Der Weg zum Echtzeit- Data-Warehouse - Midrange Magazin
Der Weg zum Echtzeit- Data-Warehouse - Midrange Magazin
Der Weg zum Echtzeit- Data-Warehouse - Midrange Magazin
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
Technik & Integration<br />
Filetransfer von iSeries sicher ermöglichen<br />
FTP ja – aber SICHER doch!<br />
Viele Firmen verwenden FTP (File Transfer<br />
Protocol) für den Datenaustausch mit internen<br />
oder externen Partnern. Dabei können nicht<br />
nur Daten zwischen dem Client (PC oder ein<br />
anderes System) und dem Server (Ihrer iSeries)<br />
ausgetauscht werden, sondern es können auch<br />
Remote-Befehle abgesetzt werden. Für den<br />
Zugriff auf die iSeries ist eine Benutzer-ID<br />
und ein Kennwort erforderlich. Über Exit-<br />
Programme ist es auch möglich, ein Anonymous-FTP<br />
für Gastbenutzer einzurichten.<br />
Warum kann FTP eine<br />
Sicherheitslücke sein?<br />
Längst ist FTP nicht nur den Cracks vorbehalten,<br />
die sich mit GET, PUT und<br />
RCMD auskennen. Nein – es gibt heute<br />
auf jeder PC-Zeitschrift-Gratis-CD einen<br />
FTP-Client <strong>zum</strong> Ausprobieren (z.B.:<br />
WS, Leech, Voyager, Windows Commander<br />
usw.). Ein normaler Benutzer<br />
gibt dann menügeführt Servernamen,<br />
Benutzer und Kennwort ein und sieht<br />
dann in gewohnter Explorer-Manier<br />
wahrscheinlich mehr Daten, als einem<br />
IT-Leiter recht sein kann.<br />
Kein bisschen FTP<br />
Wenn Sie überhaupt keinen FTP-Zugriff<br />
auf Ihre iSeries zulassen wollen, sollten sie<br />
verhindern, dass der FTP-Server automatisch<br />
gestartet wird. Mit dem Befehl<br />
CHGFTPA AUTOSTART(*NO) wird<br />
beim Start von TCP/IP der FTP-Dienst<br />
nicht gestartet. Eine weitere Möglichkeit,<br />
um TCP/IP-Dienste zu unterbinden, sind<br />
die Port-Beschränkungen. Diese findet<br />
man im Menü GO CFGTCP unter der<br />
Auswahl 4 (Work with TCP/IP Port Restrictions).<br />
Ein Eintrag eines Benutzer-Profiles<br />
für Port 21 wird automatisch alle Benutzer<br />
einschränken. Leider funktioniert<br />
diese Methode nicht, um einzelne Benutzer<br />
zu berechtigen, da alle FTP-Zugriffe<br />
mit dem Profil QTCP initialisiert werden.<br />
Jeder Benutzer für FTP verwendet die Berechtigung<br />
des Profils QTCP auf den Port.<br />
Ein bisschen FTP<br />
Mit V5R1 wurden in der Anwendungsverwaltung<br />
neue Funktionen eingebaut.<br />
Im Operations Navigator finden sie die<br />
Anwendungsverwaltung unter der neuen<br />
Task-Leiste oder mittels der rechten<br />
Maustaste auf dem Systemnamen. Unter<br />
den Host-Anwendungen ist es nun möglich,<br />
die FTP-Anmeldung sowie die Ausführung<br />
einzelner Funktionen wie GET<br />
(Daten von der iSeries runterladen) oder<br />
48 www.midrangemagazin.de Juli 2002<br />
PUT (Daten zur iSeries hochladen) einzuschränken.<br />
Benutzer und Gruppen<br />
können mit dem Knopf „Anpassen“ von<br />
den einzelnen Funktionen berechtigt<br />
oder ausgeschlossen werden. Dies ist<br />
eine einfache, aber sehr effiziente Funktion,<br />
um den FTP-Zugriff auf berechtigte<br />
Benutzer einzuschränken.<br />
Kontrolle ist besser<br />
Objekt-Berechtigung ist in der Regel nicht<br />
ausreichend, um FTP genügend zu schützen.<br />
Wenn <strong>zum</strong> Beispiel ein Benutzer eine<br />
Datei anschauen darf (*USE), dann kann<br />
er diese mit FTP auch auf seinen PC kopieren.<br />
Um dies zu verhindern, bietet sich die<br />
Verwendung von FTP-Exit-Programmen<br />
an. Damit kann die Anforderung vor der<br />
Ausführung kontrolliert und nötigenfalls<br />
zurückgewiesen werden. Eine GET-Anforderung<br />
auf bestimmte Dateien kann<br />
somit verhindert werden. <strong>Der</strong> FTP-Server<br />
Logon Exit-Punkt kann dazu verwendet<br />
werden, um Benutzer, welche sich anmelden,<br />
zu authentifizieren. Diese Exit-Punkte<br />
sind im Kapitel „TCP/IP User Exits“ im<br />
Handbuch „TCP/IP Configuration and<br />
Reference“ dokumentiert; auch Beispielprogramme<br />
sind vorhanden.<br />
Es gibt viele Tools, die auf diesen Exit-<br />
Punkten basieren. Dort verwalten sie<br />
dann nur noch die berechtigten Benutzer<br />
oder IP-Adressen und die Zugriffe werden<br />
detailliert aufgezeichnet. Das APOS<br />
CA Security-Modul ist ein solches, von<br />
IBM empfohlenes Tool, welches Sie kostenlos<br />
testen können.<br />
Den Autor Andreas Woodtli<br />
erreichen Sie unter www.apos.ch<br />
oder awoodtli@apos.ch<br />
APOS Informatik AG<br />
CH-4658 Däniken<br />
� (+41) 062/28865-65<br />
� www.apos.ch