Bundesamt für Sicherheit in der Informationstechnik

M 2.290 Einsatz von RACF-Exits

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

Neben den Anpassungsmöglichkeiten von RACF (Resource Access Control Facility) durch Kommandos und Parameter ist es darüber hinaus möglich, zusätzliche Sicherheitsregeln durch den Einsatz von RACF-Exits zu implementieren. Exits werden an verschiedenen Stellen der RACF-Funktionen durchlaufen und erlauben dort individuelle Eingriffe. Ihr Einsatz erfordert ein hohes Maß an Wissen und Erfahrung in der Assembler-Programmierung.

Die folgenden Empfehlungen sollten beim Einsatz von Exits beachtet werden:

Wartung der Exits

Wenn Exits zur Erweiterung der RACF-Funktionalität notwendig sind, müssen diese per SMP/E (System Management Program/Enhanced) als Usermod eingebaut werden (siehe M 2.293 Wartung von zSeries-Systemen ).

DES -Algorithmus zur Authentisierung

RACF verschlüsselt die Kennung mit Hilfe des DES-Algorithmus (Data Encryption Standard), wobei als Schlüssel das eingegebene Passwort benutzt wird (das Passwort selbst wird dabei nicht gespeichert). Um sicherzustellen, dass der DES-Algorithmus (und nicht der schwächere Masking-Algorithmus) benutzt wird, darf der in der SYS1.LINKLIB mitgelieferte ExitICHDEX01 nicht in der Link Pack Area eingesetzt werden. Es wird daher empfohlen, dieses Lade-Modul zu entfernen und den entsprechenden Eintrag in SMP/E zu deaktivieren (Usermod), damit zukünftige Wartungsaktivitäten dieses Lade-Modul nicht eventuell wieder installieren. Der DES-Algorithmus ist normalerweise die Standardeinstellung bei der Auslieferung von RACF unter z/OS.

Änderungen von Exits

Es ist zu beachten, dass bei Änderungen von Exits ein IPL (Initial ProgramLoad) notwendig ist. Eine Ausnahme hiervon stellt IRREVX01 dar; er lässt sich dynamisch nachladen.

Erweiterte Passwortregeln

Es sollte überlegt werden, ob die über die SETROPTS-Funktion von RACF zur Verfügung gestellten Mechanismen der Passwortregeln ausreichen oder ob über den New Password Exit ICHPWX01 erweiterte Passwortregeln eingeführt werden sollen.

Verwendung von Tools

Beim Einsatz von Tools zur Passwort-Synchronsierung oder von Produkten zum Tape-Management ist zu überprüfen, ob RACF-Exits mit dem Produkt geliefert werden oder sogar Voraussetzung für das Funktionieren des jeweiligen Produktes sind.

Exit-Kontrolle

Der Einsatz von Exits kann über die Funktion DSMON kontrolliert werden. Eine solche Kontrolle sollte regelmäßig im Rahmen von Audits erfolgen (siehe auch M 2.291 Sicherheits-Berichtswesen und -Audits unter z/OS ). Eine

Ausnahme stellt IRREVX01 dar. Dieser Exit sollte jedoch ebenfalls kontrolliert werden, wenn er verwendet wird.

Prüffragen:

  • Sind Exits zur Erweiterung der RACF -Funktionalität unter z/OS per SMP/E als Usermod eingebaut?

  • Ist sichergestellt, dass der DES -Algorithmus oder ein stärkeres Verfahren zur Authentisierung in den z/OS-Systemen benutzt wird?

  • Erfolgt regelmäßig im Rahmen von Audits eine Kontrolle zum Einsatz von Exits?

Stand: 13. EL Stand 2013

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK