Your SlideShare is downloading. ×
Seguridad en mainframe
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

Seguridad en mainframe

2,407

Published on

Documento sobre la seguridad en mainframe de IBM

Documento sobre la seguridad en mainframe de IBM

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
2,407
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
42
Comments
0
Likes
0
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. 2011 SEGURIDAD EN MAINFRAME 13/05/2011
  • 2. SEGURIDAD EN MAINFRAME 2011 TABLA DE CONTENIDO Pág.INTRODUCCION………………………………………………………………………………………..……...…… 21. Servicios de seguridad e infraestructura……………………………………………………………………………………………… 22. Situación real de la seguridad en z/OS en el año 2009…………………………………………………………………….…. 4 2.1. ¿Es realmente seguro el entorno z/OS? ………………………………………………………………………………………..…. 4 2.2. La seguridad en los mainframes de IBM. ¿Mito o realidad? ………………………………………………………..….…. 4 2.3. ¿Cómo ha pasado el tiempo para System/360? …………………………………………………………………………….…..5 2.4. ¿Es realmente seguro en la actualidad? …………………………………………………………………….…………………….. 53. RACF……………………………………………………………………………………………………………………………………................ 84. Tivoli zSecure Manager for RACF z/VM…………………………………………………………………………………………….… 95. System z9…………………………………………………………………………………………………………………………………………………………. 146. BIBLIOGRAFÍA……………………………………………………………………………………………………………………….…….…… 15 www.ticalcanze.tk
  • 3. SEGURIDAD EN MAINFRAME 2011 INTRODUCCIONNo es frecuente hallar consenso cuando se habla de seguridad en mainframes IBM. En la mayoría de lasocasiones se asocia a la seguridad z/OS y en concreto, al control de acceso a recursos (RACF). Otrosauditores se centran en la configuración de seguridad del producto o productos que se tengan paragestionar la seguridad. También es usual, especialmente en entornos financieros, que la seguridaddel mainframe haga referencia al estado de las facilidades criptográficas, de sus importantesimplicaciones.Esta variabilidad quizás se deba a que los mainframes son sistemas complejos donde corren aplicacionesigualmente complejas, con lo que no son habituales auditorías integrales que cubran todos los posibleselementos que guardan relación con la seguridad. Dependiendo de lo que nos diga la evaluación deriesgos, se suelen atacar aspectos individuales con la finalidad de opinar sobre el estado de seguridad enrelación a un alcance específico. Este planteamiento es perfectamente válido, si bien a la larga puedeprovocar que se altere el concepto de seguridad del mainframe, sobre todo si evaluamos únicamentedeterminados aspectos de forma repetitiva y no la totalidad de elementos que son susceptibles deanálisis y que tienen implicación directa en la seguridad de estas máquinas transaccionales. www.ticalcanze.tk
  • 4. SEGURIDAD EN MAINFRAME 20111. Servicios de seguridad e infraestructura Los servicios de seguridad y de la capa de infraestructura contienen los componentes de nivel superior, que puede ser directamente asignado al marco de seguridad de IBM. Cada Administración de la Seguridad Fundacional componente representa controles de negocio, en lugar de la tecnología. Las propias subcapas constan de servicios individuales y relacionados entre sí:  La seguridad de la información y la infraestructura de gestión de eventos proporciona la infraestructura para automatizar el registro de la agregación, correlación y análisis. También permite a una organización reconocer, investigar y responder a incidentes de forma automática, y agilizar los incidentes el seguimiento y la manipulación, con el objetivo de mejorar las operaciones de seguridad y riesgos de la información de gestión.  La infraestructura de identidad, el acceso y el derecho proporciona servicios para la gestión de usuarios contraseñas de aprovisionamiento, inicio de sesión único, control de acceso, y la sincronización de usuarios información a través de directorios.  La infraestructura de la política de seguridad proporciona servicios para gestionar el desarrollo aplicación de políticas de seguridad de una manera coherente y automatizar el despliegue de esas políticas a los sistemas informáticos. www.ticalcanze.tk
  • 5. SEGURIDAD EN MAINFRAME 20112. Situación real de la seguridad en z/OS en el año 2009 Esta tecnología no sólo está muy viva sino que actualmente protege el 80% de los datos de nuestras mayores empresas, siendo particularmente cierto en el mundo de la banca. a. ¿Es realmente seguro el entorno z/OS? La falta de personal capacitado, el crecimiento de la complejidad y las unidades de volumen que se manejan (miles de terminales conectados, cientos de miles de trabajos ejecutados diariamente, centenares de millones de ficheros, decenas de TB de datos sensibles gestionados por segundo, decenas de millones de transacciones realizadas contra esos datos) impiden que realmente se puedan poner en marcha medidas que puedan detectar aquellas acciones de usuarios que están destinadas a realizar fraudes, destruir información o denegar el servicio durante días. b. La seguridad en los mainframes de IBM. ¿Mito o realidad? Su seguridad era inexpugnable, el bastión System/360 y sus evoluciones System/370, System/XA y System/ESA estaban bajo el control exclusivo de los iniciados y era realmente difícil hacerse con un manual de cualquiera de los aspectos que mostraban esas tecnologías. Incluso siendo cliente había una gran cantidad de manuales que describían el funcionamiento interno de los sistemas operativos y el hardware específico que sólo podían ser consultados por los ingenieros de hardware o software de IBM. El conocimiento de un entorno es la primera fase de cualquier acto ilícito informático: Intrusión, fraude, destrucción de datos, robo de datos. Hasta mediados de los 80 era muy difícil lograr material que ilustrase sobre el entorno de los mainframes de IBM. Por lo tanto hasta los años 90 palabras como intrusión, hacking o ciberterrorismo no existían en las arquitecturas informáticas basadas en mainframe. Las únicas situaciones de riesgo que se consideraban era el fraude de algún programador que hábilmente había decidido redondear sobre una cuenta a su favor cambios de divisa o liquidaciones de cuentas. En cualquier caso, algún fraude que si se pudo corroborar no salió del ámbito de la compañía en cuestión para no dañar la imagen de la misma. Este desconocimiento de la tecnología, unido a una disponibilidad cercana al 99,99% hicieron concebir a la mente de los directivos de las grandes empresas que el mainframe era inexpugnable. www.ticalcanze.tk
  • 6. SEGURIDAD EN MAINFRAME 2011 c. ¿Cómo ha pasado el tiempo para System/360? A mediados de los años 90 el mainframe estaba totalmente cercado por las florecientes tecnologías que surgían por doquier: TCP/IP, Unix, Windows, cliente/servidor, Zero Administration; y nuevos jugadores con: Sun, HP, Microsoft. Aquellas pantallas de fósforo verde o ámbar del mainframe fueron sustituidas por pequeños ordenadores que conectados a servidores más potentes enseñaban maravillosos gráficos y menús desplegables ergonómicamente adecuados. Pero IBM supo reaccionar a tiempo y consolidar su tecnología en soluciones de hardware y software que actuaban de súper servidor de datos de propósito general. A los sistemas antes mencionados les siguieron el OS/390 y la gran esperanza de IBM: el sistema operativo z/OS de 64 bits. Con ellos abrió su conectividad hacia el mundo IP, relegando a un segundo plano al SNA e incluso desarrolló un emulador de Unix llamado USS (Unix System Services) con el que tratar que sus grandes clientes usuarios de mainframe no tuvieran que abandonarlo para desarrollar aplicaciones atractivas a los usuarios en infraestructuras de otros fabricantes. Hábilmente, el personal de marketing de los grandes sistemas como el que tratamos acuñó otro término que defendiera su posición: El Rigthsizing o “cada tecnología se debe de usar para su principal función”. Desde el punto de vista económico las unidades de medida cambiaron de medir los costes en miles de millones, a cientos de millones de las antiguas pesetas. Cuarenta años después los pilares tecnológicos en los que se asentó la tecnología durante los primeros quince siguen estando vigentes en las últimas versiones.Si preguntamos a un director de Organización y sistemas sobre la seguridad de su mainframesu respuesta será en un 99% que es un sistema totalmente seguro.Si se lo preguntamos a un director de IT su respuesta será que: “con todos los problemas quetienen en resguardar el mundo abierto no vamos ahora a decirle que el mainframe no esseguro. ¡Por supuesto que es seguro!”.Si le realizamos la misma pregunta al responsable de seguridad hará el entorno mainframe, el90% de los encuestados nos dirá que conocen perfectamente los riesgos y lasvulnerabilidades pero que es muy difícil explotarlas, por lo que el riesgo es muy bajo. d. ¿Es realmente seguro en la actualidad?En el trabajo diario de auditar en profundidad estos sistemas en grandes empresas que tienenel 90% de los datos soportados en mainframe, hemos comprobado que actualmente elmainframe tiene nuevas amenazas que han llegado con la “modernidad” de los entornosinformáticos. www.ticalcanze.tk
  • 7. SEGURIDAD EN MAINFRAME 2011Podemos resumir las amenazas en una clasificación básica: Descapitalización de profesionales: IBM hace quince años comenzó con la desamortización de personal especializado en mainframes a través de las prejubilaciones. En esta tendencia le siguió la Banca (su principal cliente) y posteriormente la industria. Actualmente es prácticamente imposible encontrar un profesional con experiencia suficiente cuya edad sea menor a 45 años. Las nuevas generaciones “huyen” literalmente, de aprender la complejidad de estos sistemas que están limitados a menos de 100 potenciales clientes en España. La complejidad del sistema ha crecido de forma exponencial en los últimos diez años y el conocimiento necesario respecto al número de profesionales ha decrecido en igual proporción. El punto de encuentro de las dos tendencias es actualmente un equilibrio delicado en cuanto a la inversión necesaria en horas de trabajo para mantener el sistema seguro, frente al gran número de tareas del día a día en grupos de soporte cada vez de menor tamaño. Apertura en la conectividad: En los últimos diez años se ha dotado al mainframe de la habilidad de hablarse con cualquier otra infraestructura informática a través del TCP/IP, pero también de las vulnerabilidades asociados a servicios como: FTP, HTTP. En estos sistemas es la submisión (envío y ejecución) de trabajos por lotes desde un usuario al que sólo se le ha permitido el acceso exclusivo a transferir ficheros. Igualmente podrá llevarse del sistema los resultados de los trabajos e incluso borrar parte de su rastro. El nivel de conocimientos necesario es el descargarse de Internet un cliente FTP de dos dólares. El número de usuarios que tienen esta cualidad en algunas de los principales clientes de España puede ser incluso todos los que el sistema tiene definidos, sobre todo cuando se utilizan nuevas tecnologías como los directorios X500 (LDAP). Aluminosis: A mediados de los ochenta IBM desarrolló el mejor servidor de seguridad de la industria, este servidor es el RACF o en su versión moderna Secureway@Security Server for z/OS. Este es un software de seguridad que teniendo la potencialidad de securizar un sistema hasta el nivel B2, tiene el hándicap (desventaja impuesta por el deterioro del uso) de no ser muy amigable a la hora de administrarlo. www.ticalcanze.tk
  • 8. SEGURIDAD EN MAINFRAME 2011Actualmente podemos encontrar bases de datos de seguridad donde se han definidoreglas de acceso de usuarios a recursos durante veinte años. El resultado son grandesvulnerabilidades en la defensa de dichos recursos porqué no hay forma, con lasherramientas estándar que proporciona IBM, de estar seguro de que a un recurso sólopuede acceder un usuario o grupo de usuarios en concreto.Facilidad de acceso a la información interna de los sistemas:Con la llegada de Internet IBM decidió publicar en su web todos los manuales necesariospara comprender los sistemas operativos de sus mainframes. Estos manuales sonnecesarios para comprender como hacer que el sistema haga lo que tú quieras sin dejarrastro de auditoría. Actualmente, aunque IBM dejara de publicarlos en la web el númerode sites donde residen copias de los mismos se cuentan por decenas de miles, por lo queel conocimiento ya ha dejado de ser oscuro y se encuentra en la luz que proporcionaInternet.Emuladores de hardware:Hace veinte años, aunque hubiéramos tenido la información necesaria para hacer rutinasque modificaran el sistema, teníamos aún que tener un entorno en el que probar, lo quesignificaba la inversión de centenares de miles de euros.Hoy en día existen varios emuladores de hardware de mainframe que capacitan a pc´s demenos de 600€ para ejecutar una gran parte de los sistemas operativos empresariales demainframe. Este software que en su versión freeware se llama Hércules, es libre y sepuede descargar de Internet después de una breve búsqueda. Es cierto que el únicosistema operativo que “legalmente” se puede ejecutar en él es la versión 3.8 de MVS perovayan al típico “emule” y busque otros sistemas. www.ticalcanze.tk
  • 9. SEGURIDAD EN MAINFRAME 20113. RACF: El Security Server o el tradicionalmente llamado RACF (Resource Access Control Facility). Aunque pueda parecer que todos los sistemas de seguridad al final se basen en lo mismo, en el caso del mainframe es un caso aparte, ya que el sistema de seguridad de un mainframe se desarrolló junto con el desarrollo del sistema operativo y por tanto, es intrínseco y está fuertemente acoplado al mismo. En cambio, en otros sistemas tipo Unix y demás, la seguridad fue un desarrollo posterior y por tanto, sigue otras directrices. RACF es un compendio de reglas de seguridad que se crean en base a unas clases. Una clase es un grupo de objetos los cuales queremos otorgarle un determinado acceso, por lo que todo objeto perteneciente a la misma clase tendrá el mismo nivel de seguridad. Por objeto se entiende desde un fichero, hasta un slot de proceso o abstracción funcional de software, por llamarlo de alguna manera. Existen dos tipos de clases: Las denominadas “normales”: es decir, clases de acceso, facilitys, logging y demás. Las clases “especiales”, que son dos: Estas clases se denominan especiales porque pueden ser gobernadas por clases “normales” que les concederán un cierto acceso, estas clases pueden ser regidas por otras clases. o Las clases Usuario: es muy importante porque se hace cargo de la seguridad referente al tipo de usuario, tipo de acceso a los elementos mainframe y que facilidades tiene otorgado para realizar su trabajo. o Las clases Dataset: es una clase especial que sirve para tener el control total sobre todo elemento susceptible de grabarse en disco o cinta. Por tanto, se podría decir que RACF controla TODO el sistema internamente (procesos, subprocesos, schedulers, dispatchers, el núcleo, etcétera), controla los usuarios, el acceso de los usuarios a los datos, el acceso de los mecanismos de acceso a los datos, la interacción de los mecanismos de acceso con los procesos. www.ticalcanze.tk
  • 10. SEGURIDAD EN MAINFRAME 20114. Tivoli zSecure Manager for RACF z/VM IBM Tivoli zSecure Manager for RACF z/VM ha sido diseñado para proporcionar a los administradores herramientas que les ayudarán a liberar el potencial de su sistema de mainframe, haciendo posible una administración eficaz y efectiva del RACF, a la vez que ayuda a reducir el uso de recursos. Al automatizar muchas de las funciones de administración de sistemas recurrentes, Tivoli zSecure Manager for RACF z/VM le puede ayudar a maximizar los recursos de TI, reducir errores, mejorar la QoS y demostrar conformidad. Sus capacidades son, las siguientes:  Automatizar tareas de gestión de la seguridad de z/VM complejas y que requieren mucho tiempo con acciones simples de un solo paso que pueden llevarse a cabo sin un conocimiento detallado de los comandos del RACF.  Identificar rápidamente y evitar problemas en el RACF antes de que se conviertan en una amenaza para la seguridad y la conformidad.  Ayudar a reducir la carga de la consolidación de las bases de datos.  Crear controles exhaustivos de auditoría sin un esfuerzo manual importante.  Generar y visualizar informes de auditoría personalizados con calendarios flexibles y secciones de eventos. a. Cifrado de discos: Para ayudar a garantizar que sus datos almacenados están seguros, z/VM soporta el uso de las funciones de cifrado IBM Full Disc Encryption del sistema IBM DS8000. Para utilizar estas funciones de cifrado no es necesario realizar ningún cambio en la configuración del sistema z/VM. El estado de cifrado de un volumen se determina fácilmente utilizando un simple comando z/VM. b. Cifrado de cintas: z/VM ayuda a proteger los datos almacenados en cinta de una forma rentable ofreciendo soporte para el cifrado de datos basado en unidades utilizando las soluciones IBM System Storage TS1120 Tape Drive (tipo de máquina 3592, modelo E05) e IBM System Storage TS1130 Tape Drive (tipo de máquina 3592, modelo E06). El cifrado de cintas exige que el IBM Encryption Key Manager se ejecute en otro sistema operativo, utilizando una conexión fuera de banda (como TCP/IP) a una unidad de control de cinta. El soporte de z/VM incluye el cifrado para Double Data Rate (DDR) y SPXTAPE, así como para huéspedes que no puedan ofrecer su propia habilitación de cifrado (por ejemplo, CMS y Linux para System z). www.ticalcanze.tk
  • 11. SEGURIDAD EN MAINFRAME 2011z/VM también hace posible el cifrado de cintas por parte de huéspedes (como z/OS) quetienen la capacidad de controlar las funcionalidades de cifrado de cintas por sí mismas yejecutar, opcionalmente, el Encryption Key Manager. Los cartuchos de cinta cifrados conanterioridad pueden volverse a cifrar con un nuevo conjunto de claves sin necesidad de leer yreescribir los datos almacenados en el cartucho, permitiendo así una protección continua delos datos almacenados en el cartucho de cinta mientras se cambian o sustituyen loscertificados de cifrado que se utilizaban para crearlos.Los huéspedes de z/VSE pueden utilizar DFSMS/VM FL221 para localizar unidades de cinta3592 aptas para cifrado en una biblioteca de cintas automatizada empresarial. c. Servidor Secure Sockets Layer (SSL)El servidor TCP/IP for z/VM SSL está disponible para facilitar conversaciones seguras yprivadas entre servidores z/VM y clientes externos. Con el soporte de z/VM para SSL y paraTransportLayer Security (TLS), un servidor VM pueden comunicarse con un cliente seguro sinnecesidad de cambiar al propio servidor. El servidor SSL suministrado con z/VM soportaservicios de cifrado/descifrado de 40 bits, 56 bits y 128 bits. El servidor SSL es capaz deofrecer soporte transparente para protocolos que pueden encapsularse en una sesión SSLsegura (por ejemplo, HTTPS) y presta servicio a aplicaciones que necesitan pasar de un textosin cifrar a un texto seguro, tales como TN3270, File Transfer Protocol (FTP) y Simple MailTransfer Protocol (SMTP). d. Aceleración criptográficaLa función criptográfica del IBM System z10 ha sido diseñada para satisfacer los requisitos deseguridad de los servidores de alta gama.Puede configurarse como un coprocesador para transacciones de clave segura o como unacelerador para la aceleración SSL, ofreciendo mejoras importantes en el rendimiento de losalgoritmos criptográficos utilizados para el cifrado y la generación y verificación de pares declaves públicas y privadas.z/VM pone las funciones Crypto Express2 y Crypto Express3 a disposición de los huéspedesbien con acceso dedicado para su uso en operaciones de clave segura y clave sin cifrar o biencon acceso compartido para operaciones de clave sin cifrar.La CP AssistforCryptographicFunction (CPACF) forma parte de cada procesador en el servidorSystem z de IBM. Ofrece un conjunto de funciones criptográficas que se centra en la funciónde cifrado/descifrado de SSL, Virtual Private Network (VPN) y aplicaciones dealmacenamiento de datos. La CPACF es utilizada por las funciones SSL/TLS incluidas en el www.ticalcanze.tk
  • 12. SEGURIDAD EN MAINFRAME 2011cliente y el servidor LDAP z/VM y por las funciones SSL proporcionadas por el servidor SSLz/VM. Cualquier máquina virtual puede acceder a las funciones de la CPACF utilizando lasampliaciones Message-Security Assist (MSA) de la arquitectura de procesador System z deIBM. No se necesita ninguna autorización o configuración explícita de z/VM. e. Certificación según la norma de criterios comunesEl z/VM V5.3 con el componente RACF Security Server ha sido certificado por la OficinaFederal Alemana para la Seguridad de la Información (BundesamtfürSicherheit in derInformationstechnik [BSI]) por su conformidad con el Controlled Access ProtectionProfile(CAPP) y el Labelled Security ProtectionProfile (LSPP) de la norma de criterios comunes para laseguridad de TI, ISO/IEC 15408, al nivel de garantía de evaluación 4, incrementado con losprocedimientos de resolución de errores (EAL4+). Aún no se ha llevado a cabo la evaluaciónde conformidad del z/VM V6.1, pero ha sido diseñado para cumplir las mismas normas. f. Interconexión con z/VMz/VM ofrece dos tipos de interconexión virtual: LANs huésped la VSWITCH: Estas tecnologías permiten a los huéspedes comunicarse entre sí y con otros hosts de la red sin necesidad de dedicar recursos de hardware a cada huésped. Las LANs huésped son segmentos simulados de LAN que no tienen una conexión integrada a ninguna otra LAN. Sólo se conectan a otra red cuando un huésped lleva a cabo servicios rutinarios. Pueden definirse para simular HiperSockets o un funcionamiento OSA-Express en modo QDIO. Las LANs huésped definidas para funcionar como OSA-Express pueden configurarse para simular el modo OSA L2 (Ethernet) o el modo Internet Protocol (IP). En modo Ethernet, cada huésped de la LAN huésped se referencia por su dirección Media Access Control (MAC) y los datos se transmiten y reciben como tramas Ethernet completas. Este modo soporta IP, SNA, NetBios o cualquier otro formato de trama Ethernet. En modo IP, cada huésped se referencia por su dirección IP. Se pueden utilizar los protocolos IPv4 o IPv6, ayudando así a los desarrolladores de aplicaciones y de pilas TCP/IP a crear y probar nuevas aplicaciones y controladores de dispositivo aptos para IPv6. www.ticalcanze.tk
  • 13. SEGURIDAD EN MAINFRAME 2011 g. VSWITCHz/VM ofrece la capacidad de implantar conmutadores virtuales Ethernet. El z/VM VSWITCHelimina la necesidad de que máquinas virtuales funcionen como routers para conectar unaLAN huésped a una LAN física a través de un adaptador OSA-Express. Los routers virtualesconsumen una capacidad de procesador muy valiosa debido a la necesidad de copiarrepetidas veces los datos que están siendo transportados.El VSWITCH puede ayudar a disminuir estos problemas, así como a proporcionar unaconfiguración y un control de red virtual centralizados. Estos controles permiten aladministrador de z/VM otorgar y revocar acceso a la red de forma mucho más sencilla.El VSWITCH ofrece un soporte de recuperación de errores mejorado para lograr unarecuperación con menos interrupciones tras algunos de los fallos de red más comunes,ayudando así a mejorar la continuidad del negocio y la fiabilidad y disponibilidad de lainfraestructura.Al igual que en las LANs huésped, el VSWITCH soporta tanto el modo L2 (Ethernet) como elmodo de transporte de datos IP.El VSWITCH también ofrece soporte para la norma de agregación de enlaces 802.3ad delInstitute of Electrical and ElectronicsEngineers (IEEE). Este soporte está diseñado parapermitir la agrupación de hasta ocho puertos OSA-Express en un único puerto lógico. Estoayuda a aumentar el ancho de banda más allá de lo que podría proporcionar un únicoadaptador OSA-Express y ofrece una recuperación de errores más rápida y uniforme en elcaso de un fallo en el enlace.Los huéspedes pueden aprovechar estas conexiones altamente disponibles y de mayor anchode banda sin necesidad de ninguna configuración adicional. No es necesario definir ygestionar múltiples adaptadores de red virtuales o implementar protocolos de enrutamientodinámicos dentro del huésped. h. Virtualización de redes z/VMz/VM ofrece la capacidad de autorizar que un huésped conectado a una LAN huésped o a unVSWITCH z/VM motive la entrada de un adaptador de red virtual (tarjeta de interfaz de red(NIC)) en ‘modo promiscuo’. En este modo, el huésped actúa como un ‘detector’ virtual paracapturar tráfico de red. Esta capacidad puede ayudar a un administrador (o propietario de www.ticalcanze.tk
  • 14. SEGURIDAD EN MAINFRAME 2011una máquina virtual huésped) a capturar datos de red y a resolver problemas de red virtuales.También puede utilizarse para implementar un sistema de detección de intrusos (IDS).z/VM aprovecha la tecnología VLAN del IEEE para ayudar a reducir el número de puertos OSA-Express2 o OSA-Express3 necesarios para transportar el tráfico a múltiples segmentos de LAN.Para soportar VLANs, z/VM ofrece: Soporte de interfaz de red OSA-Express y HiperSockets virtual para el etiquetado VLAN de tramas Ethernet por parte de los huéspedes y de CP, tal y como se describe en el protocolo IEEE 802.1q. Puertos de acceso virtuales que permiten la asignación de huéspedes no compatibles con VLAN a VLANs específicas sin necesidad de realizar ningún cambio en la configuración IP del huésped. Puertos de enlace virtuales que permiten a huéspedes compatibles con VLAN utilizar una VLAN autorizada. La capacidad de consolidar autorizaciones VLAN dentro de un gestor de seguridad externo (ESM) como el RACF. Administración y gestión de redes simplificada de las VLANs con soporte para GenericAttributeRegistrationProtocol (GARP) y VLAN RegistrationProtocol (GVRP) utilizando adaptadores OSA-Express2 u OSA-Express3 en z/VM.z/VM proporciona la capacidad de restringir las comunicaciones entre huéspedes dentro deun VSWITCH y entre adaptadores OSA-Express compartidos utilizados por el VSWITCH. Elaislamiento de puertos del VSWITCH y el aislamiento de la conexión de datos QDIO puedenayudarle a diseñar redes virtuales que cumplen estrictas políticas de separación de datos. Elaislamiento del tráfico en adaptadores OSA-Express compartidos está disponible paracomponentes OSA-Express2 y OSA-Express3 en un servidor System z10 EC y en un servidorz10 BC con los MCLs mínimos necesarios. www.ticalcanze.tk
  • 15. SEGURIDAD EN MAINFRAME 20115. System z9: El System z9 de IBM es el sistema de cómputo más confiable y seguro que jamás se haya construido. Duplica en potencia de procesamiento, capacidad y memoria a su antecesor, el mainframe conocido como "T-Rex". El sistema constituye un hito en la tecnología de la computación, con capacidades de seguridad, virtualización y colaboración que, según declaraciones de la compañía, lo posicionan como eje de la nueva era de la computación colaborativa. El System z9 representa una iniciativa de desarrollo que llevó tres años, demandó 1.200 millones de dólares y requirió la participación de 5.000 ingenieros, desarrolladores de software y expertos de seguridad de IBM de distintas partes del mundo. a. Seguridad en toda la red El System z9 está construido con base al legado de 41 años del mainframe como sistema rico en seguridad. IBM diseñó el mainframe con una seguridad de hardware avanzada. Cada sistema también contiene claves criptográficas maestras almacenadas en un paquete "inviolable" diseñado para transformar los datos en ceros a fin de evitar la captura física por parte de un intruso. El System z9 es capaz de permitir políticas de seguridad homogéneas en todos los servidores, todos los datos y ahora en toda la red, todo ello de conformidad con los objetivos del negocio, mediante la gestión centralizada de claves en z/OS y otras características de seguridad incorporadas. El z9 proporciona protección avanzada contra riesgos internos y externos con estas nuevas características: Simplificación y seguridad de datos de mainframe en archivo Criptografía avanzada Transacciones en línea seguras y más rápidas Seguridad de Internet más fácil de implementar para cargas de trabajo de mainframe Seguridad basada en red con Cisco www.ticalcanze.tk
  • 16. SEGURIDAD EN MAINFRAME 20116. BIBLIOGRAFÍA:http://www.sahw.com/wp/archivos/2010/05/10/seguridad-en-mainframes-ibm/http://sigt.net/archivo/seguridad-en-mainframe-introduccion-al-racf.xhtmlhttp://www.go2bsecure.com/engine/index.php?option=com_content&task=view&id=127&Itemid=124http://www.ca.com/ar/mainframe-security.aspxhttp://www.foremad.es/index.php?option=com_flexicontent&view=items&cid=6:gratuitos&id=2248:administracion-de-seguridad-de-un-mainframe&Itemid=23http://www.geonoticias.com/noticias/software/nuevo-mainframe-ibm.htmlhttp://www.ibm.com/pe/systems/z/hardware/index.phtml www.ticalcanze.tk

×