FTP contra ODBC

[mama]

Auf unserer AS400 ist der FTP-Server wegen Sicherheitsbedenken abgeschaltet. Jetzt will man aber ODBC-Zugriffe zulassen. Frage: Ist ODBC sicherer als FTP? Unterschiede? Wo kann man sich schlau machen?

[Fuerchau]

ODBC ist genauso sicher / unsicher wie FTP.
Warum ?
Ist doch ganz einfach:
In beiden Fällen beziehe ich mich auf zu kopierende Daten.
ODBC, nämlich SQL, erleichtert mir nur noch die Datenanalyse, da im Gegensatz zu FTP die Daten direkt in einer lesbaren Struktur ausgewertet werden können.

Von daher ist ODBC sogar unsicherer als FTP !

Was den Zugriffsschutz angeht, so gbt es da Tools wie PCSACC/400 für die weitergehende Berechtigungsprüfung über AccessPoints (WRKREGINF) um die ODBC/FTP-Lücke zu verkleinern.

[DVE]

Was für Sicherheitsbedenken ?? Beides ist genauso sicher bzw. unsicher. Wenn man sich zum Thema Sicherheit bei externe Zugriffe gedanken machen will, so sollte man sich eine Software wie BSafe, Security Suite oder ähnliches kaufen. Diese Software hinterlegt in den REGINF der iSeries Exitptogramme und man kann dann entscheiden wer auf welche Daten zugreifen darf.
Ein simpler Austausch von FTP nach ODBC ist "raus aus den Kartoffel, rin in die Kartoffeln".

Ach ja.. nach unseren Erfahrungen ist ODBC wesentlich langsamer als FTP.

Gruß
DVE

[DVE]

Fuerchau kann schneller Schreibmaschineschreiben als DVE

Gruß
DVE

[Fuerchau]

@DVE Danke

Kein Wunder das ODBC langsamer als FTP ist.
Beim ODBC findet ja noch eine Verarbeitung statt, der FTP kann die Daten mit fast voller Geschwindigkeit übertragen.

Wenn man allerdings den gesamten Pfad betrachtet, kann ODBC wiederum schneller sein (ist auch häufig so), da die Daten ohne Umwege verarbeitet werden können.

Für FTP wird ja meist der Umweg über CSV (nun auch XML o.ä.) gemacht, d.h., Daten sammeln->umformatieren->Dateiausgabe->FTP->Dateieingabe->Interpretation, Prüfung und Umformatierung->Verarbeitung.

Der ODBC-Weg ist dann schneller, wenn ich ihn nicht zum Erstellen von CSV's wieder missbrauche sondern die Daten eben direkt verarbeiten kann.

[mama]

Ich habe die Frage falsch gestellt: der Grund wieso der FTP-Server abgestellt ist soll sein, um Zugriffe auf die AS400 von aussen zu verunmöglichen. Stellt sich dieses Problem denn bei ODBC nicht?

[Fuerchau]

Die Antworten waren doch da sehr eindeutig.
Aus Sicherheitsgründen gibt es keinen Unterschied ob ich einen Zugriff per FTP oder per ODBC durchführe.

In beiden Fällen benötige ich nur ein Profil und Kennwort zum Anmelden an die AS/400 um anschließend per FTP-GET oder ODBC-SQL-SELECT Daten abholen zu können.

ODBC erleichtert mir sogar die Datenanalyse ist demnach also unsicherer.

Was soll daran unverständlich sein ?

[mama]

Man hat es mir so erklärt, dass man mit FTP durch eine Firewall kommt und mit ODBC nicht. Ist dies so? Danke für die Antwort!

[Fuerchau]

PS:
Ich habe aber mit den o.g. Tools zusätzlich die Möglichkeit trotz der offenen FTP/ODBC-Zugänge weitere Sicherheitsmerkmale einzubauen, die da z.B. wären:

- FTP/ODBC nur von bestimmten IP's
- FTP/SQL nur von bestimmten Usern auf bestimmte Objekte

Die AS/400-berechtigungen alleine reichen da leider nicht aus !

[Fuerchau]

Beides lässt sich per Firewall erlauben oder abklemmen.
Der Unterschied ist nur die Port-Nummer auf der das Protokoll läuft:

21 FTP
23 TELNET
80 HTTP
445 DRDA (DB2/Connect)
8171 ODBC

Je nachdem also, welcher Port durchgeroutet wird, steht der Dienst zur Verfügung oder eben nicht.

Ist also z.B. Port 21 gesperrt, kommt man auch mit FTP nicht durch eine Firewall.

[BenderD]

Hallo,

das eine lässt sich wie das andere auf einer Firewall abfangen, sprich: wenn die Firewall entsprechend konfiguriert ist, dann ist dieses Argument nicht stichhaltig.

Ansonsten gibt es da schon Unterschiede:
FTP: - Zugriff auf komplette Dateien
Risiko: Daten Diebstahl, Datenverlust, keine Veränderung
keine zusätzliche Client Software erforderlich
Risiko: von jedem Client möglich

ODBC: satzweiser Zugriff
Risiko: wie oben, zusätzlich Daten Veränderung
Installation von Client Software erforderlich, hierdurch (schwacher) Schutz im LAN, da nicht von allen Clients möglich.

Zu den REGINF Klamotten: Basis jeder Sicherheitsstrategie ist hinreichender Objekt Schutz!!! Wo man mit *PUBLIC Berechtigung an Produktionsdaten rankommt, da ist letztlich alles zum Abschuss freigegeben!!!

mfg

Dieter Bender

Man hat es mir so erklärt, dass man mit FTP durch eine Firewall kommt und mit ODBC nicht. Ist dies so? Danke für die Antwort!

[DVE]

Schöne diskussion.
REGINF Klamotte. Sobald die entsprechende Software gekauft oder selbst geschrieben in den REGINF hinterlegt ist, wird jeder Datenbankzugriff überprüft. Und selbst wenn jemand Leseberechtigung an einer bestimmte Datei hat, so kann er die Datei nicht 'runterladen, wenn der Zugriff über die Software verweigert wird .. oder habe ich unrecht ??
Gruß
DVE

Zu MAMA. Dieter hat trotzdem recht. Erstens die Datenbanken müssen mit den Berechtigungsmöglichkeiten der iSeries geschützt werden und zweitens solltest du dir 'ne Software (in diesem Forum sind drei Softwarepakete angesprochen worden) kaufen.