FTP contra ODBC

[mama]

Auf unserer AS400 ist der FTP-Server wegen Sicherheitsbedenken abgeschaltet. Jetzt will man aber ODBC-Zugriffe zulassen. Frage: Ist ODBC sicherer als FTP? Unterschiede? Wo kann man sich schlau machen?

[Fuerchau]

ODBC ist genauso sicher / unsicher wie FTP.
Warum ?
Ist doch ganz einfach:
In beiden Fällen beziehe ich mich auf zu kopierende Daten.
ODBC, nämlich SQL, erleichtert mir nur noch die Datenanalyse, da im Gegensatz zu FTP die Daten direkt in einer lesbaren Struktur ausgewertet werden können.

Von daher ist ODBC sogar unsicherer als FTP !

Was den Zugriffsschutz angeht, so gbt es da Tools wie PCSACC/400 für die weitergehende Berechtigungsprüfung über AccessPoints (WRKREGINF) um die ODBC/FTP-Lücke zu verkleinern.

[DVE]

Was für Sicherheitsbedenken ?? Beides ist genauso sicher bzw. unsicher. Wenn man sich zum Thema Sicherheit bei externe Zugriffe gedanken machen will, so sollte man sich eine Software wie BSafe, Security Suite oder ähnliches kaufen. Diese Software hinterlegt in den REGINF der iSeries Exitptogramme und man kann dann entscheiden wer auf welche Daten zugreifen darf.
Ein simpler Austausch von FTP nach ODBC ist "raus aus den Kartoffel, rin in die Kartoffeln".

Ach ja.. nach unseren Erfahrungen ist ODBC wesentlich langsamer als FTP.

Gruß
DVE

[DVE]

Fuerchau kann schneller Schreibmaschineschreiben als DVE

Gruß
DVE

[Fuerchau]

@DVE Danke

Kein Wunder das ODBC langsamer als FTP ist.
Beim ODBC findet ja noch eine Verarbeitung statt, der FTP kann die Daten mit fast voller Geschwindigkeit übertragen.

Wenn man allerdings den gesamten Pfad betrachtet, kann ODBC wiederum schneller sein (ist auch häufig so), da die Daten ohne Umwege verarbeitet werden können.

Für FTP wird ja meist der Umweg über CSV (nun auch XML o.ä.) gemacht, d.h., Daten sammeln->umformatieren->Dateiausgabe->FTP->Dateieingabe->Interpretation, Prüfung und Umformatierung->Verarbeitung.

Der ODBC-Weg ist dann schneller, wenn ich ihn nicht zum Erstellen von CSV's wieder missbrauche sondern die Daten eben direkt verarbeiten kann.

[mama]

Ich habe die Frage falsch gestellt: der Grund wieso der FTP-Server abgestellt ist soll sein, um Zugriffe auf die AS400 von aussen zu verunmöglichen. Stellt sich dieses Problem denn bei ODBC nicht?

[Fuerchau]

Die Antworten waren doch da sehr eindeutig.
Aus Sicherheitsgründen gibt es keinen Unterschied ob ich einen Zugriff per FTP oder per ODBC durchführe.

In beiden Fällen benötige ich nur ein Profil und Kennwort zum Anmelden an die AS/400 um anschließend per FTP-GET oder ODBC-SQL-SELECT Daten abholen zu können.

ODBC erleichtert mir sogar die Datenanalyse ist demnach also unsicherer.

Was soll daran unverständlich sein ?

[mama]

Man hat es mir so erklärt, dass man mit FTP durch eine Firewall kommt und mit ODBC nicht. Ist dies so? Danke für die Antwort!

[BenderD]

Hallo,

das eine lässt sich wie das andere auf einer Firewall abfangen, sprich: wenn die Firewall entsprechend konfiguriert ist, dann ist dieses Argument nicht stichhaltig.

Ansonsten gibt es da schon Unterschiede:
FTP: - Zugriff auf komplette Dateien
Risiko: Daten Diebstahl, Datenverlust, keine Veränderung
keine zusätzliche Client Software erforderlich
Risiko: von jedem Client möglich

ODBC: satzweiser Zugriff
Risiko: wie oben, zusätzlich Daten Veränderung
Installation von Client Software erforderlich, hierdurch (schwacher) Schutz im LAN, da nicht von allen Clients möglich.

Zu den REGINF Klamotten: Basis jeder Sicherheitsstrategie ist hinreichender Objekt Schutz!!! Wo man mit *PUBLIC Berechtigung an Produktionsdaten rankommt, da ist letztlich alles zum Abschuss freigegeben!!!

mfg

Dieter Bender

Man hat es mir so erklärt, dass man mit FTP durch eine Firewall kommt und mit ODBC nicht. Ist dies so? Danke für die Antwort!

[DVE]

Schöne diskussion.
REGINF Klamotte. Sobald die entsprechende Software gekauft oder selbst geschrieben in den REGINF hinterlegt ist, wird jeder Datenbankzugriff überprüft. Und selbst wenn jemand Leseberechtigung an einer bestimmte Datei hat, so kann er die Datei nicht 'runterladen, wenn der Zugriff über die Software verweigert wird .. oder habe ich unrecht ??
Gruß
DVE

Zu MAMA. Dieter hat trotzdem recht. Erstens die Datenbanken müssen mit den Berechtigungsmöglichkeiten der iSeries geschützt werden und zweitens solltest du dir 'ne Software (in diesem Forum sind drei Softwarepakete angesprochen worden) kaufen.

[BenderD]

Hallo,

technische Möglichkeiten sind nur eine Seite der Medaille, korrekt implementiert muss es sein und einfach verifizierbar.

Firewall brauche ich immer, mit entsprechenden Filtern und Protokollierungen.
Zumindest die Public Berechtigung muss für Produktionsdaten dicht sein.
typische Implementierungsfallen auf AS400 sind zum Beispiel:
untergrabbbare Programme mit adopted Authority
Ein Exit Point ist dicht, ein anderer (neuerer) ein Scheunentor.
Bodenloser Leichtsinn nach dem Motto: wir haben den sichersten Rechner der Welt (was nicht einmal stimmt!!!)

mfg

Dieter Bender

Schöne diskussion.
REGINF Klamotte. Sobald die entsprechende Software gekauft oder selbst geschrieben in den REGINF hinterlegt ist, wird jeder Datenbankzugriff überprüft. Und selbst wenn jemand Leseberechtigung an einer bestimmte Datei hat, so kann er die Datei nicht 'runterladen, wenn der Zugriff über die Software verweigert wird .. oder habe ich unrecht ??
Gruß
DVE

Zu MAMA. Dieter hat trotzdem recht. Erstens die Datenbanken müssen mit den Berechtigungsmöglichkeiten der iSeries geschützt werden und zweitens solltest du dir 'ne Software (in diesem Forum sind drei Softwarepakete angesprochen worden) kaufen.

[Fuerchau]

@Dieter
Die klassischen Anwendungen arbeiten mit dem normalen Objektschutz der AS/400 ganz gut. Da gibts auch kein *PUBLIC *ALL sondern meistens das Gruppenprofil.
Da aber die Anwendung selber die Objektberechtigung benötigt stehen die Dateien den meisten Usern eben auch per FTP/ODBC zur Verfügung.
Sicherlich kann ich Anwendungen mit dem OWNER-Trick schützen, aber wer macht das schon.

Und was die Client-Software angeht so gibt es da schon simple ODBC-Treiber und bei Java sogar kostenlose.

Und genau DAGEGEN kann ich mich etwas besser über REGINF-Klamotten schützen.