Bundesamt für Sicherheit in der Informationstechnik

M 5.113 Einsatz des VTAM Session Management Exit unter z/OS

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator, Fachverantwortliche

Die z/OS-Komponente VTAM (Virtual Telecommunication Access Method) bietet die Möglichkeit, den Login-Vorgang durch einen VTAM Session Management Exit (ISTEXCAA) zusätzlich zu schützen. Dieser Exit wird während des Session-Aufbaus und -Abbaus von VTAM aus angesprochen und erlaubt die folgenden Funktionen:

  • Session Authorization
    Prüfen und Erlauben/Ablehnen von Logical Unit Sessions
  • Session Accounting
    Sammeln von Session-Accounting-Datenzur späteren Auswertung
  • Adjacent SSCP Selection
    Auswahl eines System Service Control Point nach definierten Regeln (Routing)
  • Unterstützung des Session Takeover im Rahmen von XRF Application Processing

Für die beiden ersten Funktionen wird der VTAM Session Management Exit häufig eingesetzt, für die beiden letzten dagegen nur in wenigen Sonderfällen. Der VTAM Session Management Exit muss vom Betreiber selbst erstellt oder beschafft werden. Der Hersteller liefert keinen VTAM Session Management Exit mit dem Betriebssystem aus.

Für den Einsatz des VTAM Session Management Exits sollten die folgenden Empfehlungen beachtet werden.

Hinweise zur Programmierung

Assembler-Kenntnisse

Der Exit muss in Assembler programmiert werden. Zudem werden gute Kenntnisse der VTAM-Software vorausgesetzt. Wenn die notwendigen Kenntnisse nicht vorliegen, ist zu überlegen, ob am Markt verfügbare alternative Software-Produkte eingesetzt werden sollten. Diese sind häufig einfacher und sicherer zu installieren.

Performance

Der Exit kann die VTAM-Performance erheblich beeinflussen. Deshalb ist darauf zu achten, dass beim Durchlaufen des Exits keine zeitaufwendigen Aktivitäten, wie z. B. das Lesen von Dateien, stattfinden.

Definitionen

Alle Definitionen, die der Exit während des Betriebs benutzt, sollten dynamisch nachladbar sein, ohne dass Betriebsfunktionen gestoppt werden müssen.

Das Regelwerk (Policy) für den Exit sollte möglichst extern definierbar sein (keine Definitionen im Programm).

Unterstützte Funktionen

Es sollten mindestens folgende Funktionen im Exit unterstützt werden:

  • Schreiben eines LOG-Eintrags (Syslog)
  • Schreiben eines SMF-Records
  • Schnittstelle zu WTO (Write to Operator) für Abweisungen

Damit ist eine nachträgliche Kontrolle der abgewiesenen Login-Versuche möglich. Als Option können zusätzlich Statistik-Informationen geführt werden, jedoch können diese Informationen auch aus den SMF-Records abgeleitet werden.

Schutz der Sicherheitsregeln

Das Regelwerk (Policy) des Exits sollte in einer separaten Datei geführt werden, die beim ersten Durchlaufen des Exits in den Hauptspeicher geladen wird. Es sollten nur die Mitarbeiter Zugriff auf diese Datei haben, deren Tätigkeit dies erfordert. Dies gilt besonders dann, wenn das Regelwerk des Exits in der aktuellen VTAMLST-Datei geführt wird. Es ist zu überlegen, ob die Verkettung von verschiedenen VTAMLST-Dateien helfen kann, die Sicherheit des Betriebs zu erhöhen. Verschiedene VTAMLST-Dateien erlauben unterschiedliche Zugriffsrechte, wobei die verketteten Dateien in Bezug auf die Verarbeitung wie eine Datei behandelt werden. Eine Vertretungsregelung ist vorzusehen.

VTAM Kommandos

Der VTAM Session Management Exit kann während des Betriebs durch das VTAM Modify-Kommando dynamisch aktiviert bzw. deaktiviert werden. Durch entsprechende RACF-Definitionen ist sicherzustellen, dass nur die Mitarbeiter Zugang zu diesem Kommando haben, deren Tätigkeit dies erfordert. Eine Vertretungsregelung ist vorzusehen.

Einsatz von NetView ALIAS Name Translation

Im VTAM Session Management Exit können Funktionen zur ALIAS Name Translation eingesetzt werden. Parallel hierzu kann auch die NetView ALIAS Name Translation Facility verwendet werden. Letzteres wird durch ein Flag angezeigt. Wenn beides eingesetzt wird, ist darauf zu achten, dass beide Möglichkeiten zur ALIAS Name Translation aufeinander abgestimmt und widerspruchsfrei sind. Beispielsweise dürfen keine unterschiedlichen Aliase für den selben Namen gesetzt werden.

Prüffragen:

  • Wird bei der Exit-Programmierung unter z/OS darauf geachtet, dass alle Definitionen, die der Exit während des Betriebes benutzt, dynamisch nachladbar sind, ohne dass Betriebsfunktionen gestoppt werden müssen?

  • Wird bei der Exit-Programmierung unter z/OS darauf geachtet, dass keine Definitionen im Programm vorhanden sind, sondern dass das Regelwerk (Policy) für den Exit extern definierbar ist?

  • Wird unter z/OS das Regelwerk (Policy) des Exits in einer separaten Datei geführt, die beim ersten Durchlauf des Exits in den Hauptspeicher geladen wird?

  • Wird durch z/OS - RACF -Definitionen sichergestellt, dass zu dem VTAM Modify-Kommando nur die Mitarbeiter Zugang haben, deren Tätigkeit dies erfordert?

Stand: 13. EL Stand 2013