identifizieren von ausgehenden FTP-Verbindungen

[BenderD]

@Baldur: da ist was wahres dran, obwohl das ja eigentlich ein security event darstellt und wenn ftp das als solches kennt, dann würde ich von audit journal schon erwarten das da zu finden.
Ansonsten müsste man mal prüfen, ob man das auf einer Firewall mit entsprechender Protokollierung hinbekommt (wobei die gegen adress spoofing auch wenig ausrichten kann.

Dieter

Das betrifft wohl eher alles Incoming FTP !
Wie siehts (wie in diesem Fall) mit Outgoing FTP aus ?
Warum sollte die AS/400 da was aufzeichnen, wenn ein Programm wie FTP sich nicht am Windows-Server anmelden kann ?
Wenn das Programm selber keine Nachricht erzeugt, dann föhliches Weitersuchen.

[Sven Schneider]

Ist doch oben schon angesprochen worden.

Die Server Exit points (WRKREGINF) lassen es bei ftp zu sowohl Client (ausgehend) als auch Server (ankommend) Requests zu protokollieren/abzuweisen.

Die Mühe ein kleines Programm zum schreiben und als ftp-exit-programm zu registrieren sollte man sich gönnen, wenn man nicht eine professionelle Software (z.B. PCSCCC/400, Penatsafe etc.) erwerben will.
Bsp. gibt es genügend, auch im Infocenter.

[kai]

Das PCSACC/400 auch ausgehende FTP-Verbindungen mitschreibt bzw. blockt ist mir eigentlich neu. Ich kann einem User die Berechtigung geben das er mit FTP arbeiten darf mehr aber auch nicht. Oder gibt es da jetzt Neuerungen?

Gruß,
Kai

[Fuerchau]

Ich kann damit nur prüfen, ob FTP erlaubt/nicht erlaubt ist.
Was innerhalb von FTP passiert, wird nur in den Log's (STDOUT von FTP) protokolliert.
Vielleicht sollte man diese in eine OUTQ ausgeben.

Wird für einen erlaubten User (bei PCSACC/400) aber nichts mehr protokolliert, hilft mir das nun wahrlich nicht besonders.

[BenderD]

Hallo,

wenn ich das in der FTP reference richtig verstanden habe, wird auch vom FTP Client ein exit gefeuert, das Problem ist aber da, dass der vor der Ausführung anspringt und nicht danach. Mit anderen Worten, das hilft nix: ich bekomme zwar mit, wenn jemand einen logon an einem anderen FTP Server versucht, aber eben nicht was daraus geworden ist.

mfg

Dieter Bender

Ich kann damit nur prüfen, ob FTP erlaubt/nicht erlaubt ist.
Was innerhalb von FTP passiert, wird nur in den Log's (STDOUT von FTP) protokolliert.
Vielleicht sollte man diese in eine OUTQ ausgeben.

Wird für einen erlaubten User (bei PCSACC/400) aber nichts mehr protokolliert, hilft mir das nun wahrlich nicht besonders.

[Sven Schneider]

Die Frage war ja nicht was der ftp-Client tut, sondern welcher Job von welcher AS/400 per ftp auf einen Fileserver zugreift.

Und mit dem ftp-Client exit point QIBM_QTMF_CLIENT_REQ bekomme ich folgende Info :

- wann eine CLIENT INITIALIZE SESSION (INIT) an eine remote ftp-Server abgesetzt wurde
- die Ziel IP Adresse des remote ftp-servers
- den AS/400 Job

Das Exit-Programm wird vor der Anmeldung am remote ftp-Server aufgerufen, d.h. wann immer ich den ftp-Server ereiche bzw. dieser antwortet.
Damit erhalte ich immer eine Info auch wenn die nachfolgende Anmeldung, aus welchen Gründen auch immer, fehlschlägt.


Zu PCSACC/400:
Ich kann pro Benutzer Berechtigungen für ausgehende (Client) bzw. ankommende (Server) ftp-Requests vergeben.
Meiner Meinung war das schon immer so.
@kay : Welche Version hast du im Einsatz ?

@fuerchau

Wird für einen erlaubten User (bei PCSACC/400) aber nichts mehr protokolliert, hilft mir das nun wahrlich nicht besonders.

Mein Ansinnen war ein eigene Exit-Programm für ftp zu schreiben. Was ich dann hier tue bzw. protokolliere bleibt mir überlassen. Ab Version V3R2Mx von PCSACC/400 kann ich dieses Programm dann als Subexitprogramm zusätzlich registrieren.

[kai]

Danke für die Antworten.

Gruß
Kai