Audits de configuration AS/400
L'audit de sécurité d'un AS/400 (aussi connu sous différents noms : IBM i, iSeries, System i) est à la fois un test d'intrusion et un audit de configuration, l'objectif étant de:
- Vérifier la robustesse du système face aux attaques réelles
- Vérifier la mise en place des bonnes pratiques de sécurité
Pour cela nous nous appuyons sur notre R&D ainsi que les guides de durcissement d'IBM. Voici quelques exemples de points vérifiés par nos auditeurs
- Réseau
- Services en écoute
- Protocoles de communication
- Interconnexion avec environnements transverses
- Man in the middle
- Utilisateurs
- Comptes par défaut
- Énumération d'utilisateurs
- Attaques par bruteforce
- Analyse de la complexité des mots de passe après cassage
- Évasion des applications par défaut
- Habilitations
- Tentative d'élévation de privilèges
- Droits sur les profils privilégiés (SECOFR, etc.)
- Droits spéciaux des profils (ALLOBJ, SECADM, etc.)
- Droits sur les bibliothèques
- Politique de sécurité
- Politique des mots de passe
- Services d'administration
- Journalisation
- Gestion et stockage des variables de session
- Divers
- Partages de fichiers
- Protocoles d'administration non sécurisés
- Analyse des clients lourds présents sur les postes clients
- Analyse des méthodes d'exfiltration de données sensibles