Hallo!

Wir haben eine AS400 im Haus, wo neben unserem ERP-System und anderen Anwendungen auch ein Webserver installiert ist. Am Webserver läuft unser Mitarbeiterportal (in net.data geschrieben), das derzeit aber nur innerhalb des LANs zur Verfügung steht.

Nun habe ich die Anforderung erhalten, das Mitarbeiterportal so zu "öffnen", dass die Mitarbeiter (mehrere hundert) auch von zu Hause aus (oder von sonstwo) auf den Webserver zugreifen können.

Mich würde nun interessieren, wie ihr solche Anforderungen gelöst habt bzw. welche Möglichkeiten es gäbe. Welche Vor- und Nachteile haben die eingesetzten Lösungen? Worauf sollte man (vor allem sicherheitstechnisch) noch so achten?

Vielen Dank im Voraus!
Michi

Hallo Michi,

Wir haben z.B. einen vorgelagerten WebServer/Proxy der nur die erlaubten URLs zum eigentlichen WebServer weiterleitet.
Zusätzlich bin ich noch die httpd.conf (samt allen include Files) durchgegangen um sicher zu gehen, dass "versteckte" URLs nicht öffentlich zugänglich sind bzw. eine eigene Authentifizierung erfordern.
Dabei kann es schon vorkommen, dass grobe Sicherheitslücken gefunden werden können.

lg Andreas

Wenn die Anwendung im Internet verfügbar ist, muss man sich auch vor Angreifern schützen.
Dazu einerseits sehr fleißig die PTFs für den http-Server installieren und andererseits prüfen, ob die Anwendung ausreichend abgesichert ist.
Das fängt bei der Authentifizierung an und geht dann über die Parameter weiter.
Beispielsweise kann man per Methode GET übergebene Parameter sehr leicht abändern - evtl. kann man so auf Kunden / Konten / etc. zugreifen, für die man eigentlich nicht berechtigt ist.

Man sollte DTW_DEFAULT_ERROR_MESSAGE setzen, denn in Fehlermeldungen offenbart Net.Data hin und wieder zu viel über sich selbst, was Angreifer ausnutzen können und es gibt den Input zurück, was böse Leute auf ganz anderen websiten ausnützen können (das ist in den beiden links beschrieben). http://www.securiteam.com/securitynews/5YP0L2ABPM.html
http://www.securitytracker.com/id?1008845

Mir persönlich noch wichtiger, der breiten Security-Öffentlichkeit aber unbekannt ist DTW_INTERPRET_HTTP_INPUT, das unbedingt auf NO gesetzt werden muss.
Manche seltsamen Anwendungen funktionieren dann aber nicht mehr; die Wahrscheinlichkeit, dass Ihr sowas habt, ist aber sehr gering.
http://www.dtwdude.com/forum/view.php?SID=20021225021222513001&NRL=18

Ansonsten würde ich auf http://dtwdude.com/forum.html lesen und vielleicht auch fragen.

Nadir K. Amra war und ist sehr rege in der Pflege dieses eigentlich toten Produktes.

Die Frage ist wie Du sonstwo definierst.Ich persönlich würde so etwas über VPN-Einwahl machen wollen, wobei mehrere hundert da schon ne echte hausnummer sind.GG

Die Frage ist wie Du sonstwo definierst.Ich persönlich würde so etwas über VPN-Einwahl machen wollen, wobei mehrere hundert da schon ne echte hausnummer sind.GG

Wenn die Maschine sicher konfiguriert ist, was spricht dagegen, sie ans Internet zu hängen?

-h

Tja,

dann würde ich das von einem Experten machen lassen, weil selber kennt man ja gar nicht alle Schräubchen die angezogen werden müßen damit die Helden von draßen die Kiste nicht knacken.

Ich würde es mir nicht zu trauen.

GG

dann würde ich das von einem Experten machen lassen, weil selber kennt man ja gar nicht alle Schräubchen die angezogen werden müßen damit die Helden von draßen die Kiste nicht knacken.


Das ist immer eine gute Idee. Zum OP zurück - wenn es ein rein internes Portal ist (und kein Gedanke für den Zugriff von Kunden etc existiert), sollte man prüfen, wie die Mitarbeiter jetzt schon von aussen zugreifen. Wenn nicht - generelle Strategiefrage. VPN wurde ja angesprochen.
Wenn externe Zugriffe möglich, muss man eh alles über den Webserver absichern.

Selbst mal experimentieren könnte lustige Ergebnisse zu Tage bringen, wenn man was falsch macht. Die Logs unserer Firewalls zeigen rege Aktivität von kreativen Script-Kiddies aus allen Teilen der Welt.

Worauf man sicherheitstechnisch achten sollte? Eigentlich auf alles...

-h

Hallo Forum,

ich habe eine IBM i im Web laufen und möchte ein paar Ideen zum Thema beitragen. Holgers Anmerkung kann ich nur bestätigen, das Accesslog des Webservers zeigt auch bei mir interessante Aktivitäten.

- Firewall: Die Firewall so einstellen, dass für die IP-Adresse der IBM i nur der Port 80 (HTTP-Server) freigeschaltet wird, dann eine Portweiterleitung einstellen. z.B. von 80 auf 8050. In die http Konfigurationsdatei kommt dann folgender Eintrag: Listen 8050. Damit lauscht der Webserver der IBM i auf alles, was vom Port 8050 kommt.

- FileSecurity: Die Verzeichnisse und Files im IFS absichern und nur die Verzeichnisse und Files für den Http-Server freigeben, die die Webanwendung benötigt

- Telnet und FTP: hier gibt es das Tool SECTCP http://www.easy400.net/sectcp/start

- POP-Server: Ich habe öfters Einträge im Accesslog des Webservers, die versuchen einen offenen POP-Server zu kapern. Dieser muss abgesichert werden.

- Authentifizierung: Es gibt grundsätzlich zwei Möglichkeiten.

1. Prüfung gegen ein Benutzerprofil oder 2. Prüfung gegen eine Validationlist.

Vorteile der Validationlist:
- Es wird auf der Maschine keine Userlizenz verbraucht.
- ab V7R1 bis zu 500Mio Einträge möglich
- Der Benutzer kann 100 Zeichen lang sein und das Passwort 600 Zeichen. Zusätzlich hat man pro User noch 1000 Zeichen an zusätzlichen Daten, die man beliebig verwenden kann.
- Das Passwort wird verschlüsselt
Infos gibt es unter http://www.easy400.net/wrkvldl/html/page1.htm
Nachteile der Validationlist:
- Die API's sind sehr komplex, wenn man es selbst programmieren möchte, deshalb das Tool von easy400.net

- Performance: Die Performance einer IBM i als Webserver ist hervorragend, doch es gibt auch hier ein paar Dinge zu beachten. Meine Empfehlung ist, den HTTP-Server, also das Subsystem QHTTPSVR in einen eigenen Speicherpool zu legen.

Eine Webanwendung besteht normalerweise aus mehreren Dateien: den HTML-Seiten und externen CSS und Javascript Dateien. Der Server liefert diese ohne Komprimierung aus. Mit einigen Statements in der http Konfigurationsdatei kann man diese Komprimierung einstellen, damit läßt sich der Traffic vermindern und die Performance verbessern.

Herzliche Grüße

Rainer Ross
www.myhofi.com (http://www.myhofi.com)
Hotels finden - leicht gemacht - Powered by IBM i