Auditoría de IBM Power Systems (AS/400). Parte 1. Introducción

Buenas,

Comienzo aquí una serie de algunas entradas sobre auditoría de seguridad en entornos AS/400. Me váis a permitir que emplee la nomenclatura de AS/400, incorrecta por obsolescencia, pero es la que todo el mundo comprende. Realmente, AS/400 ya no existe como tal, puesto que esta nomenclatura dejó de usarse para pasar a utilizar eServer iSeries, IBM System i, y por último, IBM Power Systems.

En cuanto al sistema operativo, más de lo mismo. Lo que en su día era OS/400 se pasó a llamar i5/OS, y hoy en día se llama IBM i. Para facilitar la comprensión de este batiburrillo de nomenclaturas he confeccionado esta tabla, que recoge para cada producto el año de introducción. No he podido confirmar al 100% el año de introducción de la nomenclatura i5/OS, motivo por el cual aparece asteriscado:

evolucion nomenclaturas as400

as400
Algunos IBM System i (AS/400)

A pesar de que las nomenclaturas han sido cambiantes a lo largo del tiempo, en la jerga lo usual es que se hable de auditoría de un AS/400, aunque nos refiramos a la auditoría de seguridad del sistema operativo que corre en ese AS/400, siendo comunes otras acepciones coloquiales, como Análisis de la Seguridad de un 400 y expresiones similares. En adelante, y espero que nadie se ofenda, yo emplearé la nomenclatura a la antigua usanza :)

Hechas estas matizaciones, introducimos un poco qué es un 400, para qué se utiliza y cuál será el ámbito de estudio al que circunscribiremos estos artículos.

El AS/400 (IBM Power Systems)

Para introducir un poco este tipo de máquina, podemos decir que un AS/400 es una máquina intermedia que cubre el hueco existente entre un mainframe (también conocido como host) y los pequeños servidores que normalmente operan en clúster atendiendo servicios distribuídos. En la literatura es habitual hablar de estas máquinas intermedias como máquinas mid-range, y son frecuentemente utilizadas para procesado de transacciones, con lo que es usual ver máquinas AS/400 al cargo de la transaccionalidad de empresas de seguros, entidades financieras, sistemas gubernamentales, etc., siempre con el permiso de los hermanos mayores del AS/400: los mainframes.

Teniendo en cuenta que la brecha entre los mainframes y las máquinas mid-range se ha reducido drásticamente en los últimos años, a pesar de seguir existiendo, los 400 gozan de una gran ventaja, que deriva de su menor capacidad: costes menores de adquisición y mantenimiento, lo que los hace ideales cuando la transaccionalidad es fuerte en ambientes donde no se requiere una computadora central.

Modo normal de funcionamiento

Los AS/400 están pensados para funcionar de muchas maneras, siendo el modo más frecuente la existencia de un hardware común compartido que da servicio a un número determinado de distintos LPAR o particiones lógicas. En el caso de máquinas IBM, los LPARes pueden funcionar con distintos sistemas operativos: z/OS, z/VM, z/VSE, z/TPF, AIX, Linux e IBM i y cada LPAR puede cubrir distintos objetivos (desarrollo, QA, producción). En el caso de AS/400, lo normal es que funcionen con IBM i (recordad: lo que en su día era OS/400), aunque no necesariamente tiene por qué ser así.

Seguridad en IBM i

Hoy en día no es descabellado catalogar a IBM i como uno de los sistemas operativos más seguros de la industria, debido, entre otras cosas, a que:

  • Es un sistema que requiere un conocimiento muy específico para ser administrado y operado, y por tanto, también para ser atacado.
  • Es un sistema en el que la seguridad ha ido de la mano de su desarrollo desde prácticamente sus orígenes, otorgándole una más que merecida relevancia.
  • Aunque es un sistema que atiende entornos complejos, no deja de ser un sistema concebido desde la simplicidad. Y la simplicidad es siempre un aliado de la seguridad.
  • El sistema operativo tiene una comunión perfecta con las características de seguridad que puede ofrecer el hardware (por ejemplo, el cifrado de datos) y la integración con otras plataformas.
  • Aunque no tiene necesariamente que ser así, es frecuente que los 400 estén en el back de una instalación. Esto implica que la relación con el exterior y sus ataques es muy limitada y está fuertemente controlada, conviertiendo a los ataques internos en principales candidatos.

La seguridad en IBM i se basa en el concepto del diseño basado en objetos. Esto abre la veda para poder implementar la seguridad en diversas capas, como por ejemplo, la utilización de perfiles de usuario, permisos de los objetos, firma de los objetos y verificaciones de integridad de los mismos.

Los objetos se empaquetan en contenedores que agrupan objetos consistentes entre sí, así como con el contenedor. Los objetos están siempre encapsulados en estos contenedores, lo que tiene una implicación vital para la seguridad. Un objeto nunca puede ser usado si el uso requiere que se pierda consistencia con el tipo de objeto y su contenedor.

Esto hace fácil articular que los datos no sean tratados como código ejecutable y viceversa, lo que hace muy complicado, en un ambiente de administración adecuado, que los objetos puedan ser usados de modo incorrecto. Este modo de confinamiento tiene como principal ventaja no cohibir la flexibilidad del sistema, pero tiene como principal inconveniente la necesidad de una puesta en marcha y una administración de seguridad exigente que entraña complejidad.

En síntesis, la seguridad estará principalmente basada en relaciones entre usuarios y recursos:

  • Desde la óptica de los usuarios, en sentido creciente, los perfiles de usuario, las descripciones de tareas, los perfiles de grupo y los valores de sistema
  • Desde la óptica de los recursos, también en sentido creciente, los objetos individuales, las librerías y directorios, las listas de autorización y los valores del sistema.

Material de estudio y libro de referencia

Todo, o prácticamente todo lo que comentemos estará alineado con los manuales del fabricante. Son completos y suficientes, y ellos son los que mejor conocen su producto. Es por tanto que para sacarle el mayor provecho a estos artículos, una lectura y comprensión de este material es aconsejable.

Para no inundaros con una lista extensa de PDFs, creo que lo mejor que podemos hacer es basarnos en el propio manual del fabricante. La última edición que he podido encontrar es Security Guide for IBM i V6.1, que data de finales de mayo de 2009. Os recomiendo tenerlo a mano, ya que en él podréis encontrar información extensa sobre lo que veremos en esta serie de artículos.

En la próxima entrega hablaremos del análisis de los valores del sistema (WRKSYSVAL), donde prestaremos atención a los valores generales relacionados con la seguridad.

Un saludo,

Yes I can

Hola,

Como algunos ya sabíais, me complace enormemente anunciaros que el próximo 1 de agosto comenzaré una nueva etapa profesional en Canon Europe N.V.

Aunque este asunto estaba ya resuelto desde prácticamente comienzos de junio, he estado dedicando el tiempo libre a descansar (vacaciones anticipadas en las que me encuentro plenamente inmerso, para empezar con las pilas cargadas) y en ultimar los detalles que son necesarios para dar este paso, motivo por el cual mi actividad en el blog no ha sido la más prolífica últimamente.

Canon es un grupo enorme, con más de 25,000 empleados distribuidos a lo largo y ancho del planeta, y tiene su sede corporativa en Tokyo, Japón. Yo creo que todos en alguna ocasión hemos oído hablar de esta compañía, o incluso tenemos en casa alguno de sus productos de ofimática y fotografía. No obstante, el grupo tiene otros productos y servicios menos conocidos para el público en general, como por ejemplo, los industriales. La gama es tremendamente amplia.

Dentro del grupo, voy a tener el privilegio de trabajar en Canon Europe N.V, una unidad que cuenta con 11,000 empleados en 110 países de Europa, Oriente Próximo y África. Físicamente, estaré ubicado en Holanda, concretamente, en Amstelveen, muy cerquita de Amsterdam. ¿Y qué voy a hacer allí? Pues volver a mi medio natural, la seguridad, tras esta última etapa más enfocada a la auditoría de sistemas. Trabajaré en una unidad de negocio dedicada a la información, comunicaciones y tecnología, en cuyo seno está el grupo de seguridad informática al cual perteneceré.

Algunas de las cosas que me han hecho escoger esta opción entre las posibles, y no necesariamente en este orden, son:

  • El deseo de vivir y trabajar en el extranjero que llevo guardando dentro desde hace ya algunos años, y que por distintas razones no he podido materializar hasta ahora. Los que me conocen saben bien que la experiencia internacional era una de mis grandes asignaturas pendientes.
  • Darle utilidad y mejorar todo lo posible mis conocimientos de inglés, usándolo como herramienta de trabajo y comunicación diaria. El japonés y el holandés me los apunto en el to-do :)
  • La enorme calidad de vida que tiene Holanda, un país moderno, multicultural y donde hay sitio para quien busca oportunidades de mejora, que además dispone de un auténtico hub de comunicaciones internacionales de primer nivel en Schiphol a apenas unos pocos kilómetros, y que me permitirá cualquier país con extrema comodidad.
  • Mejorar y ampliar mi experiencia en la seguridad informática en el sector industrial y de servicios, volcándome de pleno en este segmento. Creo que era importante completar mi formación en este campo, tras algunos años dedicado al sector financiero, para poder así ofrecer los mejores conocimientos y un perfil más transversal a mi nuevo empleador. Esta era otra de mis asignaturas pendientes.
  • Formar parte de una compañía diferenciada de origen foráneo, donde es más que notoria la filosofía nipona que la impregna, lo que se traduce en estilos de gestión, de organización y de trabajo de francamente atractivos para los integrantes. Se llama kyosei, y estoy seguro que hará mejorar mi experiencia personal y profesional.
  • Tener al alcance de la mano universidades prestigiosas y con solera como la Universiteit van Amsterdam y la Vrije Universiteit para resolver mi tercera asignatura pendiente: realizar un postgrado útil y práctico. Lo de ir en bici al campus con los apuntes metidos en una cesta hortera también tiene su miga (uno que iba a estudiar en un autobús repleto de gente nerviosa, y luego caminando un buen rato bajo un sol de justicia)
  • La buena música retro. The Urban Sound of Amsterdam, Black Hole Recordings, Ferry Corsten, Armin Van Buuren, Sander Kleinenberg
  • Y por supuesto, las excelentes condiciones que me ha ofrecido la compañía, que ha cuidado hasta el último detalle mi proceso de expatriación, facilitando lo indecible que finalmente haya tomado esta decisión.

Atrás quedan experiencias, vivencias, aprendizaje y amigos. Os deseo lo mejor, especialmente en estos tiempos que nos ha tocado vivir a todos, y donde la situación que se avecina es cuando menos incierta y compleja, a tenor de lo que se masca todas las mañanas en los periódicos, en los informativos y en la misma calle, donde no hay manera de quitarnos de encima la palabra crisis. Buena suerte para todos, que nos va a hacer mucha falta.

Por si queda alguien que no tenga mi correo apuntado, os dejo mi medio de contacto caso que os apetezca hacerme alguna visitilla para traerme una tortilla de patatas o una paletilla de serrano, o simplemente, cambiar algún correo. Mandadme un mensaje, y lo organizamos en un periquete :)

Quiero también expresar mi agradecimiento a aquellos que me habéis ayudado a dar este paso, que no sois pocos. También en el apartado de agradecimientos destacar a aquellos que han mostrado interés en contratarme o simplemente conocerme a lo largo de este período de búsqueda, dedicando tiempo, esfuerzo y ofreciendo proyectos muy interesantes con magníficas perspectivas. A todos, gracias, muchas gracias.

Un saludo, y un abrazo. Os iré contando qué tal llevo el proceso una vez me haya instalado. Ahora, si me disculpáis, y aunque seguramente me asome antes por el blog, prosigo con mis vacaciones :)