OS / 2 y Macintosh. ** A la finalizacin del servicio, el AS/400 se puede configurar como un servidor de correo POP3, con buzones de correo creados por diez clientes de correo electrnico que se utilizar para su correo. Adems, cinco usuarios de correo non-AS/400 se definirn en el AS/400 para que pueda enviar correo a ellos. Anlisis de Seguridad de Laboratorio: En el anlisis que ofrece el laboratorio de seguridad, consultores de IBM tratan de infiltrarse en las redes de los clientes. Ellos evalan la vulnerabilidad de la red y recomendar mejoras en la seguridad.

    Servicio de Respuesta a Emergencias: El servicio de respuesta de emergencia para las empresas comerciales, proporciona capacidades de gestin de incidentes de expertos rpidos durante y despus de una emergencia de seguridad electrnica. En el caso de un robo, el equipo de respuesta de emergencia ayuda a los clientes a detectar, aislar, contener y recuperarse de la infiltracin de la red sin autorizacin. Publicaciones relacionadas A continuacin se presentan las publicaciones que proporcionan ms informacin acerca de la seguridad de AS/400: AS/400 Wireless LAN Planificacin Manual de instalacin, G5710303, proporciona informacin sobre la planificacin y la instalacin de una red de amplio espectro. Adems de una visin general de la tecnologa de radio de espectro ensanchado, este libro tambin describe cmo prepararse para una inspeccin del lugar y asegurarse de que se cumplen los requisitos de la antena y el cableado de las reas a ser cubiertas. Backup y Recuperacin-Advanced, SC41-3305, proporciona informacin sobre la configuracin y la gestin de: diario, proteccin de vas de acceso, y el compromiso de control. Usuario agrupaciones de almacenamiento auxiliar (ASP), incluso los umbrales de almacenamiento de configuracin La proteccin de disco (por paridad de dispositivos, reflejado, y suma de comprobacin) Enfriar Ttulo Sobre el AS/400 e Internet, SG24-4815, puede ayudarle a acceder y usar el Internet (o su propia intranet) de su sistema AS/400. Le ayuda a entender cmo utilizar las funciones y caractersticas disponibles con V3R1 y V3R6 y nuevas funciones disponibles con conexin a Internet para AS/400 (V3R2). Este libro le ayuda a comenzar a usar rpidamente el correo electrnico, transferencia de archivos, emulacin de terminal, gopher, HTTP, y 5250 en Gateway HTML. DB2 para OS/400 datebase Programacin, SC41-3701, proporciona un anlisis detallado de la organizacin de base de datos AS/400, incluyendo informacin sobre cmo crear, describir y actualizar los archivos de base de datos en el sistema. Tambin describe cmo definir los archivos en el sistema utilizando datos OS/400 especificaciones de descripcin (DDS0 palabras clave.

    Una gua de implementacin para la Seguridad y Auditora de AS/400: Incluyendo C2, criptografa, comunicaciones y conectividad de PC, GC24-4200, proporciona sugerencias prcticas y ejemplos para muchas reas de AS/400 seguridad. Implementacin de la seguridad AS/400, por Wayne Madden. Loveland, Colorado: Duke Press, una divisin de Duke Comunicaciones International, 1995. Proporciona orientacin y sugerencias prcticas para la planificacin, creacin y gestin de seguridad de AS/400. OS/400 Conceptos Server y Administracin. SC41-3740, proporciona informacin para el administrador del sistema de trabajo con funciones de servidor AS/400. El libro incluye los conceptos de servidor, funciones severas, y la informacin del programa de salida. Publicaciones de referencia , SC41-3003, identifica y describe la informacin impresa y en lnea en la biblioteca del AS/400 y tambin enumera otras publicaciones sobre el sistema AS/400. Incluye informacin de referencia cruzada entre la biblioteca actual y la biblioteca de la versin anterior. Seguridad - Basic, SC41-3301, explica por qu es necesaria la seguridad, define los principales conceptos, y proporciona informacin sobre la planificacin, el establecimiento y seguimiento de la seguridad bsica en el sistema AS/400. Seguridad - Habilitacin para el C2 , SC41-3303, se describe cmo personalizar su sistema para satisfacer los requisitos de seguridad C2, como se describe en el Departamento de Defensa de los que puedes confiar Informtica Criterios de Evaluacin. Security - Reference , SC41-3302, proporciona informacin completa acerca de los valores de seguridad del sistema, perfiles de usuario, los recursos de seguridad y auditora de seguridad. Este manual no describe la seguridad de los programas especficos autorizados, lenguajes y utilidades. Configuracin y de referencia TCP / IP , SC41-3420, proporciona informacin para configurar y utilizar AS/400 TCP / IP. Las aplicaciones incluidas son de estado de red (NETSTAT), Packet Internet Grouper (PNG), TELNET, Protocolo de Transferencia de Archivos (FTP), Protocolo simple de transferencia de correo (SMTP), Post Office Protocol (POP) solicitante impresora de lneas (LPR), y la impresora de lneas demonio (LPD), Protocolo de transferencia de hipertexto

    (HTTP), y la estacin de trabajo Gateway (WSG). El Pascal interfaz de programa de aplicacin TCP y UDP (API) tambin se discute. TCP / IP del servidor de archivos de OS/400 Gua de instalacin y del usuario , SC41-0125, proporciona informacin introductoria, instrucciones de instalacin y los procedimientos de configuracin para el soporte que ofrece programa bajo licencia del servidor de archivos. Explica las funciones disponibles con el producto e incluye ejemplos y sugerencias para su uso con otros sistemas. Tip y herramientas para la seguridad AS/400 describe cmo utilizar las herramientas de seguridad (disponible antes de V3R2 como Security Toolkit para OS/400). Incluye muchos consejos de seguridad de AS/400, incluyendo las siguientes:

    Proteger interactivo de sesin El control APPC, TCP / IP y AS/400 Client Access Evitando que los usuarios curiosos de causar daos Evitando que los usuarios tortuosos de causar dao o robo de informacin

    V3R2 Nmero de pedido. . . SC41-3300 PRPQ Nmero de pedido. . . GC41-0615 Confiar Computer Systems Criterios de Evaluacin , DoD 5200.28.STD, describe los criterios para los niveles de confianza en los sistemas informticos. El TCSEC es una publicacin del gobierno de los Estados Unidos. Las copias se pueden obtener en: Oficina de Normas y productos de National Computer Security Center Fort Meade, Maryland 20755-6000 EE.UU. Atencin: Jefe de Estndares de Seguridad Informtica La Gua del Usuario de Internet completo y Catlogo de Ed Krol, O'Reilly & Associates, Inc., 1994, es una completa introduccin a la Internet. Se incluye una lista de recursos de informacin y un ndice de sitios tiles para visitar.
    Asegurar AS/400s

    Ms y ms propietarios de AS/400 estn explorando sus opciones para vincular sus sistemas a Internet. La primera pregunta que hacen es por lo general, "Cmo puedo hacerlo?" La segunda pregunta es: "Qu pasa con la seguridad?" Este

    folleto intenta responder a la segunda pregunta para AS/400 en Internet: "Qu pasa con la seguridad?" Nota: Para obtener respuestas a la primera pregunta, "Cmo lo hago," veo "Dnde obtener ms informacin y asistencia". En l se enumeran publicacin y ofertas de servicios que estn disponibles para ayudarle. En particular, vea el nuevo libro rojo, fresco Ttulo Sobre el AS/400 y el Internet, SG24-4815 y de la configuracin y de referencia TCDPIIP . AS/400 Fortalezas Seguridad: La respuesta simple a "Qu pasa con la seguridad?" es que AS/400 tiene fuertes caractersticas de seguridad, que incluye lo siguiente:

    AS/400 seguridad integrada es extremadamente difcil de eludir en comparacin con las ofertas de seguridad de otros sistemas que son paquetes de software adicionales. AS/400 arquitectura basada en objetos hace que sea tcnicamente difcil de crear y propagar el virus. En el AS/400, un programa no puede modificar otro programa. AS/400 arquitectura basada en objetos requiere el uso proporcionados por el sistema interfaces para acceder a los objetos. No se puede acceder a un objeto directamente por su direccin en el sistema. No se puede manipular el puntero de un objeto para hacer un punto a otro objeto. (Manipulacin Pointer es una tcnica popular para los hackers en otras arquitecturas de sistemas.) AS/400 flexibilidad le permite configurar la seguridad de su sistema para satisfacer sus necesidades.

    Su poltica de seguridad y las necesidades: La larga respuesta a "Qu pasa con la seguridad?" empieza por "depende". Su definicin de la seguridad puede ser diferente a otra persona. La configuracin de seguridad apropiada depende tanto de la forma en que se conecte a Internet y qu funciones de Internet que desea utilizar. Quieres ser un cliente o un servidor de slo lectura? O usted quiere tomar los primeros pasos hacia el comercio electrnico? En ltima instancia, la respuesta larga es que la seguridad depende de usted. AS/400 proporciona un slido conjunto de herramientas de seguridad, pero usted debe tomar el tiempo para aprender acerca de las herramientas y utilizarlas. Tambin debe aprender sobre la seguridad de red - tanto los riesgos y las posibles soluciones.

    Si usted tiene una poltica de seguridad de hoy en da, es probable que tenga que revisarlo para abordar sus planes para una conexin a Internet. Si usted no tiene una poltica de seguridad hoy en da, ahora es el momento de desarrollar una. Al ampliar su organizacin en Internet, una poltica de seguridad proporciona una piedra angular importante para su planificacin. El resto de esta gua proporciona ejemplos de conexiones a Internet, algunos de los riesgos de seguridad asociados con ellos, y la consideracin para ayudarle a reducir esos riesgos. Los ejemplos se basan en uno al otro. Leer a travs de ellos y desarrollar una combinacin que se ajuste ms a sus necesidades.

    Un cambio en el pensamiento de Seguridad


    Si usted est pensando en la vinculacin de su sistema informtico de negocios AS/400 a Internet, es probable que tenga que empezar por revisar algunas de sus ideas sobre la seguridad. El sistema AS/400 tpica existe en un ambiente agradable, con un conjunto bien definido de usuarios potenciales. Proporciona una entrada de seguridad (y la contrasea de inicio de sesin) y el acceso bastante abierto una vez que ests dentro. La mayora de los archivos estn disponibles para ser vistos por cualquier usuario que pueda registrarse en el sistema (la autoridad pblica es USE). Unos archivos confidenciales y sensibles, tales como los archivos de nmina, debe estar disponible slo para unos pocos usuarios (autoridades pblicas estn EXCLUIR ). Desde una perspectiva de seguridad, el AS/400 tpica se asemeja a un edificio. Las puertas (y ventanas) estn bloqueados. Los usuarios necesitan una clave (password) para acceder. Dentro del edificio, la mayora de las habitaciones tienen puertas que no estn bloqueados. Algunas de las habitaciones, o cajones de archivos dentro de las habitaciones, tienen cerraduras que requieren claves (autorizacin). Al proporcionar acceso a su sistema a travs de Internet, es posible que dejando muchos extranjeros de todo el mundo entrar en el sistema, o al menos examinar los documentos que estn en su sistema. El punto de vista del sistema que se muestra como una casa para hacerte sentir incmodo, y lo que debera.Es necesario pasar a una necesidad de saber enfoque pensamiento de seguridad. Decida lo que el visitante necesita saber Internet y evitar el acceso a cualquier otra cosa. Cmo se configura una necesidad de conocer el medio ambiente depende del tipo de servidor de Internet que desea proporcionar. Adems de tomar una mirada ms estricta, ms rigurosa a la seguridad en su propio sistema, es necesario ampliar su visin. A medida que su red crece, tanto a

    nivel interno con la LAN, por ejemplo, como externamente con Internet, debe tener en cuenta tanto la seguridad del sistema y la seguridad de la red.

    Proceder con Precaucin


    En este momento, tiene que dar el primer paso importante de convertirse en un pensador de seguridad ms rigurosos. Cambie a una "necesidad de saber" y la mentalidad "de necesidad de hacer". Cada vez que desee hacer una nueva aplicacin disponible en Internet, comience por hacer las siguientes preguntas: Qu hace el usuario de Internet tiene que saber y hacer? Cmo evitamos que el usuario de Internet de ver o hacer cualquier otra cosa?

    Qu acceso funciona su programa o aplicacin da a los usuarios de Internet, ya sea directa o indirectamente?

    TCP / IP e Internet estn diseados para la apertura y la interoperabilidad para que los clientes de Internet y servidores de Internet de muchos proveedores diferentes pueden comunicarse e intercambiar informacin con xito. Esta apertura hace que sea difcil de construir las capacidades de seguridad de red. En primer lugar, los distintos proveedores deben ponerse de acuerdo sobre las normas de seguridad. Por ejemplo, cuando se enva contraseas encriptadas, ambas partes deben utilizar el mismo mtodo para generar claves de cifrado y los mismos algoritmos para cifrar y descifrar. Muchos grupos estn trabajando para desarrollar estndares de seguridad de la red, pero queda mucho trabajo por hacer. En el pasado, con una red limitada, privado, podra equiparar la seguridad con la seguridad del sistema. Mediante el uso de las capacidades de seguridad fuertes de AS/400, puede estar seguro de que su informacin est protegida. Ahora, cuando se conecta a Internet, o proporcionar acceso dial-up a su sistema, tiene que pensar tambin en la seguridad de redes, que es un objetivo principal de este folleto. Muy pocos usuarios de Internet son maliciosos. La mayora estn simplemente buscando informacin y las formas ms eficientes de hacer negocios. Sin embargo, los hackers estn ah fuera, y hay que estar preparados. AS/400 proveedores de capacidades de seguridad ms integradas que muchos servidores de Internet. Sin embargo, dado el entorno actual es ms amigable que el de Internet, es posible que no se utilice la totalidad de las capacidades de seguridad de AS/400 que estn disponibles. Por esta razn, los ejemplos ms adelante en este folleto tienen un enfoque paso a paso para la conexin a Internet. Se empieza con el lado de Internet de su sistema encerrado tan firmemente como sea posible,

    al igual que el edificio se ha descrito anteriormente. Ustedes puertas abiertas (las nuevas aplicaciones de Internet o nueva servidores TCP / IP), poco a poco, una a la vez, despus de evaluar cuidadosamente los riesgos y las precauciones de seguridad.

    Seguridad - una definicin


    Los temas siguientes proporcionan ejemplos de cmo se puede vincular su sistema de informtica empresarial AS/400 a Internet. Cada ejemplo incluye consejos y consideraciones para garantizar la seguridad. Pero primero, vamos a definir lo que entendemos por "seguridad". Una poltica de seguridad Definir lo que se quiere proteger y lo que espera de los usuarios del sistema. Una poltica de seguridad define la importancia de los activos de la empresa que estn en nuestro sistema. Proporciona una base para la planificacin de la seguridad cuando sea disear nuevas aplicaciones o ampliar su red. En l se describen las responsabilidades del usuario, tales como la proteccin de la informacin confidencial y la creacin de contraseas no triviales. La autenticacin de usuarios asegurando que slo las personas autorizadas (o trabajos) pueden entrar en el sistema. Al vincular el sistema a una red pblica como Internet, autenticacin de usuarios adquiere nuevas dimensiones. Una diferencia importante entre la Internet y de la intranet es su capacidad de confiar en la identidad de un usuario que se registre en. Proteccin de los recursos asegurando que slo los usuarios autorizados pueden acceder a los objetos en el sistema. La capacidad para obtener todo tipo de recursos de sistemas es una fuerza AS/400. Sin embargo, usted podra encontrar que usted no utiliza todas las capacidades de seguridad de los recursos de AS/400, sobre todo si se basan principalmente en el control de acceso a los mens. Tambin puede encontrar que la conexin a Internet obliga a cambiar su definicin de un usuario "pblico" en el sistema. Sistema de Integridad La integridad del sistema es la capacidad del sistema para proporcionar los resultados esperados, en consonancia con el rendimiento esperado. Para AS/400, la integridad del sistema es el componente ms alto de seguridad, ya que la integridad del sistema es una parte fundamental de la arquitectura del AS/400. AS/400 arquitectura, por ejemplo, hace que sea

    extremadamente difcil para un revoltoso de imitar o modificar un programa de sistema operativo (cuando se utiliza el nivel de seguridad 40 o 50). Cuando usted piensa acerca de la conexin a Internet, usted necesita pensar acerca de la integridad de su sistema y cmo un hacker puede tratar de asalto l.Un hacker puede poner en peligro la integridad de su sistema sin tener xito en la sesin en el sistema. Un hacker puede, por ejemplo, poner en peligro la capacidad del sistema para dar servicio a solicitudes de los usuarios por la inundacin de su sistema. Su almacenamiento en disco puede ser inundada, por ejemplo, con el correo no deseado o con la salida impresa. Su procesador puede ser abrumado por ejemplo, por las solicitudes de error. Esto comnmente se llama denegacin de servicio. Sus usuarios legtimos, o bien no pueden iniciar sesin o recibir malos resultados debido a que su sistema est gastando los recursos relativos a las solicitudes autorizadas. Integridad de los datos Garantizar la fiabilidad de los datos que entra en su sistema. Cuando los datos que entra en el sistema proviene de una red pblica, es posible que tenga varias protecciones de seguridad: Proteger los datos de ser "olfate" e interpretado, por lo general mediante la encriptacin. Asegrese de que la transmisin no se ha modificado (integridad de datos). Demostrar que se produjo la transmisin (no repudio). En el futuro, es posible que tenga el equivalente electrnico del correo registrado o certificado. La auditora de seguridad de monitoreo eventos relevantes para la seguridad de proporcionar un registro de acceso acertados y fallidos (negado). Accesos exitosos dicen que est haciendo qu. Accesos sin xito dicen que o bien que alguien est tratando de romper su seguridad o que alguien est teniendo dificultades para acceder a su sistema. (Por ejemplo, puede que no tenga su pgina Web correctamente configurado.)

    AS/400 seguridad mnima


    En los temas siguientes se supone que est comenzando con un sistema AS/400 que es bsicamente seguro. Como mnimo, el sistema debe cumplir con las siguientes normas de seguridad:

    Establezca el nivel de seguridad (valor del sistema QSECURITY) para tener por lo menos 30. Nivel 40 o 50 es muy recomendable, ya que proporcionan una mayor proteccin de la integridad Establezca los valores del sistema de seguridad pertinentes que ser al menos tan restrictivas como las configuraciones recomendadas. Usted puede utilizar el sistema de impresin atributos de seguridad (PRTSYSSECA) comando para comparar los ajustes a los valores recomendados. Asegrese de que no hay perfiles de usuarios, incluidos los perfiles de usuario suministrados por IBM, tiene contraseas por defecto. Utilizarn el control de contraseas por defecto (CDKDFTPWD) de comandos o de las contraseas predeterminadas analizados (ANZDFTPWD) comando para comprobar esto. Utilice las autorizaciones sobre objetos para proteger sus recursos importantes del sistema. Control de acceso de men no tiene sentido de muchas de las herramientas que son utilizadas por los usuarios de Internet. Debe configurar las autorizaciones sobre objetos en el sistema. Utilice las herramientas de seguridad y consejos y herramientas para la seguridad del AS/400 para ayudar a administrar y supervisar la seguridad en su sistema. NOTA: Para las versiones anteriores a la V3R2, las herramientas de seguridad estn disponibles en la Seguridad ToolKit PRPQ. El comando PRTSYSSECA mando y CHKDFTPWD o ANZDFTPWD son parte de las herramientas de seguridad.

    Algunos comentarios sobre los ejemplos: Los ejemplos que siguen ofrecen opciones tpicas para conectar su sistema a Internet. Ellos discuten los riesgos de seguridad y las posibles soluciones. Estas no son las nicas opciones disponibles, ni son necesariamente las opciones ms seguras. Un cortafuegos correctamente configurado y administrado casi siempre es el mtodo ms seguro para conectar su sistema al resto del mundo. Mediante el uso de un servidor de seguridad, los dos estn limitando sus puntos de exposicin y ocultar la configuracin de red de los dems. La necesidad de considerar un cortafuegos cuando se conecta el servidor AS/400 a Internet no es diferente que cuando se conecta a otros servidores de Internet.

    Como organizaciones ampliar su uso de Internet y proporcionar acceso a Internet a ms y ms informacin, firewalls rpidamente se vendrn un estndar de la industria en ciertas situaciones. Aunque un firewall puede ser en el futuro, podra ser ms de lo que sea necesario o pueda pagar hoy. Varios de los siguientes ejemplos no tienen cortafuegos. La mayor parte de las consideraciones de seguridad son vlidos con y sin un firewall. Estos ejemplos siguen una progresin tpica de la expansin de uso de Internet. Comienzan con el supuesto de que no se est usando el protocolo TCP / IP para comunicarse con otros sistemas de la red propia. Ejemplo 1 - que conecta a los usuarios de Internet Su primera incursin en la Internet podra ser la de proporcionar a los usuarios con acceso a la Internet. Tanto el AS/400 y sus equipos ya se encuentran en un (red de rea local) inalmbrica. En lugar de poner un mdem en cada PC, se desea proporcionar un punto central de acceso a Internet. Cada equipo contar con software de navegador de Web. Lo que la configuracin se ve igual La figura 1 muestra una forma comn para conectar a los usuarios de LAN a Internet. Los usuarios de PC pueden acceder directamente a Internet a travs del router. Tambin pueden seguir teniendo acceso a su AS/400 a travs de la LAN utilizando AS/400 Client Access, por ejemplo. Consideraciones de seguridad para este ejemplo Los siguientes son algunos de los riesgos de seguridad para el ejemplo 1 y las alternativas para hacer frente a los riesgos. En este ejemplo se da por supuesto que no quieres que nadie desde fuera de la red para acceder a AS/400. El objetivo particular es proteger el AS/400 y sus datos. Nota: A menos que utilice el filtrado de paquetes en el router, los PC de esta configuracin son ms vulnerables a los ataques de lo que son con una conexin dial-up. Cuando un router est conectado a la misma LAN que los PC, un posible intruso puede intentar acceder a sus ordenadores cuando estn encendidos. Riesgo 1 - Direcciones IP Publicado: Por lo general, con este tipo de conexin (LAN al router de Internet), cada sistema (PC) que se conecta a Internet debe tener una direccin IP. Tener una direccin IP es similar a tener un nmero de telfono publicado. Cada vez que un

    usuario de la red enva una solicitud de Internet, el paquete contiene la direccin IP del PC del usuario. Cualquier host en Internet que un PC contactos conoce la direccin IP del PS. Un posible intruso podra ser capaz de acceder a esa informacin y tratar de acceder al PC mediante el uso de la direccin IP. Soluciones de Seguridad Asegrese de que el AS/400 no tiene una direccin IP. Esto protege el AS/400 de los ataques directos, incluyendo ataques de denegacin de servicio. Eduque a sus usuarios de PC sobre la necesidad de proteger sus PCs de intentos de intrusin. Sus computadoras no deberan, por ejemplo, pueden configurar para iniciar los servidores TCP / IP (como TELNET o FTP). Asegrese de que un intruso que irrumpe con xito en un PC no se puede ir ms all de ese equipo en la red. Esta proteccin puede ser difcil, y depende en cierta medida de las prcticas de seguridad de los usuarios de PC. Un intruso se ver en el PC para obtener informacin, como los nombres de sistemas o programas de comunicacin de puesta en marcha, que podran ayudar a la ruptura intruso en otro sistema de la red. El intruso tambin buscar identificadores de usuario y contraseas almacenadas en el PC. El AS/400 es vulnerable tanto a la parte ms dbil (PC con las prcticas de seguridad deficientes) y la contrasea ms trivial. Utilice AS/400 autoridad objeto de proteger sus datos crticos. Utilice los valores del sistema de proteccin contra suspiro-en repetidos intentos. Utilice la auditora de seguridad detectar intentos no autorizados de acceso a ambos sistemas y objetos en el sistema. Asegrese de que nadie se inicia ninguna servidores TCP / IP en su sistema. Los hackers suelen ser ms familiarizados con la aplicacin TCP / IP (como FTP y Telnet) que estn con AS/400 Client Access. Si un hacker se encuentra el nombre del sistema AS/400 cuando se navega por un ordenador, el hacker probablemente tratar de utilizar TELNET o FTP para acceder a AS/400 en lugar de tratar AS/400 Client Access. Controlar IOSYSCFG autoridad especial para restringir quin puede configurar TCP / IP. Restringir el que tiene autoridad para utilizar el comando STRTCP (Start TCP / IP). Si su router tiene la capacidad de filtrado de paquetes, configurar el router para reaccionar sesiones TCP / IP con una direccin IP de origen que est fuera de su red.

    Riesgo 2 - Descarga de virus: Un virus es un programa que puede modificar otros programas para incluir una copia de s mismo. El programa de virus normalmente realiza operaciones que pueden ocupar los recursos del sistema o destruir datos. Cuando los usuarios se conectan a Internet, puede ser que sin querer descargar un programa con un virus. Se pueden almacenar el programa infectado en una carpeta compartida o en el sistema de archivos integrado en el AS/400. Ese virus puede entonces ser copiado accidentalmente a otros ordenadores en su red. Soluciones de Seguridad El que AS/400, utilice autoridad objeto de controlar que los usuarios de PC pueden crear nuevos objetos. Si los usuarios de PC utilizan carpetas compartidas, utilice la autoridad de DLO (objetos de biblioteca de documentos) de limitar a la creacin de nuevos documentos en carpetas especficas. Si los usuarios de PC utilizan el sistema de archivos integrado, el uso de la autoridad a los directorios de controlar donde pueden colocar nuevos objetos. Asegrese de que la mayora de los usuarios no tienen autoridad para crear autoridad del directorio raz de RWX de RX. Ejecutar peridicamente programas de deteccin de virus contra los directorios o carpetas donde los usuarios de PC ponen nuevos objetos. (Para ejecutar un programa de virus scan, es probable que tenga que firmar desde un PC y un enlace a la carpeta o directorio que contiene nuevos programas.) Instale software antivirus-scan en todos los PC y requieren que los usuarios de PC para correr regularmente. Considere incluir el programa de exploracin de virus en cada rutina de arranque PC. Considere organizar el movimiento de nuevos objetos a partir de unidades de PC privado a un entorno compartido. Moverlos a una unidad temporal (carpeta o directorio compartido) en primer lugar. Luego haga que un administrador del sistema moverlos a un entorno compartido despus de ejecutar un programa antivirus-scan. Eduque a sus usuarios, tanto acerca de los virus y de los riesgos de descargar programas de fuentes no fiables. Ejemplo 2 - Proporcionar E-Mail

    Ahora que los usuarios estn conectados, quieren intercambiar e-mail (notas y mensajes electrnicos) con el mundo exterior. Lo que la configuracin se ve igual Fsicamente, la conexin an puede verse como el ejemplo de la figura 1 . Ya sea que usted necesita para aadir software de correo electrnico, o puede utilizar el software que usted ya tiene. A continuacin se presentan dos posibles opciones de software. Muchas ms opciones estn disponibles. Si ya utiliza cualquiera OfficeVision o JustMail para OS/400, puede hacer cambios en la configuracin para poder enviar y recibir correo electrnico a travs de Internet. Tienes que empezar a tanto ICP / IP y el servidor SMTP (Simple Mail Transfer Protocol). Es necesario realizar cambios en el directorio de distribucin del sistema para que funcione correctamente con SMTP. Tanto la configuracin y de referencia TCP / IP y el fro Ttulo Sobre el libro AS/400 e Internet describen cmo configurar SMTP y OfficeVision o JustMail para OS/400 de correo externo. Puede instalar el software de correo electrnico, como UltiMail Lite en sus PC. Software de correo electrnico basado en PC proporciona la capacidad para cargar y descargar el correo. Se conecta a su PC en un servidor para almacenar y reenviar correo. AS/400 proporciona esta capacidad con el servidor de Post Office Protocol (POP). O bien, su PC puede utilizar un servicio de correo de store-and-forward fuera de un proveedor de servicio. Consideraciones de seguridad para este ejemplo Al agregar el correo electrnico, la planificacin de su seguridad debe ser ms especfico. Ya no se puede simplemente configurar un router para excluir todas las sesiones cuyo origen est fuera de su red. Ahora se puede suponer que el AS/400 no participar. Usuarios AS/400 que no tienen la capacidad de navegador web an pueden enviar y recibir e-mail si decide permitirlo. A continuacin se presentan dos riesgos de seguridad cuando se agrega e-mail al ejemplo que se muestra en la Figura 1 y las alternativas para hacer frente a los riesgos. En este ejemplo se da por supuesto que no quiere que nadie de fuera de la red para evaluar cualquier sistema dentro de la red, con la excepcin del envo de correo electrnico a los usuarios de la red. El objetivo particular es proteger el AS/400 y sus datos. Riesgo 3-Publicado AS/400 Direccin:

    Si desea que su AS/400 para proporcionar servicios de correo electrnico para sus usuarios, es necesario registrar el AS/400 en Internet con una direccin IP. Su AS/400 ahora se hace visible para el mundo exterior y con sujecin a intento de intrusin. Solucin de Seguridad

    Utilice AS/400 capacidades de seguridad para proteger el sistema de autorizacin de sesin. Esto incluye tanto la creacin y el inicio de sesin los valores del sistema de contraseas y asegurarse de que no hay perfiles de usuario tienen contraseas por defecto. Captulo 2 en Consejos y herramientas para la seguridad del AS/400 tiene sugerencias para el control de seal interactiva. Hasta que est listo para las aplicaciones internas TCP / IP (siguiendo las precauciones en ejemplos posteriores), configurar TCP / IP para que slo el servidor SMTP y, posiblemente, el servidor POP se inician automticamente. Utilice el comando adecuado atributos xxx Cambiar para evitar que otros servidores se inicien automticamente. Por ejemplo, para evitar que TELNET se inicie automticamente, escriba lo siguiente: CHGTELNA AUTOSTART (* NO) Utilice los siguientes comandos para configurar AUTOSTART (* NO):
    CHGTELNA CHGHTTPA CHGFYPA CHGWSGA CHGLPDA CHGSNMPA

    El comando para iniciar los servidores TCP / IP (STRTCPSVE) buques con la autoridad pblica establecida en excluir. Asegrese de que la autoridad no ha cambiado y revisar la lista de los usuarios que estn autorizados a utilizar el comando. Considere cambiar el valor predeterminado para el parmetro Server en el comando STRTCPSVR. Las naves defecto como * Todo cambio que se inicie slo el servidor SMTP (o los servidores SMTP y POP). Si ejecuta aplicaciones TCP / IP (como FTP) en su red interna, debe configurar su router para rechazar todos los paquetes externos que van a cualquier puerto excepto el puerto SMTP (correo). (Todas las aplicaciones TCP / IP se asocia a un puerto TCP / IP especial. Un puerto es como una puerta de entrada en el que la configuracin TCP / IP.)

    Riesgo 4 - Inundaciones:

    Un juego que juegan los hackers es inundar el sistema con el correo no deseado. Esto puede afectar negativamente al rendimiento del sistema. El correo electrnico tambin puede tomar mucho espacio en el almacenamiento en disco que el sistema deje de funcionar. Soluciones de seguridad: Las siguientes son sugerencias para limitar el impacto de los intentos de inundar el sistema. Si es posible, evitar el uso de un * CUALQUIER * CUALQUIER entrada en el directorio de distribucin del sistema. Esto hace que sea ms difcil para alguien para inundar el sistema con el correo no deseado que se enruta a travs de su sistema a otro sistema. Sin un * CUALQUIER * CUALQUIER ingreso, el sistema rechazar el correo que no se dirige a un usuario vlido en tu red. Establecer un lmite de umbral de almacenamiento auxiliar. Esto evita que los objetos no deseados de la inundacin de su sistema al punto en que no puede funcionar. (La copia de seguridad y recuperacin avanzada de libros describe cmo configurar un lmite de umbral de almacenamiento auxiliar.) Riesgo 5 - Explorar la Red Usted puede haber hecho un buen trabajo de la seguridad de su AS/400 para que los hackers no pueden iniciar la sesin. Sin embargo, usted podra encontrar que el AS/400 proporciona un camino para llegar a otros sistemas de la red. Porque esos sistemas no estn conectados directamente a Internet y que no esperan que el intento de intrusin, su proteccin de seguridad puede ser menos rigurosa que la tuya. (Ellos viven en un barrio seguro y no necesitan cerraduras dobles o una alarma antirrobo.) Soluciones de Seguridad

    Si utiliza SLIP (Protocolo Line Interface) en la red, utilice el mandato Trabajar con TCP / IP comando Point-to-Point (WRKTCPPTP) para configurar SLIP * Perfiles de ANS (respuesta) para evitar el reenvo de datagramas IP. Esto evita que alguien que se entera de que su sistema de marcacin y el uso de su sistema para acceder a otro sistema conectado (ya sea un PC o un AS/400) que podran tener un activo TCP / IP del servidor. Si usted tiene una conexin LAN-router, establezca los atributos de no permitir el reenvo de datagramas IP. (Es necesario comprender cmo esto podra afectar el resto del trfico en la red.)

    Si el AS/400 es parte de una red APPN, utilizar el nuevo soporte de filtrado PPN. Proporciona una proteccin de tipo firewall en su red APPN que le permite especificar qu pares ubicacin pueden comunicarse. El captulo APPX en Consejos y herramientas para la seguridad del AS/400 describe cmo utilizar soporte de filtrado APPN.

    Riesgo 6 - Recepcin virus a travs de E-Mail El correo entrante es una fuente potencial de virus de PC. Alguien puede adjuntar un programa a una nota. O alguien puede enviar un programa a un usuario en el sistema. Tal vez ni el remitente ni el receptor se dieron cuenta de que el programa aparentemente inofensivo se est propagando un virus. Soluciones de Seguridad

    Debido a la arquitectura de AS/400 's, el correo entrante es poco probable para infectar AS/400 s mismo con un virus. Un programa de AS/400 no puede llegar disfrazado de otra cosa. Sin embargo, los virus de PC pueden llegar en el correo. Siga las mismas prcticas de proteccin antivirus que se describen en "Riesgo Virus 2-Downloading". Educar a los usuarios sobre la posibilidad de recibir los programas de virus por e-mail, posiblemente, de sus amigos y colegas.

    Riesgo 7 - Misdirected E-Mail Cuando su sistema de correo electrnico interno est conectado a la Internet, usted tiene la posibilidad de que un usuario enve informacin confidencial con el mundo exterior. Esto puede ocurrir por accidente, y tal vez incluso sin el conocimiento del usuario, si su conexin de correo electrnico no est configurado correctamente. Soluciones de Seguridad

    Al configurar su direccin de correo conexiones, prueba de lo que ocurre con el correo dirigido incorrectamente. Alguno de una ID de usuario incorrecta o un nombre de sistema incorrecto (que no est en tu red) hacen que el correo que se enva a travs de su enlace de correo de Internet? Si es posible, configurar su sistema de correo electrnico para requerir la confirmacin del usuario antes de e-mail se enva fuera de la red. Educar a los usuarios acerca de sus polticas para el envo de informacin confidencial a travs de e-mail.

    Riesgo 8 - La exposicin de informacin confidencial A medida que expande el uso de Internet y de las redes en general, los usuarios pueden explorar diferentes formas de trabajar. Tal vez se puede marcar en su sistema desde su casa o mientras viaja. Pueden utilizar el correo electrnico como una herramienta para colaborar con colegas en un proyecto. Con la tecnologa actual, la informacin en Internet no suele ser encriptada. Se transmite "en claro", lo que significa que es vulnerable a oler. Oler en la propia red troncal de Internet es poco probable debido a que la espina dorsal se compone de conexiones dedicadas de alta velocidad. Sin embargo, las conexiones de los perifricos, tales como la lnea telefnica de la casa de su empleado o la LAN en el lugar de un colega, no son necesariamente bien protegidos. Soluciones de seguridad: La solucin principal para la posibilidad de inhalacin de datos confidenciales es la educacin. Usted necesita actualizar su poltica de seguridad y educar a los usuarios. Ellos deben tratar a una red pblica tal como lo tratan a las lneas telefnicas no protegidos y los lugares pblicos. Si la informacin es lo suficientemente sensible que no lo leera en un autobs o en avin, entonces es probable que no debe enviarla a travs de Internet. Si la informacin es suficiente confidencial que usted no repetirla en un telfono celular, entonces es probable que no debe enviarla a travs de Internet.

    Si no le enviar por correo normal, excepto tal vez con un sobre doble, entonces usted probablemente no debera enviarla a travs de Internet. Considere proporcionar perfiles de usuario diferentes para Internet y uso del correo electrnico, por lo menos para los usuarios con perfiles de gran alcance. De esta manera, si alguien ve un correo electrnico que un empleado enva, el espa no tendr el nombre de un perfil de gran alcance en el sistema.

    Proporcionar una pgina de inicio Sus usuarios no han estado navegando por la Web y el intercambio de e-mail con sus colegas de otras organizaciones. No pasar mucho tiempo antes de que alguien sugiere: "Deberamos tener nuestra propia pgina web." Otros se unen: "La Web es una gran manera de conseguir visibilidad, con muy poco gasto Tener una pgina principal que hace que nuestra empresa un aspecto moderno y de vanguardia.".

    Ejemplo 3 - Pgina de Inicio sin Interna TCP / IP En este ejemplo se asume lo siguiente: Usted no utiliza TCP / IP internamente dentro de su propia red. Para cepillar la seguridad, se puede asumir que todos los intentos de acceso a los servidores TCP / IP vienen de fuera de la red. Los PCs se conectan al AS/400 con AS/400 Client Access, que utiliza un protocolo distinto de TCP / IP. El servidor de Internet no podr proporcionar informacin, no actualice los datos de su sistema (un servidor de slo lectura).

    Est utilizando el servidor HTTP proporcionado por IBM que forma parte de V3R2. Si usted est usando un diverso precauciones de seguridad.

    Lo que la configuracin se ve igual Fsicamente, la conexin an puede verse como el ejemplo de la figura 1 . Se utiliza el servidor HTTP para servir a su pgina de inicio y otras pginas con hipervnculos a los visitantes de Internet. Es necesario trabajar con su ISP para obtener una direccin IP y nombre de dominio. (Puede que ya tenga una direccin IP si el sistema AS/400 tiene una conexin de correo electrnico a travs de Internet.) Consideraciones de seguridad para este ejemplo A continuacin se presentan nuevos riesgos de seguridad cuando se utiliza una configuracin como la de la Figura 1 y proporcionar una pgina de inicio en Internet. Este ejemplo asume que usted no utiliza TCP / IP del servidor para los usuarios internos o aplicaciones. Riesgo 9 - Visibilidad del AS/400 Direccin: Si usted ha estado proporcionando el correo electrnico, el AS/400 ya podra tener una direccin IP. Sin embargo, cuando se crea una pgina de inicio y conocer que, usted est haciendo un esfuerzo consciente para informar a la gente de su presencia en Internet. Los hackers son ms propensos a tomar conciencia de la existencia del sistema y tratar de entrar en ella. Solucin de Seguridad Siga las mismas sugerencias que se encuentran en "riesgo 3-Publicado AS/400." Ten en cuenta que las posibilidades de ser blanco son ms altos y que tiene que ser an ms conscientes de la seguridad. A menudo, cuando se produce

    una intrusin, es a causa de los errores u omisiones en la aplicacin de la seguridad, no a causa de fallas en el sistema mismo. Utilice Consejos y herramientas para la seguridad del AS/400 como una gua para la revisin de sus polticas y prcticas de seguridad. Use la auditora de seguridad para ayudar a detectar intentos de entrar en el sistema.

    Comience slo los servidores TCP / IP que se necesitan: probablemente SMTL, POP y HTTP. Usted necesita asegurarse de que no inicia los servidores TCP / IP que permiten el inicio de sesin (por ejemplo, FTP, Telnet o estacin de trabajo de puerta de enlace).

    Riesgo 10 - Ingenio Desarrollador: Ahora que ha creado una pgina de inicio, puede encontrarse con que los usuarios y desarrolladores intencin era proporcionar "un servicio ms" a sus visitantes de Internet. Los usuarios y desarrolladores no pueden analizar a fondo los posibles riesgos de seguridad de los servicios que desean ofrecer. Soluciones de seguridad

    Elevar el nivel de concienciacin sobre la seguridad y la preocupacin de su organizacin. Incluya revisiones de seguridad como parte del diseo de la aplicacin. Considere la posibilidad de contratar a una organizacin externa para realizar una auditora de seguridad de sus sistemas. Monitorear regularmente las autoridades privadas que el perfil de usuario QTMHHTPP y QTMHHTPP! perfil de usuario tiene. (Utilice el comando TYPE DSPUSRPRF (* OBJAUT).) Un cliente que utiliza el servidor HTTP nunca signos en el sistema. El visitante se ejecuta el sistema. El vistor ejecuta bajo los usuarios QTMHHTTP el servidor HTTP nunca signos de su sistema. El visitante se ejecuta bajo el perfil de usuario QTMHHTTP y slo puede acceder a lo que el perfil QTMHHTTP o del pblico pueden tener acceso. Programas CGI utilizan el perfil de usuario QTMHHTP. Nota: HTTP en AS/400 est diseado para que "poner" los objetos desde un explorador Web no est permitido. Por lo tanto, un usuario web browser no puede, por ejemplo, poner un programa CGI en su sistema. Controlar cuidadosamente la autorizacin especial * IOSYSCFG y controlar el contenido de las directivas HTTP. El cliente HTTP (homepage visitante) slo puede realizar las funciones que se definen explcitamente en las directrices para el servidor HTTP. Utilice el mandato

    Trabajar con configuracin HTTP (WRKHTTP) con definir estas directivas. El comando WRKHTTP requiere autorizacin especial * IOSYSCFG.

    No instale programas CGI (Common Gateway Interface) o habilitar DB2WWW sin tanto conocimiento de las funciones que llevan a cabo y evaluar los riesgos de seguridad potenciales. Si no se define ningn programa CGI y no activa el programa DB2WWWQ, el usuario HTTP no puede hacer nada en su sistema excepto ver documentos de hipertexto que ha especificado. (El tema Consejos para controlar el acceso HTTP en Consejos y herramientas para la seguridad del AS/400 y el captulo HTTP en la configuracin TCP / IP y Guas proporcionar ms formacin sobre el control de HTTP.) Cuando est listo para ampliar su pgina de inicio para ms del documento de visin, revise la informacin en el "Ejemplo 6 - Proporcionar aplicaciones adicionales."

    Asegrese de que las pginas Web internas que se crean no son visibles fuera de la red interna.

    Ejemplo 4 - Pgina principal de Interior TCP / IP Al explorar el Internet, los usuarios han descubierto que les gusta usar las aplicaciones TCP / IP. Por ejemplo, es posible ahora tener el servidor FTP que se ejecuta en el AS/400 para permitir a los usuarios descargar archivos. Lo que la configuracin se parece sin un firewall Es evidente que el uso de un servidor de seguridad proporciona la mejor proteccin para su sistema de produccin en este escenario. Sin embargo, si usted decide no utilizar un servidor de seguridad, la configuracin podra seguir buscando el ejemplo de laFigura 1 . Consideraciones de seguridad para este ejemplo Su red ha llegado a un punto donde no se puede distinguir fcilmente entre las solicitudes de los usuarios internos y las peticiones de la parte exterior. Cuando usted tiene un servidor como FTP o Telnet activas en el sistema, se ha abierto una puerta para los de afuera para tratar de iniciar la sesin. Aunque la configuracin puede continuar para parecerse Figura 1 (sin cortafuegos y no hay ningn servidor de Internet dedicado), los riesgos son mayores. Los siguientes son riesgos adicionales y posibles soluciones.

    Riesgo 11 - No autorizado Sign-on: Para tratar de evitar que los forasteros firmar correctamente en el sistema, considerar la adopcin de las siguientes estrategias: Soluciones de Seguridad

    Configure el router para rechazar las sesiones TCP / IP para puertos especficos (tales como puertos TELENET) si la sesin se origina desde una direccin IP externa. Asegrese de que est utilizando todas las herramientas de AS/400 para evitar autorizado el inicio de sesin. Consulte el Captulo 2 en Consejos y herramientas para la seguridad del AS/400. En particular, utilizar lo siguiente: Utilice los programas de salida de FTP (disponible a partir de V3R2) para autorizar o denegar las solicitudes de FTP, como inicio de sesin FTP. Si desea proporcionar servicios FTP a los forasteros, utilice FTP annimo y limitar severamente las capacidades que ofrece el programa de salida. Si es posible detener los servidores TCP / IP, como FTP y Telnet, durante las horas libres. Los hackers tienden a atacar ms a menudo fuera de las horas normales de trabajo. Utilice el tiempo de espera de inactividad capacidades de AS/400 y los servidores FTP. Cuando se termina automticamente sesiones que han estado inactivas por un perodo prolongado, se reducen las posibilidades de que un intruso puede cuestas en una sesin. Piggy-respaldo est colgando una sesin ilegtima a otra sesin activa en el mismo host. Utilice el comando de activacin Perfil Organizador (SCDPRFACT) para hacer los perfiles de usuario de gran alcance, como los perfiles oficiales de seguridad, no est disponible para el inicio de sesin durante offhours. (Comando ADDACTSCDE para V3R2.) Use el agente de seguridad lmite (QLKTSECOFR) valor del sistema para evitar perfiles poderosos de embarcar en dispositivos virtuales.

    Lo que la configuracin se ve igual que con un Firewall Usted puede sentir el riesgo de una intrusin han crecido demasiado alto y que necesita un servidor de seguridad. El cortafuegos proporciona un nico punto de la exposicin a los extranjeros, lo que reduce las reas de

    preocupacin. "Firewalls-Visin general" proporciona una visin general de las funciones que realiza un servidor de seguridad. Ejemplo Page 5-Home con AS/400 dedicado servidor de Internet El sistema AS/400 es fundamental para su negocio. Se sospecha que una pgina web es slo el comienzo. Su herramienta de comunicacin y de servicio al cliente es probable que crezca rpidamente. Usted decide separar su sever Internet desde su sistema de produccin mediante la instalacin de un sistema AS/400 dedicado como servidor de Internet. Lo que las configuraciones se ve igual sin un Firewall Si el servidor AS/400 necesita poca o ninguna informacin de su sistema de produccin, puede que no necesite un servidor de seguridad debido a que su servidor de Internet no est conectado a la red. O, si usted necesita para conectar el servidor de Internet con el AS/400 para descargar la informacin peridicamente, se controla cuidadosamente tanto la configuracin de las comunicaciones y el plazo para la conexin. (Se conecta por perodos muy cortos, y monitorear cuidadosamente la actividad mientras est conectado.) Consideraciones de seguridad para este ejemplo sin un Firewall A continuacin se presentan las consideraciones de seguridad adicionales y posibles soluciones cuando decide tener un servidor dedicado a Internet sin un firewall. Riesgo 12 Interrupcin del Servicio: Cuando el servidor de Internet est separada fsicamente de la red de produccin, los sistemas de produccin estn protegidos contra la piratera. Sin embargo, el servidor de Internet en s mismo puede ser un objetivo. El impacto podra ser menos intenso, pero puede afectar a su capacidad de prestar servicios a sus clientes de Internet. Soluciones de Seguridad

    No descuide la seguridad en el servidor de Internet: Proteger autorizados muestra-ons.

    Asegrese de que no hay perfiles de usuario tienen contraseas por defecto. (Utilice el comando CHKDFTPWD o el comando ANZDFTPWD.) Limite el nmero de perfiles de usuario que usted tiene en su servidor de Internet. No deberan tener ese mismo nombre que los perfiles de usuario que tiene en su sistema de produccin. Configure las autorizaciones sobre objetos para asegurarse de que los usuarios no autorizados no puedan modificar la informacin que su estn presentando a sus clientes de Internet.

    Comience slo los servidores TCP / IP que necesita para los servicios de Internet que usted brinda. Si su servidor no necesita TELENET, no lo inicie en el servidor de Internet. Si utiliza FTP para proporcionar servicios a los forasteros (como la descarga de archivos o programas), considere el uso de programas de salida de FTP annimo y (disponibles a partir de V3R2). Esto le da ms control sobre lo que hace que el visitante FTP. Estrictamente limitar la cantidad de informacin confidencial que se almacena en el servidor de Internet. Esto incluye los programas de cdigo para las aplicaciones que usted considera que es importante la propiedad intelectual.

    Penetracin de riesgo 13 de la red: Si decide conectar el servidor de Internet de la red de produccin, un hacker puede tratar de obtener de su servidor a los sistemas de produccin. Soluciones de Seguridad

    Active la conexin slo cuando lo necesita. O bien, considere el uso de la cinta de transferencia de datos y no conectar los dos sistemas. Si descarga datos de forma peridica en lugar de acceder a los datos "en vivo", que no es necesario un enlace que est activo todo el tiempo. Utilice una conexin APPN y soporte de filtrado APPN (funcin de tipo firewall) entre el AS/400 Internet y el AS/400 produccin. Asegrese de que el reenvo de datagramas IP no est activo en su servidor de Internet.

    Utilice un conjunto nico de perfiles de usuario en el servidor de Internet. No copie los perfiles de usuario de su sistema de produccin en el sistema de Internet. Estrictamente limitar y controlar los perfiles de usuario que tienen autorizacin especial.

    Lo que la configuracin se parece con un Firewall Es posible que necesite conectar el servidor de Internet de la red de produccin, si, por ejemplo, las aplicaciones de Internet necesitan acceder a los archivos de base de datos para determinar la disponibilidad del producto. Su configuracin puede ser como la figura 2 . El servidor de Internet est fuera del firewall.Se convierte en un sistema no es de confianza. Consideraciones de seguridad para este ejemplo con un servidor de seguridad A continuacin se presentan algunas de las consideraciones de seguridad y las posibles soluciones cuando se tiene un servidor de Internet dedicado y un servidor de seguridad. Nota: Usted tiene el mismo potencial para la interrupcin de su servidor de Internet que tengas sin un firewall. Ver "Riesgo 12-interrupcin del servicio." Riesgo 14 - Confiar en el servidor: El tratamiento de su propio servidor de Internet AS/400 como un extrao puede ser difcil. Cuando usted est planeando el flujo de informacin entre el servidor de Internet y de la red, es fcil caer en la trampa de confiar en el servidor. Sus desarrolladores pueden asumir incorrectamente, por ejemplo, que ciertas transacciones de ciertos identificadores de usuario son seguros. Soluciones de Seguridad

    Utilizar el cortafuegos para limitar el tipo de interaccin que se produce entre su red de confianza y su servidor de Internet. Si es posible, evitar que los visitantes de Internet de la firma en el servidor de Internet. (No empiece TELENET. Utilice slo FTP annimo.) Esto impide que el conocimiento de los identificadores de usuario y contraseas y limita el trfico IP que tendr la direccin de su servidor de Internet como la direccin de origen.

    Utilice un conjunto nico de perfiles de usuario en el servidor de Internet. No copie los perfiles de usuario de su sistema de produccin en el sistema de Internet. Esto evita que las aplicaciones que buscan perfiles de usuario de confundir un usuario interno con alguien intente acceder a su sistema a travs de una laguna en su servidor de Internet. Asegrese de que su servidor de Internet no ayuda a los hackers para penetrar en su red. Las aplicaciones que se conectan a su servidor a la red seguro deben tener autoridad pblica de exclusin. Utilice el tiempo de espera de inactividad capacidades de AS/400 y los servidores FTP. Cuando se termina automticamente sesiones que han estado inactivas por un perodo prolongado, se reducen las posibilidades de que un intruso puede cuestas en una sesin.

    Ejemplo 6 - Proporcionar Aplicaciones adicionales Usted decide ir ms all de proporcionar una pgina de inicio de slo lectura y los documentos con hipervnculos. Desea utilizar la Internet para proporcionar aplicaciones reales a sus clientes y socios comerciales. Usted puede hacer algunos o todos de los siguientes: Usar la puerta de enlace HTML (servidor de pasarela de estacin de trabajo) para hacer algunas de sus aplicaciones actuales 5.250 a disposicin de los clientes de Internet. Proporcionar TELENET para que los clientes de Internet a firmar en el servidor Internet AS/400.

    Crear programas CGI (Common Gateway Interface) que los clientes pueden poner en marcha (RUN), seleccionando los puntos calientes en su pgina principal. Utilice DB2WWW para proporcionar acceso a la informacin de base de datos.

    Lo que la configuracin se ve igual Para obtener el rendimiento y razones de seguridad, es probable que tenga un servidor de Internet AS/400 dedicado que sea desconectada de la red de produccin o separados de la red de produccin por un firewall. Consideraciones de seguridad para este ejemplo

    A continuacin se presentan nuevos riesgos de seguridad y las posibles soluciones al expandir su servidor de Internet para ofrecer aplicaciones ms all del correo electrnico y leer slo documentos. Riesgo 15 - Interrupcin del Servicio: Su servidor est sujeto a ataques de denegacin de servicio contra los hackers que simplemente quieren causar problemas con la capacidad del sistema para llevar a cabo. Soluciones de Seguridad Siga las sugerencias de "Riesgo 4 - Inundaciones" y Risk12-la interrupcin del servicio. En el sistema del servidor, establecer lmites de almacenamiento (MAXSTG parmetros) para los perfiles de usuario, incluyendo tanto los perfiles de clientes y el perfil de usuario OTSTROS. Esto evita que alguien que firma en su sistema con uno de estos perfiles de uso de una gran cantidad de almacenamiento auxiliar. Asegrese de que su sistema de servidor est configurado para limitar el nmero de dispositivos virtuales que el sistema crea automticamente. Esto evita que un revoltoso se inicie muchas sesiones diferentes slo para amarrar los recursos del sistema. Riesgo 16 - Exploracin de su servidor: Algunos visitantes de Internet a tratar de salir de las aplicaciones que usted proporciona para que puedan explorar el sistema y la red. Su desafo es ofrecerles servicios adecuados sin darles rienda suelta. Soluciones de Seguridad Configure su servidor WSG (gateway estacin de trabajo) para utilizar la estacin de trabajo del servidor de puerta de enlace de sesin interfaz de punto de salida de validacin. Tambin configurar el WSG para no mostrar un signo-en la pantalla. Esto permite que el administrador de WSG para controlar tanto lo que se utilizan perfiles de usuario y qu aplicaciones se pueden ejecutar a travs de la WSG. Tambin elimina el envo de nombres y contraseas de perfil de usuario a travs de Internet.

    Restringir la autoridad de los perfiles de usuario que utiliza el sistema para las aplicaciones TCP / IP. Por ejemplo, los programas CGI utilizan el perfil de usuario OTMHHTP1. Utilice las directivas y secuencias de comandos que los servidores TCP / IP proporcionan para controlar qu aplicaciones pueden hacer. Esto se aplica a HTTP, WSG, y DB2WWW. Disear con cuidado y controlar las capacidades de los programas CGI. Cuando se utiliza V3R2 apoyo a los programas CGI, se especifica que las bibliotecas pueden ejecutar programas CGI from.Consider CGI restriccin en el sistema para una sola biblioteca, como CGILIB. Entonces usted puede monitorear cuidadosamente el contenido de la biblioteca y el control que puede colocar nuevos objetos en la biblioteca. (Asegrese de que la autoridad pblica a la biblioteca es USE o menos.) Utilice la impresin adopcin objetos (PRTADPOBJ) de comandos para controlar los nuevos programas que adoptan autorizacin y estn disponibles para los clientes de Internet. Evale cuidadosamente las funciones que estos programas proporcionan. (Comando PRTADPINF en el Security Toolkit PRDPQ.) Si usted permite que TELENET, limitar la capacidad de los perfiles de usuario que realice disponible. Por ejemplo, establecer ya sea un programa inicial o un men inicial para restringir lo que el usuario puede hacer. Utilice el parmetro capacidades lmite del perfil de usuario para evitar que el usuario la emisin de todos pero el lenguaje de control ms inofensivo (CL) comandos. El parmetro de la capacidad lmite tambin se evita que el usuario cambie el programa inicial y el men inicial. Tenga en cuenta que el inicio de sesin TELNET informacin no est cifrada. Un posible intruso puede "oler" el ID de usuario y la contrasea de una sesin de Telnet. Es necesario limitar severamente lo que los usuarios pueden hacer telnet por la forma de configurar los perfiles de usuario que "publicar" para el uso de Telnet. Uso de FTP programas de salida. El parmetro de la capacidad lmite no se aplica a los comandos que el usuario FTP somete. Revise el Captulo 4 de Consejos y herramientas para la seguridad del AS/400 para otros consejos de seguridad TCP / IP.

    Firewalls - Informacin general

    Un servidor de seguridad controla el acceso y el flujo de informacin entre una red segura (de confianza) y una red no segura (no confiable). Por lo general, una combinacin de hardware y software proporciona la funcin de servidor de seguridad. Un servidor de seguridad podra combinarse en el mismo hardware con un router, o podra ser un sistema separado. Dependiendo de las funciones de firewall que usted necesita, usted puede encontrar que un router proporciona suficiente funcin del tipo de servidor de seguridad para sus necesidades. Firewall puede proporcionar los siguientes beneficios cuando la red est conectada a Internet:

    Acceso controlado a los sistemas internos. Administracin de la seguridad concentrado. Mayor privacidad y el secreto de la configuracin de red. Aplicacin de la poltica de seguridad. Proteccin de los servicios vulnerables, como los sistemas de archivos de red. Mejora de la disponibilidad del sistema mediante el bloqueo de ataques de denegacin de ataques de servicio. Estadsticas de uso de la red y el uso indebido. Proteccin de la reputacin de su organizacin lo ms seguro y confiable.

    A continuacin se presentan breves descripciones de algunas funciones de firewall comunes. Los cortafuegos son variados en la funcin que ellos proporcionan. Tanto la tecnologa y estndares para servicios de tipo firewall se estn expandiendo rpidamente. Trfico bloqueo Una de las funciones de un firewall es bloquear el trfico no deseado entre las redes seguras y no seguras. Trfico de bloqueo puede ser de carcter general, no se permite el trfico FTP) o especficos (no se permite el trfico FTP desde un cierto rango de direcciones IP a una direccin IP determinada). Los routers tambin son capaces de realizar el trfico de bloqueo. Sin embargo, como las reglas se vuelven ms complejos, la configuracin de un router se vuelve muy difcil. Enfoque de la pasarela del cortafuegos es ms fcil de configurar y administrar.

    Red puerta de enlace Lgicamente, un firewall proporciona una puerta de enlace entre la red e Internet. Trfico, tanto dentro y fuera de la red pasa a travs de la puerta de enlace, que puede consistir en uno o ms sistemas de cortafuegos (hardware y software). A travs de Internet, la direccin IP y el nombre de dominio del servidor de seguridad representan la red. El firewall puede ocultar tanto las direcciones IP y los nombres de dominio de la red interna. Aplicacin de pasarela del servidor de seguridad proporciona un conjunto de servidores para vincular a los usuarios de la red segura de servicios de Internet.Estos servidores se denominan servidores proxy. El usuario FTP se conecta al servidor proxy FTP que a continuacin se conecta al servidor de FTP de Internet que el usuario ha solicitado. El servidor FTP de Internet sabe sobre el servidor proxy, pero la direccin IP real del usuario se sustituye por la direccin del proxy. Los servidores proxy son especficos de la aplicacin. Ellos son comnmente disponibles para FTP, HTTP y Telnet. Rels correo son otra forma especializada de un servidor proxy. Un servidor de socket (SOCKS servidor) proporciona una funcin similar a los servidores proxy. Servidores de los calcetines tienen la ventaja de ser en general, en lugar de especfico de la aplicacin. Si los usuarios quieren que las aplicaciones de Internet que no estn disponibles en un servidor proxy, un servidor SOCKS requiere un poco de configuracin de los clientes que se conectan a ella. Sirviendo Nombres de Dominio El firewall protege u oculta los dominios de intranet y direcciones. Todo el trfico saliente tiene la apariencia de que la direccin es la de un servidor de seguridad. Por lo tanto, todo el trfico entrante slo conoce de la direccin de los servidores de seguridad. El firewall tiene suficiente informacin para asignar informacin de direccin correcta para el trfico de su red interna. Al configurar el servidor de seguridad, es necesario asegurarse de que los servidores de nombres de dominio no se puede utilizar para resolver los nombres de dominio de intranet. El servidor de seguridad no se debera definir a Internet como un servidor de nombres de dominio. AS/400 y el futuro

    Sin duda, usted ha ledo que la computacin en red es importante para el futuro de IBM y para el futuro de AS/400. IBM cree que la computacin en red es fundamental para el futuro de las organizaciones de nuestros clientes. Usted ya ha visto mejoras AS/400 importantes para apoyar la red informtica, como tanto los servidores IP que soporte conexin a Internet y capacidad de cifrado de nivel de sesin para conexiones LU6.2 nueva TCP / IP. Usted puede esperar ver ms mejoras AS/400 en las reas de computacin en red y la seguridad en el futuro, tales como las siguientes:

    Sockets seguros (conexiones TCP / IP cifrados) Funciones de cortafuegos estrechamente integrado Funciones de integridad de datos de red

    Al extender su empresa, ampliar su red, y aventurarse en el Internet, usted puede esperar que IBM y AS/.400 Serie Avanzada para ser justo detrs de ti con las funciones y servicios que usted necesita. Dnde obtener ms informacin y asistencia Muchos recursos estn disponibles si usted necesita ms informacin sobre la seguridad y la Internet, o si usted necesita ayuda. Ofertas de servicios A continuacin se presentan descripciones o varias ofertas que estn disponibles en IBM para ayudarle, ya sea con AS/400 de seguridad o con la conexin a Internet. Para obtener ms informacin, pngase en contacto con su representante de IBM. En los EE.UU., puede ponerse en contacto con su oficina de marketing exprs Servicios locales, o puede llamar al 1-800-IBM-4YOU. Revisin de seguridad para AS/400: Revisin de seguridad para AS/400 de IBM est disponible en los servicios de disponibilidad. La revisin incluye lo siguiente:

    El uso de herramientas de seguridad Un cuestionario al cliente Una entrevista para recabar informacin sobre las prcticas de seguridad.

    El resultado del examen es un informe que resume los potenciales riesgos de seguridad y hace recomendaciones preliminares para la accin correctiva.

    Planificacin de la seguridad, implementacin y servicios de consultora tambin estn disponibles en IBM Availability Services. SmoothStart de Web Server/400 de I / NET. ** Un especialista en servicios de IBM instalar, configurar y adaptar Server/400 Web del I / NET, para que su empresa tenga una presencia en la World Wide Web. En la realizacin de este servicio, usted tendr una pgina Web prototipo, Web Server/400 instalado y operacional, y AS/400 TCP / IP configurado y listo para conectarse a Internet oa su intranet interna. La planificacin de la conexin a Internet de AS/400: Esta oferta de servicio le proporciona la informacin y orientacin que necesita para determinar qu funciones de AS/400 para ofrecer a los usuarios de Internet. La sesin de planificacin abarcar las funciones de conexin a Internet para AS/400 (V3R2) y compararlo con Web Server/400 de I / Net. A la finalizacin de este servicio, usted ser capaz de evaluar la aplicabilidad de la conexin a Internet para AS/400 en el entorno. SmoothStart para la conexin a Internet para AS/400-Anonymous FTP V3R2: Con V3R2 de OS/400, ahora se puede utilizar annimo como un ID de usuario vlido para los usuarios de protocolo de transferencia de archivos (FTP). Con FTP annimo, puede ofrecer a los usuarios de Internet, Intranet o en su propio interior, el acceso a los archivos en el AS/400 y sin la necesidad de distribuir los identificadores de usuario y contraseas de los usuarios. El SmoothStart para la conexin a Internet para el servicio FTP AS/400Anonymous le proporcionar un especialista en servicios para ayudar a realizar las siguientes acciones:

    Planificar el uso de FTP annimo para su entorno Configurar una salida de usuario FTP que permitir a sus usuarios, tanto para obtener los archivos de una biblioteca de AS/400 y poner los archivos a una biblioteca especfica. En la realizacin de este servicio, el AS/400 se puede configurar tanto para permitir a los usuarios acceder a los archivos mediante FTP annimo y evitar que accedan a los archivos que se restringe. Usuarios de FTP tambin podrn cargar archivos a una biblioteca especfica.

    SmoothStart para la conexin a Internet para AS/400-POP Mail Server V3R2: V3R2 de OS/400 permite AS/400 ser un Post Office Protocol R3 (POP3) servidor de correo electrnico y mantener en los buzones de los usuarios que ejecutan un cliente POP3. Los usuarios pueden recoger su correo electrnico cada vez que estn listos. El SmoothStart para la conexin a Internet para AS/400-POP Mail Server ofrece V3R2 le proporciona un especialista en servicios para configurar los objetos necesarios para permitir que el AS/400 para ser un servidor de correo POP3 para los clientes que estn utilizando programas de correo como Eudora, Ultimail y otros clientes POP3 que se ejecutan en AIX, Windows, OS / 2 y Macintosh. ** A la finalizacin del servicio, el AS/400 se puede configurar como un servidor de correo POP3, con buzones de correo creados por diez clientes de correo electrnico que se utilizar para su correo. Adems, cinco usuarios de correo non-AS/400 se definirn en el AS/400 para que pueda enviar correo a ellos. Anlisis de Seguridad de Laboratorio: En el anlisis que ofrece el laboratorio de seguridad, consultores de IBM tratan de infiltrarse en las redes de los clientes. Ellos evalan la vulnerabilidad de la red y recomendar mejoras en la seguridad. Servicio de Respuesta a Emergencias: El servicio de respuesta de emergencia para las empresas comerciales, proporciona capacidades de gestin de incidentes de expertos rpidos durante y despus de una emergencia de seguridad electrnica. En el caso de un robo, el equipo de respuesta de emergencia ayuda a los clientes a detectar, aislar, contener y recuperarse de la infiltracin de la red sin autorizacin. Publicaciones relacionadas A continuacin se presentan las publicaciones que proporcionan ms informacin acerca de la seguridad de AS/400: AS/400 Wireless LAN Planificacin Manual de instalacin, G5710303, proporciona informacin sobre la planificacin y la instalacin de una red de amplio espectro. Adems de una visin general de la tecnologa de radio de espectro ensanchado, este libro tambin describe cmo prepararse para una inspeccin del lugar y asegurarse de que se cumplen los requisitos de la antena y el cableado de las reas a ser cubiertas.

    Backup y Recuperacin-Advanced, SC41-3305, proporciona informacin sobre la configuracin y la gestin de: diario, proteccin de vas de acceso, y el compromiso de control. Usuario agrupaciones de almacenamiento auxiliar (ASP), incluso los umbrales de almacenamiento de configuracin La proteccin de disco (por paridad de dispositivos, reflejado, y suma de comprobacin) Enfriar Ttulo Sobre el AS/400 e Internet, SG24-4815, puede ayudarle a acceder y usar el Internet (o su propia intranet) de su sistema AS/400. Le ayuda a entender cmo utilizar las funciones y caractersticas disponibles con V3R1 y V3R6 y nuevas funciones disponibles con conexin a Internet para AS/400 (V3R2). Este libro le ayuda a comenzar a usar rpidamente el correo electrnico, transferencia de archivos, emulacin de terminal, gopher, HTTP, y 5250 en Gateway HTML. DB2 para OS/400 datebase Programacin, SC41-3701, proporciona un anlisis detallado de la organizacin de base de datos AS/400, incluyendo informacin sobre cmo crear, describir y actualizar los archivos de base de datos en el sistema. Tambin describe cmo definir los archivos en el sistema utilizando datos OS/400 especificaciones de descripcin (DDS0 palabras clave. Una gua de implementacin para la Seguridad y Auditora de AS/400: Incluyendo C2, criptografa, comunicaciones y conectividad de PC, GC24-4200, proporciona sugerencias prcticas y ejemplos para muchas reas de AS/400 seguridad. Implementacin de la seguridad AS/400, por Wayne Madden. Loveland, Colorado: Duke Press, una divisin de Duke Comunicaciones International, 1995. Proporciona orientacin y sugerencias prcticas para la planificacin, creacin y gestin de seguridad de AS/400. OS/400 Conceptos Server y Administracin. SC41-3740, proporciona informacin para el administrador del sistema de trabajo con funciones de servidor AS/400. El libro incluye los conceptos de servidor, funciones severas, y la informacin del programa de salida. Publicaciones de referencia , SC41-3003, identifica y describe la informacin impresa y en lnea en la biblioteca del AS/400 y tambin enumera otras

    publicaciones sobre el sistema AS/400. Incluye informacin de referencia cruzada entre la biblioteca actual y la biblioteca de la versin anterior. Seguridad - Basic, SC41-3301, explica por qu es necesaria la seguridad, define los principales conceptos, y proporciona informacin sobre la planificacin, el establecimiento y seguimiento de la seguridad bsica en el sistema AS/400. Seguridad - Habilitacin para el C2 , SC41-3303, se describe cmo personalizar su sistema para satisfacer los requisitos de seguridad C2, como se describe en el Departamento de Defensa de los que puedes confiar Informtica Criterios de Evaluacin. Security - Reference , SC41-3302, proporciona informacin completa acerca de los valores de seguridad del sistema, perfiles de usuario, los recursos de seguridad y auditora de seguridad. Este manual no describe la seguridad de los programas especficos autorizados, lenguajes y utilidades. Configuracin y de referencia TCP / IP , SC41-3420, proporciona informacin para configurar y utilizar AS/400 TCP / IP. Las aplicaciones incluidas son de estado de red (NETSTAT), Packet Internet Grouper (PNG), TELNET, Protocolo de Transferencia de Archivos (FTP), Protocolo simple de transferencia de correo (SMTP), Post Office Protocol (POP) solicitante impresora de lneas (LPR), y la impresora de lneas demonio (LPD), Protocolo de transferencia de hipertexto (HTTP), y la estacin de trabajo Gateway (WSG). El Pascal interfaz de programa de aplicacin TCP y UDP (API) tambin se discute. TCP / IP del servidor de archivos de OS/400 Gua de instalacin y del usuario , SC41-0125, proporciona informacin introductoria, instrucciones de instalacin y los procedimientos de configuracin para el soporte que ofrece programa bajo licencia del servidor de archivos. Explica las funciones disponibles con el producto e incluye ejemplos y sugerencias para su uso con otros sistemas. Tip y herramientas para la seguridad AS/400 describe cmo utilizar las herramientas de seguridad (disponible antes de V3R2 como Security Toolkit para OS/400). Incluye muchos consejos de seguridad de AS/400, incluyendo las siguientes:

    Proteger interactivo de sesin El control APPC, TCP / IP y AS/400 Client Access Evitando que los usuarios curiosos de causar daos

    Evitando que los usuarios tortuosos de causar dao o robo de informacin

    V3R2 Nmero de pedido. . . SC41-3300 PRPQ Nmero de pedido. . . GC41-0615 Confiar Computer Systems Criterios de Evaluacin , DoD 5200.28.STD, describe los criterios para los niveles de confianza en los sistemas informticos. El TCSEC es una publicacin del gobierno de los Estados Unidos. Las copias se pueden obtener en: Oficina de Normas y productos de National Computer Security Center Fort Meade, Maryland 20755-6000 EE.UU. Atencin: Jefe de Estndares de Seguridad Informtica La Gua del Usuario de Internet completo y Catlogo de Ed Krol, O'Reilly & Associates, Inc., 1994, es una completa introduccin a la Internet. Se incluye una lista de recursos de informacin y un ndice de sitios tiles para visitar.

    Vous aimerez peut-être aussi