Netzwerk AS400 sichern

[gringo]

Hallo!

Ich habe ein ziemlich großes Problem. Ich bin Informatikstudent im 1. Semester und soll für folgendes Fallbeispiel eine Lösung entwickeln. Leider verstehe ich recht wenig von AS-400 Anwendungen und Netzwerken. Vielleicht könnt ihr mir helfen.

In einer Firma die im kaufmännischen Bereich ein AS-400 Anwendung betreibt, an der 40 VT-100 Terminals und 100 PC´s über Emulationskarten angebunden sind, soll eine Absicherung des Netzwerkes entstehen. Der Internet-Anschluss erfolgt über einen Kommunikationsrechner, der im PC-Netz verwaltet wird. Die AS400 kommuniziert über eine Standleitung mit der Hausbank der Firma. Der Datenaustausch der technischen DV (5 km vom Hauptsitz entfernt) mit der kommerziellen Anwendung(AS400) soll über ISDN mit DSL realisiert werden. Nun soll dieses offenen System gegenüber dem WAN geschützt werden. Dazu muss eine Firewall aufgebaut werden, die zunächst zumindest das kaufmännische System vor Angriffen schützt. Wenn sich die DV-Abteilung integrieren ließe, wäre das aber ein Vorteil.

Kann mir da jemand helfen? Welche Hardware benötigt man für ein solches vorhaben und wie realisiert man so etwas. Ich kann mir unter diesem Sachverhalt nichts vorstellen. Kann mir jemand helfen?

 

[bornemann]

Hallo!

Ich habe ein ziemlich großes Problem. Ich bin Informatikstudent im 1. Semester und soll für folgendes Fallbeispiel eine Lösung entwickeln...

Hallo Gringo,

hast du dafür vielleicht mal ein Schaubild? Ist jetzt nicht so ganz einfach aus dem Stegreif zu beantworten. Kann dir dann aber zumindestens mal schildern wie das aussehen würde wenn man das so macht wie bei uns auf Arbeit.

 

[flowbike]

Hi Gringo, herzlich willkommen bei Apfeltalk. Wir haben hier im Forum einen User namens angelone, er kennt sich, meine ich, mit der AS 400 ganz gut aus.
Schreib ihm doch einfach mal ne PN oder mail.
http://www.apfeltalk.de/forum/member1118.html

 

[bornemann]

Hi Gringo, herzlich willkommen bei Apfeltalk. Wir haben hier im Forum einen User namens angelone, er kennt sich, meine ich, mit der AS 400 ganz gut aus.
Schreib ihm doch einfach mal ne PN oder mail.
http://www.apfeltalk.de/forum/member1118.html

Hallo flowbike,

wirst lachen, aber ich auch, schließlich bin ich Anwendungsentwickler auf so nem Ding.

 

[flowbike]

Hehe,
wollt ich auch gar nicht anzweifeln, aber ich hatte halt bisher erst mit einem User, hier im Forum Kontakt, der sich offensichtlich mit der AS400 auskennt.
Und natürlich auch an Dich ein herzliches Willkommen.

 

[bornemann]

Hehe,
wollt ich auch gar nicht anzweifeln, aber ich hatte halt bisher erst mit einem User, hier im Forum Kontakt, der sich offensichtlich mit der AS400 auskennt.
Und natürlich auch an Dich ein herzliches Willkommen.

Danke danke,

woher hättest du es auch wissen können!
Habe mich ja noch gar nicht über meine Qualitäten ausgelassen.

 

[gringo]

Hallo bornemann!

Erstmal danke für die schnelle Antwort. Leider habe ich kein Schaubild, denn dann würde mir die Sache evtl. auch etwas leichter fallen. Ich kann mir nicht ganz vorstellen wie das ganze aufgebaut ist und wo man jetzt genau absichern soll. Ich habe noch eine genauere Beschreibung der Situation, die könnte ich dir per E-Mail zukommen lassen, vielleicht hilft dir das weiter.

Gruß
Gringo

 

[mullzk]

boah, gleich zwei as400-spezis in einer mac-community? at ist einfach toll...

item, ich glaube gringo täte gut daran, die as400 zu vergessen, denn die aufgabe-stellung ist zwar verwirrend, aber so wie ich das sehe eigentlich schlussendlich gar nicht so schwer.
bei einer as400-anwendung, die über vt-terminals und emulationskarten gesteuert werden, hast du alle daten sowieso nur auf dem server drauf. die frage ist deshalb eigentlich nur: welche hardware benötigst du, um eine as400 (und eigentlich könnte hier jeder mögliche servertyp stehen) übers netz, über eine firewall, über dsl, über isdn, zu isdn, zu dsl, zu einer anderen firewall zu dem backup-server abzusichern.
und damit wären ja schon fast die komponenten aufgezählt, was du brauchst sind
- etherner-netzwerkadapter auf den beiden servern
- vpn-fähige firewalls auf beiden seiten
- dsl-modems
- isdn-nt-geräte

 

[bornemann]

...item, ich glaube gringo täte gut daran, die as400 zu vergessen, denn die aufgabe-stellung ist zwar verwirrend, aber so wie ich das sehe eigentlich schlussendlich gar nicht so schwer...

Hallo gringo, hallo mullzk,

kann mich prinzipiell meinem "vorredner" nur anschließen, das Problem kann in solch einem netzwerk gar nicht die AS400 sein, die ja aufgrund eigener sicherungssysteme (firewall und ganz anderes benutzermanagement und betriebssystem) von haus auf leichter zu schützen ist. ebenso ist sie ja durch die clientsysteme nicht angreifbar (emulationskarten bzw terminals).

bleibt nur die aufgabe, die komplette kommunikation des ganzen netzwerkes gegenüber dem wan abzusichern. hierzu sind die, durch mullzk vorgeschlagenen komponenten voll ausreichend. lediglich in der art und weise, mag es verschiedene "geschmäcker" geben. der eine tendiert zu unabhängigen hardware-firewalls mit vpn-routern, der andere bevorzugt evtl. einen dedizierten kommunikationsserver der auf softwaresbasis die firewall- und vpn-router-dienste leistet.

die große unbekannte in diesem szenario ist noch für mich die verbindung zur bank, die aussage es handele sich um eine standleitung ist nur wenig aussagekräftig über die dahinter stehende anbindung. ist es erforderlich, sich ebenso gegenüber dieser verbindung abzusichern? bei einer reinen as400-verbindung zur bank die lediglich zum datenaustausch via ftp o.ä. dient, ist keine gesonderte lösung notwendig, da die as400 mit "bordmitteln" einen grundschutz bieten kann. dies hängt im wesentlichen vom sicherheitskonzept auf der as400 ab. diese bietet verschiedene sicherheitsstufen, die berechtigungen sehr einschränken können.

 

[gringo]

Hallo Bornemann!

So wie es aussieht hast du meine E-Mail bekommen. Also mehr Infos habe ich auch nicht. Weiß jetzt zwar das man den Kommunikationsserver absichern muss aber könntest du dir ein Schaubild vorstellen wie das ganze aussieht. Ist der Kommunikationsrechner mit der AS/400 verbunden oder wo sitzt dieser genau im Netzwerk. Welche Firewall würdest du empfehlen? Müsste man nicht evtl nochmal einen neuen Kommunikationsserver beschaffen mit Firewall etc.? Wie würde man diesen einbinden?

 

[bornemann]

Hallo gringo,

sorry habe deine mail erhalten, aber da ich die so selten abrufe ...

Nun zu deinem Problem:

Auch auf die Gefahr hin, dass ich hier von den apfeltalkern gesteinigt werde, würde ich dir aufgrund der vorhandenen Infrastruktur zur Konkurrenz raten, so haben wir es halt in unserer Firma gelöst. Sollte es eine Softwarelösung sein, dann denke ich an MS-ISA-Server, der meiner Meinung nach einfach zu verwalten ist (also sogar ich blicke das). Dann wäre aber ein weiterer Server alleine für den ISA-Server eigentlich Pflicht, da dieser ja die eigentliche Barriere zwischen WAN und LAN darstellt. Voreil ist dann auch eine physische Trennung über zwei oder mehr Netzwerkkarten, je nach Segmentanzahl und eine eigene für die DMZ.

Aufgrund der momentanen geringen Anforderungen an die Internetverbindungen und der doch nicht unerheblichen Kosten für einen weiteren Server und der Software, wäre für die von dir geschilderten Anforderungen eine hardwareseitige Lösung eher ratsam. Hier denke ich einfach an einen DSL-Router mit integrierter Firewall und VPN. Sowas verwende ich auch zu Hause und halte ich für vollkommen ausreichend.

Leider ist aus deiner E-Mail heraus einfach nicht erkennbar, welche Perspektiven sich für dieses Firmennetzwerk ergeben, was durchaus nicht unerheblich ist. Erstere Lösung ist vor allem dann zu bevorzugen, wenn z.B. ein eigener E-Mail-Server angeschafft werden soll, der sich bei einer einfachen Lösung wegen SMTP ja in einer DMZ befinden müsste. Eventuell ist ein künftiger Internetzugang für die Mitarbeiter geplant, welcher sicher durch Berechtigungen und Reglementierungen steuerbar sein muss.

Lösung 2 wäre wirklich eine ausgesprochen kostengünstige Lösung, die für genau den vorliegenden Fall ausreichend sein würde. Vorteil hier ist, dass sogut wie kein admistrativer Aufwand entstünde, denn einmal eingerichtet, könnte diese Konfiguration bis auf weiteres bestehen.

Siehst schon gringo, ist ein durchaus schwieriges Thema, dem viele Überlegungen zugrunde liegen, die dann in der Praxis jedoch schnell überholt sein werden.

Vielleicht liest ja auch ein Netzwerkler mit, der für eine solche Aufgabenstellung eine Macintosh Lösung parat hätte (würde mich ganz besonders interessieren).

 

[mullzk]

steinigt ihn, er hat jehova gerufen...

da dies ja nur eine theoretische aufgabe ist, denke ich mal, dass man nicht unbedingt einen produktenamen angeben muss, und wenn, dann würde ich nicht m$ erwähnen, nicht wegen meiner anti-m$-einstellung, sondern wegen der an unis häufig verbreiteten anti-m$-und-vor-allem-unix-über-alles-einstellung (ist zumindest an unserer uni so). ob dann in der realität die lösung aus redmond die am einfachsten zu konfigurierende ist, ist dann eine andere frage...

 

[bornemann]

steinigt ihn, er hat jehova gerufen... :-D

Aber ich habe doch nur gesagt, das dieses stück heilbutt gerade gut genug wäre für jehova.

Schon gut, ich wusste ja, dass das kommen muss. Nur um mal von vornherein hier was klar zu stellen, ich bin Mac-User mit Leib und Seele. Nur mal so am Rande bin ich stolter Besitzer eines Würfelmac's der ersten Generation. Ebenso nenne ich ein Pb 100 mein Eigen, genauso wie erste Generation Newton oder 1G-iPod. ICH BIN EIN MAC-FREAK!!

Spass beiseite, wichtig ist doch nun mal in der Realität, dass das verwendete Szenario auch leicht verwaltbar bleibt, also mac-like! Unix macht es doch da in der Regel nicht leichter.

Auch wärend meines Studiums war natürlich Unix der Renner, was ich aber nicht immer so nachvollziehen kann. Schließlich hat MS ja schon ne ganze Menge von Apple gelernt. hihi

Um auf's Thema zurückzukommen, jede Softwarelösung ist natürlich in diesem Szenario denkbar.

 

[gringo]

Hallo Bornemann!

Habe mir ein paar Bücher besorgt und versucht etwas heraus zu finden.
Tendiere ebenfalls zu einer DMZ mit Firewall. Leider weiß ich nicht genau wie so etwas aussieht.
Heißt das ich bräuchte einen Server für die Firewall, einen Mailserver, einen Webserver. Oder reicht einer der all dies verwaltet.

Weiterhin kann ich noch mehr Angaben über das Fallbeispiel geben. Die VT100 werden aufgrund des Alters abgeschafft. Außerdem soll die Außenstelle ebenfalls an das Internet bzw. an die Datenverarbeitung des "Stammwerkes" angeschlossen werden. Zur Kommunikation könnte man doch eine Standleitung einrichten und die Standleitung zur Sparkasse abschaffen. Der Datenaustausch mit den Banken, den Krankenkassen und den Kunden sollen dann ebenfalls übers Netz laufen. Es soll also doch oft genutzt werden. Ich denke die DMZ-Lösung ist dann besser.

Falls ich die Außenstelle mit einer Standleitung mit dem Werk verknüpfe brauche ich doch dort auch noch mal eine Firewalllösung? Sehe ich das richtig?

mfg
gringo

 

[MatzeLoCal]

Ich will mich hier nur mal wichtig machen. Auch ich progge für die AS400 ... zur Zeit etwas weniger, da hier auch ein ApplicationServer gefüttert werden mag, aber ansonsten rödel ich auch oft genug auf der schwarzen Kiste rum.

 

[mullzk]

woah, da wird Apfeltalk ja regelrecht von IBMlern unterwandert - hilfe....

 

[bornemann]

Hallo Gringo,

also langsam wird's echt interessant, normalerweise könnte ich ne Stange Geld für all diese Ratschläge verlangen.

Spass beiseite, haste schon mal was von "virtuellen Servern" gehört? Im Prinzip gehts darum, dass man auf einer recht ordentlich ausgestatteten Plattform mehrere Server laufen lässt, z.B. nen eigenen WEB-Server, Mail-Server, Firewall usw. Heißt, eine Hardware viele Software-Server, alle unabhängig voneinander. Ist grad mal wieder so in alle Munde und mega-in.

Hat aber wirklich auch Vorteile, denn ein "mittelständisches" Unternehmen benötigt ja nicht unbedingt mega-rechenpower für 10-Emails die Stunde, 10-Web-Zugriffe auf die lieblos gemachte Internetpräsenz und der gleichen. Deshalb heißt das große Schlagwort hier einfach hardwaresharing.

Standleitung = ideale Lösung aber Standleitung = teuer, was eigentlich immer bedeutet, dass eine Anbindung der Außenstellen über Internet bei nicht zu hohem Datenaufkommen zu bevorzugen zu wäre. Nur sicherer ist natürlich die Standleitung.

Anbindung Banken usw. über Netz, kommt wieder mal drauf an, wie der Datenaustausch von statten gehen soll. Ein paar Zip-Files hin und herschieben? Oder doch Zugriff auf "Datenbanken" der Kreditinstitute? Langt ftp? Wäre zu bevorzugen, da kein Durchgriff von Seitens der Bank auf's eigene Unternehmen nötig wäre. Im übrigen stellt dies für das eigene Unternehmen kein allzu großes Risiko dar (Benutzerberechtigungen im LAN).

Bei Standleitung würdest du sicher keine Firewall einsetzen, wäre ja grad so, wie die Verbindung im LAN über Netzwerk-Kabel nochmal mit ner Firewall abzusichern, denn ne Standleitung ist im Prinzip ja nix anderes, nur dass hier halt ne "Übersetzung" von Netzwerk auf "Telefon" und zurück stattfindet.

Was du wohl meinst ist doch eher die Anbindung der Aussenstellen über Internet, was du ein paar Zeilen darüber ja auch so geschrieben hast. Hierbei ist selbstverständlich eine Firewall mit VPN zwingend notwendig.

Noch Fragen im Detail, dann her damit, bin schon ganz heiß.

 

[bornemann]

Salve LoCal,

freut mich wirklich hier noch ein paar Mitstreiter zu haben, die sich mit der "fleischgewordenen Datenbank" auskennen. Sie mag ja ein Dinosaurier sein, die AS400, aber ihre Qualitäten hat sie, genauso wie ein Mac. :-D :-D :-D

Auch Grüsse an dich mullzk,
glaube mir, aber der Abschied von IBM bei Apple, der fällt mir jetzt eigentlich so gar nicht schwer. Bin zwar Apfel-Anhänger aus Leidenschaft, aber ich kann mir wirklich gut vorstellen, dass wir alle künftig mit dem "Switch" besser fahren werden.

Man werd ich grad wieder philosophisch. Da seht ihr mal was der "Evangelist"-Jobs schon aus mir gemacht hat (freu mich schon wieder auf die nächste Keynote *lol*).