M 5.113 Einsatz des VTAM Session Management Exit unter z/OS
Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Fachverantwortliche, Administrator
Die z/OS-Komponente VTAM (Virtual Telecommunication Access Method) bietet die Möglichkeit, den Login-Vorgang durch einen VTAM Session Management Exit (ISTEXCAA) zusätzlich zu schützen. Dieser Exit wird während des Session-Aufbaus und -Abbaus von VTAM aus angesprochen und erlaubt die folgenden Funktionen:
-
Session Authorization
- Prüfen und Erlauben/Ablehnen von Logical Unit Sessions
-
Session Accounting
- Sammeln von Session-Accounting-Datenzur späteren Auswertung
-
Adjacent SSCP Selection
- Auswahl eines System Service Control Point nach definierten Regeln (Routing)
- Unterstützung des Session Takeover im Rahmen von XRF Application Processing
Für die beiden ersten Funktionen wird der VTAM Session Management Exit häufig eingesetzt, für die beiden letzten dagegen nur in wenigen Sonderfällen. Der VTAM Session Management Exit muss vom Betreiber selbst erstellt oder beschafft werden. Der Hersteller liefert keinen VTAM Session Management Exit mit dem Betriebssystem aus.
Für den Einsatz des VTAM Session Management Exits sollten die folgenden Empfehlungen beachtet werden.
Hinweise zur Programmierung
Assembler-Kenntnisse
Der Exit muss in Assembler programmiert werden. Zudem werden gute Kenntnisse der VTAM-Software vorausgesetzt. Wenn die notwendigen Kenntnisse nicht vorliegen, ist zu überlegen, ob am Markt verfügbare alternative Software-Produkte eingesetzt werden sollten. Diese sind häufig einfacher und sicherer zu installieren.
Performance
Der Exit kann die VTAM-Performance erheblich beeinflussen. Deshalb ist darauf zu achten, dass beim Durchlaufen des Exits keine zeitaufwendigen Aktivitäten, wie z. B. das Lesen von Dateien, stattfinden.
Definitionen
Alle Definitionen, die der Exit während des Betriebs benutzt, sollten dynamisch nachladbar sein, ohne dass Betriebsfunktionen gestoppt werden müssen.
Das Regelwerk (Policy) für den Exit sollte möglichst extern definierbar sein (keine Definitionen im Programm).
Unterstützte Funktionen
Es sollten mindestens folgende Funktionen im Exit unterstützt werden:
- Schreiben eines LOG-Eintrags (Syslog)
- Schreiben eines SMF-Records
- Schnittstelle zu WTO (Write to Operator) für Abweisungen
Damit ist eine nachträgliche Kontrolle der abgewiesenen Login-Versuche möglich. Als Option können zusätzlich Statistik-Informationen geführt werden, jedoch können diese Informationen auch aus den SMF-Records abgeleitet werden.
Schutz der Sicherheitsregeln
Das Regelwerk (Policy) des Exits sollte in einer separaten Datei geführt werden, die beim ersten Durchlaufen des Exits in den Hauptspeicher geladen wird. Es sollten nur die Mitarbeiter Zugriff auf diese Datei haben, deren Tätigkeit dies erfordert. Dies gilt besonders dann, wenn das Regelwerk des Exits in der aktuellen VTAMLST-Datei geführt wird. Es ist zu überlegen, ob die Verkettung von verschiedenen VTAMLST-Dateien helfen kann, die Sicherheit des Betriebs zu erhöhen. Verschiedene VTAMLST-Dateien erlauben unterschiedliche Zugriffsrechte, wobei die verketteten Dateien in Bezug auf die Verarbeitung wie eine Datei behandelt werden. Eine Vertretungsregelung ist vorzusehen.
VTAM Kommandos
Der VTAM Session Management Exit kann während des Betriebs durch das VTAM Modify-Kommando dynamisch aktiviert bzw. deaktiviert werden. Durch entsprechende RACF-Definitionen ist sicherzustellen, dass nur die Mitarbeiter Zugang zu diesem Kommando haben, deren Tätigkeit dies erfordert. Eine Vertretungsregelung ist vorzusehen.
Einsatz von NetView ALIAS Name Translation
Im VTAM Session Management Exit können Funktionen zur ALIAS Name Translation eingesetzt werden. Parallel hierzu kann auch die NetView ALIAS Name Translation Facility verwendet werden. Letzteres wird durch ein Flag angezeigt. Wenn beides eingesetzt wird, ist darauf zu achten, dass beide Möglichkeiten zur ALIAS Name Translation aufeinander abgestimmt und widerspruchsfrei sind. Beispielsweise dürfen keine unterschiedlichen Aliase für den selben Namen gesetzt werden.
Ergänzende Kontrollfragen:
- Falls ein VTAM Session Management Exit eingesetzt ist, werden dessen Regeln extern definiert?
- Ist das VTAM Modify-Kommando durch entsprechende RACF-Profile vor unautorisiertem Zugang geschützt?
- Lassen sich die Exit-Regeln dynamisch ohne Betriebsunterbrechung nachladen?