Viele Firmen verwenden FTP (File Transfer Protocol) für den Datenaustausch mit internen oder externen Partnern. Dabei können nicht nur Daten zwischen dem Client (PC oder ein anderes System) und dem Server (Ihrer iSeries) ausgetauscht werden, sondern es können auch Remote-Befehle abgesetzt werden. Für den Zugriff auf die iSeries ist eine Benutzer-ID und ein Kennwort erforderlich. Über Exit-Programme ist es auch möglich, ein Anonymous-FTP für Gastbenutzer einzurichten.

Warum kann FTP eine Sicherheitslücke sein?

Längst ist FTP nicht nur den Cracks vorbehalten, die sich mit GET, PUT und RCMD auskennen. Nein – es gibt heute auf jeder PC-Zeitschrift-Gratis-CD einen FTP-Client zum Ausprobieren (z.B.: WS, Leech, Voyager, Windows Commander usw.). Ein normaler Benutzer gibt dann menügeführt Servernamen, Benutzer und Kennwort ein und sieht dann in gewohnter Explorer-Manier wahrscheinlich mehr Daten, als einem IT-Leiter recht sein kann.

Kein bisschen FTP

Wenn Sie überhaupt keinen FTP-Zugriff auf Ihre iSeries zulassen wollen, sollten sie verhindern, dass der FTP-Server automatisch gestartet wird. Mit dem Befehl CHGFTPA AUTOSTART(*NO) wird beim Start von TCP/IP der FTP-Dienst nicht gestartet.

Eine weitere Möglichkeit, um TCP/IP-Dienste zu unterbinden, sind die Port-Beschränkungen. Diese findet man im Menü GO CFGTCP unter der Auswahl 4 (Work with TCP/IP Port Restrictions). Ein Eintrag eines Benutzer-Profiles für Port 21 wird automatisch alle Benutzer einschränken. Leider funktioniert diese Methode nicht, um einzelne Benutzer zu berechtigen, da alle FTP-Zugriffe mit dem Profil QTCP initialisiert werden. Jeder Benutzer für FTP verwendet die Berechtigung des Profils QTCP auf den Port.

Ein bisschen FTP

Mit V5R1 wurden in der Anwendungsverwaltung neue Funktionen eingebaut. Im Operations Navigator finden sie die Anwendungsverwaltung unter der neuen Task-Leiste oder mittels der rechten Maustaste auf dem Systemnamen.

Unter den Host-Anwendungen ist es nun möglich, die FTP-Anmeldung sowie die Ausführung einzelner Funktionen wie GET (Daten von der iSeries runterladen) oder PUT (Daten zur iSeries hochladen) einzuschränken. Benutzer und Gruppen können mit dem Knopf „Anpassen“ von den einzelnen Funktionen berechtigt oder ausgeschlossen werden. Dies ist eine einfache, aber sehr effiziente Funktion, um den FTP-Zugriff auf berechtigte Benutzer einzuschränken.

Kontrolle ist besser

Objekt-Berechtigung ist in der Regel nicht ausreichend, um FTP genügend zu schützen. Wenn zum Beispiel ein Benutzer eine Datei anschauen darf (*USE), dann kann er diese mit FTP auch auf seinen PC kopieren. Um dies zu verhindern, bietet sich die Verwendung von FTP-Exit-Programmen an. Damit kann die Anforderung vor der Ausführung kontrolliert und nötigenfalls zurückgewiesen werden. Eine GET-Anforderung auf bestimmte Dateien kann somit verhindert werden. Der FTP-Server Logon Exit-Punkt kann dazu verwendet werden, um Benutzer, welche sich anmelden, zu authentifizieren. Diese Exit-Punkte sind im Kapitel „TCP/IP User Exits“ im Handbuch „TCP/IP Configuration and Reference“ dokumentiert; auch Beispielprogramme sind vorhanden.

Es gibt viele Tools, die auf diesen Exit-Punkten basieren. Dort verwalten sie dann nur noch die berechtigten Benutzer oder IP-Adressen und die Zugriffe werden detailliert aufgezeichnet. Das APOS CA Security-Modul ist ein solches, von IBM empfohlenes Tool, welches Sie kostenlos testen können.

APOS Informatik AG

CH–4658 Däniken

Telefon: (+41) 062/28865-65

www.apos.ch