El documento presenta un webinar sobre el 'Security Scan' de IBM i, una herramienta que evalúa las vulnerabilidades del sistema y propone recomendaciones para mejorar la seguridad. Se discuten áreas críticas como privilegios de administración, permisos públicos y el acceso a la red, además de la importancia de mantener registros de auditoría. Helpsystems ofrece la posibilidad de realizar un 'Security Scan' gratuito para ayudar a las organizaciones a identificar y mitigar riesgos de seguridad.

1. Security Scan,
el primer paso para proteger
su IBM i

2. Security Scan
¿Qué es?
¿Por qué?
¿Para qué?
Ejecución del Security Scan en vivo
Resultados obtenidos
Propuesta de trabajo
Preguntas y respuestas
La agenda para hoy

3. Amneris Teruel
Experta Senior en Monitorización,
Automatización y Seguridad
amneris.teruel@helpsystems.com
Presentadora de hoy

4. HelpSystems. All rights reserved.
Security Scan

5. Una forma simple de conocer el estado de la Seguridad de
sus sistemas IBM i
Herramienta creada basada en el conocimiento de
expertos
Evaluación objetiva basada en COBIT
Fuente de información opcional para el Estudio de
Seguridad de HelpSystems
¿Qué es? ¿Por qué? ¿Para qué?

6. El primer Estudio de Seguridad de IBM i fue publicado en 2004
Desde su creación, participaron cientos de organizaciones
Las compañías se postulan de forma voluntaria
Security Scan:
Cada año, HelpSystems realiza cientos de Security Scans gratuitos
Los Security Scans identifican las vulnerabilidades del sistema
Proporcionar información para el estudio es voluntario y anónimo
Estudio de Seguridad de IBM i

7. Ejemplo del reporte del Security Scan

8. 1. Privilegios de administración
2. Permisos públicos
3. Accesos hacia y desde la red
4. Vulnerabilidades de usuarios y políticas de contraseñas
5. Valores de Seguridad del sistema
6. Controles de auditoría del sistema
Principales áreas de análisis

9. Arquitectura de Security Scan
PC IBM i Informe de
Vulnerabilidades

10. HelpSystems. All rights reserved.
Ejecución del scan

11. Privilegios de administración

12. Definiendo un Usuario Privilegiado…
Alguien con permisos especiales
Alguien con permisos privados
Un servidor con permisos públicos
permisivos
(¡la mayoría de ellos lo son!)
+
Una forma de ejecutar comandos

13. *ALLOBJ
Acceso sin restricciones

14. *SECADM
Gestionar perfiles de usuario

15. *IOSYSCFG
Administrar comunicaciones

16. *AUDIT
Gestionar y acceder a registros de
auditoría

17. * SPLCTL
Acceso sin restricciones a
información impresa

18. *SERVICE
Administración de hardware

19. *JOBCTL
Operaciones de servidor

20. *SAVSYS
Guardar cualquier objeto

21. Diez perfiles
Cero por ciento

22. Privilegios de administrador
Permisos especiales de IBM i

23. Autorización pública

24. ¿Qué es *PUBLIC?
• *PUBLIC es una referencia especial para
cualquier usuario que no está
explícitamente nombrado.
• (Aunque a veces es referido como un acceso
“anónimo”, el usuario sigue necesitando
credenciales y no es anónimo a la organización)

25. El único permiso de bibliotecas que mantiene a los usuarios fuera es *EXCLUDE.
Una política de “negación por defecto” significa que *PUBLIC será excluido y los
usuarios o grupos nombrados tengan el acceso apropiado.
ADVERTENCIA: Un usuario puede (potencialmente) eliminar datos/objetos con solo un permiso *USE
para la biblioteca.
Negación por defecto

26. ¿A quién le importa?

27. ¿A quién le importa?

28. Permisos públicos a bibliotecas
*CHANGE
61%
*USE
22%
*ALL
9%

29. Cuando se crean nuevos objetos
Permiso por defecto al
crear bibliotecas

30. Cuando se crean nuevos objetos
Permiso por defecto de
nuevos objetos creados

31. Acceso a redes

32. Network Access Control

33. Muchas aplicaciones IBM i confían en la Seguridad por menú porque…
Es fácil de construir
Es el legado de muchas aplicaciones de Negocio existentes
El diseño de la Seguridad por menúes asume:
Que el acceso solo se origina a través de los menúes
Ningún usuario tiene permisos de línea de comandos
Los usuarios no pueden tener acceso a las herramientas basadas en SQL
La Seguridad por menú suele estar acompañada por:
Usuarios que pertenecen a un Grupo que es dueño de los objetos
*PUBLIC concede amplio acceso a datos (*CHANGE)
Control de acceso a la red

34. ODBC no es ninguna
ciencia

35. Sistemas con arranque automático de FTP
¿Se están ejecutando los servicios?
Sí

36. Sistemas con arranque automático de REXEC
¿Se están ejecutando los servicios?
Sí

37. En los ‘90, IBM complementó el Nivel de Seguridad de Objeto con una suite de
Puntos de Salida, que son interrupciones temporales en un proceso del Sistema
Operativo, para invocar a programas de salida escritos por el usuario.
¿Una nueva función?

38. La función de un Programa de Salida puede incluir cualquier cosa que el programador codifique en
él, ¡incluyendo actos no autorizados!
Por lo general, los oficiales de Seguridad quieren que los programas de salida de red:
Auditen (ya que IBM i no lo hace)
Controlen el acceso (ya que una buena Seguridad de objeto es poco común e inflexible)
El programa de salida devuelve un indicador de aprobado/fallido a los puntos de salida.
¿Una nueva función?

39. Al menos un Programa de Salida implementado
Sí

40. Cobertura completa de Puntos de Salida
9%
91%
Sí

41. Número de Programas de Salida
Número de Programas de Salida
NúmerodeSistemas

42. Acceso vía FTP

43. Sistema Operativo
Versión de IBM i instalada

44. QSecurity
Niveles de Seguridad del sistema

45. Are you AV Scanning?

46. ¡248,095 razones para escanear su IFS!

47. Who’s Scanning?
Scan on File OPENEl 93% de lo servidores
no realiza un scan antes de abrir un archivo

48. Seguridad del sistema

50. Longitud mínima de contraseña
< Weak Strong >

51. Periodo de caducidad de contraseñas
30%
70%
NúmerodeSistemas
Días

52. Otras reglas para contraseñas
Restricción de caracteres en contraseñas
Límites impuestos
Sin límites
impuestos

53. Otras reglas para contraseñas
Las contraseñas deben incluir un dígito
No requerido Requerido

54. ¿Cuántos intentos?
Número máximo de intentos de inicio de sesión permitidos
Ajustes de
QMAXSIGN
Númerodeintentos

55. ¿Y después qué?
Acción para el exceso de intentos de inicio de sesión fallidos

56. Default Passwords
116 perfiles
contraseña = nombre de perfil
(70 están habilitados)

57. Un sistema tenía
1.122 perfiles
con contraseñas por defecto

58. 53%
de los sistemas tenía
más de 30 perfiles con
contraseñas por defecto

59. 29%
de los sistemas tenía
más de 100 perfiles con
contraseñas por defecto

60. Inactive Profiles
402 perfiles inactivos
Más de 30 días de inactividad
(247 están habilitados)

61. Auditoría del sistema

62. Un diagnóstico constante registra eventos críticos…

63. utilizados en caso de un fallo catastrófico

64. used in the event of a catastrophic failure
El 17% de los servidores IBM i no
tiene activo un registro de “vuelo”

65. ¿Usted podría decir si existió un
ataque de fuerza bruta?

66. Would you know if there was a
brute force attack?
Un servidor ha experimentado
319.005intentos de conexión fallidos

67. Would you know if there was a
brute force attack?
Would you know if there was a
brute force attack?
51 servidores han experimentado
MILintentos de conexión fallidos

69. Montañas de datos en bruto
Múltiples lugares para mirar
Frustrantes procesos de reporting manuales
¿Es buena la información del Registro de Auditoría?

70. Como resultado, IT suele ignorar
estos datos o simplemente los
revisa el día antes a la llegada de
los auditores.

71. 83% de los sistemas tenía su Registro de Auditoría de IBM (QAUDJRN)
- El 23% tenía instalada una herramienta de registro reconocida
- El 21% de los servidores tenía el Sistema de control de Auditoría
apagado
¡319.005 intentos de inicio de sesión inválidos sobre un solo perfil!
¿Estaría más preocupado si esto fuese sobre el perfil QSECOFR?
¿Hay alguien prestando atención?

72. Recomendaciones

73. HelpSystems. All rights reserved.
Resumen

74. 1. Evaluación del estado de la Seguridad de su IBM i.
2. No intrusivo, simple, rápido.
3. Con todo el conocimiento de HelpSystems embebido.
Security Scan

75. HelpSystems. All rights reserved.
Nuestra propuesta

76. 1. Realice un Security Scan gratuito o complete una Evaluación de Riesgo.
2. Resuelva “cabos sueltos” como contraseñas por defecto o cuentas inactivas.
3. Revise la propiedad de las configuraciones de perfiles de usuario: reglas de
contraseña, capacidades limitadas (línea de comandos), permisos especiales,
etc.
4. Ejecute pruebas de intrusión sobre FTP y ODBC para evaluar el riesgo de
filtración de datos.
5. Evalúe soluciones para automatizar la revisión de
procesos y ayudar a mitigar el riesgo.
Nuestra propuesta

77. Un portfolio completo de soluciones de Seguridad
Evaluación de
Vulnerabilidad
Detección y
Prevención de
Intrusiones
Reportes de
Auditoría y
Cumplimiento
Encriptación
Protección
Anti-Virus
Gestión de
Identificación y
Accesos
Transferencia
Gestionada de
Archivos
Gestión de
Políticas de
Seguridad
Monitorización
de Seguridad e
Integridad

78. Ask Questions
Haga sus preguntas a través de la ventana de chat

79. En breve le enviaremos:
La grabación de este webinar
Más recursos útiles sobre Seguridad de IBM i:
[Artículo] Cómo tener éxito en la Seguridad de IBM i
[Video] Control y prevención de accesos no deseados en IBM i
[Guía] Cuando un malware ataca a sus servidores IBM i, AIX y Linux
[Video] Gestión de permisos especiales y accesos en IBM i
Solicite su Security Scan Gratuito
Estamos llegando al final…
¡Gracias por asistir a nuestro webinar!

80. >> Solicite un
Security Scan gratuito
de sus servidores IBM i, AIX y Linux
Solicite su Security Scan - ¡gratuito!
www.helpsystems.com/es/cta/security-scan-gratuito

81. Ask Questions
Datasheets de producto
Videos de demostración
Descarga de versiones de prueba
Casos de Éxito
Artículos “How-To?”
Solicitar un Security Scan GRATUITO
helpsystems.com/es

82. www.helpsystems.com/es
contacto@helpsystems.com
¡Gracias por participar!