Deprecated: Methods with the same name as their class will not be constructors in a future version of PHP; plgSystemCookies_Pro has a deprecated constructor in /home/jmmaluqu/public_html/plugins/system/Cookies_Pro/Cookies_Pro.php on line 26

Warning: "continue" targeting switch is equivalent to "break". Did you mean to use "continue 2"? in /home/jmmaluqu/public_html/plugins/system/t3/includes/menu/t3bootstrap.php on line 88
FTP, un punto vulnerable para los Mainframes

FTP

Un punto vulnerable para los Mainframes


Controles de seguridad y trazabilidad

Cada día, los mainframes envían y reciben archivos de una gran variedad de clientes diferen­tes y cada vez con mayor frecuencia se hace la transferencia de ficheros utilizando las tecnolo­gías estándar Unix FTP, la cual es una solución sencilla y universales, que además esta incluida es el sis­tema z/OS®.

Sin embargo el FTP, en su formato básico, presenta dos áreas básicas que están insuficientemente contro­ladas, sobre todo si se compara con lo que se considera estándares de seguridad y control de las tecnolo­gías de las plataformas mainframe.

Mainframe Encryption

Controles de Seguridad

Los controles de seguridad estándar de FTP, solamente autentican al usuario al iniciar cada sesión FTP (control básico de ‘Login’ de Usuario/Password). A partir de aquí, es el sistema operativo servidor, el que determina si el cliente puede acceder a determinados ficheros o no. Esto no siempre es aceptable, particularmente en mainframes, que no utilizan el concepto directorios y subdirectorios. Además, el FTP, se definió bajo el protocolo RFC959, que potencialmente permite a un gran número de ‘sub-comandos’ y comprometen la integridad del sistema o sus datos. Algunos de los ejemplos de posibles riesgos y situaciones que comporta el uso del protocolo FTP podrian ser:

  • Un empleado que tenga acceso de lectura a una base de datos de clientes, por ser usuario de una aplicación de consulta de saldos, si es usuario de FTP estándar, puede descargarse a su PC a través de FTP, toda la información confidencial y crítica de la base de datos de clientes.
  • Un cliente podría acceder a su información personal bajo FTP. Pero bajo ningún concepto se le debe permitir navegar por la instalación. Aunque solo fuera, rastreando los nombres que tienen todos los ficheros en la misma.
  • Un empleado, puede necesitar descargarse información de la compañía en su puesto de trabajo, durante el horario laboral, pero no transferirlo a un ordenador personal particula

Trazabilidad

Otra grave exposición, es la trazabilidad, por defecto el sistema no guarda ninguna información de la actividad que se registra desde FTP, exceptuando los comandos FTP que se envíen en un ‘Batch’ que resida en el propio Mainframe. También se podría, de forma colateral, tener información de los accesos que se realizarán sobre recursos críticos a los cuales hayamos tenido la precaución de marcar como auditables, pero aun así, los accesos a los mismos, estarían dispersos en el LOG del sistema y mezclados con el resto de información. Es decir la trazabilidad específica es prácticamente nula, impidiendo así el control de seguimiento y auditoria de los comandos generados desde FTP. Todo lo cual, es mucho mas grave si se revisa las vulnerabilidades de seguridad ya comentadas.

 

Seguridad


Contacto


Si desea más información llámenos al teléfono +34 649 403 334 o envíe un mensaje a través del formulario de contacto.

La comunicación enviada quedará incorporada a un fichero del que es responsable FULL LINE SOFTWARE SL. Esta comunicación se utilizará exclusivamente para tratar sus datos para atender su solicitud, siempre de acuerdo al Reglamento (UE) 2016/679 (RGPD), la Ley Orgánica 15/1999 (LOPD) y el Real Decreto 1720/2007 de desarrollo de la LOPD), sobre protección de datos. Sus datos no se comunicaran a terceros, excepto por obligación legal, y se mantendrán mientras no solicite su cancelación. En cualquier momento usted puede ejercer los derechos de acceso, rectificación, portabilidad y oposición, o si procede, a la limitación y/o cancelación del tratamiento, comunicándolo por escrito, indicando sus datos personales a Carrer Muntaner nº 350 4ª Planta 08021, Barcelona o mediante un email a contacto@flses. com.

Este sitio web utiliza cookies, tanto propias como de terceros, para recopilar información estadística sobre su navegación y mostrarle publicidad relacionada con sus preferencias, generada a partir de sus pautas de navegación. Si continúa navegando, consideramos que acepta su uso. Más información