OS/390 Technical Conference. Copyright IBM Corporation, 1998, 1999 Page 1 MEXICO DOMINICAN REPUBLIC VIRGIN ISLANDS CUBA

Transcrição

1 S/390 Technical Conference MEXIC CUBA BELIZE JAMAICA GUATEMALA HNURAS EL SALVAR NICARAGUA MINICAN REPUBLIC VIRGIN ISLANS PUERT ANTIGUA AN BARBUA HAITI RIC GUAELUPE ST. KITTS MARTINIQUE ST VINCENT AN THE BARBAS GRENAINES GRENAA CSTA RICA PANAMA CLMBIA VENEZUELA GUYANA SURINAME FRENCH GUIANA ECUAR PERU BRAZIL CHILE BLIVIA ARGENTINA PARAGUAY URUGUAY Coyright IBM Cororation, 1998, 1999 Page 1

2 S/390 Technical Conference Firewalls Zonas esmilitarizadas (MZ) Protegendo o TCP/IP com RACF Serviços de etecção de Intrusão (IS) Protegendo o Unix System Services com RACF Cenário com zseries na Internet R Coyright IBM Cororation, 1998, 1999 Page 2

3 S/390 Technical Conference F I R E W A L L S R Coyright IBM Cororation, 1998, 1999 Page 3

4 CE S/390 Technical Conference Firewall Servidor de Web, FTP,... Internet Intranet ThinkPad R Coyright IBM Cororation, 1998, 1999 Page 4

5 S/390 Technical Conference R Filtro de Pacote IP Básico Inseciona camos nos headers IP e TCP Permite o acesso ou descarta acotes baseado no endereço IP, número da orta,tio de acote (TCP SYN,TCP ACK),direção,etc. Vantagem: Simles, baixo custo de oeração esvantagem: estático, não detecta certos tios de ataques Inseção de Pacote IP Mantém a informação baseado na origem e no destino Pode ermitir o acesso a certas ortas baseado em negociações anteriores Vantagem: Pode limitar o tráfego vindo de uma única origem, odendo detectar certos tios de ataque esvantagem: Requer um consumo maior de CPU e memória, roenso a novos tios de ataques, maior comlexidade Coyright IBM Cororation, 1998, 1999 Page 5

6 S/390 Technical Conference R cliente se conecta a um servidor roxy,, que irá reresentar o cliente erante o servidor real Requer um servidor roxy diferente ara cada rotocolo Proxy ara FTP, roxy ara telnet, roxy ara HTTP,... Vantagens servidor roxy conhece o rotocolo, odendo insecionar comandos e dados Autenticação de clientes em um servidor roxy é uma oção Alguns servidores roxy odem armazenar (cache( cache) ) dados acessados or diversos clientes esvantagens Alto consumo de CPU e memória Clientes devem conhecer e configurar o endereço do roxy Coyright IBM Cororation, 1998, 1999 Page 6

7 S/390 Technical Conference R cliente se conecta a um servidor SCKS,, o qual retransmite o acote ara o servidor real baseado em oções de configuração Um servidor SCKS atende a todos os rotocolos TCP Autenticação de cliente é uma oção com SCKS V5 Vantagens: consumo de CPU e memória menor que o de servidores roxy esvantagens: Retransmite acotes, não inseciona o conteúdo dos acotes endereço do servidor SCKS deve ser conhecido e configurado elos clientes s clientes devem suortar SCKS (devem ser socksified) Coyright IBM Cororation, 1998, 1999 Page 7

8 S/390 Technical Conference R Princiais funções: Filtro de acote IP básico IPSec Virtual Private Networking (VPN) com suorte a IKE GUI de configuração baseada em Java Administração com conexão cliente-servidor suortando SSL Recomendações: Utilize o filtro de acote IP básico ara roteger um sistema S/390 ou z/s das redes conectadas a ele. É uma função de baixo custo que ode rover segurança adicional contra roblemas inexerados na rede ou contra brechas no firewall externo Não utilize como firewall de roteamento Carente de funções nesta área Nenhum desenvolvimento esta revisto ara funções de firewall de roteamento Coyright IBM Cororation, 1998, 1999 Page 8

9 S/390 Technical Conference Zonas esmilitarizadas (MZ) R Coyright IBM Cororation, 1998, 1999 Page 9

10 S/390 Technical Conference R Geralmente vista como uma rede entre a Internet e a Intranet É comum firewalls seararem a MZ da Internet e da Intranet Contém servidores que necessitam ser acessados ela Internet Servidores HTTP, servidores FTP, servidores NS Servidores na MZ necessitam acessar os sistemas cororativos o contrário, não haveria necessidade de conectar a MZ a Intranet Existem várias configurações de MZ com comlexidade variável nível de confiança nos servidores na MZ influenciarão o desenho desta MZ Coyright IBM Cororation, 1998, 1999 Page 10

11 Thi nk Pa d Th in k Pad CE 75 5CE S/390 Technical Conference SSL MZ Internet Firewall Exterior IPSec Firewall Interior Intranet non-ssl R firewall exterior ermite o tráfego aenas até os servidores na MZ tráfego ode ser SSL ou non-ssl deendendo da criticidade dos dados ados odem ser trocados entre os servidores na MZ e os servidores cororativos na Intranet através do firewall interior firewall interior ermite somente tráfego da MZ tráfego ode ser rotegido or rotocolos de segurança quando necessário IPSec ode ser utilizado ara autenticar-se ao firewall interior ou ao sistema na Intranet Coyright IBM Cororation, 1998, 1999 Page 11

12 S/390 Technical Conference!"# $% Firewall Firewall Firewall B2 IMS CICS WEB Servers Alication Servers R Coyright IBM Cororation, 1998, 1999 Page 12

13 S/390 Technical Conference & Em muitos casos, marcas diferentes de firewalls são utilizadas Se um firewall falhar, o róximo irá (elo menos eseramos que) bloquear o ataque Em geral uma mudança de rotocolos (HTTP, RMI/IIP, ITC) ocorre em cada firewall Se um intruso encontra uma maneira de comrometer um rotocolo, isto deve ser arado no róximo firewall Em sistemas onde buffer overflows e outras vulnerabilidades ermitem a um intruso ganhar um usuário root ou administrador, o efeito de toda esta roteção é questionável. R Coyright IBM Cororation, 1998, 1999 Page 13

14 S/390 Technical Conference ' ( FW1 FW2 FW3 FW4 R Zone 0 User H T T P S Zone 1 Zone 2 Zone 3 Zone 4 IAM HTTP Server WAS H T T P S LAP P Webshere HTTP Server Servlet WAS Business bjects R M I I I P Webshere ata Access Beans Servlet WAS ata bjects M Q S Server Client FW4 Alternative MQS MQSI (Integrator) TMA IMS Adater MQ S CICS Bridge CICS Adater MQ S R/3 Link RFC-GW IM/3 RFC-GW Coyright IBM Cororation, 1998, 1999 Page 14 IM CIC SA R/

15 S/390 Technical Conference Protegendo TCP/IP com RACF (S/390 V2R10) R Coyright IBM Cororation, 1998, 1999 Page 15

16 S/390 Technical Conference ) * * Novo conceito de roteção ara o TCP/IP Baseado na autenticação de usuários RACF no S/390 Pode revenir o acesso não autorizado a Internet Pode revenir ataques internos do tio Cavalo de Tróia Firewall controla endereços IP e ortas Não ode revenir o uso de ilhas e ortas or usuários não autorizados Não ode ermitir facilmente o acesso a rede elos servidores enquanto restringe outros usuários R Coyright IBM Cororation, 1998, 1999 Page 16

17 S/390 Technical Conference +, USER1 TCPIPA PRCA USER=USER3 TCPIPB USER2 R SETRPTS CLASSACT(SERVAUTH) RACLIST (SERVAUTH) REFINE SERVAUTH (EZB.STACKACCESS.RA03.TCPIPA) UACC(NNE) REFINE SERVAUTH (EZB.STACKACCESS.RA03.TCPIPB) UACC(NNE) PERMIT EZB.STACKACCESS.RA03.TCPIPA ACCESS(REA) CLASS(SERVAUTH) I(USER1) PERMIT EZB.STACKACCESS.RA03.TCPIPA ACCESS(REA) CLASS(SERVAUTH) I(USER2) PERMIT EZB.STACKACCESS.RA03.TCPIPB ACCESS(REA) CLASS(SERVAUTH) I(USER3) SETRPTS CLASSACT(SERVAUTH) REFRESH RACLIST (SERVAUTH) Coyright IBM Cororation, 1998, 1999 Page 17

18 S/390 Technical Conference! Negar o acesso de certos usuários ou gruos a uma ilha TCP/IP ou ao TCP/IP como um todo Permite o controle de usuários de shell e jobs batch Garante que servidores não se conectem a ilha TCP/IP errada Cuidado: se o RACF negar o acesso de um servidor a uma ilha que ele esteja tentanto conectar, este servidor não será inicializado. Permite que um sistema se conecte seguramente a mais de uma rede TCP/IP Pode garantir que as olíticas de roteamente e firewall não foram contornadas R Coyright IBM Cororation, 1998, 1999 Page 18

19 Meeting in Progress Meeting in Progress Meeting in Progress Meeting in Progress Meeting in Progress S/390 Technical Conference +, R s acessos as ortas locais odem ser controlados or RACF São controlados or rofiles na classe SERVAUTH Ativado or definições na PRFILE.TCPIP Keyword SAF ativa o controle RACF na orta Keyword RESERVE torna a orta totalmente indisonível (RACF não é invocado) RACF TCP/IP FTP TN3270 telnetd SMTP Server1 Server Coyright IBM Cororation, 1998, 1999 Page 19

20 S/390 Technical Conference -./ 0 - PRFILE.TCPIP PRT 20 TCP MVS NAUTLG ; FTP Server 21 TCP FTPB1 ; FTP Server 23 TCP * SAF TNPRT ; Telnet Server 2023 TCP MVS ; telnetd 25 TCP * ; Available to any user 111 TCP RESERVE ; Unavailable to any user - RACF SETRPTS CLASSACT(SERVAUTH) REFRESH REFINE SERVAUTH (EZB.PRTACCESS.RA03.TCPIPB.TNPRT) UACC(NNE) PERMIT EZB.PRTACCESS.RA03.TCPIPB.TNPRT ACCESS(REA) CLASS(SERVAUTH) I(TCPIP2) SETRPTS CLASSACT(SERVAUTH) REFRESH R Coyright IBM Cororation, 1998, 1999 Page 20

21 S/390 Technical Conference! R Controlar o uso de ortas or usuários do sistema local Pode ajudar no cumrimento da olítica de seguraça Garante que serviços roibidos não rodem Mais seletivo que o controle de acesso a ilha TCP/IP Usuários odem ser autorizados a utilizar somente ortas esecíficas ou um range de ortas Serviços odem ser limitados aos usuários autorizados a acessá-los Pode manter longe usuários bisbilhoteiros Pode revenir a instalação de Cavalos de Tróia Exemlo: Um servidor FTP falso que coleta usuário/senha de clientes Coyright IBM Cororation, 1998, 1999 Page 21

22 S/390 Technical Conference * +, user1 RA / /24 A user WS RA /16 R user Coyright IBM Cororation, 1998, 1999 Page 22

23 S/390 Technical Conference -./ 0 * - PRFILE.TCPIP NETACCESS ; Network SAF /24 AM /32 WS /32 RA39 ENNETACCESS num_mask_bits - RACF SETRPTS CLASSACT(SERVAUTH) RACLIST(SERVAUTH) REFINE SERVAUTH (EZB.NETACCESS.RA03.TCPIPB.AM1) UACC(NNE) REFINE SERVAUTH (EZB.NETACCESS.RA03.TCPIPB.RA39) UACC(NNE) REFINE SERVAUTH (EZB.NETACCESS.RA03.TCPIPB.WS01) UACC(NNE) R PERMIT EZB.NETACCESS.RA03.TCPIPB.WS01 ACCESS(REA) CLASS(SERVAUTH) I(USER1) PERMIT EZB.NETACCESS.RA03.TCPIPB.WS01 ACCESS(REA) CLASS(SERVAUTH) I(USER3) PERMIT EZB.NETACCESS.RA03.TCPIPB.AM1 ACCESS(REA) CLASS(SERVAUTH) I(USER2) PERMIT EZB.NETACCESS.RA03.TCPIPB.RA39 ACCESS(REA) CLASS(SERVAUTH) I(USER2) SETRPTS RACLIST(SERVAUTH) REFRESH Coyright IBM Cororation, 1998, 1999 Page 23

24 S/390 Technical Conference! * R Permite que certas artes da rede sejam restritas a certos usuários Permite o controle de conexões de saída (outgoing( outgoing) SNA LU 6.2 controla somente conexões de entrada (incoming( incoming) eve ser usado com cuidado ara evitar um emaranhado de definições de controle Pode ser usado ara roteger conexões servidor-a-servidor Mas somente or um lado utras maneiras, como VPN, odem ser necessárias Pode ser usado ara searar a intranet em zonas Ajuda a limitar ataques de usuários internos Coyright IBM Cororation, 1998, 1999 Page 24

25 S/390 Technical Conference *./ 0 +, A IBM trabalha constantemente ara melhorar a robustez da ilha TCP/IP no S390 Geralmente, os releases mais recentes do S/390 devem estar instalados ara rodar servidores Internet Mantenha o nível de manutenção atualizado TCP/IP do S/390 é testado contra ataques do tio denial-of-service conhecidos Isto é uma tarefa constante Quando encontramos roblemas, eles são corrigidos A IBM não ublica uma lista dos ataques testados R Coyright IBM Cororation, 1998, 1999 Page 25

26 S/390 Technical Conference Serviços de etecção de Intrusão (IS) z/s V1R2 R Coyright IBM Cororation, 1998, 1999 Page 26

27 S/390 Technical Conference..1 1 PAgent Agente de Política TRM aemon de Gerência Reguladora de Tráfego SYSLG CNSLE trmdstat Política CS/390 Estatísticas e Eventos Eventos Eventos Sumarizados LAP Política ICTL Estruturas de ados IS Funções IS ctrace datasace external w IS robes Pilha TCP/IP SYSTCPIS Evento relacionado ao trace de acotes ou dum R Preview do z/s Versão 1 Release 2 Formato IPC Coyright IBM Cororation, 1998, 1999 Page 27

28 S/390 Technical Conference R s serviços de detecção de intrusão são controlados or olíticas ara identificar, alertar e documentar atividades suseitas As olíticas de segurança estão centralizadas no diretório LAP Integrado com a ilha TCP/IP Vantagens: É caaz de avaliar dados IPSec de entrada (inbound( inbound) eois de decifrados no sistema recetor etecta anomalias estatísticas em temo real sistema ossui valores limite e declaração de dados sendo analisados Políticas odem controlar os métodos de revenção no sistema sendo avaliado Limite de conexões, acotes descartados Coyright IBM Cororation, 1998, 1999 Page 28

29 S/390 Technical Conference s Serviços de etecção de Intrusão odem maniular as seguintes classes de eventos: etecção de scan etecção de ataques etecção de flood e revenção R Coyright IBM Cororation, 1998, 1999 Page 29

30 S/390 Technical Conference 3.1 Scan em ortas TCP Scan em ortas UP Scan em ICMP R que é SCAN? Maear os recursos da rede Estrutura de subnet,, endereços, máscaras Endereços em uso, tio de sistema, sistema oeracional Portas disoníveis, níveis de release Coyright IBM Cororation, 1998, 1999 Page 30

31 S/390 Technical Conference -.1 s Serviços de etecção de Intrusão definem um scanner como um sistema que acesse multilos recursos (ortas ou interfaces) durante um eríodo de temo. uas categorias de scans são suortadas: Fast scan - muitos recursos são raidamente acessados em um curto eríodo de temo (geralmente menos de 5 minutos e executado or rograma) Slow scan - diferentes recursos são acessados intermitentemente durante um eríodo de temo longo (várias horas). Este ode ser um scanner tentando evitar ser detectado. Limite (recursos) e intervalo (eríodo de temo) odem ser esecificados na olítica R Coyright IBM Cororation, 1998, 1999 Page 31

32 S/390 Technical Conference Verificação de um único acote de entrada (inbound( inbound) Verificação de acote mal formado Verificação de fragmento IP Verificação de rotocolo IP restrito Verificação de oção IP restrita Verificação de echo erétuo em UP Restrições de redirecionamento ICMP Restrições de outbound Proteção contra TCP Syn Flood R Coyright IBM Cororation, 1998, 1999 Page 32

33 S/390 Technical Conference Proósito: etecção de flood e revenção Limitar o número de conexões e address saces Total de conexões TCP e gerenciamento do ercentual or orta Limitando conexões isonível no S/390 V2R10 Gerenciamento de backlog UP or orta Pacotes discartados Limita o tamanho da fila de backlog or orta R Coyright IBM Cororation, 1998, 1999 Page 33

34 S/390 Technical Conference 3 '0./ *0 Log de Eventos Log de eventos suseitos na console e/ou syslogd Estatísticas Normal, exceção Gravado na syslogd Trace de acote aós um ataque ser detectado Para análise offline ocumentação ara ações legais Indeendente do trace de acote IP R Coyright IBM Cororation, 1998, 1999 Page 34

35 S/390 Technical Conference!..1 1 Usado ara monitorar conexões da rede TCP/IP ao sistema z/s Não deve ser utilizado ara monitorar conexões roteadas Não é efetivo quando o sistema z/s é usado como um firewall de roteamento S/390 Unix Web Server TCP/UP IP/ICMP Interfaces CGI GWAPI NS FTP CICS IMS MQM Firewall Technology R Internet Coyright IBM Cororation, 1998, 1999 Page 35

36 S/390 Technical Conference Protegendo o Unix System Services com RACF R Coyright IBM Cororation, 1998, 1999 Page 36

37 S/390 Technical Conference ',567!"# 8 UNIX environment integrated into S/390 Hybrid security mechanisms UNIX UIs and GIs used as well as file ermissions Users and Grous defined in RACF, not in etc/security/asswd Security services are erformed by RACF UNIX security strengthened by RACF functions SMF used for logging Control of Sueruser functionality Control of security context switching Alications can use UNIX and MVS functions R Coyright IBM Cororation, 1998, 1999 Page 37

38 S/390 Technical Conference *! - S/390 UNIX user identification RACF user rofile with MVS segment RACF grou rofile with MVS segment User authentication RACF assword S/390 UNIX logon TS r_login, telnet User rofile MVS UI HME PRGRAM R Coyright IBM Cororation, 1998, 1999 Page 38

39 S/390 Technical Conference ',567! 9 Files in Hierarchical File System are not rotected with RACF rofiles RACF classes for UNIX System Services resources exist, but are only used for global auditing otions File Security Packet (FSP) contains ermission bits FSP for each file exists in directory (as in other UNIX systems where FSP is in INE) Access to file is not sufficient; user also needs access to directories from root down When a file is created, FSP is created. UMASK determines ermission bits in new FSP R Coyright IBM Cororation, 1998, 1999 Page 39

40 S/390 Technical Conference 8 : File wner UI File wner grou GI S e t U I S e t G I S t i c k y File Mode File Permission Bits wner Grou ther r w x r w x r w x Auditing tions File wner RACF Auditor R chown chmod chaudit chaudit Coyright IBM Cororation, 1998, 1999 Page 40

41 S/390 Technical Conference ',567!! - All rograms needing daemon authority need to run in controlled environment REA access to BPX.AEMN in class FACILITY needed if service is called that changes UserId All modules in address saces must be loaded from MVS library (PSE or PS) defined in class PRGRAM, or be loaded from HFS executable file with extattr + defined R Coyright IBM Cororation, 1998, 1999 Page 41

42 S/390 Technical Conference 2 Web server address sace TCB Web server dæmon RACF rogram controlled library (execute-controlled library) R? (uncontrolled rogram) Coyright IBM Cororation, 1998, 1999 Page 42

43 S/390 Technical Conference 0 R In UNIX systems, sueruser can access any file and switch to any other user's identity In S/390 USS, sueruser can access any file, but: Sueruser cannot switch into other user's identity without knowing user's assword or SURRGAT authorization Functions such as setting extended attributes require access to FACILITY class rofile, not sueruser Users with access to BPX.SUPERUSER can switch into sueruser mode Administrators and system rogrammers do not use UI=0 unless needed Imroved accountability Suorted by SMP/E since S/390 V2R7 Coyright IBM Cororation, 1998, 1999 Page 43

44 S/390 Technical Conference 0; R Functions otherwise requiring Sueruser authority can be granted to normal users by ermitting them to rofiles in class UNIXPRIV SUPERUSER.FILESYS SUPERUSER.FILESYS.CHWN SUPERUSER.FILESYS.MUNT SUPERUSER.IPC.RMI SUPERUSER.FILESYS.PFSCTL SUPERUSER.PRCESS.GETPSENT SUPERUSER.PRCESS.KILL SUPERUSER.PRCESS.PTRACE SUPERUSER.SETPRIRITY SUPERUSER.FILESYS.VREGISTER CHWN.UNRESTRICTE Coyright IBM Cororation, 1998, 1999 Page 44

45 S/390 Technical Conference * - 0 R Increased security by RACF control instead of sueruser authority BPX.FILEATTR.* Less need for sueruser authority through RACF control Class UNIXPRIV Imroved accountability by switching into sueruser mode only when needed BPX.SUPERUSER Coyright IBM Cororation, 1998, 1999 Page 45

46 S/390 Technical Conference * -! 8 R BPX.AEMN ability to validate and assume RACF identities dæmon rograms can only change identity if authorized BPX.SERVER surrogate assignment for PSIX threads daemons can create threads with surrogate Is if authorized: UPATE: client needs access authority to MVS resources REA: client and server both need access authority Coyright IBM Cororation, 1998, 1999 Page 46

47 S/390 Technical Conference Cenário com zseries na Internet R Coyright IBM Cororation, 1998, 1999 Page 47

48 S/390 Technical Conference.1 $& * R Eu devo definir meus clientes externos no RACF? Princial onto de decisão: RACF será utilizado ara autorizar o acesso de usuários a alicações e recursos? Se não, então teremos ouco benefício em definirmos um grande número de usuários no RACF Conexão a gruos não é mais um roblema com z/s V1R2 A função de gruos universais ermite um número ilimitado de usuários conectados a um gruo A autenticação do RACF ode ser feita em qualquer lataforma usando LAP Um S/390 HTTP server na MZ ode comartilhar a base de dados RACF com sistemas de rodução Garanta que não exista usuários SPECIAL e PERATINS definidos com segmento MVS Não ermita funções tais como o MVSS lugin Coyright IBM Cororation, 1998, 1999 Page 48

49 S/390 Technical Conference *./ IPSec ode ser usado ara autenticar conexões Previne que servidores não autorizados se conectem ao servidor de rodução IPSec não autentica usuários ara alicações Coloque um firewall externo entre a Internet e o zseries Alguns firewalls roorcionam funções que não estão disoníveis no S/390 Firewall Technologies Contudo, é recomendado utilizar o S/390 Firewall Technologies como uma roteção adicional R Coyright IBM Cororation, 1998, 1999 Page 49

50 S/390 Technical Conference 2<0 LPAR Pública LPAR de Produção S/390 UNIX Web Server Common Gateway Interface Internet Connection Alication Prog. Interface CICS IMS SNA LU6.2 CICS IMS B2 Batch TS S/390 UNIX Web Server UNIX Services SCKS FTP Firewall Technologies Firewall Technologies TCP/IP TCP/IP Interfaces Interfaces CTC R Internet Sem Roteamento Autenticação IPSec Intranet Coyright IBM Cororation, 1998, 1999 Page 50

51 S/390 Technical Conference = 1 LPAR de Produçã Pad Think 755CE SSL LPAR Web Internet IPSec Firewall Exterior Firewall Interior Pad Think 755CE Intranet non-ssl MZ Firewall Externo R R E M E G R E SS P Coyright IBM Cororation, 1998, 1999 S/390 Firewall Tecnologies Page 51

52 S/390 Technical Conference (?????????? R Coyright IBM Cororation, 1998, 1999 Page 52