Immer mehr Sicherheits- und Netzwerkadministratoren verbieten die Verwendung von Telnet. Leider erfordert das Stratus , dass das Stratus einen Telnet-Server ausführt. Das bedeutet jedoch nicht, dass Sie den Geist, wenn nicht sogar den Buchstaben der Telnet-Beschränkung nicht einhalten können.
Der Geist besteht darin, die Verwendung von Telnet zu beschränken, da alle Informationen, einschließlich vertraulicher Informationen wie Passwörter, als Klartext gesendet werden und von jemandem mit einem Protokollanalysator abgefangen werden können. Das Stratus läuft über das Wartungsnetzwerk, das vollständig im Stratus enthalten ist. Wenn jemand ohne entsprechende Berechtigung einen Protokollanalysator an dieses Netzwerk anschließen kann, haben Sie weitaus größere Probleme als die Verwendung von Telnet. Die Frage ist dann, wie die Verwendung von Telnet auf das Wartungsnetzwerk beschränkt werden kann.
Es gibt drei Möglichkeiten:
1) Verwenden Sie die integrierten Funktionen von telnetd, die nur auf dem RSN-Eingangsport (der kein Login-Port ist) und nur im Wartungsnetzwerk lauschen.
2) Verwenden Sie TCP-Wrapper, um zu verhindern, dass andere Hosts als der RSN-Terminalserver eine Telnet-Verbindung herstellen und aufrechterhalten.
3) Verwenden Sie IPsec, um zu verhindern, dass andere Hosts als der RSN-Terminalserver überhaupt eine Verbindung herstellen können.
Verwendung der integrierten Funktionen von telnetd:
Die RSN-Software verwendet Port 85 und nicht den Standardport 23. Wenn außer RSN niemand Telnet verwendet, müssen Sie nur auf Port 85 achten. Mit dem folgenden Befehl können Sie verhindern, dass telnetd den Standardport überwacht:
telnet_admin delete -service telnet
Dadurch wird auch der Telnet-Dienst aus der Datei >system>stcp>services entfernt. Dadurch wird verhindert, dass der Telnet-Client-Befehl im Standardmodus funktioniert. Sie können den Telnet-Client weiterhin ausführen, müssen jedoch eine Portnummer zusammen mit dem Hostnamen angeben, mit dem Sie sich verbinden möchten. Wenn jemand versucht, eine Telnet-Verbindung zu Port 85 herzustellen, erhält er eine TCP-Verbindung, aber keinen Anmeldebanner. Die Verbindung bleibt einfach hängen und ignoriert effektiv alles, was eingegeben wird. Nach einigen Minuten wird sie geschlossen. Ab Version 17.0 können Sie telnetd so konfigurieren, dass es nur auf der Wartungsnetzwerkschnittstelle lauscht. Dies können Sie mit dem Befehl
telnet_admin modify -service rsn_incoming -device_prefix in_rsn_m2 -no_login -privileged -services_port 85 -local_ip 10.20.1.1
Sie müssen Ihr eigenes Gerätepräfix und Ihre eigene IP-Adresse einsetzen. Damit dies funktioniert, müssen Sie sicherstellen, dass die IP-Weiterleitung deaktiviert ist. Der Befehl dafür lautet
IP_forwarding off
Der Befehl „telnet_admin“ ändert die Datei „>system>stcp>telnetservice“, sodass Sie die oben genannten Befehle nur einmal ausführen müssen, um telnetd dauerhaft zu konfigurieren. Die Dokumentation zum Befehl „telnet_admin“ und zur Datei „telnetservice“ finden Sie im OpenVOS STREAMS TCP/IP Administrator’s Guide R419 unterstratus.
Verwendung von TCP-Wrappern:
TCP-Wrapper sind Filter, die telnetd nach dem Herstellen der TCP-Verbindung, aber vor dem Senden oder Empfangen von Daten über diese Verbindung überprüft. Wenn die Verbindung vom Filter nicht zugelassen wird, wird sie geschlossen. Der Benutzer sieht eine Meldung über den erfolgreichen Verbindungsaufbau, auf die fast unmittelbar eine Meldung über die Schließung der Verbindung durch einen fremden Host folgt (vorausgesetzt, der Telnet-Client zeigt solche Meldungen an).
Fügen Sie die Zeile „
“
>system>stcp>command_library>telnetd.pm : 10.10.1.200
in die Datei „>system>stcp>hosts.allow“ ein und die Zeile „
“
>system>stcp>command_library>telnetd.pm : ALL
In der Datei >system>stcp>hosts.deny und durch Starten des Telnetd-Servers mit den Argumenten -tcpwrapper_check -no_numeric wird nur Benutzern, die beim Host 10.10.1.200 angemeldet sind, der Zugriff auf Telnet gewährt. Ich gehe hier davon aus, dass der RSN-Terminalserver die IP-Adresse 10.10.1.200 hat.
Diese Methode hat den zusätzlichen Vorteil, dass Sie die Datei >system>stcp>logs>tcpddeny überprüfen können, um zu sehen, wer versucht hat, Telnet-Verbindungen herzustellen. Die Einträge sehen wie folgt aus
09-04-29 13:15:05 mst telnetd: Verbindung von 172.30.77.50 abgelehnt
Der Nachteil dieser Methode besteht darin, dass auf TCP-Ebene eine Verbindung hergestellt wird, sodass Auditoren, die nur die Verbindungsinformationen überprüfen, Sie wegen eines offenen Telnet-Ports beanstanden werden.
Dokumentation zu TCP-Wrappern, den Dateien hosts.allow, hosts.deny und tcppdeny finden Sie im OpenVOS STREAMS TCP/IP Administrator’s Guide R419 unterstratus.
Using IPsec;
I have blogged about IPsec before (http://community.stratus.com/blog/openvos/host-based-firewall-vos). You can set up a security policy to allow only 10.10.1.200 access to port 85 with the following statements
{saddr 10.10.1.200 ulp tcp dport 85 dir in} bypass {}
{saddr 0.0.0.0/0 ulp tcp dport 85 dir in} drop {}
Der größte Vorteil von IPsec besteht darin, dass Verbindungen zu diesem Port von anderen Hosts aus sofort unterbrochen werden, sobald die Richtlinien eingerichtet sind – die Prüfer werden sich darüber freuen. Der Nachteil ist, dass IPSec ein Produkt ist, das separat erworben werden muss und möglicherweise nicht auf Ihrem System verfügbar ist.
Die Dokumentation zu IPsec finden Sie im Software Release Bulletin: IPsec für VOS R602 unterstratus.