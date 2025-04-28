Es gibt mehrere Möglichkeiten, mit einem modernen Mainframe zu interagieren. Die traditionelle Methode ist TSO, die es Benutzern ermöglicht, sich mit einer interaktiven Sitzung zu verbinden und Befehle zu erteilen. Dazu wird in der Regel ein spezieller Terminalemulator verwendet, der über das IBM 3270-Protokoll arbeitet. Die meisten modernen Mainframes verwenden auch SSH, ein Remote-Konnektivitätsprotokoll, das plattformübergreifend eingesetzt werden kann. So können Sie sowohl TSO- als auch UNIX-Befehle ausführen und Aktionen als Teil eines Skripts automatisieren. m-RAY arbeitet über eine SSH-Verbindung zum Mainframe, um die zusätzlichen Funktionen von SSH zu nutzen und plattformspezifische Abhängigkeiten zu vermeiden.

SSH auf dem Mainframe nutzt Unix System Services, eine Funktion von z/OS, die es ermöglicht, für Unix-Systeme geschriebene Programme auszuführen. Mithilfe dieses Protokolls stellt m-RAY eine Verbindung zum Mainframe her und führt Befehle aus, um Informationen für die Überprüfung auf Fehlkonfigurationen zu sammeln. SCP wird verwendet, um REXX-Skripte sicher auf den Mainframe zu kopieren. Die Authentifizierung kann entweder über ein Passwort oder ein Schlüsselpaar erfolgen, um unterschiedlichen Systemkonfigurationen gerecht zu werden.

Die Hauptanwendung stellt eine Befehlszeilen-Benutzeroberfläche bereit, richtet Verbindungen ein und beginnt mit der Suche nach Schwachstellen. Der Penetrationstester gibt die IP-Adresse des Mainframes ein, wählt die zu überprüfenden Fehlkonfigurationen aus und gibt eine Reihe von Low-Level-Anmeldedaten ein. Anschließend wird eine Verbindung zwischen m-RAY und dem Mainframe hergestellt, die das Senden von Befehlen und den Empfang von Ergebnissen vom System gewährleistet.

Schwachstellenprüfungen werden in drei Kategorien unterteilt: Unix-Systemdienstprüfungen, Prüfungen über TSO und allgemeine Erkundungen. Nach Auswahl einer dieser Kategorien hat der Prüfer die Möglichkeit, alle Prüfungen auszuführen oder zu konfigurieren, welche Prüfungen er ausführen möchte. Nach Erfassung der Scan-Ergebnisse erstellt m-RAY einen Bericht mit den Ergebnissen und einigen Systeminformationen, die dem Penetrationstester während der Durchführung seines Auftrags als Orientierung dienen können. Die Ausführung eines REXX-Skripts funktioniert ähnlich. Nach Auswahl der Skript-Option kann ein Tester auswählen, welche Skripte er ausführen möchte.

Der wichtigste Aspekt dieses Anwendungsdesigns ist seine Modularität. Da sich die Best Practices der Sicherheit im Laufe der Zeit weiterentwickeln, wird es erforderlich sein, Überprüfungen für neue Fehlkonfigurationen hinzuzufügen und bestehende zu modifizieren. Neue Überprüfungen und Skripte können durch Modifizieren einer enthaltenen Vorlage hinzugefügt werden und erfordern lediglich das Wissen, welche Befehle ausgeführt werden müssen, um die relevanten Informationen zu sammeln. Wenn ein Penetrationstester eine neue Prüfung hinzufügen möchte, die die Ausführung eines TSO-Befehls beinhaltet, muss er nicht wissen, wie eine Verbindung zum Mainframe hergestellt wird, sondern lediglich den TSO-Befehl kennen und optional das gewünschte Ergebnis des Befehls. Das Hinzufügen einer neuen Überprüfung sollte weniger als 10 Minuten dauern. Es ist auch möglich, neue Verbindungsprotokolle hinzuzufügen. m-RAY verwendete SSH, da es für die aktuelle Funktionalität am besten geeignet war, aber das Hinzufügen eines weiteren Verbindungsprotokolls wird durch Verbindungsklassen, die eine Standardschnittstelle implementieren, ebenfalls vereinfacht.

m-RAY ist ein Open-Source-Tool, das hier zu finden ist.