En los primeros días del AS/400 (ahora IBM i), la tarea de proteger el sistema solía ser tan simple como gestionar las autoridades de los usuarios y asegurar el acceso de los usuarios a través de los menús. Ciertamente, este ya no es el caso de los entornos IBM i actuales. Hoy en día estamos hablando de un sistema abierto para comunicarse con otros sistemas a través de redes internas y externas, accesible para socios y clientes. Por lo tanto, el trabajo de proteger el IBM i puede ser un gran desafío, particularmente por las amenazas que evolucionan constantemente y las nuevas regulaciones de cumplimiento que cada vez son más exigentes. Una forma efectiva de fortalecer la seguridad del IBM i es hacer uso de los exit point (o puntos de acceso) para controlar a los usuarios que ingresan al IBM i.
Los exit points del IBM i pueden invocar uno o más programas solicitados por el usuario, denominados “programas de salida”, durante una amplia variedad de operaciones relacionadas con el OS. Estos programas de salida pueden diseñarse para permitir o denegar el acceso a varias funciones del IBM i de formas muy específicas.
Por ejemplo, un protocolo de red como FTP tiene su propio punto de salida. Eso significa que se puede crear y “registrar” un programa de salida que permite o niega a usuarios específicos la capacidad de transferir un archivo a este punto de salida. El hecho de que la transferencia esté permitida o no, se puede basar en reglas definidas por el administrador, como la configuración del perfil de usuario, direcciones IP, permisos de objetos, ventanas de fecha y hora, y más. El programa de salida también puede registrar toda la actividad de FTP con fines de supervisión y auditoría.
El desafío de los programas de salida es que pueden llevar mucho tiempo crearlos, un dolor de cabeza de administrar y podrían tener un efecto adverso en el rendimiento del sistema si se diseñan incorrectamente. Es por eso que las soluciones de terceros están disponibles de varios proveedores, que agiliza significativamente el proceso. El uso de un proveedor externo garantiza que los programas de salida no solo se creen de manera que se minimice el impacto en el rendimiento, sino que estos programas críticos se mantengan actualizados a medida que surgen nuevos PTF y actualizaciones del sistema operativo. Además, las soluciones de terceros hacen posible que los departamentos de TI mantengan una separación crítica de tareas, requerida por varias regulaciones de cumplimiento, a fin de demostrar que el desarrollo del software utilizado para controlar las funciones de seguridad no fue realizado por la misma parte que es responsable de administrar el sistema y sus datos.
Hay cuatro áreas funcionales en IBM i en las que los exit points se pueden utilizar para controlar el acceso:
1. Redes: protocolos como FTP, ODBC, JDBC, DDM, DRDA, NetServer y otros hacen posible que los usuarios se conecten directamente a las bases de datos back-end en IBM i, lo cual es una gran conveniencia pero puede causar problemas reales si no se controla adecuadamente. La utilización del exit point asociado con cada protocolo de red permite controlar el acceso a la red de formas muy específicas.
2. Puertos de comunicación: hay algunos protocolos de red que no tienen sus propios exit points, incluido SSH, SFTP, SMTP y otros. Además, las empresas pueden querer controlar el acceso a las comunicaciones de una manera que la red u otros tipos de exit points no pueden. Por esta razón, IBM proporciona exit points de socket que hacen posible asegurar las conexiones a su IBM i mediante puertos específicos y / o direcciones IP.
3. Bases de datos: IBM proporciona un exit point llamado Open Database File que se puede utilizar para proteger datos confidenciales de cualquier tipo de acceso, incluso a través de protocolos open source como JSON, Node.js, Python, Ruby y otros que no tienen sus propios exit points. La capa adicional de seguridad que habilita este exit point es significativa porque se puede invocar cada vez que se abre un archivo específico en el sistema, ya sea un archivo físico, un archivo lógico, una tabla SQL o una vista SQL.
4. Comandos: cuando se trata de controlar el uso de comandos, los perfiles de usuario y la seguridad a nivel de objeto son limitados. Los exit points específicos de los comandos reemplazan la seguridad normal a nivel de objeto, lo que hace posible crear programas de salida que limitan el uso de comandos de manera muy granular, incluso para usuarios que poseen autoridades poderosas como * ALLOBJ o * SECADM.
Como puede ver, los exit points pueden proteger su sistema IBM i y sus datos de manera efectiva.
En Timware somos distribuidores y expertos técnicos en la solución Assure Security de Precisely. Esta solución cuenta con un módulo específico que se encarga de tener un control automatizado de los exit points del IBM i. Permitiendo a la administración tener control de forma sencilla y segura sobre los exit points de su IBM i, estableciendo poderosas reglas para permitir o denegar accesos y acciones particulares por los usuarios del sistema.