Gestione della Sicurezza IBM iSeries (AS/400)
BSAFE/400 GatewayBSAFE/400 Gateway
Valentino Nanni I/T Spec.iSeriesValentino Nanni I/T Spec.iSeries
ITS-ISMS
ObiettivoObiettivo
• Realizzare una soluzione che consenta di controllare, proteggere e analizzare gli accessi che avvengono attraverso la rete verso gli IBM iSeries (AS/400) e che tenga conto dei requisiti di sicurezza generali: Integrità Disponibilità Riservatezza
• Migliorare e semplificare il lavoro dell’amministratore della sicurezza
• Aumentare l’affidabilità dell’IBM iSeries (AS/400) in termini di sicurezza
ITS-ISMS
Processi di Business
IT
Distanza tra l'IT e il businessModelli tradizionali di businessIl cliente interagisce con l'organizzazione
Convergenza di IT e business Business fra imprese (B2B/B2C) Aumento della globalizzazione Modelli e-business Il cliente interagisce con l'IT
CLIENTE I.T.
Processi di Business
Aumenta il rischio
Aumenta il bisognoDi un’ infrastruttura
Sicura.Sempre disponibile,ad alte prestazioni,
Scalabile.
CLIENTE ORGANIZZAZIONEI.T.
Modello TradizionaleModello Tradizionale Nuovo modelloNuovo modello
ORGANIZZAZIONE
IT
ITS-ISMS
ODBC
FTP
RCMD
HTTP
IBM iSeries (AS/400)
OS/400
SEC
5250Terminal
TerminalEmulator
Sicurezza Nativa iSeries (AS/400)Sicurezza Nativa iSeries (AS/400)
ITS-ISMS
Porte TCP/IP
ATTIVE
IBM iSeries (AS/400)
OS/400
SEC
Sicurezza Nativa iSeries (AS/400)Sicurezza Nativa iSeries (AS/400)
MENUINIZIALEMENU
Opz. 1Opz. 2Opz. 3
LIBRERIE Gestionali
LIBRERIE Gestionali
LIBRERIE CONTABILI
LIBRERIE CONTABILI
Programmi di servizioProgrammi di servizio
LIBRERIE DATI
Emulazione 5250
LIBRERIE CONTABILI
LIBRERIE CONTABILI
IFSDir ADir BHomeQDLS
QSYS.LIBQIBM
QOpenSysEcc.
IFSDir ADir BHomeQDLS
QSYS.LIBQIBM
QOpenSysEcc.
LIBRERIA DATI
LIBRERIA DATI
NecessariaSicurezza Oggetto
PUBLIC *EXCLUDE
Librerie Shared Librerie Shared Come DIR su PCCome DIR su PC
ITS-ISMS
BSAFE/400e GatewayBSAFE/400e Gateway
• BSAFE/400e Gateway is an enterprise solution for network Security
access control and Monitoring of AS/400 global security.
• It is the most practical solution for simplifying the tedious task of
handling AS/400 network security access control. Bsafe/400e was
especially designed and developed as an efficient program for
controlling and monitoring AS/400 global security access control
• Full user-friendly administration tool using efficient C/S technology.
GUI operates on PC Client. Product database is fully maintained in
a single environment: AS/400 DB2 DataBase Server
ITS-ISMS
ODBC
FTP
RCMD
HTTPIBM iSeries (AS/400)
OS/400
SEC
5250Terminal
TerminalEmulator
BSAFE/400
Sicurezza iSeries con BSAFE/400Sicurezza iSeries con BSAFE/400
PREVENZIONE e CONTROLLO
Della Sicurezza
EXIT PROGRAMS EXIT PROGRAMS
sulle porte sulle porte
TCP/IP ATTIVETCP/IP ATTIVE
EXIT PROGRAMS EXIT PROGRAMS
sulle porte sulle porte
TCP/IP ATTIVETCP/IP ATTIVE
ITS-ISMS
Quali sono le principali problematiche
che BSAFE/400e indirizza ?
ITS-ISMS
Primo ScenarioPrimo ScenarioUn utente definito in OS/400 non autorizzato all’uso della linea dei comandi, da un PC potrebbe comunque procurare dei danni attraverso l’uso di FTP
BSAFE/400e risolve il problema analizzando il tipo di richiesta e filtrando l’uso di FTP in base alle politiche di sicurezza impostate
ITS-ISMS
Secondo ScenarioSecondo ScenarioUn utente a cui è stato assegnato “use only”, potrebbe ciò nonostante aggiornare Files e librerie da un PC senza limitazioni utilizzando servizi come TFTP, FTP, etc)
BSAFE/400e indirizza questo problema analizzando la richiesta e limitando la possibilità di aggiornare i dati solo a chi ha tale privilegio
ITS-ISMS
Terzo ScenarioTerzo Scenario
In generale in TCP/IP le tracce che rimangono nei log si riferiscono ai Server e non agli utenti. Quindi se qualcuno cancella dei dati, di questo non rimane traccia
BSAFE /400e risolve questo problema analizzando tutti i messaggi che fluiscono da e verso l’AS/400 registrandoli in un log unico, includendo informazioni dettagliate a livello di utente e dell’azione compiuta.
ITS-ISMS
Quarto ScenarioQuarto Scenario
Il monitor del traffico da e verso AS/400 è una funzione assente nel sistema operativo OS/400. In questo modo non si ha la percezione di capire chi è attivo ed è capace di prendere il controllo della comunicazione verso l’AS/400
ITS-ISMS
Quarto ScenarioQuarto Scenario
BSAFE/400e attraverso la componente BSAFE/400e Analyzer è in grado di analizzare tutto il traffico di rete, controllare eventuali azioni non corrette e allo stesso tempo di fare statistiche riguardanti gli accessi avvenuti, di uno specifico utente o indirizzo IP
ITS-ISMS
Benefici di BSAFE/400eBenefici di BSAFE/400e
• Svolge funzioni di Internal Firewall Server che assicura l’IBM iSeries (AS/400) per le comunicazioni TCP/IP e SNA
• E’ dotato di un’interfaccia grafica che facilita le normali e quotidiane operazioni dell’amministratore di sicurezza, eliminando potenziali errori dettati dalla manuale routine operativa
• Facilità di controllo e gestione delle Politiche di sicurezza da un singolo punto di controllo
• Si integra con la sicurezza nativa del sistema operativo dell’ IBM iSeries (AS/400)
ITS-ISMS
Benefici (cont.)Benefici (cont.)
• Installazione non invasiva
• Utilizzo tecnologia Client/Server con supporto SSL
• Supporto Internet users e Validations List
• Gestione IFS
• Supporto addizionale alla gestione della sicurezza per gruppo di oggetti
• Supporto DRDA
• Possibilità di limitare l’accesso al sistema a livello di “day in week” e “hour in day”
ITS-ISMS
Benefici Bsafe/400e AnalyzerBenefici Bsafe/400e Analyzer
• Interfaccia Grafica per analizzare i log relativi alle attività da e verso l’IBM iSeries (AS/400) eseguite in TCP/IP e SNA
• Possibilità di Visualizzazione grafica degli eventi per Data, per Profilo Utente, per Applicazione, per indirizzo IP, per eventi eseguiti con successo, rifiutati, o warning
• Creazione in tempo reale di un record di log, per ogni accesso avvenuto verso una risorsa controllata da BSAFE/400e
• Query Dinamiche predefinite
ITS-ISMS
Requisiti del ProdottoRequisiti del Prodotto
Componente Server• OS/400 Release 4.1, or higher• TCP/IP communication• Active HTTP server• A user with SECOFR authority
Componente Client • PC workstation.• WINDOWS 95/98/2000 or NT/4• Minimum 32 MB RAM (64 MB recommended)• TCP/IP communication to the AS/400
ITS-ISMS
A chi è rivolto il servizioA chi è rivolto il servizio
• A tutti i clienti con un IBM iSeries (AS/400) collegato in rete e che utilizzano servizi TCP/IP come FTP, Telnet, etc..
• A tutti i clienti che richiedono la registrazione delle attività che avvengono su IBM iSeries (AS/400), come delete, create,…
• A tutti i clienti che vogliono gestire la sicurezza IBM iSeries (AS/400) in modo centralizzato