SlideShare ist ein Scribd-Unternehmen logo

Seguridad en mainframe

Als DOCX, PDF herunterladen
Adrian Sigueñas Calderon
Adrian Sigueñas Calderon

Documento sobre la seguridad en mainframe de IBM

Technologie
1 von 16
2011 SEGURIDAD EN MAINFRAME 13/05/2011
SEGURIDAD EN MAINFRAME 2011 TABLA DE CONTENIDO Pág. INTRODUCCION………………………………………………………………………………………..……...…… 2 1. Servicios de seguridad e infraestructura……………………………………………………………………………………………… 2 2. Situación real de la seguridad en z/OS en el año 2009…………………………………………………………………….…. 4 2.1. ¿Es realmente seguro el entorno z/OS? ………………………………………………………………………………………..…. 4 2.2. La seguridad en los mainframes de IBM. ¿Mito o realidad? ………………………………………………………..….…. 4 2.3. ¿Cómo ha pasado el tiempo para System/360? …………………………………………………………………………….…..5 2.4. ¿Es realmente seguro en la actualidad? …………………………………………………………………….…………………….. 5 3. RACF……………………………………………………………………………………………………………………………………................ 8 4. Tivoli zSecure Manager for RACF z/VM…………………………………………………………………………………………….… 9 5. System z9…………………………………………………………………………………………………………………………………………………………. 14 6. BIBLIOGRAFÍA……………………………………………………………………………………………………………………….…….…… 15 www.ticalcanze.tk
SEGURIDAD EN MAINFRAME 2011 INTRODUCCION No es frecuente hallar consenso cuando se habla de seguridad en mainframes IBM. En la mayoría de las ocasiones se asocia a la seguridad z/OS y en concreto, al control de acceso a recursos (RACF). Otros auditores se centran en la configuración de seguridad del producto o productos que se tengan para gestionar la seguridad. También es usual, especialmente en entornos financieros, que la seguridad del mainframe haga referencia al estado de las facilidades criptográficas, de sus importantes implicaciones. Esta variabilidad quizás se deba a que los mainframes son sistemas complejos donde corren aplicaciones igualmente complejas, con lo que no son habituales auditorías integrales que cubran todos los posibles elementos que guardan relación con la seguridad. Dependiendo de lo que nos diga la evaluación de riesgos, se suelen atacar aspectos individuales con la finalidad de opinar sobre el estado de seguridad en relación a un alcance específico. Este planteamiento es perfectamente válido, si bien a la larga puede provocar que se altere el concepto de seguridad del mainframe, sobre todo si evaluamos únicamente determinados aspectos de forma repetitiva y no la totalidad de elementos que son susceptibles de análisis y que tienen implicación directa en la seguridad de estas máquinas transaccionales. www.ticalcanze.tk
SEGURIDAD EN MAINFRAME 2011 1. Servicios de seguridad e infraestructura Los servicios de seguridad y de la capa de infraestructura contienen los componentes de nivel superior, que puede ser directamente asignado al marco de seguridad de IBM. Cada Administración de la Seguridad Fundacional componente representa controles de negocio, en lugar de la tecnología. Las propias subcapas constan de servicios individuales y relacionados entre sí:  La seguridad de la información y la infraestructura de gestión de eventos proporciona la infraestructura para automatizar el registro de la agregación, correlación y análisis. También permite a una organización reconocer, investigar y responder a incidentes de forma automática, y agilizar los incidentes el seguimiento y la manipulación, con el objetivo de mejorar las operaciones de seguridad y riesgos de la información de gestión.  La infraestructura de identidad, el acceso y el derecho proporciona servicios para la gestión de usuarios contraseñas de aprovisionamiento, inicio de sesión único, control de acceso, y la sincronización de usuarios información a través de directorios.  La infraestructura de la política de seguridad proporciona servicios para gestionar el desarrollo aplicación de políticas de seguridad de una manera coherente y automatizar el despliegue de esas políticas a los sistemas informáticos. www.ticalcanze.tk
SEGURIDAD EN MAINFRAME 2011 2. Situación real de la seguridad en z/OS en el año 2009 Esta tecnología no sólo está muy viva sino que actualmente protege el 80% de los datos de nuestras mayores empresas, siendo particularmente cierto en el mundo de la banca. a. ¿Es realmente seguro el entorno z/OS? La falta de personal capacitado, el crecimiento de la complejidad y las unidades de volumen que se manejan (miles de terminales conectados, cientos de miles de trabajos ejecutados diariamente, centenares de millones de ficheros, decenas de TB de datos sensibles gestionados por segundo, decenas de millones de transacciones realizadas contra esos datos) impiden que realmente se puedan poner en marcha medidas que puedan detectar aquellas acciones de usuarios que están destinadas a realizar fraudes, destruir información o denegar el servicio durante días. b. La seguridad en los mainframes de IBM. ¿Mito o realidad? Su seguridad era inexpugnable, el bastión System/360 y sus evoluciones System/370, System/XA y System/ESA estaban bajo el control exclusivo de los iniciados y era realmente difícil hacerse con un manual de cualquiera de los aspectos que mostraban esas tecnologías. Incluso siendo cliente había una gran cantidad de manuales que describían el funcionamiento interno de los sistemas operativos y el hardware específico que sólo podían ser consultados por los ingenieros de hardware o software de IBM. El conocimiento de un entorno es la primera fase de cualquier acto ilícito informático: Intrusión, fraude, destrucción de datos, robo de datos. Hasta mediados de los 80 era muy difícil lograr material que ilustrase sobre el entorno de los mainframes de IBM. Por lo tanto hasta los años 90 palabras como intrusión, hacking o ciberterrorismo no existían en las arquitecturas informáticas basadas en mainframe. Las únicas situaciones de riesgo que se consideraban era el fraude de algún programador que hábilmente había decidido redondear sobre una cuenta a su favor cambios de divisa o liquidaciones de cuentas. En cualquier caso, algún fraude que si se pudo corroborar no salió del ámbito de la compañía en cuestión para no dañar la imagen de la misma. Este desconocimiento de la tecnología, unido a una disponibilidad cercana al 99,99% hicieron concebir a la mente de los directivos de las grandes empresas que el mainframe era inexpugnable. www.ticalcanze.tk
SEGURIDAD EN MAINFRAME 2011 c. ¿Cómo ha pasado el tiempo para System/360? A mediados de los años 90 el mainframe estaba totalmente cercado por las florecientes tecnologías que surgían por doquier: TCP/IP, Unix, Windows, cliente/servidor, Zero Administration; y nuevos jugadores con: Sun, HP, Microsoft. Aquellas pantallas de fósforo verde o ámbar del mainframe fueron sustituidas por pequeños ordenadores que conectados a servidores más potentes enseñaban maravillosos gráficos y menús desplegables ergonómicamente adecuados. Pero IBM supo reaccionar a tiempo y consolidar su tecnología en soluciones de hardware y software que actuaban de súper servidor de datos de propósito general. A los sistemas antes mencionados les siguieron el OS/390 y la gran esperanza de IBM: el sistema operativo z/OS de 64 bits. Con ellos abrió su conectividad hacia el mundo IP, relegando a un segundo plano al SNA e incluso desarrolló un emulador de Unix llamado USS (Unix System Services) con el que tratar que sus grandes clientes usuarios de mainframe no tuvieran que abandonarlo para desarrollar aplicaciones atractivas a los usuarios en infraestructuras de otros fabricantes. Hábilmente, el personal de marketing de los grandes sistemas como el que tratamos acuñó otro término que defendiera su posición: El Rigthsizing o “cada tecnología se debe de usar para su principal función”. Desde el punto de vista económico las unidades de medida cambiaron de medir los costes en miles de millones, a cientos de millones de las antiguas pesetas. Cuarenta años después los pilares tecnológicos en los que se asentó la tecnología durante los primeros quince siguen estando vigentes en las últimas versiones. Si preguntamos a un director de Organización y sistemas sobre la seguridad de su mainframe su respuesta será en un 99% que es un sistema totalmente seguro. Si se lo preguntamos a un director de IT su respuesta será que: “con todos los problemas que tienen en resguardar el mundo abierto no vamos ahora a decirle que el mainframe no es seguro. ¡Por supuesto que es seguro!”. Si le realizamos la misma pregunta al responsable de seguridad hará el entorno mainframe, el 90% de los encuestados nos dirá que conocen perfectamente los riesgos y las vulnerabilidades pero que es muy difícil explotarlas, por lo que el riesgo es muy bajo. d. ¿Es realmente seguro en la actualidad? En el trabajo diario de auditar en profundidad estos sistemas en grandes empresas que tienen el 90% de los datos soportados en mainframe, hemos comprobado que actualmente el mainframe tiene nuevas amenazas que han llegado con la “modernidad” de los entornos informáticos. www.ticalcanze.tk
SEGURIDAD EN MAINFRAME 2011 Podemos resumir las amenazas en una clasificación básica: Descapitalización de profesionales: IBM hace quince años comenzó con la desamortización de personal especializado en mainframes a través de las prejubilaciones. En esta tendencia le siguió la Banca (su principal cliente) y posteriormente la industria. Actualmente es prácticamente imposible encontrar un profesional con experiencia suficiente cuya edad sea menor a 45 años. Las nuevas generaciones “huyen” literalmente, de aprender la complejidad de estos sistemas que están limitados a menos de 100 potenciales clientes en España. La complejidad del sistema ha crecido de forma exponencial en los últimos diez años y el conocimiento necesario respecto al número de profesionales ha decrecido en igual proporción. El punto de encuentro de las dos tendencias es actualmente un equilibrio delicado en cuanto a la inversión necesaria en horas de trabajo para mantener el sistema seguro, frente al gran número de tareas del día a día en grupos de soporte cada vez de menor tamaño. Apertura en la conectividad: En los últimos diez años se ha dotado al mainframe de la habilidad de hablarse con cualquier otra infraestructura informática a través del TCP/IP, pero también de las vulnerabilidades asociados a servicios como: FTP, HTTP. En estos sistemas es la submisión (envío y ejecución) de trabajos por lotes desde un usuario al que sólo se le ha permitido el acceso exclusivo a transferir ficheros. Igualmente podrá llevarse del sistema los resultados de los trabajos e incluso borrar parte de su rastro. El nivel de conocimientos necesario es el descargarse de Internet un cliente FTP de dos dólares. El número de usuarios que tienen esta cualidad en algunas de los principales clientes de España puede ser incluso todos los que el sistema tiene definidos, sobre todo cuando se utilizan nuevas tecnologías como los directorios X500 (LDAP). Aluminosis: A mediados de los ochenta IBM desarrolló el mejor servidor de seguridad de la industria, este servidor es el RACF o en su versión moderna Secureway@Security Server for z/OS. Este es un software de seguridad que teniendo la potencialidad de securizar un sistema hasta el nivel B2, tiene el hándicap (desventaja impuesta por el deterioro del uso) de no ser muy amigable a la hora de administrarlo. www.ticalcanze.tk
SEGURIDAD EN MAINFRAME 2011 Actualmente podemos encontrar bases de datos de seguridad donde se han definido reglas de acceso de usuarios a recursos durante veinte años. El resultado son grandes vulnerabilidades en la defensa de dichos recursos porqué no hay forma, con las herramientas estándar que proporciona IBM, de estar seguro de que a un recurso sólo puede acceder un usuario o grupo de usuarios en concreto. Facilidad de acceso a la información interna de los sistemas: Con la llegada de Internet IBM decidió publicar en su web todos los manuales necesarios para comprender los sistemas operativos de sus mainframes. Estos manuales son necesarios para comprender como hacer que el sistema haga lo que tú quieras sin dejar rastro de auditoría. Actualmente, aunque IBM dejara de publicarlos en la web el número de sites donde residen copias de los mismos se cuentan por decenas de miles, por lo que el conocimiento ya ha dejado de ser oscuro y se encuentra en la luz que proporciona Internet. Emuladores de hardware: Hace veinte años, aunque hubiéramos tenido la información necesaria para hacer rutinas que modificaran el sistema, teníamos aún que tener un entorno en el que probar, lo que significaba la inversión de centenares de miles de euros. Hoy en día existen varios emuladores de hardware de mainframe que capacitan a pc´s de menos de 600€ para ejecutar una gran parte de los sistemas operativos empresariales de mainframe. Este software que en su versión freeware se llama Hércules, es libre y se puede descargar de Internet después de una breve búsqueda. Es cierto que el único sistema operativo que “legalmente” se puede ejecutar en él es la versión 3.8 de MVS pero vayan al típico “emule” y busque otros sistemas. www.ticalcanze.tk
SEGURIDAD EN MAINFRAME 2011 3. RACF: El Security Server o el tradicionalmente llamado RACF (Resource Access Control Facility). Aunque pueda parecer que todos los sistemas de seguridad al final se basen en lo mismo, en el caso del mainframe es un caso aparte, ya que el sistema de seguridad de un mainframe se desarrolló junto con el desarrollo del sistema operativo y por tanto, es intrínseco y está fuertemente acoplado al mismo. En cambio, en otros sistemas tipo Unix y demás, la seguridad fue un desarrollo posterior y por tanto, sigue otras directrices. RACF es un compendio de reglas de seguridad que se crean en base a unas clases. Una clase es un grupo de objetos los cuales queremos otorgarle un determinado acceso, por lo que todo objeto perteneciente a la misma clase tendrá el mismo nivel de seguridad. Por objeto se entiende desde un fichero, hasta un slot de proceso o abstracción funcional de software, por llamarlo de alguna manera. Existen dos tipos de clases: Las denominadas “normales”: es decir, clases de acceso, facilitys, logging y demás. Las clases “especiales”, que son dos: Estas clases se denominan especiales porque pueden ser gobernadas por clases “normales” que les concederán un cierto acceso, estas clases pueden ser regidas por otras clases. o Las clases Usuario: es muy importante porque se hace cargo de la seguridad referente al tipo de usuario, tipo de acceso a los elementos mainframe y que facilidades tiene otorgado para realizar su trabajo. o Las clases Dataset: es una clase especial que sirve para tener el control total sobre todo elemento susceptible de grabarse en disco o cinta. Por tanto, se podría decir que RACF controla TODO el sistema internamente (procesos, subprocesos, schedulers, dispatchers, el núcleo, etcétera), controla los usuarios, el acceso de los usuarios a los datos, el acceso de los mecanismos de acceso a los datos, la interacción de los mecanismos de acceso con los procesos. www.ticalcanze.tk
SEGURIDAD EN MAINFRAME 2011 4. Tivoli zSecure Manager for RACF z/VM IBM Tivoli zSecure Manager for RACF z/VM ha sido diseñado para proporcionar a los administradores herramientas que les ayudarán a liberar el potencial de su sistema de mainframe, haciendo posible una administración eficaz y efectiva del RACF, a la vez que ayuda a reducir el uso de recursos. Al automatizar muchas de las funciones de administración de sistemas recurrentes, Tivoli zSecure Manager for RACF z/VM le puede ayudar a maximizar los recursos de TI, reducir errores, mejorar la QoS y demostrar conformidad. Sus capacidades son, las siguientes:  Automatizar tareas de gestión de la seguridad de z/VM complejas y que requieren mucho tiempo con acciones simples de un solo paso que pueden llevarse a cabo sin un conocimiento detallado de los comandos del RACF.  Identificar rápidamente y evitar problemas en el RACF antes de que se conviertan en una amenaza para la seguridad y la conformidad.  Ayudar a reducir la carga de la consolidación de las bases de datos.  Crear controles exhaustivos de auditoría sin un esfuerzo manual importante.  Generar y visualizar informes de auditoría personalizados con calendarios flexibles y secciones de eventos. a. Cifrado de discos: Para ayudar a garantizar que sus datos almacenados están seguros, z/VM soporta el uso de las funciones de cifrado IBM Full Disc Encryption del sistema IBM DS8000. Para utilizar estas funciones de cifrado no es necesario realizar ningún cambio en la configuración del sistema z/VM. El estado de cifrado de un volumen se determina fácilmente utilizando un simple comando z/VM. b. Cifrado de cintas: z/VM ayuda a proteger los datos almacenados en cinta de una forma rentable ofreciendo soporte para el cifrado de datos basado en unidades utilizando las soluciones IBM System Storage TS1120 Tape Drive (tipo de máquina 3592, modelo E05) e IBM System Storage TS1130 Tape Drive (tipo de máquina 3592, modelo E06). El cifrado de cintas exige que el IBM Encryption Key Manager se ejecute en otro sistema operativo, utilizando una conexión fuera de banda (como TCP/IP) a una unidad de control de cinta. El soporte de z/VM incluye el cifrado para Double Data Rate (DDR) y SPXTAPE, así como para huéspedes que no puedan ofrecer su propia habilitación de cifrado (por ejemplo, CMS y Linux para System z). www.ticalcanze.tk
SEGURIDAD EN MAINFRAME 2011 z/VM también hace posible el cifrado de cintas por parte de huéspedes (como z/OS) que tienen la capacidad de controlar las funcionalidades de cifrado de cintas por sí mismas y ejecutar, opcionalmente, el Encryption Key Manager. Los cartuchos de cinta cifrados con anterioridad pueden volverse a cifrar con un nuevo conjunto de claves sin necesidad de leer y reescribir los datos almacenados en el cartucho, permitiendo así una protección continua de los datos almacenados en el cartucho de cinta mientras se cambian o sustituyen los certificados de cifrado que se utilizaban para crearlos. Los huéspedes de z/VSE pueden utilizar DFSMS/VM FL221 para localizar unidades de cinta 3592 aptas para cifrado en una biblioteca de cintas automatizada empresarial. c. Servidor Secure Sockets Layer (SSL) El servidor TCP/IP for z/VM SSL está disponible para facilitar conversaciones seguras y privadas entre servidores z/VM y clientes externos. Con el soporte de z/VM para SSL y para TransportLayer Security (TLS), un servidor VM pueden comunicarse con un cliente seguro sin necesidad de cambiar al propio servidor. El servidor SSL suministrado con z/VM soporta servicios de cifrado/descifrado de 40 bits, 56 bits y 128 bits. El servidor SSL es capaz de ofrecer soporte transparente para protocolos que pueden encapsularse en una sesión SSL segura (por ejemplo, HTTPS) y presta servicio a aplicaciones que necesitan pasar de un texto sin cifrar a un texto seguro, tales como TN3270, File Transfer Protocol (FTP) y Simple Mail Transfer Protocol (SMTP). d. Aceleración criptográfica La función criptográfica del IBM System z10 ha sido diseñada para satisfacer los requisitos de seguridad de los servidores de alta gama. Puede configurarse como un coprocesador para transacciones de clave segura o como un acelerador para la aceleración SSL, ofreciendo mejoras importantes en el rendimiento de los algoritmos criptográficos utilizados para el cifrado y la generación y verificación de pares de claves públicas y privadas. z/VM pone las funciones Crypto Express2 y Crypto Express3 a disposición de los huéspedes bien con acceso dedicado para su uso en operaciones de clave segura y clave sin cifrar o bien con acceso compartido para operaciones de clave sin cifrar. La CP AssistforCryptographicFunction (CPACF) forma parte de cada procesador en el servidor System z de IBM. Ofrece un conjunto de funciones criptográficas que se centra en la función de cifrado/descifrado de SSL, Virtual Private Network (VPN) y aplicaciones de almacenamiento de datos. La CPACF es utilizada por las funciones SSL/TLS incluidas en el www.ticalcanze.tk
SEGURIDAD EN MAINFRAME 2011 cliente y el servidor LDAP z/VM y por las funciones SSL proporcionadas por el servidor SSL z/VM. Cualquier máquina virtual puede acceder a las funciones de la CPACF utilizando las ampliaciones Message-Security Assist (MSA) de la arquitectura de procesador System z de IBM. No se necesita ninguna autorización o configuración explícita de z/VM. e. Certificación según la norma de criterios comunes El z/VM V5.3 con el componente RACF Security Server ha sido certificado por la Oficina Federal Alemana para la Seguridad de la Información (BundesamtfürSicherheit in der Informationstechnik [BSI]) por su conformidad con el Controlled Access ProtectionProfile (CAPP) y el Labelled Security ProtectionProfile (LSPP) de la norma de criterios comunes para la seguridad de TI, ISO/IEC 15408, al nivel de garantía de evaluación 4, incrementado con los procedimientos de resolución de errores (EAL4+). Aún no se ha llevado a cabo la evaluación de conformidad del z/VM V6.1, pero ha sido diseñado para cumplir las mismas normas. f. Interconexión con z/VM z/VM ofrece dos tipos de interconexión virtual: LANs huésped la VSWITCH: Estas tecnologías permiten a los huéspedes comunicarse entre sí y con otros hosts de la red sin necesidad de dedicar recursos de hardware a cada huésped. Las LANs huésped son segmentos simulados de LAN que no tienen una conexión integrada a ninguna otra LAN. Sólo se conectan a otra red cuando un huésped lleva a cabo servicios rutinarios. Pueden definirse para simular HiperSockets o un funcionamiento OSA-Express en modo QDIO. Las LANs huésped definidas para funcionar como OSA-Express pueden configurarse para simular el modo OSA L2 (Ethernet) o el modo Internet Protocol (IP). En modo Ethernet, cada huésped de la LAN huésped se referencia por su dirección Media Access Control (MAC) y los datos se transmiten y reciben como tramas Ethernet completas. Este modo soporta IP, SNA, NetBios o cualquier otro formato de trama Ethernet. En modo IP, cada huésped se referencia por su dirección IP. Se pueden utilizar los protocolos IPv4 o IPv6, ayudando así a los desarrolladores de aplicaciones y de pilas TCP/IP a crear y probar nuevas aplicaciones y controladores de dispositivo aptos para IPv6. www.ticalcanze.tk
SEGURIDAD EN MAINFRAME 2011 g. VSWITCH z/VM ofrece la capacidad de implantar conmutadores virtuales Ethernet. El z/VM VSWITCH elimina la necesidad de que máquinas virtuales funcionen como routers para conectar una LAN huésped a una LAN física a través de un adaptador OSA-Express. Los routers virtuales consumen una capacidad de procesador muy valiosa debido a la necesidad de copiar repetidas veces los datos que están siendo transportados. El VSWITCH puede ayudar a disminuir estos problemas, así como a proporcionar una configuración y un control de red virtual centralizados. Estos controles permiten al administrador de z/VM otorgar y revocar acceso a la red de forma mucho más sencilla. El VSWITCH ofrece un soporte de recuperación de errores mejorado para lograr una recuperación con menos interrupciones tras algunos de los fallos de red más comunes, ayudando así a mejorar la continuidad del negocio y la fiabilidad y disponibilidad de la infraestructura. Al igual que en las LANs huésped, el VSWITCH soporta tanto el modo L2 (Ethernet) como el modo de transporte de datos IP. El VSWITCH también ofrece soporte para la norma de agregación de enlaces 802.3ad del Institute of Electrical and ElectronicsEngineers (IEEE). Este soporte está diseñado para permitir la agrupación de hasta ocho puertos OSA-Express en un único puerto lógico. Esto ayuda a aumentar el ancho de banda más allá de lo que podría proporcionar un único adaptador OSA-Express y ofrece una recuperación de errores más rápida y uniforme en el caso de un fallo en el enlace. Los huéspedes pueden aprovechar estas conexiones altamente disponibles y de mayor ancho de banda sin necesidad de ninguna configuración adicional. No es necesario definir y gestionar múltiples adaptadores de red virtuales o implementar protocolos de enrutamiento dinámicos dentro del huésped. h. Virtualización de redes z/VM z/VM ofrece la capacidad de autorizar que un huésped conectado a una LAN huésped o a un VSWITCH z/VM motive la entrada de un adaptador de red virtual (tarjeta de interfaz de red (NIC)) en ‘modo promiscuo’. En este modo, el huésped actúa como un ‘detector’ virtual para capturar tráfico de red. Esta capacidad puede ayudar a un administrador (o propietario de www.ticalcanze.tk
SEGURIDAD EN MAINFRAME 2011 una máquina virtual huésped) a capturar datos de red y a resolver problemas de red virtuales. También puede utilizarse para implementar un sistema de detección de intrusos (IDS). z/VM aprovecha la tecnología VLAN del IEEE para ayudar a reducir el número de puertos OSA- Express2 o OSA-Express3 necesarios para transportar el tráfico a múltiples segmentos de LAN. Para soportar VLANs, z/VM ofrece: Soporte de interfaz de red OSA-Express y HiperSockets virtual para el etiquetado VLAN de tramas Ethernet por parte de los huéspedes y de CP, tal y como se describe en el protocolo IEEE 802.1q. Puertos de acceso virtuales que permiten la asignación de huéspedes no compatibles con VLAN a VLANs específicas sin necesidad de realizar ningún cambio en la configuración IP del huésped. Puertos de enlace virtuales que permiten a huéspedes compatibles con VLAN utilizar una VLAN autorizada. La capacidad de consolidar autorizaciones VLAN dentro de un gestor de seguridad externo (ESM) como el RACF. Administración y gestión de redes simplificada de las VLANs con soporte para GenericAttributeRegistrationProtocol (GARP) y VLAN RegistrationProtocol (GVRP) utilizando adaptadores OSA-Express2 u OSA-Express3 en z/VM. z/VM proporciona la capacidad de restringir las comunicaciones entre huéspedes dentro de un VSWITCH y entre adaptadores OSA-Express compartidos utilizados por el VSWITCH. El aislamiento de puertos del VSWITCH y el aislamiento de la conexión de datos QDIO pueden ayudarle a diseñar redes virtuales que cumplen estrictas políticas de separación de datos. El aislamiento del tráfico en adaptadores OSA-Express compartidos está disponible para componentes OSA-Express2 y OSA-Express3 en un servidor System z10 EC y en un servidor z10 BC con los MCLs mínimos necesarios. www.ticalcanze.tk
SEGURIDAD EN MAINFRAME 2011 5. System z9: El System z9 de IBM es el sistema de cómputo más confiable y seguro que jamás se haya construido. Duplica en potencia de procesamiento, capacidad y memoria a su antecesor, el mainframe conocido como "T-Rex". El sistema constituye un hito en la tecnología de la computación, con capacidades de seguridad, virtualización y colaboración que, según declaraciones de la compañía, lo posicionan como eje de la nueva era de la computación colaborativa. El System z9 representa una iniciativa de desarrollo que llevó tres años, demandó 1.200 millones de dólares y requirió la participación de 5.000 ingenieros, desarrolladores de software y expertos de seguridad de IBM de distintas partes del mundo. a. Seguridad en toda la red El System z9 está construido con base al legado de 41 años del mainframe como sistema rico en seguridad. IBM diseñó el mainframe con una seguridad de hardware avanzada. Cada sistema también contiene claves criptográficas maestras almacenadas en un paquete "inviolable" diseñado para transformar los datos en ceros a fin de evitar la captura física por parte de un intruso. El System z9 es capaz de permitir políticas de seguridad homogéneas en todos los servidores, todos los datos y ahora en toda la red, todo ello de conformidad con los objetivos del negocio, mediante la gestión centralizada de claves en z/OS y otras características de seguridad incorporadas. El z9 proporciona protección avanzada contra riesgos internos y externos con estas nuevas características: Simplificación y seguridad de datos de mainframe en archivo Criptografía avanzada Transacciones en línea seguras y más rápidas Seguridad de Internet más fácil de implementar para cargas de trabajo de mainframe Seguridad basada en red con Cisco www.ticalcanze.tk
SEGURIDAD EN MAINFRAME 2011 6. BIBLIOGRAFÍA: http://www.sahw.com/wp/archivos/2010/05/10/seguridad-en-mainframes-ibm/ http://sigt.net/archivo/seguridad-en-mainframe-introduccion-al-racf.xhtml http://www.go2bsecure.com/engine/index.php?option=com_content&task=view&id=127&Ite mid=124 http://www.ca.com/ar/mainframe-security.aspx http://www.foremad.es/index.php?option=com_flexicontent&view=items&cid=6:gratuitos&id =2248:administracion-de-seguridad-de-un-mainframe&Itemid=23 http://www.geonoticias.com/noticias/software/nuevo-mainframe-ibm.html http://www.ibm.com/pe/systems/z/hardware/index.phtml www.ticalcanze.tk

Empfohlen

Estructura en un área de seguridad informática
Estructura en un área de seguridad informáticaEstructura en un área de seguridad informática
Estructura en un área de seguridad informáticapersonal
 
Claves para Gerenciar Seguridad y Minimizar Los Riesgos (2005)
Claves para Gerenciar Seguridad y Minimizar Los Riesgos (2005)Claves para Gerenciar Seguridad y Minimizar Los Riesgos (2005)
Claves para Gerenciar Seguridad y Minimizar Los Riesgos (2005)Gabriel Marcos
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informáticaUniversidad Tecnológica del Perú
 
Marco
MarcoMarco
Marcomarco080030557
 
Seguridad informática cni
Seguridad informática cniSeguridad informática cni
Seguridad informática cniEdwin mendez
 
Evaluacion de la seguridad
Evaluacion de la seguridadEvaluacion de la seguridad
Evaluacion de la seguridadGeorgy Jose Sanchez
 
Marco
MarcoMarco
Marcomarco080030557
 
Riesgos medidas y_ciclo_de_seguridad
Riesgos medidas y_ciclo_de_seguridadRiesgos medidas y_ciclo_de_seguridad
Riesgos medidas y_ciclo_de_seguridadMilton Garcia
 

Empfohlen

Estructura en un área de seguridad informática
Estructura en un área de seguridad informáticaEstructura en un área de seguridad informática
Estructura en un área de seguridad informáticapersonal
 
Claves para Gerenciar Seguridad y Minimizar Los Riesgos (2005)
Claves para Gerenciar Seguridad y Minimizar Los Riesgos (2005)Claves para Gerenciar Seguridad y Minimizar Los Riesgos (2005)
Claves para Gerenciar Seguridad y Minimizar Los Riesgos (2005)Gabriel Marcos
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informáticaUniversidad Tecnológica del Perú
 
Marco
MarcoMarco
Marcomarco080030557
 
Seguridad informática cni
Seguridad informática cniSeguridad informática cni
Seguridad informática cniEdwin mendez
 
Evaluacion de la seguridad
Evaluacion de la seguridadEvaluacion de la seguridad
Evaluacion de la seguridadGeorgy Jose Sanchez
 
Marco
MarcoMarco
Marcomarco080030557
 
Riesgos medidas y_ciclo_de_seguridad
Riesgos medidas y_ciclo_de_seguridadRiesgos medidas y_ciclo_de_seguridad
Riesgos medidas y_ciclo_de_seguridadMilton Garcia
 
Examen seguridad física de los sistemas informáticos
Examen seguridad física de los sistemas informáticosExamen seguridad física de los sistemas informáticos
Examen seguridad física de los sistemas informáticosJorge Røcha
 
Seguridad Informatica
Seguridad InformaticaSeguridad Informatica
Seguridad InformaticaErnesto Herrera
 
Sostenibilidad de Sistema Tecnologico
Sostenibilidad de Sistema TecnologicoSostenibilidad de Sistema Tecnologico
Sostenibilidad de Sistema TecnologicoAlex
 
Funciones de un ceo, cio y el encargado de seguridad en informática
Funciones de un ceo, cio y el encargado de seguridad en informáticaFunciones de un ceo, cio y el encargado de seguridad en informática
Funciones de un ceo, cio y el encargado de seguridad en informáticaCarlos Andres Perez Cabrales
 
Presentación seguridad informática
Presentación seguridad informáticaPresentación seguridad informática
Presentación seguridad informáticajason031988
 
Cicyt
CicytCicyt
CicytRoberto Valdes
 
Gestion de Seguridad informatica
Gestion de Seguridad informaticaGestion de Seguridad informatica
Gestion de Seguridad informaticaCarlos Cardenas Fernandez
 
seguridad
seguridadseguridad
seguridadmariavictoria0000
 
Seguridad Informatica
Seguridad InformaticaSeguridad Informatica
Seguridad InformaticaPedro Trelles Araujo
 
Evaluacion final
Evaluacion finalEvaluacion final
Evaluacion finalMonicasuarez20
 
2003 07-seguridad
2003 07-seguridad2003 07-seguridad
2003 07-seguridadOsiel Alvarez Villarreal
 
Seguridad Informatica En Los Sistemas De InformacióN
Seguridad Informatica En Los Sistemas De InformacióNSeguridad Informatica En Los Sistemas De InformacióN
Seguridad Informatica En Los Sistemas De InformacióNJorge Skorey
 
Unidad 1: Introducción a la Seguridad Informática
Unidad 1: Introducción a la Seguridad InformáticaUnidad 1: Introducción a la Seguridad Informática
Unidad 1: Introducción a la Seguridad InformáticaDarbyPC
 
Curso seguridad en sistemas de informacion
Curso seguridad en sistemas de informacionCurso seguridad en sistemas de informacion
Curso seguridad en sistemas de informacionnyzapersa
 
Seguridad física y lógica
Seguridad física y lógicaSeguridad física y lógica
Seguridad física y lógicaEve_And
 
Seguridad Informatica
Seguridad InformaticaSeguridad Informatica
Seguridad InformaticaUniversidad Tecnológica
 
Seguridad logica fisica
Seguridad logica fisicaSeguridad logica fisica
Seguridad logica fisicaIESTP.CAP.FAP. JOSE ABELARDO QUIÑONES
 
Gestion de-riesgo-en-la-seguridad-informatica
Gestion de-riesgo-en-la-seguridad-informaticaGestion de-riesgo-en-la-seguridad-informatica
Gestion de-riesgo-en-la-seguridad-informaticaCristiam Lopez
 
Seguridad en Informatica - Luis Castellanos
Seguridad en Informatica - Luis CastellanosSeguridad en Informatica - Luis Castellanos
Seguridad en Informatica - Luis CastellanosLuis R Castellanos
 
Christopher Anderson SPHR CBS VP HR Hiring Trends
Christopher Anderson SPHR CBS VP HR Hiring TrendsChristopher Anderson SPHR CBS VP HR Hiring Trends
Christopher Anderson SPHR CBS VP HR Hiring TrendsJerome Matthews
 
Georges Dagher
Georges DagherGeorges Dagher
Georges DagherBBMRI Stakeholder's Forum
 
Metafuzz: Building Boring Fuzzers Faster, Using Metadata
Metafuzz: Building Boring Fuzzers Faster, Using MetadataMetafuzz: Building Boring Fuzzers Faster, Using Metadata
Metafuzz: Building Boring Fuzzers Faster, Using Metadataamiable_indian
 

Weitere ähnliche Inhalte

Was ist angesagt?

Examen seguridad física de los sistemas informáticos
Examen seguridad física de los sistemas informáticosExamen seguridad física de los sistemas informáticos
Examen seguridad física de los sistemas informáticosJorge Røcha
 
Sostenibilidad de Sistema Tecnologico
Sostenibilidad de Sistema TecnologicoSostenibilidad de Sistema Tecnologico
Sostenibilidad de Sistema TecnologicoAlex
 
Funciones de un ceo, cio y el encargado de seguridad en informática
Funciones de un ceo, cio y el encargado de seguridad en informáticaFunciones de un ceo, cio y el encargado de seguridad en informática
Funciones de un ceo, cio y el encargado de seguridad en informáticaCarlos Andres Perez Cabrales
 
Presentación seguridad informática
Presentación seguridad informáticaPresentación seguridad informática
Presentación seguridad informáticajason031988
 
Seguridad Informatica En Los Sistemas De InformacióN
Seguridad Informatica En Los Sistemas De InformacióNSeguridad Informatica En Los Sistemas De InformacióN
Seguridad Informatica En Los Sistemas De InformacióNJorge Skorey
 
Unidad 1: Introducción a la Seguridad Informática
Unidad 1: Introducción a la Seguridad InformáticaUnidad 1: Introducción a la Seguridad Informática
Unidad 1: Introducción a la Seguridad InformáticaDarbyPC
 
Curso seguridad en sistemas de informacion
Curso seguridad en sistemas de informacionCurso seguridad en sistemas de informacion
Curso seguridad en sistemas de informacionnyzapersa
 
Seguridad física y lógica
Seguridad física y lógicaSeguridad física y lógica
Seguridad física y lógicaEve_And
 
Gestion de-riesgo-en-la-seguridad-informatica
Gestion de-riesgo-en-la-seguridad-informaticaGestion de-riesgo-en-la-seguridad-informatica
Gestion de-riesgo-en-la-seguridad-informaticaCristiam Lopez
 
Seguridad en Informatica - Luis Castellanos
Seguridad en Informatica - Luis CastellanosSeguridad en Informatica - Luis Castellanos
Seguridad en Informatica - Luis CastellanosLuis R Castellanos
 

Was ist angesagt? (19)

Examen seguridad física de los sistemas informáticos
Examen seguridad física de los sistemas informáticosExamen seguridad física de los sistemas informáticos
Examen seguridad física de los sistemas informáticos
 
Seguridad Informatica
Seguridad InformaticaSeguridad Informatica
Seguridad Informatica
 
Sostenibilidad de Sistema Tecnologico
Sostenibilidad de Sistema TecnologicoSostenibilidad de Sistema Tecnologico
Sostenibilidad de Sistema Tecnologico
 
Funciones de un ceo, cio y el encargado de seguridad en informática
Funciones de un ceo, cio y el encargado de seguridad en informáticaFunciones de un ceo, cio y el encargado de seguridad en informática
Funciones de un ceo, cio y el encargado de seguridad en informática
 
Presentación seguridad informática
Presentación seguridad informáticaPresentación seguridad informática
Presentación seguridad informática
 
Cicyt
CicytCicyt
Cicyt
 
Gestion de Seguridad informatica
Gestion de Seguridad informaticaGestion de Seguridad informatica
Gestion de Seguridad informatica
 
seguridad
seguridadseguridad
seguridad
 
Seguridad Informatica
Seguridad InformaticaSeguridad Informatica
Seguridad Informatica
 
Evaluacion final
Evaluacion finalEvaluacion final
Evaluacion final
 
2003 07-seguridad
2003 07-seguridad2003 07-seguridad
2003 07-seguridad
 
Seguridad Informatica En Los Sistemas De InformacióN
Seguridad Informatica En Los Sistemas De InformacióNSeguridad Informatica En Los Sistemas De InformacióN
Seguridad Informatica En Los Sistemas De InformacióN
 
Unidad 1: Introducción a la Seguridad Informática
Unidad 1: Introducción a la Seguridad InformáticaUnidad 1: Introducción a la Seguridad Informática
Unidad 1: Introducción a la Seguridad Informática
 
Curso seguridad en sistemas de informacion
Curso seguridad en sistemas de informacionCurso seguridad en sistemas de informacion
Curso seguridad en sistemas de informacion
 
Seguridad física y lógica
Seguridad física y lógicaSeguridad física y lógica
Seguridad física y lógica
 
Seguridad Informatica
Seguridad InformaticaSeguridad Informatica
Seguridad Informatica
 
Seguridad logica fisica
Seguridad logica fisicaSeguridad logica fisica
Seguridad logica fisica
 
Gestion de-riesgo-en-la-seguridad-informatica
Gestion de-riesgo-en-la-seguridad-informaticaGestion de-riesgo-en-la-seguridad-informatica
Gestion de-riesgo-en-la-seguridad-informatica
 
Seguridad en Informatica - Luis Castellanos
Seguridad en Informatica - Luis CastellanosSeguridad en Informatica - Luis Castellanos
Seguridad en Informatica - Luis Castellanos
 

Andere mochten auch

Christopher Anderson SPHR CBS VP HR Hiring Trends
Christopher Anderson SPHR CBS VP HR Hiring TrendsChristopher Anderson SPHR CBS VP HR Hiring Trends
Christopher Anderson SPHR CBS VP HR Hiring TrendsJerome Matthews
 
Metafuzz: Building Boring Fuzzers Faster, Using Metadata
Metafuzz: Building Boring Fuzzers Faster, Using MetadataMetafuzz: Building Boring Fuzzers Faster, Using Metadata
Metafuzz: Building Boring Fuzzers Faster, Using Metadataamiable_indian
 
EMS Physio catalogue 2016 2017
EMS Physio catalogue 2016 2017 EMS Physio catalogue 2016 2017
EMS Physio catalogue 2016 2017 Ann Lewis
 
Aurten Bai Athletic Txapeldun¡¡¡
Aurten Bai Athletic Txapeldun¡¡¡Aurten Bai Athletic Txapeldun¡¡¡
Aurten Bai Athletic Txapeldun¡¡¡PEANMNIJA
 
E-Business Suite Release 12 Payables Upgrade: Like for Like and Then Some
E-Business Suite Release 12 Payables Upgrade: Like for Like and Then SomeE-Business Suite Release 12 Payables Upgrade: Like for Like and Then Some
E-Business Suite Release 12 Payables Upgrade: Like for Like and Then Someeprentise
 
Pdf_presentasion
Pdf_presentasionPdf_presentasion
Pdf_presentasionBankir_Ru
 
Presentación Valuesoft III
Presentación Valuesoft IIIPresentación Valuesoft III
Presentación Valuesoft IIIJorge Marquez
 
DSD-INT 2015- Open source pre and postprocessing workshop- Bert Jagers
DSD-INT 2015- Open source pre and postprocessing workshop- Bert JagersDSD-INT 2015- Open source pre and postprocessing workshop- Bert Jagers
DSD-INT 2015- Open source pre and postprocessing workshop- Bert JagersDeltares
 
Quality into manufacturing & services
Quality into manufacturing & servicesQuality into manufacturing & services
Quality into manufacturing & servicesquery1534
 

Andere mochten auch (20)

Christopher Anderson SPHR CBS VP HR Hiring Trends
Christopher Anderson SPHR CBS VP HR Hiring TrendsChristopher Anderson SPHR CBS VP HR Hiring Trends
Christopher Anderson SPHR CBS VP HR Hiring Trends
 
Georges Dagher
Georges DagherGeorges Dagher
Georges Dagher
 
Metafuzz: Building Boring Fuzzers Faster, Using Metadata
Metafuzz: Building Boring Fuzzers Faster, Using MetadataMetafuzz: Building Boring Fuzzers Faster, Using Metadata
Metafuzz: Building Boring Fuzzers Faster, Using Metadata
 
EMS Physio catalogue 2016 2017
EMS Physio catalogue 2016 2017 EMS Physio catalogue 2016 2017
EMS Physio catalogue 2016 2017
 
Aurten Bai Athletic Txapeldun¡¡¡
Aurten Bai Athletic Txapeldun¡¡¡Aurten Bai Athletic Txapeldun¡¡¡
Aurten Bai Athletic Txapeldun¡¡¡
 
Manual
ManualManual
Manual
 
E-Business Suite Release 12 Payables Upgrade: Like for Like and Then Some
E-Business Suite Release 12 Payables Upgrade: Like for Like and Then SomeE-Business Suite Release 12 Payables Upgrade: Like for Like and Then Some
E-Business Suite Release 12 Payables Upgrade: Like for Like and Then Some
 
Level 1 Slides Lessons 1 5 V4wb70 Ml
Level 1 Slides Lessons 1 5 V4wb70 MlLevel 1 Slides Lessons 1 5 V4wb70 Ml
Level 1 Slides Lessons 1 5 V4wb70 Ml
 
El Famoso Desayuno De Villa O Higgins
El Famoso Desayuno De Villa O HigginsEl Famoso Desayuno De Villa O Higgins
El Famoso Desayuno De Villa O Higgins
 
CASE Network Report 88 - Deep Integration with the EU and its Likely Impact o...
CASE Network Report 88 - Deep Integration with the EU and its Likely Impact o...CASE Network Report 88 - Deep Integration with the EU and its Likely Impact o...
CASE Network Report 88 - Deep Integration with the EU and its Likely Impact o...
 
Pdf_presentasion
Pdf_presentasionPdf_presentasion
Pdf_presentasion
 
Presentación Valuesoft III
Presentación Valuesoft IIIPresentación Valuesoft III
Presentación Valuesoft III
 
Negocios en Red
Negocios en RedNegocios en Red
Negocios en Red
 
Case Study - Energizer UK
Case Study - Energizer UKCase Study - Energizer UK
Case Study - Energizer UK
 
Constructorpoznan
ConstructorpoznanConstructorpoznan
Constructorpoznan
 
Guia feria de tabaco 2011
Guia feria de tabaco 2011Guia feria de tabaco 2011
Guia feria de tabaco 2011
 
DSD-INT 2015- Open source pre and postprocessing workshop- Bert Jagers
DSD-INT 2015- Open source pre and postprocessing workshop- Bert JagersDSD-INT 2015- Open source pre and postprocessing workshop- Bert Jagers
DSD-INT 2015- Open source pre and postprocessing workshop- Bert Jagers
 
Iptv
Iptv Iptv
Iptv
 
Seabee Courier Jan. 4, 2013
Seabee Courier Jan. 4, 2013Seabee Courier Jan. 4, 2013
Seabee Courier Jan. 4, 2013
 
Quality into manufacturing & services
Quality into manufacturing & servicesQuality into manufacturing & services
Quality into manufacturing & services
 

Ähnlich wie Seguridad en mainframe

Estrategia: Xelere - IBM Security
Estrategia: Xelere - IBM SecurityEstrategia: Xelere - IBM Security
Estrategia: Xelere - IBM SecurityXelere Seguridad
 
Practica 3 - Arquitectura de seguridad en la red
Practica 3 - Arquitectura de seguridad en la redPractica 3 - Arquitectura de seguridad en la red
Practica 3 - Arquitectura de seguridad en la redMonica Acevedo
 
Presentacion seguriad informatica grupo 4
Presentacion seguriad informatica grupo 4Presentacion seguriad informatica grupo 4
Presentacion seguriad informatica grupo 4rayudi
 
TUTORIAL DE SEGURIDAD INFORMATICA
TUTORIAL DE SEGURIDAD INFORMATICATUTORIAL DE SEGURIDAD INFORMATICA
TUTORIAL DE SEGURIDAD INFORMATICAkaren iles
 
Presentacion sobre seguridad informatica
Presentacion sobre seguridad informaticaPresentacion sobre seguridad informatica
Presentacion sobre seguridad informaticarayudi
 
Trabajar remotamente nunca fue mas facil #Surface para negocios
Trabajar remotamente nunca fue mas facil #Surface para negociosTrabajar remotamente nunca fue mas facil #Surface para negocios
Trabajar remotamente nunca fue mas facil #Surface para negociosCade Soluciones
 
Seguridad inalámbrica en contexto (also available in English)
Seguridad inalámbrica en contexto (also available in English)Seguridad inalámbrica en contexto (also available in English)
Seguridad inalámbrica en contexto (also available in English)Cisco Service Provider Mobility
 
Protección de antivirus para Desktops virtuales
Protección de antivirus para Desktops virtualesProtección de antivirus para Desktops virtuales
Protección de antivirus para Desktops virtualesDellLatam
 
Webinar Cloud: Servicios de Seguridad Gestionada
Webinar Cloud: Servicios de Seguridad GestionadaWebinar Cloud: Servicios de Seguridad Gestionada
Webinar Cloud: Servicios de Seguridad GestionadaArsys
 
Cloud Computing, IoT, BYOD Ha muerto el perímetro corporativo. ¿y ahora qué?
Cloud Computing, IoT, BYOD Ha muerto el perímetro corporativo. ¿y ahora qué?Cloud Computing, IoT, BYOD Ha muerto el perímetro corporativo. ¿y ahora qué?
Cloud Computing, IoT, BYOD Ha muerto el perímetro corporativo. ¿y ahora qué?Ramiro Cid
 
Trilogía The Lord of Cloud Native P3: El retorno del ¡Oops!
Trilogía The Lord of Cloud Native P3: El retorno del ¡Oops! Trilogía The Lord of Cloud Native P3: El retorno del ¡Oops!
Trilogía The Lord of Cloud Native P3: El retorno del ¡Oops! Luciano Moreira da Cruz
 
Fundamentos Seguridad OT - Mod 1-2 (1).pdf
Fundamentos Seguridad OT - Mod 1-2 (1).pdfFundamentos Seguridad OT - Mod 1-2 (1).pdf
Fundamentos Seguridad OT - Mod 1-2 (1).pdfAlonsoCid
 
Redes más seguras en la era de la ciberseguridad
Redes más seguras en la era de la ciberseguridadRedes más seguras en la era de la ciberseguridad
Redes más seguras en la era de la ciberseguridadSupra Networks
 
Seguridad en los modelos operativos de nube
Seguridad en los modelos operativos de nubeSeguridad en los modelos operativos de nube
Seguridad en los modelos operativos de nubeDaniel Levi
 
2º Webinar - 3ª Ed. EXIN en Castellano: Luces y Sombras del Cloud Computing
2º Webinar - 3ª Ed. EXIN en Castellano: Luces y Sombras del Cloud Computing2º Webinar - 3ª Ed. EXIN en Castellano: Luces y Sombras del Cloud Computing
2º Webinar - 3ª Ed. EXIN en Castellano: Luces y Sombras del Cloud ComputingEXIN
 

Ähnlich wie Seguridad en mainframe (20)

Estrategia: Xelere - IBM Security
Estrategia: Xelere - IBM SecurityEstrategia: Xelere - IBM Security
Estrategia: Xelere - IBM Security
 
Practica 3 - Arquitectura de seguridad en la red
Practica 3 - Arquitectura de seguridad en la redPractica 3 - Arquitectura de seguridad en la red
Practica 3 - Arquitectura de seguridad en la red
 
Sistemas1
Sistemas1Sistemas1
Sistemas1
 
Presentacion seguriad informatica grupo 4
Presentacion seguriad informatica grupo 4Presentacion seguriad informatica grupo 4
Presentacion seguriad informatica grupo 4
 
TUTORIAL DE SEGURIDAD INFORMATICA
TUTORIAL DE SEGURIDAD INFORMATICATUTORIAL DE SEGURIDAD INFORMATICA
TUTORIAL DE SEGURIDAD INFORMATICA
 
Presentacion sobre seguridad informatica
Presentacion sobre seguridad informaticaPresentacion sobre seguridad informatica
Presentacion sobre seguridad informatica
 
Trabajar remotamente nunca fue mas facil #Surface para negocios
Trabajar remotamente nunca fue mas facil #Surface para negociosTrabajar remotamente nunca fue mas facil #Surface para negocios
Trabajar remotamente nunca fue mas facil #Surface para negocios
 
Seguridad inalámbrica en contexto (also available in English)
Seguridad inalámbrica en contexto (also available in English)Seguridad inalámbrica en contexto (also available in English)
Seguridad inalámbrica en contexto (also available in English)
 
Protección de antivirus para Desktops virtuales
Protección de antivirus para Desktops virtualesProtección de antivirus para Desktops virtuales
Protección de antivirus para Desktops virtuales
 
Webinar Cloud: Servicios de Seguridad Gestionada
Webinar Cloud: Servicios de Seguridad GestionadaWebinar Cloud: Servicios de Seguridad Gestionada
Webinar Cloud: Servicios de Seguridad Gestionada
 
Cloud Computing, IoT, BYOD Ha muerto el perímetro corporativo. ¿y ahora qué?
Cloud Computing, IoT, BYOD Ha muerto el perímetro corporativo. ¿y ahora qué?Cloud Computing, IoT, BYOD Ha muerto el perímetro corporativo. ¿y ahora qué?
Cloud Computing, IoT, BYOD Ha muerto el perímetro corporativo. ¿y ahora qué?
 
Trilogía The Lord of Cloud Native P3: El retorno del ¡Oops!
Trilogía The Lord of Cloud Native P3: El retorno del ¡Oops! Trilogía The Lord of Cloud Native P3: El retorno del ¡Oops!
Trilogía The Lord of Cloud Native P3: El retorno del ¡Oops!
 
Fundamentos Seguridad OT - Mod 1-2 (1).pdf
Fundamentos Seguridad OT - Mod 1-2 (1).pdfFundamentos Seguridad OT - Mod 1-2 (1).pdf
Fundamentos Seguridad OT - Mod 1-2 (1).pdf
 
Redes más seguras en la era de la ciberseguridad
Redes más seguras en la era de la ciberseguridadRedes más seguras en la era de la ciberseguridad
Redes más seguras en la era de la ciberseguridad
 
Informe sobre seguridad en la red
Informe sobre seguridad en la redInforme sobre seguridad en la red
Informe sobre seguridad en la red
 
mapa mental - previo 2.pptx
mapa mental - previo 2.pptxmapa mental - previo 2.pptx
mapa mental - previo 2.pptx
 
Seguridad en los modelos operativos de nube
Seguridad en los modelos operativos de nubeSeguridad en los modelos operativos de nube
Seguridad en los modelos operativos de nube
 
Informe de solución XG Firewall v18
Informe de solución XG Firewall v18Informe de solución XG Firewall v18
Informe de solución XG Firewall v18
 
Jose muñoz
Jose muñozJose muñoz
Jose muñoz
 
2º Webinar - 3ª Ed. EXIN en Castellano: Luces y Sombras del Cloud Computing
2º Webinar - 3ª Ed. EXIN en Castellano: Luces y Sombras del Cloud Computing2º Webinar - 3ª Ed. EXIN en Castellano: Luces y Sombras del Cloud Computing
2º Webinar - 3ª Ed. EXIN en Castellano: Luces y Sombras del Cloud Computing
 

Mehr von Adrian Sigueñas Calderon

Comparativa sap-business-one-open erp-openbravo
Comparativa sap-business-one-open erp-openbravoComparativa sap-business-one-open erp-openbravo
Comparativa sap-business-one-open erp-openbravoAdrian Sigueñas Calderon
 

Mehr von Adrian Sigueñas Calderon (20)

Manual basico AUTOCAD
Manual basico AUTOCADManual basico AUTOCAD
Manual basico AUTOCAD
 
Estandares auditoria
Estandares auditoriaEstandares auditoria
Estandares auditoria
 
Chrome 3D
Chrome 3D Chrome 3D
Chrome 3D
 
OSSIM
OSSIMOSSIM
OSSIM
 
Mapa Conceptual E-Learning
Mapa Conceptual E-LearningMapa Conceptual E-Learning
Mapa Conceptual E-Learning
 
Manual Cobol
Manual CobolManual Cobol
Manual Cobol
 
Analisis de valor ganado
Analisis de valor ganado Analisis de valor ganado
Analisis de valor ganado
 
Comparativa sap-business-one-open erp-openbravo
Comparativa sap-business-one-open erp-openbravoComparativa sap-business-one-open erp-openbravo
Comparativa sap-business-one-open erp-openbravo
 
Samba
SambaSamba
Samba
 
CRM
CRMCRM
CRM
 
Scrum
ScrumScrum
Scrum
 
Manual - C++ Basico
Manual - C++ BasicoManual - C++ Basico
Manual - C++ Basico
 
Porter vs kim
Porter vs kimPorter vs kim
Porter vs kim
 
Carpetas ocultas y accesos directos
Carpetas ocultas y accesos directosCarpetas ocultas y accesos directos
Carpetas ocultas y accesos directos
 
PERT - CPM
PERT - CPMPERT - CPM
PERT - CPM
 
Manual joomla
Manual joomlaManual joomla
Manual joomla
 
Chrome remote desktop
Chrome remote desktopChrome remote desktop
Chrome remote desktop
 
Tendencias de Elearning
Tendencias de ElearningTendencias de Elearning
Tendencias de Elearning
 
Posicionamiento web Part1
Posicionamiento web Part1Posicionamiento web Part1
Posicionamiento web Part1
 
Aplicaciones moviles
Aplicaciones movilesAplicaciones moviles
Aplicaciones moviles
 

Kürzlich hochgeladen

Presentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxPresentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxLolaBunny11
 
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)GDGSucre
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveFagnerLisboa3
 
Proyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptxProyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptx241521559
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan JosephBRAYANJOSEPHPEREZGOM
 
pruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITpruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITMaricarmen Sánchez Ruiz
 
Desarrollo Web Moderno con Svelte 2024.pdf
Desarrollo Web Moderno con Svelte 2024.pdfDesarrollo Web Moderno con Svelte 2024.pdf
Desarrollo Web Moderno con Svelte 2024.pdfJulian Lamprea
 
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricKeyla Dolores Méndez
 
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...silviayucra2
 
Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíaTrabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíassuserf18419
 

Kürzlich hochgeladen (10)

Presentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxPresentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptx
 
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial Uninove
 
Proyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptxProyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptx
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Joseph
 
pruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITpruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNIT
 
Desarrollo Web Moderno con Svelte 2024.pdf
Desarrollo Web Moderno con Svelte 2024.pdfDesarrollo Web Moderno con Svelte 2024.pdf
Desarrollo Web Moderno con Svelte 2024.pdf
 
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
 
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
 
Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíaTrabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnología
 

Seguridad en mainframe

  • 1. 2011 SEGURIDAD EN MAINFRAME 13/05/2011
  • 2. SEGURIDAD EN MAINFRAME 2011 TABLA DE CONTENIDO Pág. INTRODUCCION………………………………………………………………………………………..……...…… 2 1. Servicios de seguridad e infraestructura……………………………………………………………………………………………… 2 2. Situación real de la seguridad en z/OS en el año 2009…………………………………………………………………….…. 4 2.1. ¿Es realmente seguro el entorno z/OS? ………………………………………………………………………………………..…. 4 2.2. La seguridad en los mainframes de IBM. ¿Mito o realidad? ………………………………………………………..….…. 4 2.3. ¿Cómo ha pasado el tiempo para System/360? …………………………………………………………………………….…..5 2.4. ¿Es realmente seguro en la actualidad? …………………………………………………………………….…………………….. 5 3. RACF……………………………………………………………………………………………………………………………………................ 8 4. Tivoli zSecure Manager for RACF z/VM…………………………………………………………………………………………….… 9 5. System z9…………………………………………………………………………………………………………………………………………………………. 14 6. BIBLIOGRAFÍA……………………………………………………………………………………………………………………….…….…… 15 www.ticalcanze.tk
  • 3. SEGURIDAD EN MAINFRAME 2011 INTRODUCCION No es frecuente hallar consenso cuando se habla de seguridad en mainframes IBM. En la mayoría de las ocasiones se asocia a la seguridad z/OS y en concreto, al control de acceso a recursos (RACF). Otros auditores se centran en la configuración de seguridad del producto o productos que se tengan para gestionar la seguridad. También es usual, especialmente en entornos financieros, que la seguridad del mainframe haga referencia al estado de las facilidades criptográficas, de sus importantes implicaciones. Esta variabilidad quizás se deba a que los mainframes son sistemas complejos donde corren aplicaciones igualmente complejas, con lo que no son habituales auditorías integrales que cubran todos los posibles elementos que guardan relación con la seguridad. Dependiendo de lo que nos diga la evaluación de riesgos, se suelen atacar aspectos individuales con la finalidad de opinar sobre el estado de seguridad en relación a un alcance específico. Este planteamiento es perfectamente válido, si bien a la larga puede provocar que se altere el concepto de seguridad del mainframe, sobre todo si evaluamos únicamente determinados aspectos de forma repetitiva y no la totalidad de elementos que son susceptibles de análisis y que tienen implicación directa en la seguridad de estas máquinas transaccionales. www.ticalcanze.tk
  • 4. SEGURIDAD EN MAINFRAME 2011 1. Servicios de seguridad e infraestructura Los servicios de seguridad y de la capa de infraestructura contienen los componentes de nivel superior, que puede ser directamente asignado al marco de seguridad de IBM. Cada Administración de la Seguridad Fundacional componente representa controles de negocio, en lugar de la tecnología. Las propias subcapas constan de servicios individuales y relacionados entre sí:  La seguridad de la información y la infraestructura de gestión de eventos proporciona la infraestructura para automatizar el registro de la agregación, correlación y análisis. También permite a una organización reconocer, investigar y responder a incidentes de forma automática, y agilizar los incidentes el seguimiento y la manipulación, con el objetivo de mejorar las operaciones de seguridad y riesgos de la información de gestión.  La infraestructura de identidad, el acceso y el derecho proporciona servicios para la gestión de usuarios contraseñas de aprovisionamiento, inicio de sesión único, control de acceso, y la sincronización de usuarios información a través de directorios.  La infraestructura de la política de seguridad proporciona servicios para gestionar el desarrollo aplicación de políticas de seguridad de una manera coherente y automatizar el despliegue de esas políticas a los sistemas informáticos. www.ticalcanze.tk
  • 5. SEGURIDAD EN MAINFRAME 2011 2. Situación real de la seguridad en z/OS en el año 2009 Esta tecnología no sólo está muy viva sino que actualmente protege el 80% de los datos de nuestras mayores empresas, siendo particularmente cierto en el mundo de la banca. a. ¿Es realmente seguro el entorno z/OS? La falta de personal capacitado, el crecimiento de la complejidad y las unidades de volumen que se manejan (miles de terminales conectados, cientos de miles de trabajos ejecutados diariamente, centenares de millones de ficheros, decenas de TB de datos sensibles gestionados por segundo, decenas de millones de transacciones realizadas contra esos datos) impiden que realmente se puedan poner en marcha medidas que puedan detectar aquellas acciones de usuarios que están destinadas a realizar fraudes, destruir información o denegar el servicio durante días. b. La seguridad en los mainframes de IBM. ¿Mito o realidad? Su seguridad era inexpugnable, el bastión System/360 y sus evoluciones System/370, System/XA y System/ESA estaban bajo el control exclusivo de los iniciados y era realmente difícil hacerse con un manual de cualquiera de los aspectos que mostraban esas tecnologías. Incluso siendo cliente había una gran cantidad de manuales que describían el funcionamiento interno de los sistemas operativos y el hardware específico que sólo podían ser consultados por los ingenieros de hardware o software de IBM. El conocimiento de un entorno es la primera fase de cualquier acto ilícito informático: Intrusión, fraude, destrucción de datos, robo de datos. Hasta mediados de los 80 era muy difícil lograr material que ilustrase sobre el entorno de los mainframes de IBM. Por lo tanto hasta los años 90 palabras como intrusión, hacking o ciberterrorismo no existían en las arquitecturas informáticas basadas en mainframe. Las únicas situaciones de riesgo que se consideraban era el fraude de algún programador que hábilmente había decidido redondear sobre una cuenta a su favor cambios de divisa o liquidaciones de cuentas. En cualquier caso, algún fraude que si se pudo corroborar no salió del ámbito de la compañía en cuestión para no dañar la imagen de la misma. Este desconocimiento de la tecnología, unido a una disponibilidad cercana al 99,99% hicieron concebir a la mente de los directivos de las grandes empresas que el mainframe era inexpugnable. www.ticalcanze.tk
  • 6. SEGURIDAD EN MAINFRAME 2011 c. ¿Cómo ha pasado el tiempo para System/360? A mediados de los años 90 el mainframe estaba totalmente cercado por las florecientes tecnologías que surgían por doquier: TCP/IP, Unix, Windows, cliente/servidor, Zero Administration; y nuevos jugadores con: Sun, HP, Microsoft. Aquellas pantallas de fósforo verde o ámbar del mainframe fueron sustituidas por pequeños ordenadores que conectados a servidores más potentes enseñaban maravillosos gráficos y menús desplegables ergonómicamente adecuados. Pero IBM supo reaccionar a tiempo y consolidar su tecnología en soluciones de hardware y software que actuaban de súper servidor de datos de propósito general. A los sistemas antes mencionados les siguieron el OS/390 y la gran esperanza de IBM: el sistema operativo z/OS de 64 bits. Con ellos abrió su conectividad hacia el mundo IP, relegando a un segundo plano al SNA e incluso desarrolló un emulador de Unix llamado USS (Unix System Services) con el que tratar que sus grandes clientes usuarios de mainframe no tuvieran que abandonarlo para desarrollar aplicaciones atractivas a los usuarios en infraestructuras de otros fabricantes. Hábilmente, el personal de marketing de los grandes sistemas como el que tratamos acuñó otro término que defendiera su posición: El Rigthsizing o “cada tecnología se debe de usar para su principal función”. Desde el punto de vista económico las unidades de medida cambiaron de medir los costes en miles de millones, a cientos de millones de las antiguas pesetas. Cuarenta años después los pilares tecnológicos en los que se asentó la tecnología durante los primeros quince siguen estando vigentes en las últimas versiones. Si preguntamos a un director de Organización y sistemas sobre la seguridad de su mainframe su respuesta será en un 99% que es un sistema totalmente seguro. Si se lo preguntamos a un director de IT su respuesta será que: “con todos los problemas que tienen en resguardar el mundo abierto no vamos ahora a decirle que el mainframe no es seguro. ¡Por supuesto que es seguro!”. Si le realizamos la misma pregunta al responsable de seguridad hará el entorno mainframe, el 90% de los encuestados nos dirá que conocen perfectamente los riesgos y las vulnerabilidades pero que es muy difícil explotarlas, por lo que el riesgo es muy bajo. d. ¿Es realmente seguro en la actualidad? En el trabajo diario de auditar en profundidad estos sistemas en grandes empresas que tienen el 90% de los datos soportados en mainframe, hemos comprobado que actualmente el mainframe tiene nuevas amenazas que han llegado con la “modernidad” de los entornos informáticos. www.ticalcanze.tk
  • 7. SEGURIDAD EN MAINFRAME 2011 Podemos resumir las amenazas en una clasificación básica: Descapitalización de profesionales: IBM hace quince años comenzó con la desamortización de personal especializado en mainframes a través de las prejubilaciones. En esta tendencia le siguió la Banca (su principal cliente) y posteriormente la industria. Actualmente es prácticamente imposible encontrar un profesional con experiencia suficiente cuya edad sea menor a 45 años. Las nuevas generaciones “huyen” literalmente, de aprender la complejidad de estos sistemas que están limitados a menos de 100 potenciales clientes en España. La complejidad del sistema ha crecido de forma exponencial en los últimos diez años y el conocimiento necesario respecto al número de profesionales ha decrecido en igual proporción. El punto de encuentro de las dos tendencias es actualmente un equilibrio delicado en cuanto a la inversión necesaria en horas de trabajo para mantener el sistema seguro, frente al gran número de tareas del día a día en grupos de soporte cada vez de menor tamaño. Apertura en la conectividad: En los últimos diez años se ha dotado al mainframe de la habilidad de hablarse con cualquier otra infraestructura informática a través del TCP/IP, pero también de las vulnerabilidades asociados a servicios como: FTP, HTTP. En estos sistemas es la submisión (envío y ejecución) de trabajos por lotes desde un usuario al que sólo se le ha permitido el acceso exclusivo a transferir ficheros. Igualmente podrá llevarse del sistema los resultados de los trabajos e incluso borrar parte de su rastro. El nivel de conocimientos necesario es el descargarse de Internet un cliente FTP de dos dólares. El número de usuarios que tienen esta cualidad en algunas de los principales clientes de España puede ser incluso todos los que el sistema tiene definidos, sobre todo cuando se utilizan nuevas tecnologías como los directorios X500 (LDAP). Aluminosis: A mediados de los ochenta IBM desarrolló el mejor servidor de seguridad de la industria, este servidor es el RACF o en su versión moderna Secureway@Security Server for z/OS. Este es un software de seguridad que teniendo la potencialidad de securizar un sistema hasta el nivel B2, tiene el hándicap (desventaja impuesta por el deterioro del uso) de no ser muy amigable a la hora de administrarlo. www.ticalcanze.tk
  • 8. SEGURIDAD EN MAINFRAME 2011 Actualmente podemos encontrar bases de datos de seguridad donde se han definido reglas de acceso de usuarios a recursos durante veinte años. El resultado son grandes vulnerabilidades en la defensa de dichos recursos porqué no hay forma, con las herramientas estándar que proporciona IBM, de estar seguro de que a un recurso sólo puede acceder un usuario o grupo de usuarios en concreto. Facilidad de acceso a la información interna de los sistemas: Con la llegada de Internet IBM decidió publicar en su web todos los manuales necesarios para comprender los sistemas operativos de sus mainframes. Estos manuales son necesarios para comprender como hacer que el sistema haga lo que tú quieras sin dejar rastro de auditoría. Actualmente, aunque IBM dejara de publicarlos en la web el número de sites donde residen copias de los mismos se cuentan por decenas de miles, por lo que el conocimiento ya ha dejado de ser oscuro y se encuentra en la luz que proporciona Internet. Emuladores de hardware: Hace veinte años, aunque hubiéramos tenido la información necesaria para hacer rutinas que modificaran el sistema, teníamos aún que tener un entorno en el que probar, lo que significaba la inversión de centenares de miles de euros. Hoy en día existen varios emuladores de hardware de mainframe que capacitan a pc´s de menos de 600€ para ejecutar una gran parte de los sistemas operativos empresariales de mainframe. Este software que en su versión freeware se llama Hércules, es libre y se puede descargar de Internet después de una breve búsqueda. Es cierto que el único sistema operativo que “legalmente” se puede ejecutar en él es la versión 3.8 de MVS pero vayan al típico “emule” y busque otros sistemas. www.ticalcanze.tk
  • 9. SEGURIDAD EN MAINFRAME 2011 3. RACF: El Security Server o el tradicionalmente llamado RACF (Resource Access Control Facility). Aunque pueda parecer que todos los sistemas de seguridad al final se basen en lo mismo, en el caso del mainframe es un caso aparte, ya que el sistema de seguridad de un mainframe se desarrolló junto con el desarrollo del sistema operativo y por tanto, es intrínseco y está fuertemente acoplado al mismo. En cambio, en otros sistemas tipo Unix y demás, la seguridad fue un desarrollo posterior y por tanto, sigue otras directrices. RACF es un compendio de reglas de seguridad que se crean en base a unas clases. Una clase es un grupo de objetos los cuales queremos otorgarle un determinado acceso, por lo que todo objeto perteneciente a la misma clase tendrá el mismo nivel de seguridad. Por objeto se entiende desde un fichero, hasta un slot de proceso o abstracción funcional de software, por llamarlo de alguna manera. Existen dos tipos de clases: Las denominadas “normales”: es decir, clases de acceso, facilitys, logging y demás. Las clases “especiales”, que son dos: Estas clases se denominan especiales porque pueden ser gobernadas por clases “normales” que les concederán un cierto acceso, estas clases pueden ser regidas por otras clases. o Las clases Usuario: es muy importante porque se hace cargo de la seguridad referente al tipo de usuario, tipo de acceso a los elementos mainframe y que facilidades tiene otorgado para realizar su trabajo. o Las clases Dataset: es una clase especial que sirve para tener el control total sobre todo elemento susceptible de grabarse en disco o cinta. Por tanto, se podría decir que RACF controla TODO el sistema internamente (procesos, subprocesos, schedulers, dispatchers, el núcleo, etcétera), controla los usuarios, el acceso de los usuarios a los datos, el acceso de los mecanismos de acceso a los datos, la interacción de los mecanismos de acceso con los procesos. www.ticalcanze.tk
  • 10. SEGURIDAD EN MAINFRAME 2011 4. Tivoli zSecure Manager for RACF z/VM IBM Tivoli zSecure Manager for RACF z/VM ha sido diseñado para proporcionar a los administradores herramientas que les ayudarán a liberar el potencial de su sistema de mainframe, haciendo posible una administración eficaz y efectiva del RACF, a la vez que ayuda a reducir el uso de recursos. Al automatizar muchas de las funciones de administración de sistemas recurrentes, Tivoli zSecure Manager for RACF z/VM le puede ayudar a maximizar los recursos de TI, reducir errores, mejorar la QoS y demostrar conformidad. Sus capacidades son, las siguientes:  Automatizar tareas de gestión de la seguridad de z/VM complejas y que requieren mucho tiempo con acciones simples de un solo paso que pueden llevarse a cabo sin un conocimiento detallado de los comandos del RACF.  Identificar rápidamente y evitar problemas en el RACF antes de que se conviertan en una amenaza para la seguridad y la conformidad.  Ayudar a reducir la carga de la consolidación de las bases de datos.  Crear controles exhaustivos de auditoría sin un esfuerzo manual importante.  Generar y visualizar informes de auditoría personalizados con calendarios flexibles y secciones de eventos. a. Cifrado de discos: Para ayudar a garantizar que sus datos almacenados están seguros, z/VM soporta el uso de las funciones de cifrado IBM Full Disc Encryption del sistema IBM DS8000. Para utilizar estas funciones de cifrado no es necesario realizar ningún cambio en la configuración del sistema z/VM. El estado de cifrado de un volumen se determina fácilmente utilizando un simple comando z/VM. b. Cifrado de cintas: z/VM ayuda a proteger los datos almacenados en cinta de una forma rentable ofreciendo soporte para el cifrado de datos basado en unidades utilizando las soluciones IBM System Storage TS1120 Tape Drive (tipo de máquina 3592, modelo E05) e IBM System Storage TS1130 Tape Drive (tipo de máquina 3592, modelo E06). El cifrado de cintas exige que el IBM Encryption Key Manager se ejecute en otro sistema operativo, utilizando una conexión fuera de banda (como TCP/IP) a una unidad de control de cinta. El soporte de z/VM incluye el cifrado para Double Data Rate (DDR) y SPXTAPE, así como para huéspedes que no puedan ofrecer su propia habilitación de cifrado (por ejemplo, CMS y Linux para System z). www.ticalcanze.tk
  • 11. SEGURIDAD EN MAINFRAME 2011 z/VM también hace posible el cifrado de cintas por parte de huéspedes (como z/OS) que tienen la capacidad de controlar las funcionalidades de cifrado de cintas por sí mismas y ejecutar, opcionalmente, el Encryption Key Manager. Los cartuchos de cinta cifrados con anterioridad pueden volverse a cifrar con un nuevo conjunto de claves sin necesidad de leer y reescribir los datos almacenados en el cartucho, permitiendo así una protección continua de los datos almacenados en el cartucho de cinta mientras se cambian o sustituyen los certificados de cifrado que se utilizaban para crearlos. Los huéspedes de z/VSE pueden utilizar DFSMS/VM FL221 para localizar unidades de cinta 3592 aptas para cifrado en una biblioteca de cintas automatizada empresarial. c. Servidor Secure Sockets Layer (SSL) El servidor TCP/IP for z/VM SSL está disponible para facilitar conversaciones seguras y privadas entre servidores z/VM y clientes externos. Con el soporte de z/VM para SSL y para TransportLayer Security (TLS), un servidor VM pueden comunicarse con un cliente seguro sin necesidad de cambiar al propio servidor. El servidor SSL suministrado con z/VM soporta servicios de cifrado/descifrado de 40 bits, 56 bits y 128 bits. El servidor SSL es capaz de ofrecer soporte transparente para protocolos que pueden encapsularse en una sesión SSL segura (por ejemplo, HTTPS) y presta servicio a aplicaciones que necesitan pasar de un texto sin cifrar a un texto seguro, tales como TN3270, File Transfer Protocol (FTP) y Simple Mail Transfer Protocol (SMTP). d. Aceleración criptográfica La función criptográfica del IBM System z10 ha sido diseñada para satisfacer los requisitos de seguridad de los servidores de alta gama. Puede configurarse como un coprocesador para transacciones de clave segura o como un acelerador para la aceleración SSL, ofreciendo mejoras importantes en el rendimiento de los algoritmos criptográficos utilizados para el cifrado y la generación y verificación de pares de claves públicas y privadas. z/VM pone las funciones Crypto Express2 y Crypto Express3 a disposición de los huéspedes bien con acceso dedicado para su uso en operaciones de clave segura y clave sin cifrar o bien con acceso compartido para operaciones de clave sin cifrar. La CP AssistforCryptographicFunction (CPACF) forma parte de cada procesador en el servidor System z de IBM. Ofrece un conjunto de funciones criptográficas que se centra en la función de cifrado/descifrado de SSL, Virtual Private Network (VPN) y aplicaciones de almacenamiento de datos. La CPACF es utilizada por las funciones SSL/TLS incluidas en el www.ticalcanze.tk
  • 12. SEGURIDAD EN MAINFRAME 2011 cliente y el servidor LDAP z/VM y por las funciones SSL proporcionadas por el servidor SSL z/VM. Cualquier máquina virtual puede acceder a las funciones de la CPACF utilizando las ampliaciones Message-Security Assist (MSA) de la arquitectura de procesador System z de IBM. No se necesita ninguna autorización o configuración explícita de z/VM. e. Certificación según la norma de criterios comunes El z/VM V5.3 con el componente RACF Security Server ha sido certificado por la Oficina Federal Alemana para la Seguridad de la Información (BundesamtfürSicherheit in der Informationstechnik [BSI]) por su conformidad con el Controlled Access ProtectionProfile (CAPP) y el Labelled Security ProtectionProfile (LSPP) de la norma de criterios comunes para la seguridad de TI, ISO/IEC 15408, al nivel de garantía de evaluación 4, incrementado con los procedimientos de resolución de errores (EAL4+). Aún no se ha llevado a cabo la evaluación de conformidad del z/VM V6.1, pero ha sido diseñado para cumplir las mismas normas. f. Interconexión con z/VM z/VM ofrece dos tipos de interconexión virtual: LANs huésped la VSWITCH: Estas tecnologías permiten a los huéspedes comunicarse entre sí y con otros hosts de la red sin necesidad de dedicar recursos de hardware a cada huésped. Las LANs huésped son segmentos simulados de LAN que no tienen una conexión integrada a ninguna otra LAN. Sólo se conectan a otra red cuando un huésped lleva a cabo servicios rutinarios. Pueden definirse para simular HiperSockets o un funcionamiento OSA-Express en modo QDIO. Las LANs huésped definidas para funcionar como OSA-Express pueden configurarse para simular el modo OSA L2 (Ethernet) o el modo Internet Protocol (IP). En modo Ethernet, cada huésped de la LAN huésped se referencia por su dirección Media Access Control (MAC) y los datos se transmiten y reciben como tramas Ethernet completas. Este modo soporta IP, SNA, NetBios o cualquier otro formato de trama Ethernet. En modo IP, cada huésped se referencia por su dirección IP. Se pueden utilizar los protocolos IPv4 o IPv6, ayudando así a los desarrolladores de aplicaciones y de pilas TCP/IP a crear y probar nuevas aplicaciones y controladores de dispositivo aptos para IPv6. www.ticalcanze.tk
  • 13. SEGURIDAD EN MAINFRAME 2011 g. VSWITCH z/VM ofrece la capacidad de implantar conmutadores virtuales Ethernet. El z/VM VSWITCH elimina la necesidad de que máquinas virtuales funcionen como routers para conectar una LAN huésped a una LAN física a través de un adaptador OSA-Express. Los routers virtuales consumen una capacidad de procesador muy valiosa debido a la necesidad de copiar repetidas veces los datos que están siendo transportados. El VSWITCH puede ayudar a disminuir estos problemas, así como a proporcionar una configuración y un control de red virtual centralizados. Estos controles permiten al administrador de z/VM otorgar y revocar acceso a la red de forma mucho más sencilla. El VSWITCH ofrece un soporte de recuperación de errores mejorado para lograr una recuperación con menos interrupciones tras algunos de los fallos de red más comunes, ayudando así a mejorar la continuidad del negocio y la fiabilidad y disponibilidad de la infraestructura. Al igual que en las LANs huésped, el VSWITCH soporta tanto el modo L2 (Ethernet) como el modo de transporte de datos IP. El VSWITCH también ofrece soporte para la norma de agregación de enlaces 802.3ad del Institute of Electrical and ElectronicsEngineers (IEEE). Este soporte está diseñado para permitir la agrupación de hasta ocho puertos OSA-Express en un único puerto lógico. Esto ayuda a aumentar el ancho de banda más allá de lo que podría proporcionar un único adaptador OSA-Express y ofrece una recuperación de errores más rápida y uniforme en el caso de un fallo en el enlace. Los huéspedes pueden aprovechar estas conexiones altamente disponibles y de mayor ancho de banda sin necesidad de ninguna configuración adicional. No es necesario definir y gestionar múltiples adaptadores de red virtuales o implementar protocolos de enrutamiento dinámicos dentro del huésped. h. Virtualización de redes z/VM z/VM ofrece la capacidad de autorizar que un huésped conectado a una LAN huésped o a un VSWITCH z/VM motive la entrada de un adaptador de red virtual (tarjeta de interfaz de red (NIC)) en ‘modo promiscuo’. En este modo, el huésped actúa como un ‘detector’ virtual para capturar tráfico de red. Esta capacidad puede ayudar a un administrador (o propietario de www.ticalcanze.tk
  • 14. SEGURIDAD EN MAINFRAME 2011 una máquina virtual huésped) a capturar datos de red y a resolver problemas de red virtuales. También puede utilizarse para implementar un sistema de detección de intrusos (IDS). z/VM aprovecha la tecnología VLAN del IEEE para ayudar a reducir el número de puertos OSA- Express2 o OSA-Express3 necesarios para transportar el tráfico a múltiples segmentos de LAN. Para soportar VLANs, z/VM ofrece: Soporte de interfaz de red OSA-Express y HiperSockets virtual para el etiquetado VLAN de tramas Ethernet por parte de los huéspedes y de CP, tal y como se describe en el protocolo IEEE 802.1q. Puertos de acceso virtuales que permiten la asignación de huéspedes no compatibles con VLAN a VLANs específicas sin necesidad de realizar ningún cambio en la configuración IP del huésped. Puertos de enlace virtuales que permiten a huéspedes compatibles con VLAN utilizar una VLAN autorizada. La capacidad de consolidar autorizaciones VLAN dentro de un gestor de seguridad externo (ESM) como el RACF. Administración y gestión de redes simplificada de las VLANs con soporte para GenericAttributeRegistrationProtocol (GARP) y VLAN RegistrationProtocol (GVRP) utilizando adaptadores OSA-Express2 u OSA-Express3 en z/VM. z/VM proporciona la capacidad de restringir las comunicaciones entre huéspedes dentro de un VSWITCH y entre adaptadores OSA-Express compartidos utilizados por el VSWITCH. El aislamiento de puertos del VSWITCH y el aislamiento de la conexión de datos QDIO pueden ayudarle a diseñar redes virtuales que cumplen estrictas políticas de separación de datos. El aislamiento del tráfico en adaptadores OSA-Express compartidos está disponible para componentes OSA-Express2 y OSA-Express3 en un servidor System z10 EC y en un servidor z10 BC con los MCLs mínimos necesarios. www.ticalcanze.tk
  • 15. SEGURIDAD EN MAINFRAME 2011 5. System z9: El System z9 de IBM es el sistema de cómputo más confiable y seguro que jamás se haya construido. Duplica en potencia de procesamiento, capacidad y memoria a su antecesor, el mainframe conocido como "T-Rex". El sistema constituye un hito en la tecnología de la computación, con capacidades de seguridad, virtualización y colaboración que, según declaraciones de la compañía, lo posicionan como eje de la nueva era de la computación colaborativa. El System z9 representa una iniciativa de desarrollo que llevó tres años, demandó 1.200 millones de dólares y requirió la participación de 5.000 ingenieros, desarrolladores de software y expertos de seguridad de IBM de distintas partes del mundo. a. Seguridad en toda la red El System z9 está construido con base al legado de 41 años del mainframe como sistema rico en seguridad. IBM diseñó el mainframe con una seguridad de hardware avanzada. Cada sistema también contiene claves criptográficas maestras almacenadas en un paquete "inviolable" diseñado para transformar los datos en ceros a fin de evitar la captura física por parte de un intruso. El System z9 es capaz de permitir políticas de seguridad homogéneas en todos los servidores, todos los datos y ahora en toda la red, todo ello de conformidad con los objetivos del negocio, mediante la gestión centralizada de claves en z/OS y otras características de seguridad incorporadas. El z9 proporciona protección avanzada contra riesgos internos y externos con estas nuevas características: Simplificación y seguridad de datos de mainframe en archivo Criptografía avanzada Transacciones en línea seguras y más rápidas Seguridad de Internet más fácil de implementar para cargas de trabajo de mainframe Seguridad basada en red con Cisco www.ticalcanze.tk
  • 16. SEGURIDAD EN MAINFRAME 2011 6. BIBLIOGRAFÍA: http://www.sahw.com/wp/archivos/2010/05/10/seguridad-en-mainframes-ibm/ http://sigt.net/archivo/seguridad-en-mainframe-introduccion-al-racf.xhtml http://www.go2bsecure.com/engine/index.php?option=com_content&task=view&id=127&Ite mid=124 http://www.ca.com/ar/mainframe-security.aspx http://www.foremad.es/index.php?option=com_flexicontent&view=items&cid=6:gratuitos&id =2248:administracion-de-seguridad-de-un-mainframe&Itemid=23 http://www.geonoticias.com/noticias/software/nuevo-mainframe-ibm.html http://www.ibm.com/pe/systems/z/hardware/index.phtml www.ticalcanze.tk