Guten abend allerseits,

ist es möglich einen ODBC/JDBC Zugriff nur von einer bestimmten IP-Adresse oder DNS-Servernamen zuzulassen und wenn der Zugriff von anderer Stelle kommt diesen abzublocken ?

Grüße aus Hamburg

Hallo,

ist normalerweise Aufgabe einer Firewall, lässt sich aber eingeschränkt auch durch Exitprogramme oder entsprechende Software, die diese nutzt erreichen. Die Einschränkung besteht unter anderem darin, dass die Exitprogramm Variante recht billige denial of service Attacken ermöglicht. Sprich: man kann dir ziemlich einfach die Möhre platt fahren!, das ist vielen aber offenkundig Wurscht.

mfg

Dieter Bender



Guten abend allerseits,

ist es möglich einen ODBC/JDBC Zugriff nur von einer bestimmten IP-Adresse oder DNS-Servernamen zuzulassen und wenn der Zugriff von anderer Stelle kommt diesen abzublocken ?

Grüße aus Hamburg

Hallo Dieter,

Danke für die Antwort, ich hatte auch schon eine Vermutung in Richtung Exitprogramme - nur welches dieser vielen ist denn da zu benutzen : Ich dachte vielleicht an diese beiden : QIBM_QZDA_NDB1/ZDAD0100=Datenbank-Server und
QIBM_QZDA_NDB1/ZDAD0200=Datenbank-Server und

Andreas

Hallo Andreas,

it depends on Driver, zumindest grundsätzlich, üblich ist der DB Server, für deine Anforderung könnte der QZDAINIT Exit ausreichen, der macht den Connect, aber wenn du damit eine brüchige Objekt Security dichten willst, dann rate ich davon ab.

mfg

Dieter Bender


Hallo Dieter,

Danke für die Antwort, ich hatte auch schon eine Vermutung in Richtung Exitprogramme - nur welches dieser vielen ist denn da zu benutzen : Ich dachte vielleicht an diese beiden : QIBM_QZDA_NDB1/ZDAD0100=Datenbank-Server und
QIBM_QZDA_NDB1/ZDAD0200=Datenbank-Server und

Andreas

Hallo Dieter, danke für die schnellen Antworten- aber alle Dokus die ich finde beschäftigen sich nur mit der Zugriffsbeschränkung die am Benutzer gekoppelt wird - mit der IP-Adresse werde ich wohl Probleme bekommen.

Andreas

Hallo Andreas,

sieht so aus; die beiden natürlichen Kandidaten QIBM_QZDA_INIT und QIBM_QZSO_SIGNONSRV bieten keine entsprechenden Parameter an; das ist alles Benutzer bezogen und damit Kontra produktiv; sobald jemand darüber aus dem Internet dranwill, gehen Benutzer und Kennwort unverschlüsselt übers Netz - erste Idee immer noch beste Idee: Firewall!!!

mfg

Dieter Bender


Hallo Dieter, danke für die schnellen Antworten- aber alle Dokus die ich finde beschäftigen sich nur mit der Zugriffsbeschränkung die am Benutzer gekoppelt wird - mit der IP-Adresse werde ich wohl Probleme bekommen.

Andreas

Da sowohl der ODBC- als auch der DRDA-Zugriff über bestimmte Ports erfolgt, kann man in einer Firewall die Kombination bestimmter IP-Adressen und Ports beschränken.
Schau dir mal die Möglichkeiten von PCSACC/400 an. Dort werden die Exit-Points sehr gut unterstützt.

Hallo,

meines Wissens ist PCSACC zumindest für diesen Bereich ebenfalls User basiert, wie (fast) die gesamte Security der AS400; dieser Rechner wurde nie für die Einbindung in offene Netze konzipiert, sondern als Büro Computer, der innerhalb eines trusted Networks operiert, siehe auch SNA Konzepte mit Rechner Rechner Verbindungen. Sobald die AS400 in einem offenen Netz operiert ist es unerlässlich dieses über eine Firewall entsprechend abzuschotten.

mfg

Dieter bender


Da sowohl der ODBC- als auch der DRDA-Zugriff über bestimmte Ports erfolgt, kann man in einer Firewall die Kombination bestimmter IP-Adressen und Ports beschränken.
Schau dir mal die Möglichkeiten von PCSACC/400 an. Dort werden die Exit-Points sehr gut unterstützt.

Hallo Dieter + Baldur,
vielen Dank für Eure Hilfe. Ich werde mit das Tool PCSACC400 mal näher anschauen. Selbstverständlich ist unser Netz mit mehreren Firewalls nach draussen abgesichert !

Andreas

@Dieter
PCSACC/400 kann auch bestimmte Funktionen für IP-Adressen prüfen und sperren (sogar generisch). Ich weiss allerdings aktuell nicht, welche Exit-Points hierfür zuständig sind.