> Tech > Placer un verrou sur la sécurité de l’iSeries

Placer un verrou sur la sécurité de l’iSeries

Tech - Par iTPro.fr - Publié le 24 juin 2010
email

par Chuck Lundgren - Mis en ligne le 27/10/2004 - Publié en Décembre 2003

L'iSeries est réputé depuis longtemps pour son architecture robuste et sûre, qui a même reçu la note de sécurité informatique C2, très convoitée, de l'US Department of Defense ...Revers de la médaille, cette réputation incite certains utilisateurs à  un certain laxisme vis-à -vis de la sécurité de l'iSeries. Des outils d'accès au réseau comme FTP et ODBC peuvent poser des problèmes spéciaux aux administrateurs iSeries parce que l'utilisation de ces outils, de plus en plus présents chez les utilisateurs, peut avoir des ramifications de sécurité pas toujours évidentes. IBM a eu la bonne idée de concevoir des contrôles de sécurité pour ce genre de méthode d'accès. Ces contrôles sont des programmes de sortie écrits par l'utilisateur, exécutés automatiquement par les jobs du serveur. On peut appliquer des tests de sécurité avec des programmes de sortie pour environ deux douzaines de serveurs iSeries (par exemple, le serveur FTP, le se

Placer un verrou sur la sécurité de l’iSeries

Grâce à  PowerLock Network Security
for iSeries du PowerTech Group, vous
n’avez pas à  produire vos propres programmes
de sortie. Network Security
ne se contente pas d’utiliser les programmes
de sortie pour contrôler l’accès
à  tous les serveurs iSeries ; il donne
aussi la possibilité de garder les programmes
de sortie existants et de les
appeler automatiquement à  partir des
programmes de sortie de Network
Security.
Network Security contrôle l’accès à 
votre iSeries au moyen de règles que
vous définissez, et vous pouvez attribuer
différentes règles à  certains serveurs,
comme le modèle FTP. On distingue deux types de règles : règles
d’emplacement (location) et règles utilisateur.
Les règles d’emplacement permettent
d’accorder ou de rejeter l’accès
provenant de toutes les adresses IP
ou de certaines plages d’entre elles, ou
de tout sous-ensemble d’adresses ou
de plages. Par exemple, une règle peut
rejeter tous les téléchargements de fichiers
FTP provenant d’une certaine
adresse IP.
Les règles utilisateur font partie de
l’attribution des règles d’emplacement
et sont facultatives. Elles déterminent à 
quel profil d’utilisateur ou de groupe
une règle d’emplacement s’applique.
Dans l’exemple précédent, on pourrait
utiliser une règle utilisateur pour restreindre
encore davantage les téléchargements
de fichiers FTP à  partir d’une
certaine adresse IP vers un certain utilisateur
à  cette adresse.
On peut créer de multiples règles
pour chaque serveur OS/400, et
Network Security les exécute de la plus
spécifique à  la moins spécifique.
Network Security vous permet également
de configurer chaque règle pour
journaliser automatiquement l’action
dans un fichier d’audit pour reporting
ultérieur et, éventuellement, envoyer
un message d’alerte pendant l’exécution
de la règle.
Network Security offre des moyens
supplémentaires d’augmenter ou de
diminuer l’accès pour un utilisateur ou
un groupe d’utilisateurs, en utilisant
les services réseau via une fonction de
commutation de profil. Toutes les
règles de Network Security utilisent les
autorités OS/400 attribuées à  l’utilisateur
qui accède aux services réseau,
mais ce n’est pas toujours souhaitable.
Ainsi, si des utilisateurs doivent transférer
un fichier sur l’iSeries, leurs profils
utilisateur peuvent les empêcher
de modifier ledit fichier. Dans ce cas,
on peut créer un nouveau profil utilisateur
qui permet de changer le fichier.
Ce nouveau profil utilisateur est ensuite
attribué comme le « profil
switch » pour la règle de téléchargement
FTP. Chaque fois que l’utilisateur
télécharge le fichier, Network Security
en est alerté par son programme de
sortie, commute l’autorité sous laquelle
la requête est en train de s’exécuter
pour utiliser le nouveau profil
utilisateur, et exécute le téléchargement.
Cette opération présente l’avantage
de s’appuyer entièrement sur la
sécurité native de l’OS/400.
Vous pouvez instaurer un autre niveau
de granularité de sécurité en utilisant
la fonction Transaction Security de
Network Security, qui permet d’accorder
ou de restreindre l’accès d’après le
type de transaction. Et Network
Security vous permet de choisir entre
trois méthodes de management : menus
écran passif, commandes Network
Security directes, et iSeries Navigator.
La figure 1 présente un exemple
d’écran iSeries Navigator, montrant
quelques règles utilisateur pour le serveur
de fichiers.
Network Security offre aussi diverses
options de reporting d’audit
dans deux catégories : détection d’intrusion
et règles d’accès. Si Network
Security vous intéresse, vous pouvez
télécharger une copie d’essai entièrement
fonctionnelle pour 30 jours, à 
partir du site Web de The PowerTech
Group.

Téléchargez gratuitement cette ressource

Comment cerner la maturité digitale de votre entreprise ?

Comment cerner la maturité digitale de votre entreprise ?

Conçu pour les directions IT et Métiers, ce guide vous permettra d'évaluer précisément vos processus de communication client, d'identifier vos lacunes et points d'inflexion pour établir un plan d’actions capable de soutenir durablement votre évolution. Bénéficiez maintenant d'une feuille de route complète.

Tech - Par iTPro.fr - Publié le 24 juin 2010