Mehr Security für das System i: Kennwortsicherheit

Die Integration von IBM-Anwendungen in heterogene Umgebungen erfordert an vielen Stellen der klassischen OS/400?, i5/OS- oder IBM i-Umgebung Anpassungen, damit die Ressourcen und Anwendungen des Systems mit externen Daten, Funktionen und Komponenten zusammenarbeiten können.

Von jeher hat das System i einen guten Ruf, was die Sicherheit anbelangt. Sicherheitseinstellungen sorgen auf vielfältige Art und Weise dafür, dass keine unerlaubten Zugriffe erfolgen können.

Leider stellt man jedoch immer wieder fest, dass die vermeintlich sicheren Systeme durch Standardkennwörter im Grunde ungeschützt sind. Lassen wir an dieser Stelle einmal die Notwendigkeit der Kennwortänderung in gewissen Zeitabständen außen vor. Aber sind auf Ihrem System wirklich alle Standardkennwörter geändert?

Nimmt man beispielsweise einmal die von IBM mitgelieferten Benutzerprofile – hier sind neben QSECOFR und QSYSOPR auch die Benutzerprofile QPGMR, QUSER, QSRV und QRSVBAS zu nennen – gilt es als Empfehlung, diese Benutzerprofile hinsichtlich möglicher Standardkennwörter zu prüfen und bei Bedarf anzupassen!

Aber nicht nur die IBM i-Benutzerprofile, sondern auch die DST-Benutzer sollten in Sachen Kennwortvergabe geprüft werden. Nicht selten existieren auf dem System DST-Benutzer mit höchsten Rechten – und das mit Standardkennwörtern. Hier ist ebenfalls im Sinne einer Zugriffsicherung Handlungsbedarf geboten. Die Standardkennwörter für die DST-Benutzer – wie z. B. QSECOFR; QSRV, 11111111 und 22222222 – sollten ebenfalls geprüft werden.

Eine der wichtigsten Änderungen, die IBM in Bezug auf die IBM i-Sicherheit vorgenommen hat, ist die Erweiterung des Kennworts für den Systemzugang.

In der Vergangenheit genügten in der Regel Kennwörter mit einer maximalen Länge von bis zu zehn Zeichen. Die damit verbundene Sicherheit mag zwar für IBM i-interne Anwendungen ausreichend sein, stellt aber für Hacker keine wirkliche Hürde dar. Erweiterungen der Sicherheitsanforderungen haben dazu geführt, dass Betreiber des Systems IBM i seit Version V5R1M0 von i5/OS wählen können, ob neben den zehnstelligen Kennwörtern auch Kennwörter mit bis zu 128 Zeichen zulässig sind. Außerdem kann die Verschlüsselung der Sicherheitsinformationen mit einigen Einstellungen vorgenommen werden, was ein Muss für viele Unternehmen ist.

Mit dieser Änderung wird auch die Integration von IBM i-Bereichen in Single Sign-On-Umgebungen erleichtert, denn diese erfordern doch ein wenig mehr Flexibilität in Sachen Kennwörter und Schutzeinstellungen.

In der nachfolgenden Abbildung sehen Sie exemplarisch die Auswahlmöglichkeiten für die Anpassung des Systemwerts QPWLVL (Password Level), über den die maximale Länge der Kennwörter systemweit definiert werden kann.

Achtung: Ändern Sie diesen Wert nicht ohne Weiteres, denn die Auswirkungen können den Betrieb der Anwendungen und den Zugriff massiv beeinträchtigen! Veränderungen an den Einstellungen von QPWDLVL bedürfen einer vorherigen Analyse im Zusammenspiel mit anderen Systemen und Anwendungen im Netzwerk.

Client Access-Versionen, die älter als V5R1 sind, müssen vor dem Einsatz von langen Kennwörtern auf eine neuere Version angehoben werden.

Es ist außerdem dringend zu empfehlen, dass vor dem Anpassen der Einstellungen von QPWDLVL die Sicherheitsdaten des Systems mit dem Befehl SAVSECDTA gesichert werden. Im Notfall ist damit eine Rückkehr zu den ursprünglichen Einstellungen möglich.

Der Standardwert von QPWDLVL ist „0“ und entspricht damit einer maximalen Kennwortlänge von 10 Stellen.

Mit den Werten „1“ bis „3“ werden nicht nur längere Kennwörter festgelegt, sondern in den Kennwörtern kann auch ein Mix zwischen Klein- und Großbuchstaben verwendet werden.

Die Kennwortverschlüsselung wird mit den beiden Werten „2“ und „3“ eingeführt. Für diese Stufen müssen die Client-Anwendungen in der Lage sein, die Verschlüsselungen zu verarbeiten.

Wussten Sie eigentlich, dass beim System IBM i bei jeder Kennwortänderung oder bei jeder Benutzeranmeldung die Kennwörter auf dem System sicher weggeschrieben werden und somit auch auf Systemen mit QPWDLVL 0 oder 1 die Kennwortversionen für die Stufen 2 und 3 existieren?

Für jedes Kennwort wird in Vorbereitung auf den potenziellen Einsatz der Stufen „2“ oder „3“ ein adäquates Kennwort generiert und gespeichert. Das bedeutet z. B., dass folgende Versionen an Kennwörtern vorgehalten werden können:

Kennwort mit Stufe 0: WILLI1ABC2

Dieses Kennwort wird automatisch auch folgendermaßen gespeichert:

willi1abc2

Man beachte die Groß-/Kleinschreibung – diese Anpassung ist für die Nutzung von Windows-Umgebungen maßgeblich.

Wenn der Wert für QPWDLVL erst mal verändert worden ist, dann ist eine Rückkehr nur begrenzt möglich. Grundsätzlich sollten folgenden Regeln beachtet werden:

• Stellen Sie sicher, dass die Änderung der Kennwortregeln mit den im Netzwerk enthaltenen Komponenten und Anwendungen abgestimmt ist.
• Schützen Sie zumindest die Sicherheitsdaten vor Änderungen.
  • SAVSECDTA
• Für die Änderung von QPWDLVL sind die Sonderberechtigungen *SECADM und *ALLOBJ erforderlich.
  • Empfehlung: Änderungen mit QSECOFR durchführen.
• QPWDLVL-Veränderung auf 2:
  • Der Wert kann auf „0“ oder „1“ zurückgesetzt werden.
  • Ansonsten ist eine Rücksetzung nicht wirklich sinnvoll bzw. erfordert zusätzliche Schritte in Bezug auf Erstellung und Prüfung der Kennwörter auf dem System.
• Veränderungen des Systemwerts QPWDLVL erfordern in jedem Fall einen IPL.

Meist gehen die Anpassungen der Kennworteinstellungen mit Abstimmungen des Netzwerks einher. Der Datenaustausch mit der Windows-Welt ist häufig einer der Gründe für die Anpassung der Sicherheitseinstellungen des Systems.

Im Folgenden werden die verschiedenen Einstellungen und deren Auswirkungen gezeigt:

Ändern von QPWDLVL von „0“ auf den Wert „1“

Mit dieser Einstellung werden nach wie vor Kennwörter mit einer maximalen Länge von 10 Zeichen verwendet. Auf dem System werden alle Kennwörter für IBM i NetServer für Windows Clients mit den Versionen 95/98/ME entfernt. Diese Einstellung kann also nur dann vorgenommen werden, wenn keine der zuvor genannten Windows-Altversionen mit Zugriff auf das System i eingesetzt werden.

Notfalls kann ein auf „1“ geänderter Wert wieder zurück auf den Ausgangswert „0“ gestellt werden. Dabei müssen dann aber die Sicherheitsdaten auf das System eingespielt werden, da einige Kennwörter nicht mehr nutzbar sind.

Änderung von QPWDLVL auf den Wert „2“

Mit der Einstellung „2“ ist es möglich, auf dem System i Kennwörter mit einer maximalen Länge von 128 Zeichen zu verwenden.

Eine Besonderheit des Betriebssystems IBM i ist es, dass auf dem System Benutzerprofile angelegt werden können, die keine Kennwörter aufweisen bzw. deren Kennwörter nicht für eine Umstellung auf QPWDLVL „2“ geeignet sind. In Vorbereitung auf die Anpassung von QPWDLVL sollten Sie deshalb mit dem Befehl PRTUSRPRF TYPE(*PWDINFO) eine Auflistung der aktuell auf dem System befindlichen Benutzerprofile zur Kennwortanalyse erstellen. Sind für die Benutzerprofile keine Kennwörter definiert, dann sind diese anzupassen.

Alle Client-Anwendungen müssen in der Lage sein, die neuen Kennwortversionen verarbeiten zu können. Ältere Client Access-Versionen bieten keine Unterstützung der langen Kennwörter.

Wenn man außerdem auf weitere Änderungen von sicherheitsrelevanten Werten verzichtet, lässt sich im Analysefall nur schwer abwägen, weshalb ein Problem auftritt.

Der Wert „2“ ist die höchste Einstellung, mit der iSeries NetServer-Kennwörter unterstützt werden können.

Der Signon-Bildschirm wird nach der Anpassung sowie einem IPL mit einem Kennwort-Eingabefeld von 128 Zeichen dargestellt.

Ändern von QPWDLVL auf den Wert „3“

Mit dieser Änderung können KEINE iSeries NetServer-Kennwörter mehr genutzt werden. Zudem wird mit dieser recht hohen Sicherheitseinstellung auch jedes für den Level „0“ oder „1“ existierende Kennwort aus dem System entfernt.

Mit diesem „normalen“ Umstellungsprozess sind nur geringe Probleme verbunden. Das gilt zumindest dann, wenn die Regeln beachtet wurden sowie die Vorarbeiten und Analysen stimmig waren.

Hin und wieder kann es aber noch notwendig sein, dass eine Rückstufung der Einstellungen von QPWDLVL durchgeführt werden muss. Generell ist eine Rückstufung nur zum nächstniedrigeren Level möglich. Eine Umstellung von Stufe „3“ auf Stufe „1“ ist nicht möglich und kann nur mit Zwischenschritten erfolgen.

Auch wenn grundsätzlich das Zurücksetzen möglich ist, so sollte man diesen Schritt wirklich nur als Notlösung betrachten und nicht etwa, weil man zu Testzwecken probieren möchte, welche Auswirkungen die Anpassung von QPWDLVL haben könnte.

Der Signon-Bildschirm wird nach der Anpassung sowie einem IPL mit einem Kennwort-Eingabefeld von 128 Zeichen dargestellt.

Ändern von QPWDLVL von dem Wert „3“ auf den Wert „2“

Sollte diese Änderung notwendig sein, dann muss nach dem Anpassen lediglich geprüft werden, ob Kennwörter für iSeries NetServer benötigt werden. Wenn das der Fall ist, dann müssen diese Kennwörter erstellt werden. Dasselbe gilt für die Prüfung von Kennwörtern für die Stufen „0“ oder „1“.

Ändern von QPWDLVL von dem Wert „2“ auf den Wert „1“

Zunächst sollte vor dieser Änderung geprüft werden, ob es Benutzerprofile gibt, für die keine Kennwörter der Stufen „0“ oder „1“ existieren. Sollten solche Kennwörter fehlen, dann müssen sie erst angelegt werden. Dabei ist zu beachten, dass die einfachen Kennwortregeln Anwendung finden müssen. Das bedeutet, dass die Kennwörter maximal 10 Stellen lang sein dürfen, nur in Großbuchstaben vorhanden sind und nicht mit einer Ziffer oder einem Unterstrich beginnen.

Grundsätzlich sollten Sie neben den zuvor genannten Punkten die folgenden Regeln bei den Kennwortänderungen beachten:

• In Umgebungen mit einer Windows-Integration sollten nur solche Kennwörter verwendet werden, die auch in der Windows-Welt zulässig sind.
• Wenn Kennwörter unter IBM i ablaufen, dann laufen auch die dazugehörigen Windows-Kennwörter ab. Zwar sind dann Kennwortänderungen unter Windows möglich, aber es erfolgt kein Abgleich mit den IBM i-Kennwörtern. Deshalb sollte man es sich stets zur Regel machen, abgelaufene Kennwörter zuerst im System IBM i zu ändern. Diese Änderungen wirken sich automatisch auch auf die Windows-Welt aus.

Besonderheiten gibt es auch für Umgebungen, bei denen Mehrsprachigkeit ein Thema ist. Die Besonderheiten von Sonderzeichen und unterstützten Zeichensätzen müssen in jedem Fall auch dort bei der Kennwortwahl bedacht werden.