Lehet, hogy biztonságos az Ön rendszere, de az is előfordulhat, hogy mégsem. Ha a TCP/IP protokollt használják, akkor a következő néhány lépés végrehajtása után kiderül, hogy pl. az FTP milyen széles kapukat nyit meg az IBM i5/OS rendszerükön. Választásunk azért esett az FTP-re, mert minden előkészület nélkül elvégezhető a teszt. Az eredmény a többi szolgáltatásnál nagy valószínűséggel hasonlóképpen alakulna.

A teszt bármely Windows rendszeren végrehajtható. Az IBM i5/OS szerveren nem szükséges, hogy speciális jogosultsággal rendelkezzen.

  • Nyisson egy DOS ablakot.
  • A C:\WINDOWS promtnál gépelje be: ftp és a i5/OS nevét vagy IP címét.
    például: ftp 10.0.0.210
    Ezután a rendszer a Sign On információt kéri. Adja meg azonosítóját és a hozzá tartozó jelszót.
    Ezzel belépett az i5/OS-as rendszerbe.
  • Használja a DOS cd parancsot, hogy az aktív könyvtár a QGPL legyen.
    például: cd qgpl
    Ezzel belépett az i5/OS-as QGPL könyvtárába.
    Figyelem! Ez i5/OS rendszer könyvtár !
  • Ha szeretné látni, hogy milyen objektumok vannak ebben a könyvtárban használja a dir parancsot.
    például: dir
    Az FTP a könyvtár összes objektumát az Ön képernyőjén kilistázza. Ha látja az objektumokat, akkor letöltheti bármelyiket a saját számítógépére.
    Próbálja ki!
  • Használja az FTP get parancsot.
    például: get qddssrc.qdsignon c:\qdsignon.txt
    Amint a parancs végrehajtása befejeződött, Önnek egy i5/OS-as forrás fájl van a C:\ merevlemezén. Most a Notepad vagy a MS Word segítségével megtekintheti.
  • Ahogyan a DDM, úgy az FTP is támogatja a távoli parancsok végrehajtását.
    Ez azt jelenti, hogy Ön begépel egy parancsot a saját személyi számítógépén és az a parancs végrehajtódik az i5/OS-on.
    például: quote rcmd crtlib nocsak
    Ön egy új "nocsak" könyvtárat hozott létre az i5/OS-on.
  • Most tegyünk valamit ebbe a könyvtárba az FTP put parancs segítségével.
    például: put c:\autoexec.bat nocsak
    Ezzel a paranccsal a "nocsak" könyvtárba másolta az AUTOEXEC.BAT szöveges állományt.
  • Most tegyük fel tesztünkre a koronát. Töröljük a könyvtárat, amit létrehoztunk. A távoli parancsok végrehajtásának lehetősége ezt is biztosítja nekünk.
    Vigyázat ! Csak az ön által létrehozott könyvtárat törölje! Különben ...
    például: quote rcmd dltlib nocsak
    Ezzel a paranccsal a "nocsak" könyvtárat törölte, s mindazt ami benne volt.

    Ezzel az FTP által nyújtott lehetőségek közé pillanthatott be.
    Ha az itt végrehajtott lépések közül akár csak néhányat is sikerült végrehajtania, akkor itt az ideje, hogy megfelelő exit-programokat telepítsenek.

  • Most lépjünk ki az FTP alkalmazásból.
    A DOS ablakot be is zárhatjuk. Sőt a számítógépre sincs már szükség.
  • Most következzék az utolsó teszt, ami hasonló erejű meglepetést tartogathat.
    Van olyan módszere vagy eszköze, amivel a fenti lépésekről tudomást szerezhet és auditálhatja azokat? Nézzen körül az i5/OS szerveren, lát valami nyomot a fenti eseményekről ?
    Kérje a rendszergazda vagy a Security Officer segítségét, hátha ő többet tud kideríteni.
    Amennyiben az Önök IBM i5/OS rendszerén az audit journal funkciót használják, abban az esetben sem jutnak kellő mennyiségű és részletességű információhoz a történtekről. De ez is csak utólag, korlátozottan elemezhető...
    Ha az Önök rendszerén nincs megfelelő "exit-program" telepítve, akkor nincs értelmezhető nyoma ezeknek az FTP eseményeknek. Ellenőrizhetetlenül és nyomtalanul történhet mindez?!

Miért lehet ez? Amíg terminálon keresztül érjük el az i5/OS-as gépet, addig a meghatározott menü pontokon kívül nem érhető el más lehetőség; természetesen van, aki nincs belekényszerítve a menü rendszerbe. A menüpontokon keresztül az adott programok meghatározott műveleteket végeznek például: adat objektumokban írnak, olvasnak, rekordokat törölnek. Az IBM i rendszer nem tesz különbséget, hogy a felhasználó terminálon vagy hálózaton keresztül jelentkezik be. Így a hálózati bejelentkezés esetén - az a felhasználó, aki eddig a terminálról képtelen volt "ártani" - olyan lehetőségeket is megkap, melyek alkalmasak erre. Természetesen olyan objektumokhoz nem lesz hozzáférési joga, amihez eddig ne lett volna, "csak" a lehetőségei bővültek.

Ez az a pont ahol a PowerTech Network Security auditálható módon adja vissza az IBM i szerver eléréséket, a rendszergazda illetve a "Security Officer" kezébe, olyan módon, melyet a biztonságpolitikai előírásban meghatároznak.

Ezt az teszi lehetővé, hogy minden hálózattal kapcsolatos exit point-ot figyel a PowerTech Network Security alkalmazás csomagja. Minden egyes hálózati műveletről feljegyzést készít(het).
Az általunk beállított szabályok szerint - valós időben - eldönti, hogy az adott igény az adott szolgáltatás esetében végrehajtható-e. Szükség van-e az adott felhasználó, a hely (IP cím), a kért funkció miatt más felhasználói jogosultsági szint használatára.
Más szavakkal képesek vagyunk a DDM, FTP, ODBC, SNA, TCP/IP stb. funkciónként más-más hozzáférési jog meghatározásra ugyanannak a felhasználónak attól függően, hogy éppen milyen hálózati funkción keresztül éri el az IBM i rendszert.

Az esetleg így együttesen kiderített és felszínre kerülő kellemetlen meglepetést - amiről jó ha tudunk és nem ringatjuk magunkat álomba - közösen helyre is tudjuk hozni.

Go to top