Utilizar los servidores FTP y Open SSH integrados en IBM para transferir archivos hacia y desde sus sistemas IBM i puede consumir demasiado tiempo de su equipo de IT, además de obligarlos a estar atento a pequeños detalles. Desde conocimiento sobre scripts a ejecutar (y a veces confundir) comandos, existen muchos aspectos a considerar, y la seguridad e integridad de sus archivos es probablemente el más importante de la lista.
Mientras que IBM i suele ser considerado impermeable a ataques, sus sistemas siguen siendo susceptibles a vulnerabilidades y descuidos de los usuarios. En esta publicación encontrará cinco prácticas para IBM i que le recomendamos seguir cuando transfiera archivos dentro y fuera de su red.
1. Evite el FTP
El protocolo estándar FTP ha estado vigente desde 1970. En sus comienzos, era considerado una forma segura para transferir archivos. Las filtraciones de datos y los ciber-ataques eran prácticamente inexistentes. Sin embargo, FTP no se ha mantenido al día con la velocidad de la tecnología o los estrictos requerimientos de cumplimiento. Solía funcionar para transferir archivos dentro de redes privadas, pero, ahora, usar FTP para intercambiar información es, como mínimo, riesgoso, y en el peor de los casos es una puerta abierta para la filtración de datos.
“Todo lo que fluye en una conexión de FTP estándar está 'al descubierto' lo que significa que un potencial atacante puede simplemente entrar a la red o al router y ver todos los IDs de usuario, contraseñas, y datos que se están transmitiendo por esa conexión de FTP”, escribe Bob Luebbe, Jefe de Arquitectura de GoAnywhere. “El atacante no solo puede capturar esta información fácilmente, sino también manipular estos datos, ya que el FTP no hace nada para proteger su integridad”.
¿Todavía utiliza FTP para sus transferencias de archivos? Considere cambiar a protocolos más seguros como Secure FTP, AS2, FTPS, y HTTPS, para mejorar la encriptación y aumentar su tranquilidad.
2. Utilice prácticas sólidas de gestión de claves
Las claves SSH para IBM i son creadas utilizando el comando OpenSSH en la línea de comandos. Luego son localizados en un directorio y conectados a un usuario a través de la GUI de gestión de IBM.
La administración y localización apropiada de claves es importante para mantener los datos protegidos. Utilizar una solución de Managed File Transfer (MFT) con un administrador de claves integradas puede ayudarlo a eliminar el stress de la generación y almacenamiento de claves públicas SSH. En lugar de necesitar una línea de comandos, las claves son creadas y administradas desde una base de datos central. Los pares de claves pueden ser importados, exportados, y visualizados desde una interface, y todas las claves utilizan criptología asimétrica y simétrica para una encriptación más potente y un desempeño óptimo.
3. Escanee su IFS para evitar ataques de virus
El IFS (Integrated File Systems) es un conjunto de archivos de sistema que puede ser transferido a través de los sistemas IBM i. El directorio raíz para cada IFS generalmente contiene archivos de producto, aplicaciones de terceros y otros datos. Desafortunadamente, la raíz no es muy segura (por defecto, tiene acceso *PUBLIC), lo que hace que los objetos almacenados en el IFS sean vulnerables a un ataque de virus.
La forma más sencilla de afrontar esta amenaza es escanear su IFS antes de transferir sus archivos. De hecho, los expertos en IBM i recomiendan el escaneo anti-virus como una práctica de su rutina y políticas de seguridad informática.
¿No cree que su IFS esté en riesgo? A continuación, encontrará una guía de problemas de seguridad en IFS que explica que “el IFS ha probado, en numerosas ocasiones, ser un ‘carrier’ muy efectivo, lo que significa que almacena y propaga virus de una manera muy eficiente a través de la red. Otra forma de decirlo es que IBM i es el anfitrión perfecto, ya que puede evitar infectarse, pero es muy bueno para infectar todo lo que toca”.
¿Está seguro de que su IFS no ha sido infectado? Para conocer más sobre los escaneos y otras formas en las que su IFS puede estar en riego, no se pierda Los principales problemas de Seguridad del IFS.
4. Mantenga sus datos fuera de la DMZ
La DMZ es la parte visible de la red de su organización. Muchas empresas deciden almacenar sus datos en la DMZ para evitar la apertura de puertos inbound en sus redes privadas, haciendo más sencillo mantener la información confidencial protegida mientras se envían y se reciben datos de fuentes externas.
Lamentablemente, la DMZ no es un lugar ideal para almacenar información, ni siquiera en forma temporal. Esta parte de la red es mucho más simple de hackear; está más cerca de internet que la red privada, es menos segura, y el firewall entre internet y la DMZ puede no estar configurado correctamente. Mover archivos entre la DMZ y la red privada también requiere de conocimientos de programación y scripting, que pueden consumir el tiempo y los recursos de su equipo de IT.
Una alternativa mejor a la DMZ es mantener su servidor de archivos en una red privada. Pero si abrir puertos inbound es una preocupación, especialmente si debe cumplir con PCI DSS o HIPAA, le puede parecer que ni la DMZ ni la red privada es una buena opción. En ese caso, una Gateway de la DMZ puede funcionar como un proxy optimizado de reversa y adelanto, que le permite almacenar (y enviar) archivos en su red privada, al mismo tiempo que mantiene sus puertos inbound firmemente cerrados.
5. Configure alertas por e-mail
Ya sea que realiza una docena o miles de transferencias de archivos por día, es una buena idea configurar alertas de email para que pueda estar informado de cualquier fallo en las transferencias de archivos, errores, o eventos. Las alertas lo mantienen al tanto de las transferencias de archivos importantes, para ayudarlo a asegurar que los datos lleguen a donde se supone que deben ir.
La solución GoAnywhere Managed File Transfer le permite definir disparadores para cualquier evento que quiera monitorizar en IBM i. Algunos de estos eventos incluyen cuando:
-
un archivo es descargado o subido por un socio comercial
-
la cuenta de un usuario es eliminada o deshabilitada
-
una transferencia de archivo es exitosa o fallida
-
un archivo es eliminado en forma exitosa o fallida
-
una carpeta es creada en forma exitosa o fallida
Según cómo se configuren estos disparadores, también se pueden diseñar para procesar archivos. Por ejemplo, si un archivo es descargado, un disparador puede mover automáticamente ese archive a una carpeta designada, reduciendo la cantidad de trabajo manual que debe realizar luego de cada transferencia.
¿Está buscando formas para mejorar la eficiencia de su IBM i?
GoAnywhere MFT puede simplificar sus intercambios de archivos en IBM I, a través de una instalación sencilla, transferencias automatizadas, un sistema de gestión de usuarios integrado, controles de seguridad integrales y más. Solicite una demostración en vivo de nuestro producto hoy mismo.
