Sie befinden sich hier: Themen IT-Grundschutz-Kataloge. Inhalt. Dokumententitel: M 5.114 Absicherung der z/OS-Tracefunktionen - IT-Grundschutz-Kataloge - Stand 2006
direkt zu der Navigation Servicebereich. direkt zu der Hauptnavigation. direkt zur Themennavigation. direkt zum Seiteninhalt.

M 5.114 Absicherung der z/OS-Tracefunktionen

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement

Verantwortlich für Umsetzung: Administrator

Mit Trace-Funktionen können unter z/OS Fehler beim Verbindungsaufbau analysiert werden. Sie können sowohl in VTAM (Virtual Telecommunication Access Method), als auch bei TCP/IP benutzt werden. Das GTF (Generalized Trace Facility) wird benutzt, um die Trace-Daten zu erfassen und auszuwerten. Darüber hinaus stehen auch die Funktionen NLDM (Network Logical Data Manager - eine NetView-Komponente) und ACFTAP (Advanced Communication Facility Trace Analysis Programm) für die Auswertung von VTAM-Daten zur Verfügung.

Trace-Funktionen zeigen nicht nur Fehler auf, sondern erlauben auch die Darstellung der übertragenen Daten selbst. Deshalb sind die folgenden Hinweise zu beachten:

Schutz von Trace-Funktionen und GTF

Werden Session-Daten unverschlüsselt übertragen, sind die Passwörter in Klarschrift im Trace lesbar. Zugang zu den Kommandos, die Traces initiieren können, darf deshalb nur den Mitarbeitern gegeben werden, die GTF im Rahmen ihrer Tätigkeit benötigen. Die Zahl dieser Mitarbeiter sollte möglichst klein gehalten werden, um das Risiko von Vertraulichkeitsverletzungen zu minimieren.

Schutz von GTF-Dateien

Die GTF-Auswertungen werden in Dateien gesichert. Diese Dateien müssen so geschützt werden, dass nur die zuständigen Mitarbeiter darauf Zugriff haben (insbesondere Universal Access=NONE). Dies gilt auch für Kopien dieser Dateien.

NLDM Traces

Die Trace-Funktion von NLDM sollte normalerweise deaktiviert sein und nur im Bedarfsfall aktiviert werden. Sie sollte nur den zuständigen Mitarbeitern zur Verfügung stehen.

Schutz von ACFTAP

Das Programm ACFTAP sollte so geschützt werden, dass nur die zuständigen Mitarbeiter Zugriff auf dieses Programm haben.

Session-Daten

Um die Passwörter vor unbefugtem Mitlesen bei der Übertragung zu schützen, sollte überlegt werden, die Session-Daten verschlüsselt zu übertragen. Es wird empfohlen, dies mindestens für die Verbindungen der RACF-Administratoren (Resource Access Control Facility) vorzusehen.

Ergänzende Kontrollfragen: