identifizieren von ausgehenden FTP-Verbindungen

**kai** · 09-02-05, 16:39

Hallo Forum,

ich habe folgendes Problem
Auf einen unserer File-Server erfolgen alle 6 Minuten FTP-Zugriff der wegen falschen Kennwort bzw. fehlenden Rechten abgewiesen wird.
Als Ursprung des Zugriffes habe ich eine AS/400 identifiziert.
Wie finde ich auf der AS/400 heraus welches PGM bzw. Job diesen FTP-Zugriff ausführt ?

Gruß
Kai

**Fuerchau** · 09-02-05, 16:44

NETSTAT, Auswahl 3, suchen nach fernem Port FTP, ggf. auch Spalte sortieren (F13).

**kai** · 10-02-05, 12:43

der Zugriff ist leider zu kurz um über netstat/3 den Job zu identifizieren.
Sobalt ich mit 8 in die entsprechende Verbindung reingehe hat sich der Job schon längst erledigt.
Hat jemand vielleicht eine andere Möglichkeit.

Gruß
Kai

**Fuerchau** · 11-02-05, 07:45

Wenn das ein Job ist, der regelmäßig dieses versucht, ist es evtl. ein Batchjob.
Prüfe einfach (ist halt Aufwand, wenn keine Doku vorliegt), welche Batchjobs permanent aktiv sind und schau dort jeweils ins Joblog.

**BenderD** · 11-02-05, 08:05

Hallo,

ich würde es mal mit Audit Journal versuchen, wenn denn deine Hypothese stimmt und da nicht mehr dahinter steckt.

mfg

Dieter Bender

Zitat von kai

Hallo Forum,

ich habe folgendes Problem
Auf einen unserer File-Server erfolgen alle 6 Minuten FTP-Zugriff der wegen falschen Kennwort bzw. fehlenden Rechten abgewiesen wird.
Als Ursprung des Zugriffes habe ich eine AS/400 identifiziert.
Wie finde ich auf der AS/400 heraus welches PGM bzw. Job diesen FTP-Zugriff ausführt ?

Gruß
Kai

**kai** · 11-02-05, 13:44

Hallo,

ich habe den Job gefunden und den Zugriff rausgenommen.
Die Methode mit Joblog, Netstat und Auditjournal finde ich persönlich nicht umbedingt elegant.
Gibt es nicht eine andere Methode wie ich auf der AS/400 rausgehende FTP-Zugriffe identifizieren kann ?

Gruß
Kai

**Fuerchau** · 11-02-05, 14:46

Nur dann, wenn der FTP-Zugriff und damit das Programm aktiv ist !

Ansonsten, alle Sourcen scannen auf FTP (über PDM) und prüfen, ob der noch gilt.

Anständig dokumentieren, was auf dem System wann und wo läuft und von wem gestartet oder beendet werden kann oder wird .... usw. usw. usw......

**TARASIK** · 11-02-05, 14:53

Hallo Kai,
es gibt natürlich auch fertige Software:

New iSeries Utility Addresses FTP Security
by Alex Woodie
The iSeries is recognized as one of the most secure servers available on the commercial market today. Its object-oriented design is virtually immune to today's viruses, and its five levels of built-in security gives systems administrators a great deal of control over which functions are available to various classes of users.
However robust iSeries security is, the OS/400 platform was conceived long before today's Internet protocols were in widespread use. Without properly securing TCP/IP, FTP, and other network access points, your AS/400 or iSeries could be left as vulnerable as that Windows NT server down the hall.
Shield Advanced Solutions has just started shipping a new utility that addresses unauthorized FTP access. FTP Manager/400 Version 1.0 allows systems administrators to control which users are allowed to transfer files to and from AS/400 or iSeries servers.
FTP Manager/400 uses OS/400 exit points to capture and log all incoming and outgoing FTP requests, the company says. If a user fails to provide the correct password to access an FTP function, FTP Manager/400 automatically sends a message to QSYSOPR, the system administrator, alerting the administrator to take action.
The utility logs all FTP access requests in real-time as message queues, database files, or Integrate File System files, depending on preferences and needs. Shield provides several levels of logging to address the iSeries shop's' disk management needs, the Toronto, Ontario, company says.
FTP Manager/400 can also be configured to allow anonymous users to access the file transfer function, although this function can be removed to increase security if required, the company says.
FTP Manager/400 costs between $1,100 and $6,500, depending on the size of the AS/400 or iSeries processor. For more information, visit Shield's Web site, at www.shield.on.ca.

**TARASIK** · 11-02-05, 15:01

Hallo Kai,
es gibt auch noch ein Tool von der IBM:
CONTROLLING FTP SECURITY WITH EXIT PROGRAMS -- PART 2
Boy, just when I think I've published the definitive list of FTP exit
program resources, a helpful reader reminds me of another. The tool I
omitted is the free Secured TCP Utility (SECTCP), which was written by
IBMer Giovanni Perotti and is available at
http://www-922.ibm.com/easy400p/downloads.html*. The utility enables
you to secure FTP, WSG, and TELNET servers, log FTP, WSG, and TELNET
activity, and display HTTP, FTP, WSG, and TELNET daily logs. Another
downloadable utility, WSECTCP, provides a Web browser front-end to
SECTCP. Both utilities require OS/400 V4R4 or greater.

Thanks to Luis Rodrguez for the above tip.

**BenderD** · 11-02-05, 15:15

Hallo,

Audit Journal ist unverzichtbar (obwohl es kaum jemand nutzt), wenn man mitgkriegen will, wenn jemand anfängt zu bohren. Alle Tools sind in den Wind geschossen, wenn jemand einen Weg drumherum sucht. Wenns da eine Automatik gäbe, dann gäbe es manche Probleme nicht.

mfg

Dieter Bender

Zitat von kai

Hallo,

ich habe den Job gefunden und den Zugriff rausgenommen.
Die Methode mit Joblog, Netstat und Auditjournal finde ich persönlich nicht umbedingt elegant.
Gibt es nicht eine andere Methode wie ich auf der AS/400 rausgehende FTP-Zugriffe identifizieren kann ?

Gruß
Kai

**TARASIK** · 11-02-05, 15:18

Hallo Kai,
es gibt noch einen Sicherheitstip:

If the QMAXSGNACN system value is set to 1, the QMAXSIGN system value applies to TELNET but not to FTP. If QMAXSGNACN is set to 2 or 3(values which disable the profile if the maximum sign on count is reached), FTP logon attempts are counted. In this case, a hacker can mount "denial of service" attack through FTP by repeatedly attempting to log on with an incorrect password until the user profile is disabled. For each unsuccessful attempt, the system writes a message CPF2234 to the QHST log. You can write a program to monitor the QHST log for message. If the program detects repeated attempts, it can end the FTP servers.

**Fuerchau** · 11-02-05, 23:54

Das betrifft wohl eher alles Incoming FTP !
Wie siehts (wie in diesem Fall) mit Outgoing FTP aus ?
Warum sollte die AS/400 da was aufzeichnen, wenn ein Programm wie FTP sich nicht am Windows-Server anmelden kann ?
Wenn das Programm selber keine Nachricht erzeugt, dann föhliches Weitersuchen.

Thema: identifizieren von ausgehenden FTP-Verbindungen

Thread Tools

Bewerten Sie diesen Thema

Display