Immer mehr Sicherheits- und Netzwerkadministratoren verbieten die Verwendung von Telnet. Leider erfordert die Stratus RSN, dass das Stratus Modul einen Telnet-Server betreibt. Das bedeutet jedoch nicht, dass Sie die Telnet-Beschränkung nicht auch im Geiste, wenn nicht sogar buchstabengetreu, einhalten können.
Der Sinn besteht darin, die Verwendung von Telnet einzuschränken, da alle Informationen, einschließlich vertraulicher Informationen wie Passwörter, im Klartext gesendet werden und von jemandem mit einem Protokollanalysator abgefangen werden können. Das Stratus RSN läuft über das Wartungsnetzwerk, das sich vollständig im Schrank Stratus befindet. Wenn jemand ohne entsprechende Berechtigung in der Lage ist, einen Protokollanalysator in dieses Netzwerk einzuschleusen, haben Sie weitaus größere Probleme als die Verwendung von Telnet. Es stellt sich also die Frage, wie die Verwendung von Telnet auf das Wartungsnetz beschränkt werden kann.
Es gibt drei Möglichkeiten:
1) Verwenden Sie die eingebauten Funktionen von telnetd, wobei Sie nur den RSN-Eingangsport (der kein Anmeldeport ist) und das Wartungsnetz abhören.
2) Verwenden Sie TCP Wrappers, um zu verhindern, dass ein anderer Host als der RSN-Terminalserver eine Telnet-Verbindung aufbaut und aufrechterhält.
3) Verwenden Sie IPsec, um zu verhindern, dass ein anderer Host als der RSN-Terminalserver überhaupt eine Verbindung herstellt.
Verwendung der eingebauten Funktionen von telnetd:
Die RSN-Software verwendet Port 85, nicht den Standardport 23. Wenn außer dem RSN niemand telnet verwendet, brauchen Sie nur auf Port 85 zu hören. Sie können telnetd davon abhalten, den Standardport zu überwachen, indem Sie den Befehl
telnet_admin löschen -dienst telnet
Dadurch wird auch der Telnet-Dienst aus der Datei >system>stcp>services entfernt. Dadurch wird verhindert, dass der Befehl telnet client in seinem Standardmodus funktioniert. Sie können den Telnet-Client immer noch ausführen, müssen aber eine Portnummer zusammen mit dem Hostnamen angeben, zu dem Sie eine Verbindung herstellen möchten. Wenn jemand versucht, eine Telnet-Verbindung zu Port 85 herzustellen, wird zwar eine TCP-Verbindung aufgebaut, aber es wird kein Anmeldebanner angezeigt. Die Verbindung bleibt einfach stehen, ohne zu wissen, was der Benutzer eingibt. Nach ein paar Minuten wird sie geschlossen. Ab Version 17.0 können Sie telnetd so konfigurieren, dass es nur auf der Wartungsschnittstelle lauscht. Sie können dies mit dem Befehl
telnet_admin modify -service rsn_incoming -device_prefix in_rsn_m2 -no_login -privileged -services_port 85 -local_ip 10.20.1.1
Sie müssen Ihre eigene Gerätevorwahl und IP-Adresse ersetzen. Damit dies funktioniert, müssen Sie sicherstellen, dass die IP-Weiterleitung ausgeschaltet ist. Der Befehl dafür lautet
IP_forwarding aus
Der Befehl telnet_admin modifiziert die Datei >system>stcp>telnetservice, so dass Sie die oben genannten Befehle nur einmal ausführen müssen, um telnetd dauerhaft zu konfigurieren. Die Dokumentation zum Befehl telnet_admin und der Datei telnetservice finden Sie im OpenVOS STREAMS TCP/IP Administrator's Guide R419 unter http://stratadoc.stratus.com/.
TCP Wrappers verwenden:
TCP Wrappers ist ein Filter, den telnetd nach dem Aufbau der TCP-Verbindung, aber vor dem Senden oder Annehmen von Daten über die Verbindung prüft. Wenn die Verbindung durch den Filter nicht erlaubt ist, wird sie geschlossen. Der Benutzer sieht eine Meldung über die Beendigung der Verbindung, gefolgt von einer Meldung über die Beendigung der Verbindung durch einen fremden Host (vorausgesetzt, der Telnet-Client zeigt diese Art von Meldungen an).
Hinzufügen der Zeile
>system>stcp>command_library>telnetd.pm : 10.10.1.200
In der Datei >system>stcp>hosts.allow und die Zeile
>system>stcp>command_library>telnetd.pm : ALL
In der Datei >system>stcp>hosts.deny und das Starten des telnetd-Servers mit den Argumenten -tcpwrapper_check -no_numeric erlaubt nur Benutzern, die auf dem Host 10.10.1.200 angemeldet sind, den Zugriff auf Telnet. Ich gehe hier davon aus, dass der RSN-Terminalserver eine IP-Adresse von 10.10.1.200 hat.
Diese Methode hat den zusätzlichen Vorteil, dass Sie in der Datei >system>stcp>logs>tcpddeny nachsehen können, wer versucht hat, Telnet-Verbindungen herzustellen. Die Einträge sehen dann so aus
09-04-29 13:15:05 mst telnetd: Verbindung von 172.30.77.50 abgelehnt
Der Nachteil dieser Methode besteht darin, dass auf der TCP-Ebene eine Verbindung hergestellt wird, so dass Prüfer, die nur die Verbindungsinformationen überprüfen, Sie für einen offenen Telnet-Port anzeigen werden.
Dokumentation zu TCP Wrappern, den Dateien hosts.allow, hosts.deny und tcppdeny finden Sie im OpenVOS STREAMS TCP/IP Administrator's Guide R419 unter http://stratadoc.stratus.com/.
Using IPsec;
I have blogged about IPsec before (http://community.stratus.com/blog/openvos/host-based-firewall-vos). You can set up a security policy to allow only 10.10.1.200 access to port 85 with the following statements
{saddr 10.10.1.200 ulp tcp dport 85 dir in} bypass {}
{saddr 0.0.0.0/0 ulp tcp dport 85 dir in} drop {}
Der größte Vorteil von IPsec besteht darin, dass, sobald die Richtlinien in Kraft sind, die Verbindungen zum Port von anderen Hosts einfach unterbrochen werden - die Prüfer werden sich freuen. Der Nachteil ist, dass IPSec ein Produkt ist, das separat erworben werden muss und auf Ihrem System möglicherweise nicht verfügbar ist.
Die Dokumentation für IPsec finden Sie im Software Release Bulletin: IPsec für VOS R602 unter http://stratadoc.stratus.com/.