Es muy frecuente que administradores o responsables de Seguridad necesiten identificar qué usuario realizó cierta actividad en sus sistemas. A pesar de que IBM i ofrece la posibilidad de auditar lo que ocurre en sus servidores, ¿cómo convertir esa cantidad de datos en información útil?
Las auditorías y el control de políticas internas requieren la revisión de ese volumen de datos de Seguridad y métricas de configuración para garantizar que sus sistemas estén protegidos correctamente. Sin embargo, esta tarea puede demandar mucho tiempo y recursos, por lo que la mayoría de las empresas solo la realiza cuando es necesario, en lugar de incorporarla como un proceso continuo de su plan de Seguridad.
Vea la grabación de nuestro webinar y conozca:
Cómo configurar su IBM i para registrar eventos del sistema y de usuarios
Qué actividades pueden (y cuáles no) ser auditadas
Mecanismos disponibles para extraer datos del journal de auditoría
Qué información adicional requieren los auditores
Cómo simplificar la generación de reportes de auditoría con Powertech Compliance Monitor for IBM i
2. Presentadora de hoy
2
Experta Senior en Monitorización, Automatización y Seguridad
Amneris Teruel
amneris.teruel@helpsystems.com
3. [Anterior] Security Scan, el primer paso para proteger su IBM i - en helpsystems.com/es
[Anterior] Control y prevención de accesos no deseados en IBM i - en helpsystems.com/es
[Anterior] Gestión de permisos especiales y accesos en IBM i - en helpsystems.com/es
[HOY] Generación simplificada de reportes de cumplimiento en IBM i
Serie de webinars de Seguridad de IBM i
5. Un ambiente propicio para vulnerabilidades
Los profesionales de Seguridad de IBM i están
tranquilos…
“¿Acaso IBM i no es una plataforma segura?”
Los auditores también están tranquilos
La información más importante en general
reside en IBM i
La mayoría de la información en IBM i no está
bien asegurada
6. ¿Por qué debo auditar?
Regulaciones como Sarbanes-Oxley (SOX), HIPAA, GLBA, GDPR, Entidades
Regulatorias
Regulaciones de Industria como Payment Card Industry (PCI DSS)
Auditoría interna
High Availability (HA)
Debugging de aplicaciones
9. Principales áreas de análisis
1. Privilegios de administración (usuarios poderosos)
2. Permisos públicos (de bibliotecas y de información)
3. Accesos a la red (a través de las interfaces TCP)
4. Vulnerabilidades de usuarios y políticas de contraseñas
5. Valores de Seguridad del sistema
6. Controles de auditoría del sistema
7. Controles anti-virus
16. Would you know if there was a
brute force attack?
Un servidor ha experimentado
319.005intentos de conexión fallidos
17. Would you know if there was a
brute force attack?
Would you know if there was a
brute force attack?
51 servidores han experimentado
MILintentos de conexión fallidos
18. ¿Es buena la información del Registro de Auditoría?
Montañas de datos en bruto
Múltiples lugares para mirar
Frustrantes procesos manuales de reporting
19. Como resultado, IT suele ignorar
estos datos o simplemente los
revisa el día antes a la llegada de
los auditores.
21. ¿Hay alguien prestando atención?
83% de los sistemas tenía su Registro de Auditoría de IBM (QAUDJRN)
- El 23% tenía instalada una herramienta de registro reconocida
- El 21% de los servidores tenía el Sistema de control de Auditoría
apagado
¡319.005 intentos de inicio de sesión inválidos sobre un solo perfil!
¿Estaría más preocupado si esto fuese sobre el perfil QSECOFR?
23. Journal de auditoría
El journal de auditoría debe llamarse QAUDJRN y debe estar siempre en biblioteca QSYS
Se puede configurar cada valor del sistema por separado o usar el comando CHGSECAUD, que
gestiona todas las componentes juntas.
24. Empezando a auditar
“Valor del Sistema QAUDCTL”
*NONE -> auditoría OFF
*AUDLVL -> auditoría ON
*OBJAUD -> auditoría object-level ON
Otras recomendaciones:
*NOQTEMP—ignora lo que ocurre en las bibliotecas QTEMP de los usuarios
25. Empezando a auditar
“Auditing values”
Valor del sistema QAUDLVL y QAUDLVL2
Establece qué actividades a nivel sistema se van a auditar
El valor *DFTSET (default set) se traduce en estos valores:
*AUTFAIL, *CREATE, *DELETE, *SECURITY, *SAVRST
26. Empezando a auditar
Hay 21 categorías
Hay 3 categorías que se subdividen (en verde)
*ATNEVT Attention Event
*AUTFAIL Authority Failure
*CREATE Object Creations
*DELETE Object Deletions
*JOBDTA Actions Affecting Jobs (*JOBxxx)
*NETCMN Network Communications (*NETxxx)
*NETSCK Socket Connections (used to be part of *NETCMN until 7.3)
*NETSECURE Secure Network Connections
*NETTELNET TELNET Connections
*OBJMGT Object Management
Nota: Todos los valores, excepto *ATNEVT, también pueden especificarse para los usuarios individuales.
27. Empezando a auditar
*OPTICAL Optical Drive Operations
*PGMADP Program Adoptions
*PGMFAIL Program Failure
*PTFOBJ PTF Object
*PTFOPR PTF Operations
*PRTDTA Print Data
*SAVRST Save and Restore Operations
*SECURITY Security Operations (*SECxxx)
*SERVICE Service Functions
*SPLFDTA Spooled File Functions
*SYSMGT System Management
Nota: Todos los valores, excepto *ATNEVT, también pueden especificarse para los usuarios individuales.
28. Auditando un perfil de usuario
Más allá de la auditoría a nivel sistema,
se puede indicar auditoría a nivel usuario
Para activar la auditoría a nivel usuario:
CHGUSRAUD
Se separa de los comandos de usuario (para
segregación de funciones)
La auditoría de objeto para un usuario trabaja en
conjunto con la auditoría de objeto mismo ->
*USRPRF
La auditoría de acciones, entre otras, tiene el valor
*CMD para los comandos.
29. Auditando un objeto
El Sistema Operativo permite auditar cualquier acción sobre un objeto específico
El valor del sistema QAUDLVL debe incluir el valor *OBJAUD
Para actualizar la auditoría de un objeto se usa el comando CHGOBJAUD
*USRPRF -> depende de qué usuario lo accede (parámetro) OBJAUD
*CHANGE / *ALL / *NONE
Nota: la auditoría de objeto NO audita cambios de datos. Para eso, activar la
jornalización de archivos
Para auditar objetos del IFS, seguir los mismos pasos, pero usando el comando
Change Auditing Value (CHGAUD)
30. ¿Este objeto será auditado?
Fuente: IBM i Security and Compliance, MC Press
32. Trabajando con el journal de auditoría
Una vez activada la auditoría, se debe analizar cómo hacer uso de ella.
IBM prove MUCHA información en sus manuales.
Las entradas de journal tienen información básica (fecha, hora, usuario, trabajo
y código de tipo de entrada), seguida de datos específicos.
33. Trabajando con el journal de auditoría
Hay 3 opciones principales para explotar la información de journal:
1. Display Audit Journal Entry (DSPAUDJRNE)
Versión simplificada del comando DSPJRN con parámetros específicos por tipo de entrada
(no más actualizado por IBM).
No soporta eventos de IFS (se requiere DSPJRN).
No se puede ordenar (solo salida a pantalla o impresión).
34. Trabajando con el journal de auditoría
2. Display Journal (DSPJRN)
Forma básica para ver cualquier entrada de journal.
Requiere conocimiento del formato de los datos del journal. El comando no los interpreta.
Soporta IFS.
Muy útil en caso de contar un timestamp exacto; no soporta ordenamiento ni impresión.
35. Trabajando con el journal de auditoría
3. Copy Audit Journal Entry (CPYAUDJRNE)
Combina el comando DSPJRN con la copia a un archivo de salida.
El formato del archivo de salida es basado en el tipo de entrada.
El formato de archivo de salida por defecto es QAUDITxx donde xx es el tipo de entrada.
39. Demo de producto
Tour de Powertech Compliance Monitor for IBM i
¿Quién tiene poderes?
Revisión de valores del sistema que NO cumplen
Cambios de valores del sistema
Export
Reportes batch
40. Powertech Compliance Monitor for IBM i: Resumen
¡Cumplimos con las regulaciones!
No más inversión de tiempo en generación de reportes para auditores
Facilitamos el trabajo
Automatización de recolección y emisión de reportes
Generación de documentación necesaria para pasar las auditorías
42. Nuestra propuesta
1. Ejecute un Security Scan gratuito
2. Solucione los problemas que son más simples: contraseñas por defecto, usuarios
inactivos, etc.
3. Revise la configuración de los perfiles de usuario
4. Intente acceder a su equipo usando FTP u ODBC desde diferentes sitios y con
diferentes usuarios
5. Evalúe soluciones para automatizar este proceso continuo de mitigar riesgos
44. En breve le enviaremos:
La grabación de este webinar
Solicite su demo de Powertech Compliance Monitor for IBM i
Conozca toda la línea de productos Powertech para Seguridad y cumplimiento
Estamos llegando al final…
¡Gracias por asistir a nuestro webinar!
45. >> Solicite un
Security Scan gratuito
de sus servidores IBM i
Solicite su Security Scan - ¡gratuito!
www.helpsystems.com/es/cta/security-scan-gratuito