Auditoría de IBM Power Systems (AS/400). Parte 4. Perfiles de usuario (contraseñas por defecto)

Hola,

Seguimos con nuestro cursillo de auditoría de IBM Power Systems (AS/400). Continuamos repasando el apartado de perfiles de usuario, haciendo un alto en el camino para hablar de las contraseñas por defecto.

En capítulos anteriores …

Estos son los contenidos vistos con anterioridad:

Parte 1. Introducción

Parte 2. Valores del sistema

Parte 3. Perfiles de usuario (generalidades)

Contraseñas por defecto

Estudiar las contraseñas por defecto es una tarea típica en el análisis de la seguridad de un sistema operativo. El caso de un 400 no es una excepción.

En sistemas transaccionales de medio y largo alcance es relativamente frecuente, dado el elevado número de usuarios, que existan muchos perfiles con contraseñas por defecto. Adicionalmente son sistemas que vienen de fábrica poblados con multitud de perfiles que tienen contraseñas por defecto, los cuales, en ausencia de una administración de seguridad adecuada, pueden perdurar en la vida útil del sistema pasando inadvertidos. Para facilitar su localización, los sistemas operativos de un 400 tienen una utilidad a disposición de los administradores de seguridad: el análisis de las contraseñas por defecto.

El riesgo de la existencia de contraseñas por defecto es más que obvio, ya que facultan a un atacante a lograr acceso al sistema sin la necesidad de explotar vulnerabilidades.

Analyze Default Password (ANZDFTPWD)

Tal y como se puede leer en el capítulo cuarto de la guía de referencia de seguridad del fabricante, este comando permite imprimir un informe completo de todos los perfiles de usuario declarados en el sistema que tienen contraseña por defecto, así como tomar medidas para mitigar los riesgos que estos perfiles representan. Las acciones pueden ser *NONE (no se toma ninguna medida), *DISABLE (desactivar el perfil) y *PDWEXP (poner la contraseña como caducada, lo que hará que al siguiente inicio de sesión el usuario deba cambiarla). En un 400 se entiende como contraseña por defecto aquella en la que el nombre del perfil de usuario coincide con la clave de dicho perfil.

Este comando, restringido para el oficial de seguridad (QSECOFR), está principalmente orientado a localizar perfiles por defecto que están declarados en el sistema en una instalación nueva, pero lógicamente, también permite al auditor localizar malas prácticas en la gestión de contraseñas, identificando perfiles a los que en vez de otorgar claves complejas, le han sido otorgadas claves simples, coincidentes con su nombre de perfil. Técnicamente hablando, el comando se surte del fichero de datos QASECPWD2, presente en la libería QUSRSYS.

Contraseñas por defecto de fábrica

Las siguientes credenciales suelen ser las habituales en una instalación de fábrica. Resulta fácil comprobar que la lista de duplas (notadas como perfil;contraseña) no es precisamente corta, lo que hace más que justificable el análisis de las contraseñas por defecto:

11111111;11111111
22222222;22222222
IBM;PASSWORD
IBM;2222
IBM;SERVICE
IBM;IBM
QAUTPROF;
QDBSHR;
QDOC;
QLPAUTO;
QNETSPLF;
QPGMR;QPGMR
QSECOFR;11111111
QSECOFR;22222222
SECOFR;SECOFR
QSRVBAS;QSRVBAS
QTFTP;
QTSTRQS;
QBRMS;
QDBSHRDO;
QDSNX;
QLPINSTALL;
QNFSANON;
QPM400;
QSNADS;
QSVCDRCTR;
QTMHHTTP1;
QUMB;
QCLUMGT;
QDFTOWN;QDFTOWN
QEJB;
QMQM;
QNOTES;
QPRJOWN;
QSPL;
QSYS;
QTMHHTTP;
QUSER;QUSER
QCLUSTER;
QDIRSRV;
QFNC;
QMQMADM;
QNTP;
QRJE;
QSPLJOB;
QSYSOPR;QSYSOPR
QTMPLPD;
QYPSJSVR;
QCOLSRV;
QDLFM;
QGATE;
QMSF;
QPEX;
QRMTCAL;
QSRV;QSRV;IBMCEL
QTCP;
QTMTWSG;
QYPUOWN;
QSERV;QSERV

El menú SECTOOLS

sectools

Esta utilidad es parte de un menú especial llamado SECTOOLS, un menú accesible mendiante go sectools, en el que además del análisis de contraseñas por defecto (ANZDFTPWD), es posible desplegar la lista de perfiles activos (DSPACTPRFL), los inactivos, analizar la actividad de los perfiles (ANZPRFACT), consultar la agenda de activación y desactivación de perfiles (DSPACTSCD), cambiar la agenda (CHGACTSCDE), gestionar la agenda de expiraciones (DSPEXPSCDE y CHGEXPSCDE) y imprimir información interna de los perfiles (PRTPRFINT).

Una auditoría completa del 400 haría recomendable revisar todas estas ejecuciones para determinar si existen indicios de una configuración de seguridad incorrecta. Elementos que nos pueden hacer sospechar son, por ejemplo, una agenda de desactivación y/o expiración sin entradas (síntoma de que los perfiles se crean sin expiración), un elevado número de perfiles inactivos, etc.

En el próximo capítulo indagaremos más en el análisis de los perfiles de usuario.

Un saludo,

4 comentarios sobre “Auditoría de IBM Power Systems (AS/400). Parte 4. Perfiles de usuario (contraseñas por defecto)

  1. Muy buenos los aportes Sergio,…Poco a poco se afianza la excelencia de los servidores As400,….sigamos en ello

  2. El problema de la creación de usuarios con la contraseña igual al nombre del perfil, se puede mitigar modificando el valor por omisión del parametro PASSWORD del mandato CRTUSRPTF, de la siguiente forma:

    CHGCMDDFT CMD(QSYS/CRTUSRPRF) NEWDFT(‘PASSWORD(*NONE)’)

    De esta forma al crear un usuario nuevo el valor por omisión de la contraseña sera nulo, con lo que debemos assignar manualmente un contraseña, evidentemente siguiendo las politicas de contraseña que tengamos establecidas en nuestro sistema.

Comentarios cerrados.