Una breve historia de la seguridad en IBM i. En los primeros años del AS/400, la comunicación hacia y desde el sistema era limitada, lo que hacía que la implementación de la seguridad fuera relativamente sencilla. El enfoque consistía principalmente en gestionar las autoridades de usuario, asegurando el acceso a través de menús y aplicaciones, y en algunos casos, se implementaba una seguridad rudimentaria a nivel de objeto, lo cual, en muchas ocasiones, era suficiente.
Sin embargo, en la década de 1990, con la llegada de Internet y la creciente necesidad de proporcionar comunicación entre los sistemas y los socios comerciales, IBM abrió el sistema al protocolo TCP/IP. Con el tiempo, surgieron diversas formas de acceder al sistema, y el trabajo de asegurar la plataforma se volvió cada vez más complejo.
El aumento de sistemas más abiertos condujo a un incremento en las infracciones de seguridad. Como resultado, hubo una avalancha de cumplimiento de cumplimiento que ampliaron aún más las formas, y por ende las complejidades, en que las organizaciones necesitan asegurar sus sistemas y proteger los datos confidenciales.
Anteriormente, habíamos publicado una guía breve en la que hablábamos de las estrategias de seguridad por medio de exit points, en las que tocábamos estos temas de manera general. A continuación, se presenta la misma base pero con mayor profundidad:
Hoy en día, la gestión de la seguridad en IBM i puede ser complicada, y requiere el uso de tecnologías dinámicas y procesos que pueden responder rápidamente a la constante evolución de las amenazas y las nuevas regulaciones.
Existen diversos enfoques y tecnologías que se pueden utilizar para mantener segura la plataforma IBM i. En este documento, exploraremos cómo los numerosos puntos de salidas proporcionadas por el sistema operativo IBM i pueden utilizarse como un medio poderoso para monitorear y asegurar cuatro niveles importantes de acceso dentro de IBM i:
Potentes herramientas para el control de acceso.
En 1994, con la versión V3R1 del sistema operativo AS/400, IBM introdujo los puntos de salida, brindando a administradores y desarrolladores “ganchos” que podían utilizar para invocar uno o más programas escritos por el usuario, llamados programas de salida, durante una amplia variedad de operaciones relacionadas con el sistema operativo. Por ejemplo, la mayoría de los tipos de comunicaciones de red tienen su propio punto de salida.
Esto permitía crear programas de salida y “registrar” dichos puntos para un protocolo de acceso a la red en particular. Por ejemplo, se podía escribir un programa de punto de salida que no solo monitoreara y mantuviera registros de toda la actividad de FTP, sino que también permitiera o denegara a los usuarios la capacidad de transferir archivos basándose en múltiples parámetros, como la configuración del perfil de usuario, direcciones IP, permisos de objetos, ventanas de hora/fecha, etc.
Gracias a que se puede pasar una gran variedad de información al programa de salida, y que estos programas pueden diseñarse con lógica muy granular basada en reglas, es posible permitir o denegar un tipo específico de actividad en circunstancias muy específicas de este tipo de control.
Los protocolos de red como FTP, ODBC, JDBC, DDM, DRDA, NetServer y otros permiten que los usuarios se conecten directamente a las bases de datos back-end en IBM i. Esto ofrece una gran conveniencia para aquellos usuarios que necesitan utilizar datos en hojas de cálculo, aplicaciones de inteligencia de negocios y entornos de desarrollo. Sin embargo, surge un problema significativo, ya que, si estos protocolos no son adecuadamente controlados, pueden abrir los sistemas a posibles falsos informáticos o, lo que es más común, a usuarios internos que, de manera intencionada o accidental, podrían causar problemas.
Por ejemplo, un usuario puede tener autorización “uso o cambio” para acceder a un archivo sensible a través de la aplicación empresarial, y dicha aplicación podría tener controles estrictos sobre lo que el usuario puede ver o hacer con esa información sensible dentro de la propia aplicación. No obstante, si el mismo usuario accede a la base de datos de la aplicación mediante FTP, podría descargar una copia de ese archivo sensible. En el caso de ODBC, el usuario podría modificar o eliminar datos en el archivo. Además, si no se controla el acceso a la red, es posible ejecutar comandos de forma remota, como RCMD, REXEC y RMTCMD, a través de funciones como FTP, ODBC y RMTCMD, respectivamente. También existe el riesgo de que sentencias SQL se ejecuten de manera remota a través de ODBC, JDBC y DRDA si el acceso no está adecuadamente bloqueado.
Los programas de salida (exit programs) como solución:
IBM proporciona una amplia gama de puntos de salida que cubren la mayoría de los protocolos de acceso a la red. Esto significa que los programas de salida pueden ser creados y asignados a estos puntos de salida para no solo monitorear y registrar la actividad, sino, lo que es más importante, controlar el acceso mediante una variedad de criterios. Cuando el acceso se controla a través de programas de salida en la red, solo las operaciones específicas definidas por el programa de salida pueden llevarse a cabo.
Cabe mencionar que IBM i OS ofrece otra forma de proteger ciertos aspectos del acceso a la red además de los puntos de salida. La “Administración de aplicaciones”, parte de Operations Navigator (o su versión de pantalla verde llamada “Trabajar con uso de funciones”), proporciona una solución parcial que permite controlar qué usuarios pueden acceder a funciones de red particulares; sin embargo, esta opción no ofrece ningún registro ni la capacidad de definir reglas granulares de la misma manera que los programas de salida.
Con esta combinación de herramientas, las empresas pueden adoptar un enfoque más completo y efectivo para garantizar un acceso seguro a la red en entornos IBM i.
Existen algunos protocolos de red que carecen de puntos de salida específicos y, por lo tanto, no pueden protegerse de la misma manera que aquellos con puntos de salida definidos. Estos protocolos incluyen SSH, SFTP, SMTP y otros. Además, en ocasiones, las organizaciones necesitan controlar el acceso a la comunicación de una manera que otros tipos de puntos de salida no permiten, ya que no es posible especificar un número de puerto en ellos. Por ejemplo, puede ser crucial para una conexión de red específica utilizar solo uno o más puertos seguros.
La solución a través de programas de salida:
IBM proporciona puntos de salida de socket que permiten desarrollar programas de salida para proteger las conexiones a IBM i mediante puertos y/o direcciones IP. Esto ayuda a cubrir parte de la brecha causada por la falta de puntos de salida específicos para protocolos como SSH, SFTP, SMTP y otros. Sin embargo, es importante destacar que existen algunas limitaciones en cuanto a cómo pueden funcionar los programas de salida de socket.
Por ejemplo, el programa de salida de socket que controla las comunicaciones de entrada está limitado en el sentido de que solo puede definirse para permitir o prohibir la comunicación en puertos y/o direcciones IP específicas, y puede proporcionar algunos otros parámetros, como el día y la hora. Por otro lado, el programa de salida de socket que controla las comunicaciones salientes se puede definir con reglas que abarquen varios parámetros de usuario, además de puertos y direcciones IP.
A pesar de las limitaciones, los puntos de salida de socket pueden brindar un nivel necesario de protección, especialmente cuando se combinan con otros métodos de control de acceso a través de puntos de salida que se describen en este documento técnico.
La seguridad a nivel de objeto proporciona cierta protección para el acceso a datos sensibles, pero puede resultar insuficiente en muchas situaciones. Existen escenarios en los que se requiere un enfoque más detallado para determinar si se permite o deniega el acceso a los datos. Un área de vulnerabilidad particular es el uso cada vez mayor de protocolos de código abierto, como JSON, Node.js, Python, Ruby y otros, para acceder a datos en el IBM i. Estos protocolos ofrecen soluciones innovadoras para integrar el IBM i con otros procesos de TI, pero carecen de puntos de salida propios y, por lo tanto, no pueden protegerse de la misma manera que los protocolos de red. Si no se asegura adecuadamente el acceso a la base de datos, pueden ocurrir problemas, desde usuarios que accidentalmente corrompen los datos hasta casos más graves, como fraudes o robo de datos sensibles, tanto por parte de empleados internos como de actores externos.
Los programas de salida como solución:
Un punto de salida particularmente poderoso es el denominado “Base de Datos Abierta File,” que permite desarrollar programas de salida para proteger datos sensibles de cualquier tipo de acceso. Esta capa adicional de seguridad es significativa debido a su capacidad para invocar un programa de salida cada vez que se abre un archivo especificado en el sistema, ya sea un archivo físico, un archivo lógico, una tabla SQL o una vista SQL. Al igual que con otros puntos de salida, el programa de salida se puede definir para auditar toda la actividad, como el usuario, el método de acceso, la fecha/hora y la operación (lectura, actualización, agregación o eliminación). Además, el programa de salida puede contener un conjunto de reglas granular que controlan bajo qué condiciones el archivo puede ser accedido y por quién.
Con la implementación de programas de salida en el punto de salida de la Base de Datos Abierta File, se logra un nivel más profundo y eficiente de protección para los datos sensibles, asegurando que solo aquellos usuarios autorizados tengan acceso a la información y manteniendo un registro detallado de todas las actividades relacionadas con la base de datos.
El uso incorrecto de comandos por parte de los usuarios, ya sea de forma accidental o deliberada, puede ocasionar daños significativos, desde la eliminación de archivos hasta la restauración de bibliotecas, la finalización de procesos o incluso acciones más perjudiciales.
Si bien es cierto que el acceso a los comandos puede controlarse hasta cierto punto mediante perfiles de usuario y seguridad a nivel de objeto, a menudo las organizaciones requieren un enfoque más refinado para permitir o denegar ciertos comandos, especialmente para usuarios con perfiles de alta autoridad.
Los programas de salida como solución:
IBM proporciona puntos de salida que abarcan el uso de comandos, lo que permite desarrollar programas de salida para permitir o prohibir el acceso a cualquier comando en circunstancias muy específicas. Estos programas de salida pueden aplicarse tanto a usuarios que ejecutan comandos directamente en el IBM i a través de la línea de comandos, como a aquellos que acceden a través de la red u otros medios.
Los programas de salida de comando reemplazan la seguridad normal a nivel de objeto y agregan una capa adicional de seguridad muy útil que puede controlar el uso de comandos, incluso para usuarios con autoridades potentes como *ALLOBJ o *SECADM. Al igual que con otros tipos de puntos de salida, los programas de salida de comando se pueden definir de tal manera que cada comando tenga sus propias reglas específicas de uso, mientras proporcionan un registro detallado de cualquier actividad.
Con la implementación de programas de salida en el punto de salida de comandos, las organizaciones pueden asegurar un control más preciso y seguro sobre el uso de comandos en su entorno IBM i, protegiéndose así de posibles daños causados por el uso indebido de comandos por parte de los usuarios.
Ahora que se comprende cómo los puntos de salida y los programas de salida pueden controlar el acceso de manera poderosa, el siguiente paso es comenzar a crear programas de salida propios. Sin embargo, como se mencionó al inicio de este artículo, muchas empresas enfrentan desafíos al desarrollar y administrar sus propios programas de salida. Existen varias razones para esto:
Afortunadamente, existen soluciones de terceros que facilitan la creación, implementación y gestión de programas de salida, incluso si no se tiene experiencia en programación. Estas soluciones bien diseñadas ofrecen múltiples ventajas, como:
Con estas soluciones de terceros, los departamentos de TI pueden aprovechar las ventajas de los programas de salida sin la complejidad y el tiempo asociados con el desarrollo y mantenimiento de sus propias soluciones. Esto permite implementar una seguridad más robusta y adaptada a las necesidades cambiantes de su entorno IBM i.
Soluciones como Assure System Access Manager son una excelente alternativa para gestionar los programas de salida y tener perfectamente administrada y monitoreada nuestra estrategia de control de accesos.
En TIMWare contamos con un equipo profesional con amplios conocimientos en temas de seguridad en IBM i. Recuerda que siempre puedes contactarnos en caso de que necesites ayuda en tus proyectos de seguridad en el IBM i – AS400 como:
