Anmeldung an TCP/IP-Schnittstelle beschränken

[Twinni]

Guten Tag. Nun kommt mein erster Beitrag in diesem schon oft hilfreichen Forum. Vielleicht kann mir ja jemand helfen.

Es sollen sich per openVPN demnächst externe Mitarbeiter auf der iSeries einwählen können. Für das firmeneigene Netz wird die IP-Schnittstelle 10.10.10.1 verwendet. Nun habe ich für Extern eine weitere TCP/IP-Schnittstelle 10.10.10.2 angelegt.

Über den Tunnel ist nur die zweite IP erreichbar, um andere Rechner im selben Netz zu schützen. Aber die Kennwortvergabe auf der iSeries ist nicht sehr stark und ich befürchte, dass jemand, der von außen drauf kommt, auch schnell einen passenden Zugang mit SECOFR-Rechten errät.

Daher wünsche ich mir, dass über die neue IP-Adresse nur ganz bestimmte User Zugang bekommen. Nämlich die Externen, die ich dann entsprechend in die Menüs zwingen kann. Kann man diesen Wunsch parametrieren? Das wäre toll.

Gruß Andreas

[GeorgG]

wer sagt das die PW Vergabe auf der iseries nicht "stark" ist, es kommt immer auf die Einstellungen an die man vorgibt.

siehe

IBM Systems Magazine - New System Values for Successful Password Control | IBM i | IBM Systems Magazine | iSeries AS/400 System i Power Systems| security, QPWDRULES

[KingofKning]

Guten Tag. Nun kommt mein erster Beitrag in diesem schon oft hilfreichen Forum. Vielleicht kann mir ja jemand helfen.

Es sollen sich per openVPN demnächst externe Mitarbeiter auf der iSeries einwählen können. Für das firmeneigene Netz wird die IP-Schnittstelle 10.10.10.1 verwendet. Nun habe ich für Extern eine weitere TCP/IP-Schnittstelle 10.10.10.2 angelegt.

Über den Tunnel ist nur die zweite IP erreichbar, um andere Rechner im selben Netz zu schützen. Aber die Kennwortvergabe auf der iSeries ist nicht sehr stark und ich befürchte, dass jemand, der von außen drauf kommt, auch schnell einen passenden Zugang mit SECOFR-Rechten errät.

Daher wünsche ich mir, dass über die neue IP-Adresse nur ganz bestimmte User Zugang bekommen. Nämlich die Externen, die ich dann entsprechend in die Menüs zwingen kann. Kann man diesen Wunsch parametrieren? Das wäre toll.

Gruß Andreas

Also Du kannst auf der AS/400 einstellen das bestimmte User sich auch nur von bestimmten Bildschirmen anmelden können. Weiterhin kannst Du einstellen das nach x Falscheingaben das Profil deaktiviert wird.

Ich würde ein eignes Subsystem für die Fremden machen um das besser kontrollieren zu können.

GG

[Fuerchau]

Also wenn du das VPN für nicht sicher hältst wähle besser ein anderes.
Eine Einschränkung seitens IP gibt es nicht, du kannst nur die Berechtigung der Terminals mit *ALLOBJ (wie QSECOFR) einschränken, dass diese sich nur an bekannten Terminals anmelden dürfen.

PS:
Da der Begriff QSECOFR ja bekannt ist, reicht ja auch das mehrmalige falsche Anmelden um diesen zu deaktivieren, dass könnte probelmatisch werden wenn du kein alternatives *SECOFR-Profil hast.

[Twinni]

Okay, vielen Dank erstmal für die Antworten.

VPN halte ich für ausreichend sicher. Aber wenn jemand den Anmeldeschirm sieht, dann könnte er es mal einem ihm bekannten Mitarbeiter des Haupthauses und dessen Vornamen als Passwort versuchen. So ist es ... leider.

Aber wenn ich einzelne Bildschirme beschränken kann, dann könnte das ein Ansatz sein. Ich muss dann nur irgendwie verhindern, dass in der Emulation eine andere oder keine Workstation-ID eingetragen wird. Vielleicht gibt es auch noch eine Möglichkeit, mit den IP-Host-Tabelleneinträgen zu arbeiten? Und das mit dem eigenen Subsystem schaue ich mir auch noch mal an.

@GeorgG: Das liegt nicht an der 400, sondern viel mehr an dem Admin, der hier bei der Passwortvergabe etwas "einfallslos" gehandelt hat.

Danke
Andreas

[Fuerchau]

Beschränken wird schon schwierig, aber per Programm schon möglich.
Im Systemwert QRMTSIGN (o.ä.) kannst du ein Programm hinterlegen, dass die Anmeldung gezielt prüfen kann, die Herkunft-IP o.ä. validiert, und dem Anmelder dann sogar den Devicenamen zuweist und zwar unabhängig vom gewünschten Namen.

Nun benötigst du am Device nur die Berechtigung:
*PUBLIC *EXCLUDE
Remote-User *USE

Und schon kann sich an diesem Device niemand anders mehr anmelden.

[Twinni]

Viiiiiiielen Dank. So machen wir das.

Gruß
Andreas

[KingofKning]

@GeorgG: Das liegt nicht an der 400, sondern viel mehr an dem Admin, der hier bei der Passwortvergabe etwas "einfallslos" gehandelt hat.

Danke
Andreas

Warum gehst Du nicht hin und zwingst die User per Einstellung alle 30 Tage ihr Passwort zu ändern?
In der Kombination mit 3x falsch angemeldt wir das User Profil disabled kommst Du schon weiter. Im Log steht auch wer sich von wo aus angemeldet hat.
Wenn sich der User am Bildschirm Schmandt mit dem Username Ritter anmeldet ist das schon ungewöhnlich. Führte dann bei uns dazu das es deutliche Worte gab!

Nicht umsonst lese ich mir jeden Morgen das Logfile durch um soetwas zu prüfen.

GG

[Twinni]

So einfach ist das leider nicht. Der Kunde will, dass sich SEINE Mitarbeiter weiterhin einfach und damit unsicher anmelden. Aber Externe, also Nicht-Mitarbeiter dürfen auf der AS400 nur eingeschränkt arbeiten können. Die kommen über VPNs aus der ganzen Welt auf die Maschine. Da kann man nicht mal eben ein Machtwort sprechen. Es könnte dann ja auch schon zu spät sein. Wer weiß, was da für Spezis am Hacken sind.

Andreas

[Fuerchau]

Das disablen des QSECOFR kannst du damit leider nicht verhindern.

[Twinni]

Das stimmt. Dann werde ich die Leute zwingen, wenigstens die Admins mit sicheren Kennworten zu versehen. Wenn die User meinen, dass das nicht so wichtig ist, dann müssen sie eben mit dem disablen leben. Das hat auch eine erzieherische Nebenwirkung.

Hauptsache die Externen toben nicht auf der Maschine rum. Danke noch mal für die hilfreichen Tipps.

Andreas

[KingofKning]

Das disablen des QSECOFR kannst du damit leider nicht verhindern.

Wie sieht es denn aus wenn Du die Terminals für den Qsecofr einschränkst, kann man ihn dann immer noch disablen wenn Du dich von einem nicht zugelassen Terminal anmelden willst?

GG