Es gibt keine absolute Sicherheit. Alle IT-Systeme – egal ob Client oder Server – sind verwundbar. Das gilt auch für die Server-Systeme der iSeries. Wenn auch hier bereits ein großer Teil der Sicherheitsfunktionen als elementarer Bestandteil in die Systemarchitektur eingebaut ist, so kann es immer wieder Sicherheitslücken geben. Ziel der vorzunehmenden „Sicherheitsplanung“ muss es sein, diese Schwachstellen zu erkennen, die erkannten „Löcher“ zu schließen und damit mögliche Angreifer von innen oder von außen abzuwehren. Zur Vereinfachung der Tätigkeiten der Sicherheits-Verantwortlichen gibt es auch für die iSeries immer wieder neue Hilfsmittel.

Diese Werkzeuge werden entweder Bestandteil der Betriebssystem-Funktionen – oder es kann darauf online über das Internet zugegriffen werden. Auch in der jetzt vorliegenden Version des Betriebssystems V5R3 von i5/OS und OS/400 hat es wieder eine große Anzahl von Sicherheitserweiterungen gegeben. Diese Erweiterungen betreffen folgende Sicherheitsebenen:

Netzwerk-Sicherheit
Für VPN (Virtual Private Networking) sind zwei neue Kennungstypen hinzugekommen:

– My local IP address
– IP Version 4 – Hostname

Bei der Verwendung von IBM Universal Connection muss im OS/400 die Option 34 (Digital Certificate Manager) sowie das Programmprodukt 5722-AC3 (Cryptographic Access Provider) installiert sein. Dadurch sind alle möglichen Verbindungen zwingend durch VPN geschützt.

OS/400-Sicherheit

Im Digital Certificate Manager (DCM) gibt es neue Möglichkeiten bei der Verwaltung von Zertifikaten. Leichte Überprüfung der Verfallsdaten und gegebenenfalls Erneuerung von Server- oder Client-Zertifikaten.

Zwei neue Systemwerte QSCANFS und QSCANFSCTL für den Einsatz von Antivirus-Programmen (z.B. StandGuard Antivirus).

Für Audit/Logging gibt es einen neuen Systemwert QAUDLVL2. Dieser Wert ist erforderlich, wenn mehr als 16 Überwachungswerte nötig sind. Die Überwachungswerte für *NETCOMM und *SECURITY sind jetzt in Unterkategorien eingeteilt. Damit ist eine wesentlich differenziertere Überwachung des Systems möglich.

Andere Erweiterung in V5R3 betreffen die Befehlsberechtigungen, die Nachrichten-Behandlung und das Benutzerprofil-Management.

Anwendungs-Sicherheit

Bisher wurde die Anwendungs-Administration durch grafische Werkzeuge wie den iSeries Navigator durchgeführt.

Mit der neuesten Version von i5/OS und OS/400 ist jetzt aber die Möglichkeit vorhanden, Anwendungssicherheit auch durch den Einsatz von CL-Programmen zu erreichen.

Es gibt neue Befehle:

– WRKFCNUSG (Work with Function Usage)
– CHGFCNUSG (Change Function Usage)
– DSPFCNUSG (Display Function Usage)

Diese einmal erstellten CL-Programme können dann sehr effektiv auf mehreren Systemen eingesetzt werden.


Bild 1: Work with Function Usage

Ein Systemadministrator erstellt dann einmal dieses CL-Programm mit diesen Regeln, die den Zugriff auf die Objekte und die Verwendung von Funktionen durch die Benutzer festlegen. Solche Programme werden im Netzwerk verteilt und angewandt.

Die hier vorgestellten Erweiterungen können aber nur dann mit Erfolg benutzt werden, wenn die Basiselemente der iSeries-Sicherheit installiert sind.
Dem Sicherheitsadministrator stehen für das Einrichten dieser Basiselemente eine Reihe von menügesteuerten Funktionen und grafische Werkzeuge zur Verfügung. Grundlage sind die hier bereits mit dem Betriebssystem ausgelieferten Sicherheits-Tools.

SECTOOLS

Über Menü-Optionen werden interaktiv die Sicherheitswerte systemweit gesetzt. Dazu gehören die Analyse von Kennworten (ist der Name des Benutzers identisch mit seinem Kennwort), die Analyse der Benutzerprofil-Aktivitäten und das Löschen von Benutzerprofilen mit Verfall-Datum.

SECBATCH

Hier werden im Batch Sicherheitsberichte über die unterschiedlichsten zu überwachenden Sicherheitsbereiche erstellt.

Hilfsmittel für die Sicherheitsplanung stehen online im Internet oder als Funktion des iSeries Navigator zu Verfügung.
• iSeries Security Wizard

Dieser Wizard ist Bestandteil von iSeries-Navigator und wird über „Sicherheit ‡ Konfigurieren“ aufgerufen.

• eServer Security Planner

Das ist die Online-Version des Sicherheitsassistenten.

publib.boulder.ibm.com/eserver/

Auch hier werden Fragen gestellt – und die Auswertung ergibt dann Empfehlungen für die Sicherheitswerte.

Im Gegensatz zur lokalen Version werden hier die empfohlenen Werte nicht automatisch im System gesetzt. Es wird aber ein CL-Programm erzeugt, das dann mit „cut-and-paste“ in die iSeries übertragen werden kann. Dieses Programm kann dort bearbeitet werden und nach erfolgter Umwandlung ausgeführt.


Bild 2: Der IBM eServer Security Planner


Bild 3: Die Online-Version des Sicherheitsassistenten

Eine abschließende Betrachtung ergibt: Beim Einsatz der vorgestellten Funktionen und Werkzeuge kann ein sehr hohes Sicherheitsbedürfnis befriedigt werden. Man darf sich nicht auf die „eingebaute Sicherheit“ bei iSeries allein verlassen, sondern muss auch die ständigen Erweiterungen und Vereinfachungen sinnvoll nutzen.

Erst dann ist man sicher sicher.