Betriebssysteme it-akademie Bayern z/os und OS/390 Lehrgang 2009 Prof. Dr.-Ing. Wilhelm G. Spruth Teil 11 RACF

Transkript

1 Betriebssysteme it-akademie Bayern z/os und OS/390 Lehrgang 2009 Prof. Dr.-Ing. Wilhelm G. Spruth Teil 11 RACF el0100 ww copyright W. G. Spruth, wgs 10-05

2 z/os Sicherheit Unter z/os kann ein Programm nur auf Bereiche zugreifen, für die es eine explizite Zugriffsauthorisierung erhalten hat, die durch den Überwacher des Betriebssystems vergeben und überwacht wird. Der Default Setup unter OS/390 gestattet einem Programm keinen Zugriff auf Bereiche, die anderen Programmen zugeordnet sind. Um hierüber hinweg zu kommen, bedarf es einer expliziten Authorisierung durch Sicherheitsadministratoren oder Systemprogrammierer. z/os ist die einzige Rechnerarchitektur auf dem Markt, die über Hardware Speicherschutzschlüssel verfügt. Kryptographischer Koprozessor es 0512z ww6 wgs 09-99

3 z/os Security Server SecureWay Security Server Komponenten des z/os Security Servers sind: RACF z/os Firewall Technologies FTP Proxy and SOCKS servers z/os Firewall technologies IPSec key server LDAP Server, incl. Secure Directory Server Network Authentication Service Open Cryptographic Enhanced Plug-in (OCEP) DCE Security Server, einschließlich Kerberos Network Authentication Service Unterstützung für SSL und SSH Unterstützung für Kryptographischer Koprozessor IBM Redbook z/os 1.6 Security Services Update, July 2005, SG f:\scholar\abssysorogr\security01

4 RACF Resource Access Control Facility RACF entscheidet, ob der Benutzer für RACF definiert wird ob der Benutzer ein gültiges Password, PassTicket, Operator Identification Card und einen gültigen Gruppen-Namen verwendet. ob der Benutzer das System an diesem Tag und zu dieser Tageszeit benutzen darf ob der Benutzer authorisiert ist, auf das Terminal (Tag und Zeit) zuzugreifen ob der Benutzer authorisiert ist, auf die Anwendung zuzugreifen ob der Benutzer authorisiert ist, auf spezifische Daten zuzugreifen es 0512z ww6 wgs 09-99

5 During authorization checking, RACF checks the resource profile to ensure that the resource can be accessed in the way requested and that you have the proper authorization to access the resource. The necessary user-resource requirements must match before RACF grants the access request to a protected resource. When a user requests access to a resource that has a security classification, RACF performs two checks. 1. RACF compares the security level in the user and resource profiles. If the resource has a higher security level than the user, RACF denies the request. 2. RACF compares the list of categories in the user's profile with the list of categories in the resource profile. These include installation-defined names corresponding to departments or areas within an organization. If the resource profile contains a category that is not in the user's profile, RACF denies the request.

6 OS/390 Security Server RACF (Resource Access Control Facility) bewirkt Identifizierung und Authentifizierung von Benutzern Benutzer Authorisierung für Zugriff auf geschützte Resourcen Logging und Berichte über unauthorisierte Zugriffe Überwacht die Art, wie auf Resourcen zugegriffen wird Anwendungen können RACF Macros benutzen Literatur : IBM GC es 0426 ww6 wgs 08-00

7 RACF RACF benutzt das Konzept von zu schützenden Resourcen. Resourcen werden in Klassen aufgeteilt. Beispiele für Klassen sind: Benutzer Dateien CICS Transaktionen Datenbank Rechte Terminals Jedem Element einer Klasse wird ein Profil zugeordnet. Das Profil besagt, welche sicherheitsrelevanten Berechtigingen vorhanden sind. Die Profile werden in einer Systemdatenbank, der RACF Profildatenbank, abgespeichert. Beispiel: Ein interaktiver Benutzer logged sich ein. Der Login Prozess überprüft, ob die Login Berechtigung besteht. Er überprüft weiterhin, ob das Terminal, von dem der Benutzer sich einwählt, eine Zugangsberechtigung hat. Hierzu ruft der Login Prozess RACF auf, welches die entsprechenden Profile in seiner Datenbank konsultiert. Anschließend ruft der Benutzer ein Programm auf, welches auf eine Datei zugreift. Die OPEN Routine ruft RACF auf, welches das Profil der Datei bezüglich der Zugriffsrechte befragt. Benutzer Profile enthalten Capabilities. Datei Profile enthalten Access Control Listen. Zugriffsrechte können von spezifischen granularen Bedingungen abhängig gemacht werden; z.b. der Zugriff auf eine Datenbank kann von der Nutzung eines spezifischen Anwendungsprogramms abhängig gemacht werden, oder auf bestimmte Tageszeiten begrenzt sein. Problem: Wartung der Profile. cs 0653 ww6 wgs 10-01

8 RACF (1) Resource Access Control Facility z/os spezifiziert kritische Events innerhalb des Betriebssystems als sicherheitssensitive Verzweigungen. Die z/os Security Authorisation Facility (SAF) des z/os Kernels bewirkt an diesen Stellen den Aufruf einer Security Engine, eines Prozesses, der im Benutzer Status läuft. In z/os ist diese Security Engine häufig RACF; alternative z/os Security Engines sind ACF/2 oder TopSecret der Firma Computer Associates. Zugriffsrechte können von spezifischen granularen Bedingungen abhängig gemacht werden; z.b. der Zugriff auf eine Datenbank kann von der Nutzung eines spezifischen Anwendungsprogramms abhängig gemacht werden, oder auf bestimmte Tageszeiten begrenzt sein. SAF übergibt der externen Security Engine die pertinente Information. Die Security Engine kann dann auf der Basis von Profilen über die Zugriffsrechte entscheiden. Problem: Maintenance der Profile. es 0603 ww6 wgs 10-02

9 Ressource-Profile RACF enthält Informations-Einträge in der RACF- Datenbank, sie werden Profiles genannt. RACF benutzt diese, um DASD (Direct Access Storage Device), Tape Datasets und General Ressourcen (Tapes, Terminals) zu schützen. Dataset-Profiles enthalten Security-Informationen über DASD und Tape Datasets General Resource Profiles enthalten Security- Informationen über General Ressourcen Jede RACF-definierte Ressource hat ein Profile, man kann optional ein einzelnes Profile benutzen, um multiple ressourcen zu schützen. Dataset- und General Resource-Profiles sind sehr ähnlich. RACF Report Writer Data Security Monitor DFSORT ICETOOL Utility

10 RACF Datenbank Resource Profile 5 Resource Resource 1 Manager Manager RACF z.b. TSO z.b. CICS (oder ASF) 2 RACROUTE 3 RACROUTE 4 SAF z/os Kernel RACF Arbeitsweise 1. Ein Benutzer greift auf eine Resource über einen Resource Manager zu, z.b. TSO 2. Der Resource Manager benutzt einen System Call RACROUTE um auf die Security Access Facility (SAF) des z/os Kernels zuzugreifen. SAF ist eine zentrale Anlaufstelle für alle sicherheitsrelevanten Aufgaben. 3. SAF ruft ein Zugriffskontrolle Subsystem auf. Dies ist normalerweise RACF. (Eine Alternative ist die Access Control Facility der Fa. Computer Associates, die ähnlich arbeitet). 4. RACF greift auf einen Profile Datensatz in seiner eigenen RACF Datenbank zu und überprüft die Zugangsberechtigungen 5. Das Ergebnis teilt RACF dem anfragenden Resource Manager mit. es0436 ww6 wgs 09-01

11 After a user enters a command to the system to access the resource, a system resource manager (such as data management) processes the request. The resource manager, based on what RACF indicates, either grants or denies the request: 1.A user requests access to a resource using a resource manager (for example,tso/e). 2.The resource manager issues a RACF request to see if the user can access theresource. 3.RACF refers to the RACF database or in-storage data and...checks the appropriate resource profile.. 4.Based on the information in the profile... 5.RACF passes the status of the request to the resource manager. 6.The resource manager grants (or denies) the request. es 0424 ww6 wgs 08-00

12

13 RACF enables the organization to define individuals and groups who use the system RACF protects. For example, for a secretary in the organization, a security administrator uses RACF to define a user profile that defines the secretary s user ID, initial password, and other information. A group is a collection of individuals who have common needs and requirements. For example, the secretaries for a whole department may be defined as one group. Besides defining user and group authorities, RACF protects resources. A resource is the organization s information stored in its computer system, such as data sets. For example, a secretary might have a data set as a resource. RACF provides a way to control who has authority to access a resource. RACF stores all this information about users, groups, and resources in profiles. A profile is a record of RACF information that has been defined by the security administrator. There are user, group, and resource profiles.

14 Logging und Report RACF liefert statistische Informationen, d.h. Datum, Zeit und Anzahl der Logins eines Nutzers und die Anzahl der Zugriffe eines Nutzers auf eine spezifische Ressource. RACF schreibt Security Log Records, wenn es feststellt: Nichtauthorisierte Versuche, in das System zu gelangen Authorisierte oder nichtautorisierte Versuche, auf RACF-geschützte Ressourcen zuzugreifen Authorisierte oder nichtauthorisierte Versuche, RACF-Commands einzugeben Es ist möglich, den Inhalt dieser Records aufzulisten. Die Sicherheit des Systems kann überprüft werden. Spezifische Programme können dabei hilfreich sein

15 SMF Data Unload Utility Die SMF Data Unload Utility verarbeitet SMF-Records und erlaubt komplexeres Auditing als der RACF-Report-Writer. Der Ausgang der SMF Data Unload Utility kann sein: - Direkt sichtbar - Eingang für installation-written Programme - Manipuliert durch sort/merge Utilities - Hochladen zu einem datenbank-manager, z.b. DB2 Der Nutzer ist in der Lage, komplexeanfragen zu verarbeiten und maßgeschneiderte Reports vom Ausgang der SMF Data Unload Utility zu generieren. Diese Reports können bei der Identifikation von bestimmten Zugriffs-Mustern authorisierter Nutzer hilfreich sein. Daten werden öfter durch authorisierte Nutzer missbraucht als durch nichtauthorisierte Nutzer gestohlen, deshalb sind Reports wie diese für die Sicherheit notwendig!

16

17

18