Hallo,
wir beabsichtigen bei unserer AS/400 (V5)
die folgenden (TCP/UDP)-Ports zu öffnen,da
dies zur Kommunikation erforderlich wird:
449 as-srvmap
8470 as-central
8471 as-database
8475 as-rmtcmd
8476 as-signon
Da ja das Öffnen von Ports, insbesondere in Richtung
Internet, immer ein Sicherheitsrisiko darstellt, wollte
ich mich an dieser Stelle über spezielle Risiken, bzw.
Sicherheitslücken, etc.. informieren, die die o.a.
Dienste betreffen:
Kann man beispielsweise den Anmeldevorgang umgehen
und ohne Benutzernamen/Kennwort Zugriff auf Objekte
erlangen?
Lässt sich der Anmeldeversuchszähler umgehen?
(Stichwort Brute-Force-Attack)
DoS DDoS sind ein Problem?!
.....
Für Sicherheitstipps, Hinweise und Erfahrungen wäre ich euch
sehr dankbar.
MfG
tach
P.S. Wir erwägen ausserdem die Einrichtung von getunnelten Verbindungen zur Sicherung und Verschlüsselung der Dienste.Trotzdem interessieren mich die Risiken ohne Sicherheitsmaßnahmen, um zu wissen was man sichern
muß und um die Sicherheit überprüfen zu können.
Bruno Jakob
27-10-04, 07:10
Es gibt Tools wie z. B. PCSACC/400, die sich da sehr empfehlen. Über Exit-Programme kann man das natürlich auch selber kontrollieren. Aber da brauchts schon eine Weile, bis alle Löcher gestopft sind.
Gruß
Bruno
Hallo Tach,
jeder Anmelde Dialog kann mit Brute Force angegriffen werden, das einige, was dagegen hilft ist die Anzahl an Versuchen zu begrenzen, was allerdings selber das Risiko des Authismus aufmacht .
Die AS400 ist hier nicht weniger angreifbar, sondern mehr!!! Schwächere Kennwörter als andere (bis vor kurzem schlappe 10 Stellen) , schwächere Benutzernamen als andere (immer noch schlappe 10 Zeichen), hier und da unnötige Geschwätzigkeit (Meldungen wie falscher Benutzer), zahlreiche Standard Benutzer Profile, die jeder kennt, außer den Admins (wie lange dauert es bei euch, bis ein Benutzer QRPG wieder rausfliegt?) , oft nachlässige Rechtevergabe (fast alles PUBLIC), zuviel Vertrauen in untaugliche Lösungsansätze (Exit Programme auf spezifischer Protokoll Ebene). Wer so eine Maschine mit kritischen Geschäftsdaten ohne Firewall ins Internet lässt, dem ist nicht mehr zu helfen!
Es ist kein Zufall, dass es nie eine Firewall auf as400 gab (ich meine nicht diesen eingebauten PC), dafür ist dieses Betriebssystem nie konzipiert worden. Alleine der nicht deinstallierbare Debugger, das nicht deinstallierbare SST, nicht deinstallierbare Compiler und eine Speicherverwaltung, die den ganzen Rechner den Löffel abgeben lässt, wenn der ASP1, den man nicht mal read only machen kann, überläuft, sind absolute KO Kriterien für eine Firewall.
Was DoS (Denial of Service) Attacken angeht, kriegt man damit jede AS400 nach einer gewissen Studienphase zumindest mit Speicherüberlauf des ASP1 zum Absturz, Hackerherz, was willst du mehr? (Ironie des Schicksals: je mehr man sich wehrt umso schneller könnte das gehen: QAUDJRN, PCSACC und Co als treue Helfer des Hackers!)
Das Post Scriptum zeigt den richtigen Weg an: verschlüsselte, getunnelte Verbindungen über eine Firewall.
Auf der as kann man dann Schadensbegrenzung machen durch defensive Rechtevergabe, Kontrolle der Benutzerprofile, Kontrolle der Bibliotheken im Syslibl und Usrlibl und durch zeitnahe automatische Prüfung aller Berechtigungs Ereignisse und Auslösung entsprechender Alarme. Letzteres hängt auch ab von der konkreten Installation, was da sinnvoll und erfordelich ist.
mfg
Dieter Bender
Hallo,
wir beabsichtigen bei unserer AS/400 (V5)
die folgenden (TCP/UDP)-Ports zu öffnen,da
dies zur Kommunikation erforderlich wird:
449 as-srvmap
8470 as-central
8471 as-database
8475 as-rmtcmd
8476 as-signon
Da ja das Öffnen von Ports, insbesondere in Richtung
Internet, immer ein Sicherheitsrisiko darstellt, wollte
ich mich an dieser Stelle über spezielle Risiken, bzw.
Sicherheitslücken, etc.. informieren, die die o.a.
Dienste betreffen:
Kann man beispielsweise den Anmeldevorgang umgehen
und ohne Benutzernamen/Kennwort Zugriff auf Objekte
erlangen?
Lässt sich der Anmeldeversuchszähler umgehen?
(Stichwort Brute-Force-Attack)
DoS DDoS sind ein Problem?!
.....
Für Sicherheitstipps, Hinweise und Erfahrungen wäre ich euch
sehr dankbar.
MfG
tach
P.S. Wir erwägen ausserdem die Einrichtung von getunnelten Verbindungen zur Sicherung und Verschlüsselung der Dienste.Trotzdem interessieren mich die Risiken ohne Sicherheitsmaßnahmen, um zu wissen was man sichern
muß und um die Sicherheit überprüfen zu können.
Vielen Dank für Eure Tipps, besonders an BenderD.
MfG
tach