L'assistant de sécurités de l'AS/400 offre un point de départ raisonnable à une sécurité sur mesure.Les
sécurités de l'AS/400 sont de plus en plus compliquées, pour plusieurs
raisons: prédominance des applications client/serveur, adoption de standards
comme POSIX et TCP/IP, et rythme effréné de la révolution Internet. Nombreux
sont les responsables qui veulent tout
comprendre des sécurités avant de modifier quoi
que ce soit. Ils hésitent à modifier les structures de sécurité, par
crainte de fermer des applications critiques ou de créer des brèches imprévues
dans le système. Bien compréhensible, cette attitude n'en laisse pas moins le
système en état de vulnérabilité.
IBM
répond avec AS/400 Security Wizard, un assistant livré avec Operations
Navigator dans la V3R2M0 de Client Access pour Windows 95/NT. Cet assistant
supprime la complexité en même temps qu'il propose un environnement permettant
de modifier les structures de sécurité à moindre risque. Bien que la dernière
version d'Operations Navigator soit nécessaire sur le client, on peut utiliser
l'assistant pour configurer la sécurité sur n'importe quel AS/400 en V3R7 ou
ultérieure de l'OS/400.
L'assistant
de sécurité pose une suite de 10 ou 11 questions (en fonction des réponses)
pour créer un profil de votre environnement de sécurité. La réponse à ces
questions nécessite peu ou pas de connaissances des sécurités AS/400. Selon
les réponses obtenues, l'assistant
-
produit un ensemble de recommandations concernant les valeurs système liées à
la sécurité, des rapports et autres paramétrages divers
-
permet d'examiner et, le cas échéant, de remplacer certaines recommandations
-
crée un rapport administrateur et un nouveau rapport utilisateur
-
permet d'appliquer les recommandations ou de les sauvegarder pour complément
d'analyse
-
offre
une solution de repli en cas de
difficultés après l'application des recommandations
En
revanche, l'assistant ne peut pas :
-
se substituer à une politique de sécurité
-
garantir l'élimination de toute vulnérabilité
-
garantir qu'il n'y aura aucune violation des sécurités
L'assistant
de sécurité constitue un excellent point de départ pour adapter les sécurités
à votre environnement. Il peut vous procurer une protection relative pendant
que vous développez une politique de sécurité ou étudiez la question de plus
près.
Pour
commencer à utiliser «AS/400 Security Wizard», lancez Operations Navigator et
ouvrez une session sur le système que vous souhaitez configurer, avec un profil
possédant les droits spéciaux *ALLOBJ, *SECADM et *AUDIT. Cliquez sur le «+»
à gauche du nom du système dans le panneau de gauche de la fenêtre de
Operations Navigator. Ensuite, faites un clic droit sur «Security» au-dessous
du nom du système et sélectionnez «Configure» sur le menu qui apparaît
(figure 1) pour lancer l’assistant de sécurité.
Si
personne n’a utilisé l’assistant sur ce système auparavant, on obtient l’écran
d’accueil de la figure 2. Cliquez sur Next pour afficher la première question
(figure 3): «How would you characterize the general security policy for your
AS/400?» (Comment caractériseriez-vous la politique générale de sécurités
de votre AS/400?) Sélectionnez Strict (Stricte), Average (Moyenne) ou Relaxed
(Laxiste), puis cliquez sur Next. Suivez cette procédure pour les questions
suivantes:
-
What is your AS/400 used for (production, development, or both)? (Pour quoi
utilisez-vous votre AS/400? (production, développement, ou les deux)?)
-
Do you have workstations in unsecured areas? (Possédez-vous des stations de
travail dans des zones non sécurisées?)
-
Do you run APPC? (Utilisez-vous
APPC?)
-
Do you run TCP/IP? (Utilisez-vous
TCP/IP?)
-
Is your AS/400 directly or indirectly attached to the Internet? (Votre AS/400
est-il directement ou indirectement relié à Internet?)
-
Does it allow dial-in connections? (Autorise-t-il des appels entrants commutés?)
-
Does it rely on another machine in the network for system management?
(Compte-t-il sur une autre machine du réseau pour son administration système?)
-
Do you want to audit security-related actions? (Voulez-vous auditer les actions
liées à la sécurité?)
-
Do you want to schedule reports that help you monitor security? If so, how often
(weekly or monthly)? (Voulez-vous produire des rapports qui vous aideront à
superviser les sécurités? Si oui, avec quelle fréquence (hebdomadaire ou
mensuelle)?)
Les
réponses les plus courantes sont présélectionnées pour que les utilisa-teurs
puissent avancer rapidement dans l’assistant.
Téléchargez cette ressource
Comment lutter contre le Phishing ?
Dans un environnement cyber en constante mutation, le phishing évolue vers des attaques toujours plus sophistiquées combinant IA, automatisation et industrialisation. Une réalité complexe qui exige des mesures de sécurité avancées et repensées au-delà de l’authentification multifacteur. Découvrez les réponses technologiques préconisées par les experts Eviden et les perspectives associées à leur mise en œuvre.