Os dois produtos mais comuns a respeito de segurança são o ACF2 da CA e o RACF da IBM. O que será apresentado aqui é o ACF2.
Existe ainda o TSS ( Top Secret Security ) , que é umas outra Task de segurança também usada em sistemas Mainframe.
ACF2
É um produto de segurança da CA para Mainframe. Usado para autorização de acessos, manipulação de dados, etc.
O ACF2 proteje Datasets e recursos arquivados em um sistema, tipo dados de folha de pagamento, valores bancários, etc.
Os dados protegidos pelo ACF2 só serão acessados quando o usuário constar na lista para uma informação específica, ou seja, só acessa algum dado, ou até algum sistema, quem tiver o nome na lista de convidados do ACF2, caso contrário, nada feito.
A interface que faz a segurança pelo ACF2 é chamada RACROUTE.
O ACF2 usa 3 bancos de dados para realizar sua tarefa, Loginid Database, Rule Database e Infostorage Database.
Logonid Database
Responsável pelo Logon do usuário, privilégios, senha, histórico de acesso, horários de acesso, UID etc. Têm todas as informações para o acesso de um usuário no momento do Logon, tipo onde ele poderá acessar, horário que poderá acessar, qual o ID e Password, qual o departamento do usuário, etc.
ACF2 Rule Database
Este banco de dados contém as regras de acesso a Datasets, tipo quem tem acesso, qual o nível de acesso de um certo usuário, etc.
ACF2 Infostorage Database
Este banco de dados contém informações sobre as regras de acesso a recursos. Tem a mesma função que o Rule Database, só que contém informações para recursos, enquanto que o anterior controla acesso a Datasets.
Todo usuário tem seu Id e Password associados a ele, assim o ACF2 terá um total controle de acesso.
Após o usuário entrar no sistema ou 'logar', este usuário erá tentar acessar algum Dataset, ou executar algum programa, o ACF2 irá verificar as regras para saber se este usuário poderá ou não realizar esta tarefa.
O ACF2 trabalha com 4 níveis de acesso, Security Administrator, Scoped Security Administrator, Auditor e User.
Os Databases dos ACF2 podem ser editados através do TSO, ISPF e Jobs.
O ACF2 mantém 4 arquivos de tentativas de acessos. São:
Unauthorized Attempts to Logon to the System;
Authorized or Unauthorized Attempts to Access Protected Datasets;
Authorized or Unauthorized Attempts to Access Protected Resources;
Authorized or Unauthorized Attempts to Update ACF2 Databases;
O ACF2 usa o SMF ( System Management Facility ) para gravar acessos e violações de acesso. O ACF2 usa dois utilitários para detectar violações de segurança, SMF Data Unload Utility e ACF2 Report Generator.
Os arquivos são gerados da seguinte maneira:
Invalid Password/Auhtority Log - Lista todas as tentativas inválidas de Logon;
Dataset Program Event Log - Lista todas as tentativas inválidas e violações de acesso a Datasets;
Generalized Resources Log - Lista as tentativas inválidas e violações de acesso a recursos;
Logonid Modification Log - Lista as mudaças em Logonid;
Rule=id Modification Log - Lista as mudanças nas regras de Dataset;
Infostorage Update Log - Listas as mudanças nos arquivos de Infostorage;
Trabalhando com o ACF2
Entrando pelo ISPF ou TSO a opção ACF e depois digita 'A', uma tela vai se abrir com opção de de Databases do ACF2 com um número e a função. Ex.:
1 - RULES;
2 - LOGONIDS;
3 - SYSTEM;
4 - REPORTS;
5 - UTILITIES
6 - GSO
7 - NET
8 - CAC
9 - XREF
10 - MAC
11 - CPF
12 - FIELD
13 - TARGETS
14 - PROFILE
15 - SMS
16 - ENTRY
17 - SHIFT
Assim até o numero 17 ou mais.
Alguns comandos podem ser executados também na tela inicial do ACF, que podem ser digitados abreviados:
Insert (I) - Cria novo arquivo de Logonid;
Change (CHA) - Muda um arquivo de LOgonid;
COMPILE (COM) - Cria uma regra de Dataset ou de recurso;
DECOMP(DEC) - Lista uma regra de Dataset ou de recurso;
STORE (ST) - Salva uma regra de Dataset ou de recurso;
DELETE (DEL) - Deleta um Logonid, uma regra de Dataset ou de recurso;
LIST (L) - Lista um Logonid, uma regra de Dataset ou de recurso;
LIST LIKE(mask) (L L (mask)) - Procura Logonid, regra de Dataset ou recurso que tenha um caractere específico de mascara;
END (E) - Sai da tela de comando do ACF2.
O ACF2 ainda dá a opção de gerenciar seus bancos de dados remotamente, de outro sistema, através do CPF ( Command Propagation Facility ). Para isso, seu Logonid tem que ter este privilegio na regra do seu ID.
Alguns comandos de console ou de TSO para o aplicativo ACF2
F ACF2,BACKUP - Inicia o backup do banco de dados do ACF2
S ACF2 - Inicia o ACF2
P ACF2 - Pára o ACF2
F ACF2,RESET(logonid) - Reduz violação de Password de um Logonid
O ACF2 usa o RACROUTE como interface de segurança, e o RACROUTE por sua vez usa o System Authorization Facility (SAF) que interpreta o request para o ACF2.
O ACF2 usa programação em Assembler.
O ACF2 usa o Logonid Record Definition para criar as caracteristicas de um usuário.
Alguns comandos usados dentro do ACF2:
SET LID - Diz ao ACF2 que se quer ver somente os Logonid;
SET TERSE - Diz ao ACF2 para mostra somente a primeira linha do arquivo do Logonid;
SET VERBOSE - Diz ao ACF2 para mostrar todo o arquivo do Logonid;
LIST * - Mostra o último usuário checado;
LIST LIKE(-) - Mostra todos os Logonid.
RACF
O RACF é um serviço de segurança que autoriza acesso do usuário a recursos protegidos. O RACF faz parte do Servidor de segurança do OS/390, que faz parte do sistema operacional OS/390.
Banco de Dados RACF
O banco de dados RACF armazena informações sobre usuários, grupos, conjuntos de dados e outros recursos. Os registros do banco de dados que descrevem esses objetos são chamados de perfis. O banco de dados RACF tem diferentes tipos de perfis. Um perfil que protege um único recurso, como por exemplo uma transação ou tecla criptográfica é chamado de perfil discreto. Um perfil que protege vários recursos é chamado de perfil genérico. O banco de dados RACF também utiliza perfis de usuários e do grupo.
Nota: Os perfis RACF não devem ser confundidos com os perfis do Tivoli Secureway User Adminstration. Para obter mais informações sobre os perfis do Tivoli SecureWay User Administration, consulte Perfis de Usuário e de Grupo.
Segmentos RACF
Os segmentos dos perfis RACF são extensões opcionais do perfil base que contém informações sobre um determinado aplicativo ou função de gerenciamento. Por exemplo, se o usuário precisa executar o Customer Information Control System (CICS), seu perfil de usuário requer um segmento CICS. Os perfis de usuários podem exigir vários segmentos adicionais para acomodar as atividades necessárias para um usuário.
Autenticação do Usuário
Ao iniciar sessão no sistema operacional, o usuário deve especificar um ID do usuário e senha válidos. O RACF também oferece suporte a alternativas para senhas tradicionais. Por exemplo, o RACF oferece suporte a passtickets. O passticket pode ser gerado pelo RACF ou por outra função autorizada e pode ser utilizado somente se estiver em um determinado sistema dentro de um período de tempo limitado. Ao autenticar um usuário, o RACF verifica o seguinte:
- Se o usuário está definido no RACF
- Se o usuário forneceu uma senha ou uma alternativa válidas, como por exemplo um passticket
- Se o UID (ID do usuário) e o GID (ID do grupo) são válidos no UNIX OS/390
- Se o ID do usuário está no status de revogação, o que impede que um usuário definido pelo RACF entre no sistema ou acesse determinados grupos
- Se o usuário tem autorização para utilizar o sistema nesse dia e hora
- Se o usuário tem autorização para acessar o terminal
Autorização de Recursos
Quando o usuário solicita acesso a um recurso, o gerenciador de recurso do sistema emite um pedido do RACF para verificar se o usuário tem autorização para acessar o recurso. O RACF verifica o perfil que contém informações sobre o recurso solicitado no banco de dados do RACF. O RACF passa essas informações ao gerenciador de recurso do sistema. Com base nessas informações, o gerenciador de recurso do sistema concede ou nega o pedido.
Atributos do Usuário RACF
Os usuários com funções de job diferentes exigem tipos de acesso a recursos diferentes. Os atributos do usuário do RACF podem fornecer a um usuário direitos de acesso especiais aos recursos. Os atributos do usuário também determinam o que um usuário pode fazer com o banco de dados do RACF. A seguir são fornecidos alguns exemplos de atributos básicos do usuário RACF:
ESPECIAL — Este atributo de usuário é válido para um administrador RACF que tem direito de utilizar todos os comandos do RACF e definir qualquer tipo de perfil no banco de dados RACF. O atributo ESPECIAL do RACF permite que o usuário gerencie o conteúdo do banco de dados do RACF, mas não oferece acesso especial aos outros recursos do OS/390 além do que um usuário comum teria.
OPERAÇÕES — Este atributo de usuário fornece ao usuário acesso a todos os conjuntos de dados e a algumas classes de recursos adicionais no sistema. O atributo também permite que o usuário aloque conjuntos de dados para qualquer outro usuário no sistema. Por motivos de segurança, esse atributo deve ser fornecido somente a IDs do usuário temporários, abertos em situações de emergência.
AUDITOR — Este atributo de usuário é válido para um usuário responsável pela auditoria do banco de dados RACF, além de logs e integridade do sistema. O atributo AUDITOR fornece ao usuário o direito de observar todos os perfis do banco de dados RACF e alterar os atributos de auditoria do sistema e de perfis individuais.
REVOGAR — Este atributo de usuário fornece uma forma de impedir que um usuário definido para RACF utilize o sistema. O atributo REVOGAR pode ser disparado quando o usuário digita uma senha incorreta muitas vezes, ou não inicia sessão no sistema por um determinado número de dias. Esse atributo também pode ser válido quando um administrador revoga o perfil do usuário.
Grupos RACF
Cada usuário RACF é membro de no mínimo um grupo RACF. Um usuário que pertence a um grupo é chamado de conectado ao grupo. Os grupos RACF podem ter várias finalidades. As mais comuns são as seguintes:
- Grupos de proteção de recursos permitem que você proteja conjuntos de dados. Existem dois tipos de conjuntos de dados: conjuntos de dados do usuário e conjuntos de dados do grupo. O qualificador de primeiro nível para obter acesso a um conjunto de dados do usuário é o ID do usuário. Para todos os outros conjuntos de dados, o qualificador de primeiro nível é definido como um grupo do RACF. Por exemplo, para proteger um conjunto de dados CICS41.LOADLIB, você precisa definir um grupo com o nome CICS41. A seguir, você pode definir os perfis de conjuntos de dados RACF que começam com CICS41, para sua proteção.
- Grupos administrativos podem ser utilizados para informações. Uma forma comum de utilizar esses grupos é criar uma estrutura que emule a organização dos departamentos e divisões da sua empresa. Em seguida, conecte os usuários pertencentes a um departamento ao grupo correspondente. Quando você precisar saber quem trabalha em um determinado departamento, pode descobrir listando o grupo que representa o departamento.
- Grupos funcionais são os grupos que representam funções de trabalho ou responsabilidades e são utilizados para fornecer direitos de acesso aos usuários. Por exemplo, se sua empresa tem a função de contador, crie o grupo RACF CONTA para representar essa função. Em seguida, conecte todos os contadores a esse grupo, supondo que eles tenham os mesmos requisitos de acesso. Após isso, digite o grupo CONTA em todas as listas de acesso para os recursos aos quais os contadores precisam ter acesso.
Os atributos de usuário ESPECIAL, OPERAÇÕES e AUDITOR podem ser concedidos a um usuário através de sua conexão a um grupo. Quando recebidos através de um grupo, esses atributos são denominados GRUPO-ESPECIAL, GRUPO-OPERAÇÕES, etc. Um usuário com um desses atributos pode utilizar o atributo somente para acessar recursos de propriedade do grupo.