IBM eServer iSeries Erweiterungen im Sicherheitsbereich, Teil 2

Gemeinsam Lösungen finden
mit Kompetenz werben

Login

Registrieren

Global filtern nach Kategorien:

Ihre Suche

Erweiterte Suche

Titel / Name:

Online seit:

Region:

Untertitel:

Thema / Center:

Qualitäts Level:

Suchkriterien zurücksetzen

Allgemeine Informationen zur Competence Site

AGB Anbieterverzeichnis

Semantisches Klassifikations-Profil des Dokuments (u.a. Extrakt)

SecurityOverview2_T Barlen.pdf

IBM eServer iSeries Erweiterungen im Sicherheitsbereich, Teil 2 Von Thomas Barlen* Wie bereits im ersten Teil dieses Artikels erwähnt, wird nur durch Implementierung von Sicherheitsfunktionen auf verschiedenen Ebenen und Bereichen ein hohes Maß an Sicherheit erreicht. Vorgestellt wurden zwei Funktionen aus dem Bereich Systemsicherheit, die mit OS/400 V5R1 bzw. V5R2 neu hinzugekommen sind. Dieser Teil widmet sich nun OS/400 Funktionen, die zur Verbesserung der Netzwerksicherheit eingesetzt werden können. Dabei ist erwähnenswert, dass diese Funktionen nicht nur für Umgebungen geeignet sind, die eine Verbindung zum Internet oder Extranet haben. Wie aus einigen Studien bekannt, werden 60 bis 70 % aller Schäden aus dem Intranet heraus verursacht. IP Paket Filter Eine Funktion, die schon seit V4R3 im OS/400 integriert ist, ist IP Paket Filtering. Allerdings musste die Person, welche die Filterregeln administrierte, bisher recht fundierte IP Protokollkenntnisse haben. Mit einer komplett neuen graphischen Oberfläche und mehreren Configuration Wizards, ist es mit V5R2 wesentlich einfacher geworden, IP Filter einzurichten. IP Filter können eingesetzt werden, um auf einem Netzwerkadapter (LAN, WAN oder VLAN) IP Pakete nach folgenden Kriterien zu filtern: • IP Quellenadresse • IP Zieladresse • IP Quellenport • IP Zielport • IP Protokoll. Mit dieser Möglichkeit kann kontrolliert werden, welcher Service (über Port Nummern) von welchen IP Adressen, Adressbereichen oder Subnetzen genutzt werden kann. Interne Benutzer können zum Beispiel über eine ungeschützte 5250 Emulation arbeiten, während Benutzer aus dem Internet nur über SSL-geschützte Verbindungen arbeiten können. An dieser Stelle sei darauf hingewiesen, dass IP Paket Filtering im OS/400 als zusätzliche Barriere zu betrachten ist und keine vollwertige Firewall ersetzen kann. Bevor mit der Konfiguration begonnen wird, ist es wichtig, eine sorgfältige Planung durchzuführen. Dazu sollten genaue Aufzeichnungen über die Art der genutzten Services (z. B. Telnet, FTP, SMTP, etc.) sowie die Adressen der entsprechenden Benutzer PCs vorliegen, denn jeder IP Datenverkehr, der nicht explizit erlaubt ist, wird automatisch blockiert. Der OS/400 CL Befehl NETSTAT *CNN oder die entsprechende Funktion im iSeries Navigator kann ein Großteil der benötigten Informationen liefern. Im nächsten Schritt werden die entsprechenden Filterregeln eingerichtet. Dies geschieht über den iSeries Navigator unter Netzwerk und IP Richtlinien. Abbildung 1 zeigt die graphische Oberfläche des Packet Rules Editors mit gestartetem Wizard. Abbildung 1 Der Vorteil eines Wizards ist besonders gut bei Client Access (iSeries Access) zu erkennen. Anstatt circa 24 Regeln für ein- und ausgehenden Datenverkehr von Client Access manuell hinzufügen, übernimmt diese Fleißaufgabe der Wizard. Nachdem alle Regeln erstellt sind, können die Filter aktiviert werden. Dazu noch einen guten Rat: Es empfiehlt sich, die Filter außerhalb der normalen Arbeitszeit zu testen. Eventuell vergessene Filter haben dann keine unangenehmen Auswirkungen. Zusammenfassend ist zu bemerken, dass IP Paket Filter einen wirksamen Mechanismus darstellen, um nur gewünschten IP Datenverkehr in das und aus dem System zu lassen. Weitere Informationen finden Sie im iSeries Information Center (http://publib.boulder.ibm.com/iseries/v5r2/ic2929/index.htm) unter Netzwerkbetrieb -> Sicherheit für den Netzwerkbetrieb -> IP-Filterung und Netzwerkadressumsetzung. Datenintegrität und -verschlüsselung In einem Zeitalter, in dem Hacker und Trace Tools frei aus dem Internet heruntergeladen werden können, ist es mit recht einfachen Mitteln möglich, Datenverkehr aus dem Firmennetzwerk aufzuzeichnen. Sensitive Daten sowie Benutzeranmeldedaten inklusive Passwörter können somit erhalten werden. Schutz gegen Datenmanipulation und unberechtigtes Lesen in Netzwerken kann über relativ einfache Funktionen gewährleistet werden. Die am häufigsten verwendeten Methoden sind: • Secure Sockets Layer (SSL) / Transport Layer Security (TLS) • Virtual Private Networking (VPN). Die Hauptfunktionsmerkmale dieser Technologien sind Authentisierung, Integrität und Vertraulichkeit. Der wesentliche Unterschied liegt in der Implementierungsebene. SSL/TLS ist oberhalb der Transportschicht angesiedelt. Das bedeutet, dass jede Anwendung, die über SSL kommunizieren soll, dafür geschrieben sein muss. VPN dagegen ist auf der IP-Schicht angesiedelt und schützt somit jeden Datenverkehr, der IP als Netzwerkprotokoll verwendet. Um diese Methoden nutzen zu können, sind zumindest die folgenden Lizenzprogramme notwendig: • 5722-SS1 Option 34 – Digital Certificate Manager (DCM) • 5722-AC2 (nur noch bis V5R1) oder AC3 – Cryptographic Access Provider • 5722-CE3 – Client Encryption (nur wenn iSeries Access über SSL geschützt werden soll) • 5722-DG1 – HTTP Server for iSeries (zur Konfiguration von DCM) • 5722-XE1 – iSeries Access for Windows (Konfiguration). SSL / TLS Mit V5R2 sind folgende systemnahen Anwendungen fähig, über SSL/TLS zu kommunizieren: • Telnet Server • FTP Server und Client • LDAP Server, LDAP Publishing Client, LDAP Application Client • Enterprise Identity Mapping (EIM) Client • HTTP Server for iSeries (orginal) und (powered by Apache) • iSeries Access Host Server. Über Java APIs, SSL C APIs oder Global Secure Toolkit APIs können auch eigene Anwendungen für SSL vorbereitet werden. Die Aktivierung von SSL/TLS für eine Anwendung ist recht einfach. Da SSL/TLS digitale Zertifikate verwendet, muss als erstes ein solches Zertifikat der Anwendung zugeordnet werden. Dies geschieht über den Digital Certificate Manager (DCM). Alle Zertifikate, die für SSL/TLS und VPN verwendet werden, befinden sich im *SYSTEM Zertifikatsspeicher von DCM und werden auch dort verwaltet. Wie in Abbildung 2 dargestellt, werden sämtliche DCM Aufgaben über eine graphische Oberfläche durchgeführt. Abbildung 2 Nachdem das Zertifikat zugeordnet und ggf. weitere Eigenschaften eingestellt sind, müssen noch die Eigenschaften der individuellen Anwendung überprüft werden. Die angebotenen Möglichkeiten hängen von der jeweiligen Anwendung ab. Zum Abschluss sollte die Anwendung noch neu gestartet werden. Von nun an kann mit SSL-fähigen Clients eine gesicherte Verbindung aufgenommen werden. Weitere Informationen zu SSL und DCM finden Sie im Redbook IBM eServer iSeries Wired Network Security, SG24-6168 auf der Seite http://www.redbooks.ibm.com/ Virtual Private Networking (VPN) VPN im OS/400 folgt dem IP Security Protocol (IPSec) Framework und ist somit kompatibel zu allen VPN Implementierungen der führenden Hersteller. Es können sowohl ferne Benutzer wie auch andere Endsysteme oder Gateways angebunden werden. Digitale Zertifikate, die für RSA Authentisierung benötigt werden, werden über DCM verwaltet. Die eigentliche Einrichtung der VPN Verbindung wird über iSeries Navigator durchgeführt. Dort stehen Wizards zur Verfügung, die mit wenigen Schritten alle notwendigen Konfigurationsobjekte erstellen. Nähere Informationen zum Thema VPN finden Sie im iSeries Information Center (http://publib.boulder.ibm.com/iseries/v5r2/ic2929/index.htm) unter Netzwerkbetrieb -> Sicherheit für den Netzwerkbetrieb -> Virtual Private Networking. *Thomas Barlen, IBM Technical Sales Support iSeries, ist zu erreichen unter barlen@de.ibm.com.