Sie befinden sich hier: Themen IT-Grundschutz-Kataloge. Inhalt. Dokumententitel: G 3.72 Fehlerhafte Konfiguration des z/OS-Sicherheitssystems RACF - IT-Grundschutz-Kataloge - Stand 2006
direkt zu der Navigation Servicebereich. direkt zu der Hauptnavigation. direkt zur Themennavigation. direkt zum Seiteninhalt.

G 3.72 Fehlerhafte Konfiguration des z/OS-Sicherheitssystems RACF

Im z/OS-Betriebssystem ist für den Zugangs- und Zugriffsschutz auf Ressourcen ein spezielles Sicherheitssystem zuständig. Hierfür kommt häufig RACF (Resource Access Control Facility) zum Einsatz. Die Konfiguration von RACF im Auslieferungszustand entspricht in der Regel nicht den Sicherheitsanforderungen im jeweiligen Einsatzszenario.

Im Folgenden werden die am häufigsten vorzufindenden Problemfelder in Bezug auf die RACF-Konfiguration beschrieben.

Gültigkeitsregeln für Passwörter

Mit dem Kommando SETROPTS können in RACF systemweit gültige Sicherheitseinstellungen des z/OS-Systems, insbesondere für Passwörter, definiert werden. Zu den Parametern gehören die minimale Passwortlänge, die Anzahl der erlaubten Anmeldeversuche, die maximale Gültigkeitsdauer, die Passwort-Historie, Auditeinstellungen und die Klassenaktivierungen.

Missbrauch von Standard-Passwörter

Im Auslieferungszustand von z/OS sind für die Kennung IBMUSER unddas RACF-Kommando RVARY Standard-Passwörter voreingestellt. Noch während des Betriebs sind oft die Systemmonitore mit sicherheitskritischen Funktionen über Standard-Passwörter zugänglich.

Die Kennung IBMUSER dient als erste Kennung zum Aufbau eines neuen Systems und besitzt Special- und Operations-Berechtigung. Da die Kennung IBMUSER keinem eindeutigen Anwender zugeordnet ist, lässt sich kaum herausfinden, wer diese Kennung benutzt bzw. benutzt hat.

Mit dem RACF-Kommando RVARY kann die RACF-Datenbank aktiviert und deaktiviert, d. h. auch gewechselt werden.

Die Standard-Passwörter sind in der Produktdokumentation aufgeführt und damit allgemein bekannt.

Warning-Modus

RACF-Ressourcen können im Warning-Modus geschützt werden. Dies bedeutet, dass alle Zugriffe auf die Ressource gewährt werden, auch wenn die RACF-Definitionen einen Zugriff auf die Ressource eigentlich verbieten würden. Durch den Warning-Modus werden unter Umständen sehr viel mehr Nachrichten in das Syslog geschrieben und darüber hinaus mehr SMF-Sätze (System Management Facility) erzeugt. Dies kann zu einer starken Erhöhung des Plattenspeicherplatzbedarfs führen.

Eine irrtümliche Freigabe von Ressourcen über den Warning-Modus kann zu einem Verlust der Vertraulichkeit von Daten führen.

Schutz von z/OS-System-Kommandos

Die z/OS-System-Kommandos werden über spezielle Klassen im RACF geschützt. Durch unzureichende Definitionen dieser Klassen ist es möglich, dass Anwender System-Befehle absetzen können, die unter Umständen den stabilen Systembetrieb beeinträchtigen. Beispiele hierfür sind das Starten oder Stoppen von Started Tasks oder das Online-Setzen von Plattensystemen.

Global Access Checking Table

Sind Dateien in der Global Access Checking Table (GAC) eingetragen, so erfolgt beim Zugriff keine Prüfung über die RACF-Datenbank. Der Anwender bekommt direkten Zugriff gemäß den in der GAC definierten Regeln. Werden in der GAC irrtümlich Dateien eingetragen, so sind diese nicht mehr über die RACF-Profile geschützt. Diese Dateien können z. B. von allen Anwendern ausgelesen werden, falls sie in der GAC mit READ eingetragen sind.

RACF-Datenbank

Die RACF-Datenbank enthält in verschlüsselter Form alle Passwörter der Benutzer und muss, wie jede andere Datei des z/OS-Betriebssystems, über entsprechende Definitionen geschützt werden. Ist der Zugriffsschutz auf die Datenbank so definiert, dass jeder Benutzer die Datei lesen (und damit auch kopieren) kann (z. B. über die Definition Universal Access(UACC) = READ), ist ein Brute-Force-Angriff auf die Passwörter möglich.

Beispiele: