RACF : AUDITORIA DE UNA LIBRERIA PARTICIONADA

Todo lo relacionado con seguridad y Security Server (RACF, LDAP, Etc)
Responder
marcelo Bullorini

RACF : AUDITORIA DE UNA LIBRERIA PARTICIONADA

Mensaje por marcelo Bullorini » 19 Oct 2004, 11:04

Mi consulta es si puedo auditar mediante REPORT WRITER, los accesos de BROWSE y UPDATE a los miembros de una libreria particionada.
muchas gracias.

NJB
Su anfitrion
Su anfitrion
Mensajes: 1114
Registrado: 12 Oct 2003, 16:27
País: Argentina
Ciudad: Capilla del Señor
Ocupación: System Programmer
Contactar:

Mensaje por NJB » 22 Oct 2004, 16:08

Hola Marcelo

Por lo menos hasta donde yo sé, no es posible auditar nada sobre members, si sobre datasets completos. De hecho, para poder auditar los utilitarios controlados (zap, etc) se los debe ubicar en una biblioteca para ellos solos (para el caso de update de los mismos).

Para members de particionados comunes no hay ninguna posibilidad.

Espero esto te ayude, y si descubrís algun camino para hacer lo que querés avisame, ya que me haría falta en algún caso.
Norberto Bocalandro

CPO

Mensaje por CPO » 06 Abr 2005, 19:20

Es una vieja necesidad de los administradores de Racf aun no resuelta.
La solucion de compromiso suele ser crear una biblioteca nueva y mover alli los miembros que requieren un tratamiento especial desde el punto de vista de seguridad. Saludos.

Avatar de Usuario
Luislp2004
Usuario avanzado
Usuario avanzado
Mensajes: 71
Registrado: 15 Mar 2006, 12:32
País: Argentina
Ciudad: Capital Federal
Ocupación: Auditor de sistemas certificado

Re: RACF : AUDITORIA DE UNA LIBRERIA PARTICIONADA

Mensaje por Luislp2004 » 15 Mar 2006, 16:08

Los miembros de una libreria particionada (JCL, fuentes, etc), hasta donde se, no es posible auditarlos.

Se pueden auditar miembros pero siempre y cuando sean programas (los que se encuentran en librerias LOAD) y se les defina un perfil de proteccion para los mismos dentro de la clase PROGRAM.
Esto lo debe hacer el administrador de seguridad (SPECIAL)

Pero hay que definir adecuadamente los niveles de acceso y auditabilidad para que se registre algo.

El OWNER del recurso o un SPECIAL puede especificar el GLOBALAUDIT, pero no siempre es el que un auditor requiere para sus tareas.
Solo un usuario con atributo AUDITOR puede definir la auditabilidad especifica del recurso protegido.
Atencion :!: que tambien intervienen ciertos parametros definidos en el SETROPTS.
LuisLP - (CISA - CGEIT - CRISC)

German Castillo

Mensaje por German Castillo » 17 Mar 2006, 01:24

Ya ha sido respondida, la razon es bien sencilla, Zos, or defecto, construye el registro de Update de Datasets, en el cual solo existe el campo DSN. De aca concluimos que la auditoria es posible solo a este nivel


peeerooo...


Y antes de decirlo, la pregunta que debemos hacernos, es si es realmente necesario, pues el overhead que causaremos por este, permitanme llamarlo 'aparente capricho' puede ser considerable.


Si es posible poner al Zos a reseñar esta informacion, la manera tecnica de realizarlo es establecer un 'HOOK' de la SVC de apertura de datasets (SVS 13), chequear por el tipo de acceso que nos interese (Read/Update) y Grabar un registro usuario de SMF, definido de acuerdo a sus necesidades. a titulo informativo un 'HOOK' es un programa de usuario, SVC en este caso que realiza un serie de actividades, y transfiere el control a la unidad de trabajo original, antes o despues de hacer dichas 'acciones'

Ojo... que esto que acabo de decir es 'grandes ligas' y habria que evaluar si de verdad nos interesaria, como centro de computo asumir los costos involucrados. En mi humilde opinion, si alguien me preguntara acerca de la viavilidad de esto sencillamente le diria que se olvidase de eso. De todas maneras lo asomo como punto informativo para tratar de responder su inquietud.

NJB
Su anfitrion
Su anfitrion
Mensajes: 1114
Registrado: 12 Oct 2003, 16:27
País: Argentina
Ciudad: Capilla del Señor
Ocupación: System Programmer
Contactar:

Mensaje por NJB » 17 Mar 2006, 17:21

Hola

La técnica de hooks a partes del código es "normal" (cada vez menos) entre programas de terceras partes (no IBM).

Si lo hacemos en la instalación (al igual que las exits) nos cargamos en nuestras espaldas el hacerlas funcionar después de un cambio de release del sistema o aún después de aplicar algún mantenimiento de esos que "tocan" todo.

Además si reportamos un problema lo primero que te va a decir IBM, o quien corresponda, es "usted tiene el código modificado, por lo que no podemos ayudarle".

El costo por lo antes mencionado es muy grande, además el riesgo también, ya que ¿la testeamos en todas las condiciones? o nos olvidamos algo que va a manifestarse de la peor manera y en el peor momento (murphy).

Coincido con German, en que solo se justifica si "realmente se justifica".

Saludos
Norberto Bocalandro

paloma

Mensaje por paloma » 26 Jul 2006, 09:16

Hay un producto que permite auditar absolutamente todo lo que escribas en una pantalla 3270. Lo que hace este producto es grabar fuera de host todas las sesiones y despues las puedes reproducir como si fuera un video. Y ademas te permite definir alertas, es decir si quieres auditar cuando alguien modifique su perfil y se aumente los privilegios o quieres auditar el acceso a un dataset especifico, o cuando alguien da algún comando determinado, con este producto se puede hacer.

JuanG
Colaborador
Colaborador
Mensajes: 75
Registrado: 24 Nov 2003, 18:04
País: Argentina
Ciudad: Buenos Aires
Ocupación: Administrador de seguridad
Ubicación: Buenos Aires, Argentina

Mensaje por JuanG » 03 Ago 2006, 15:16

Sobre todo lo que se ha dicho, y suscribo, queria agregar algo mas.

Se le ha reprochado muchas veces a IBM la imposibilidad de manejar con RACF la autorización a nivel de miembros de una biblioteca particionada. En efecto, las autorizaciones en RACF se otorgan a nivel de dataset, por lo cual no es posible dar a un usuario (o grupo) cierto nivel de acceso sobre un miembro y uno distinto sobre otro de la misma biblioteca.
Si existe esta necesidad de acceso diferenciado, la respuesta de IBM es simplemente "aisle el miembro en una biblioteca distinta".

Cuando se les ha preguntado a los expertos desarroladores de IBM por que no dotaban a RACF de esta facilidad, que aparentemente si tienen otros productos equivalentes de la competencia (ACF2 o TOP SECRET, aunque no lo se fehacientemente, ya que nunca trabaje con ellos), ellos han dicho que es EXTREMADAMENTE DIFICIL establecer este nivel de protección de manera que sea efectivamente inviolable.
Y, en su filosofia, una solucion que no era 100% fiable, no debia ser admitida, aun cuando para violarla sea necesario un usuario con un importante conocimiento del sistema operativo. Si existe alguna forma de burlar la protección, IBM considera que debe documentarla, con lo cual ya pasa a ser de dominio publico y no solo patrimonio de algunos system programmers experimentados.

En este punto, coincido con el enfoque de IBM. La protección por ignorancia no es aconsejable.

Saludos,

Walter

Mensaje por Walter » 21 Oct 2006, 11:16

paloma escribió:Hay un producto que permite auditar absolutamente todo lo que escribas en una pantalla 3270. Lo que hace este producto es grabar fuera de host todas las sesiones y despues las puedes reproducir como si fuera un video. Y ademas te permite definir alertas, es decir si quieres auditar cuando alguien modifique su perfil y se aumente los privilegios o quieres auditar el acceso a un dataset especifico, o cuando alguien da algún comando determinado, con este producto se puede hacer.
Por favor, podes decirme como se llama y todas aquellas cosas que puedas proveerme, dado que me interesa.
Muchas gracias.
Walter

paloma

Mensaje por paloma » 23 Oct 2006, 04:27

Este producto se llama IntellinX, y lo representa en Argentina la empresa Consist (www.consist.com).
Nosotros lo representamos en España y creo que es un producto muy interesante.
Suerte,

TEST
Usuario
Usuario
Mensajes: 28
Registrado: 14 Oct 2007, 09:59
País: PERU
Ciudad: LIMA
Ocupación: Administrador de seguridad
Ubicación: Lima, Peru

Re: RACF : AUDITORIA DE UNA LIBRERIA PARTICIONADA

Mensaje por TEST » 26 Sep 2016, 21:03

Estimados
Una consulta relacionada a protección de librerías...?
Al parecer no es posible por RACF proteger un member dentro de una librería verdad...?
Por ejemplo la librería SYS1.PARMLIB está definida con UACC=READ y quiero que un usuario no tenga permiso de lectura, solamente al member JES2PARM que está dentro de esa Liberia, pero que si pueda ver todos los demás members... No es posible verdad...? o puedo usar alguna otra clase para proteger solo un member de una librería.
Quédo siempre muy agradecido.
Saludos
DS

pitu001
Usuario avanzado
Usuario avanzado
Mensajes: 37
Registrado: 28 Sep 2006, 02:34
País: España
Ciudad: Pamplona
Ocupación: Administrador de seguridad

Re: RACF : AUDITORIA DE UNA LIBRERIA PARTICIONADA

Mensaje por pitu001 » 05 Oct 2016, 05:44

TEST escribió:Estimados
Una consulta relacionada a protección de librerías...?
Al parecer no es posible por RACF proteger un member dentro de una librería verdad...?
Por ejemplo la librería SYS1.PARMLIB está definida con UACC=READ y quiero que un usuario no tenga permiso de lectura, solamente al member JES2PARM que está dentro de esa Liberia, pero que si pueda ver todos los demás members... No es posible verdad...? o puedo usar alguna otra clase para proteger solo un member de una librería.
Quédo siempre muy agradecido.
Saludos
DS
Lo que planteas no es posible de forma directa como se ha comentado.
Si un libreria esta con UACC=READ, podrias quitarle el permiso de acceso a un usuario con ACC=NONE, eso si, no le dejarias acceder a ningun miembro de esa libreria.
Un saludo
pitu

armandojrivas
Usuario
Usuario
Mensajes: 6
Registrado: 10 Ago 2015, 11:55
País: venezuela
Ciudad: caracas
Ocupación: System Programmer

Re: RACF : AUDITORIA DE UNA LIBRERIA PARTICIONADA

Mensaje por armandojrivas » 10 Abr 2017, 11:42

Buenos dias, aun no existe la posibilidad de protejer MEMBER dentro de un PDS. Con librerias LOAD es otra cosa, hay tenemos la clase PROGRAMS.
Pero si en verdad lo necesitas y el tema costo no es IMPORTANTE.
Te sugiero evalúes el migrar esos PDS a CA-LIBRARIA. Ente producto de CA, posee una clase propia de CA y definida en RACF, por medio de la cual, podrías definir perfiles de accesos a MEMBER, y por supuesto AUDITAR el acceso a los mismos.

Saludos cordiales.

Responder