De plus en plus d'administrateurs de sécurité et de réseaux interdisent l'utilisation du telnet. Malheureusement, le RSN Stratus exige que le module Stratus fasse fonctionner un serveur telnet. Cela ne signifie pas pour autant que vous ne pouvez pas respecter l'esprit, sinon la lettre, de la restriction telnet.
L'esprit est de restreindre l'utilisation de telnet parce que toutes les informations, y compris les informations confidentielles comme les mots de passe, sont envoyées en texte clair et peuvent être interceptées par quelqu'un qui possède un analyseur de protocole. Le RSN Stratus fonctionne sur le réseau de maintenance qui est entièrement contenu dans le cabinet Stratus . Si une personne non autorisée peut connecter un analyseur de protocole à ce réseau, vous avez des problèmes bien plus importants que l'utilisation du telnet. La question est alors de savoir comment restreindre l'utilisation de telnet au seul réseau de maintenance.
Il y a trois façons de procéder :
1) Utiliser les fonctionnalités intégrées de telnetd, en écoutant uniquement sur le port d'entrée RSN (qui n'est pas un port de connexion) et en écoutant uniquement sur le réseau de maintenance.
2) Utiliser les enveloppes TCP pour empêcher tout hôte autre que le serveur terminal RSN d'établir et de maintenir une connexion telnet.
3) Utiliser IPsec pour empêcher tout autre hôte que le serveur de terminal RSN d'établir une connexion
En utilisant les fonctionnalités intégrées de telnetd :
Le logiciel RSN utilise le port 85, et non le port standard 23. Si personne d'autre que le RSN n'utilise telnet, vous n'avez pas besoin d'écouter un autre port que le 85. Vous pouvez empêcher telnetd d'écouter le port standard avec la commande
telnet_admin delete -service telnet
Cela permettra également de supprimer le service telnet du fichier >system>stcp>services. Cela empêchera la commande du client telnet de fonctionner dans son mode par défaut. Vous pourrez toujours exécuter le client telnet, mais vous devrez fournir un numéro de port ainsi que le nom d'hôte auquel vous souhaitez vous connecter. Si quelqu'un essaie de se connecter au port 85, il obtiendra une connexion TCP mais pas de bannière de connexion. La connexion se bloque simplement en ignorant ce qu'elle tape. Après quelques minutes, elle sera fermée. À partir de la version 17.0, vous pouvez configurer telnetd pour qu'il n'écoute que sur l'interface réseau de maintenance. Vous pouvez faire cela avec la commande
telnet_admin modify -service rsn_incoming -device_prefix in_rsn_m2 -no_login -privileged -services_port 85 -local_ip 10.20.1.1
Vous devrez substituer votre propre préfixe d'appareil et votre adresse IP. Pour que cela fonctionne, vous devez vous assurer que le transfert d'adresse IP est désactivé. La commande pour cela est
IP_forwarding off
La commande telnet_admin modifie le fichier >system>stcp>telnetservice, de sorte que vous n'avez à exécuter les commandes ci-dessus qu'une seule fois pour configurer telnetd de manière permanente. La documentation sur la commande telnet_admin et le fichier telnetservice se trouve dans le guide de l'administrateur TCP/IP OpenVOS STREAMS R419 à l'adresse http://stratadoc.stratus.com/.
Utilisation des enveloppes TCP :
TCP Wrappers est un filtre que telnetd vérifiera après que la connexion TCP ait été établie mais avant d'envoyer ou d'accepter des données via la connexion. Si la connexion n'est pas autorisée par le filtre, elle sera fermée. Un utilisateur verra un message de fin de connexion suivi presque immédiatement par une connexion fermée par un message d'hôte étranger (en supposant que le client telnet montre ce genre de messages).
Ajout de la ligne
>system>stcp>command_library>telnetd.pm : 10.10.1.200
Dans le fichier >system>stcp>hosts.allow et la ligne
>system>stcp>command_library>telnetd.pm : ALL
Dans le fichier >system>stcp>hosts.deny et en démarrant le serveur telnetd avec les arguments -tcpwrapper_check -no_numeric, seuls les utilisateurs connectés à l'hôte 10.10.1.200 pourront accéder à telnet. Je suppose ici que le serveur terminal RSN a une adresse IP de 10.10.1.200.
Cette méthode a l'avantage supplémentaire de vous permettre d'examiner le fichier >system>stcp>logs>tcpddeny pour voir qui a essayé d'établir des connexions telnet. Les entrées ressembleront à
09-04-29 13:15:05 mst telnetd : connexion refusée à partir du 172.30.77.50
L'inconvénient de cette méthode est qu'au niveau TCP, une connexion est établie, de sorte que les auditeurs qui examinent uniquement les informations de connexion vous accuseront d'avoir un port telnet ouvert.
La documentation sur les wrappers TCP, les fichiers hosts.allow, hosts.deny et tcppdeny peut être trouvée dans le Guide de l'Administrateur TCP/IP R419 d'OpenVOS STREAMS à http://stratadoc.stratus.com/.
Using IPsec;
I have blogged about IPsec before (http://community.stratus.com/blog/openvos/host-based-firewall-vos). You can set up a security policy to allow only 10.10.1.200 access to port 85 with the following statements
{saddr 10.10.1.200 ulp tcp dport 85 dir in} bypass {}
{saddr 0.0.0.0/0 ulp tcp dport 85 dir in} drop {}
Le plus grand avantage de l'IPsec est qu'une fois les politiques en place, les connexions au port à partir d'autres hôtes sont simplement abandonnées - les auditeurs seront satisfaits. L'inconvénient est qu'IPSec est un produit qui doit être acheté séparément et qui peut ne pas être disponible sur votre système.
La documentation relative à IPsec se trouve dans le Software Release Bulletin : IPsec pour VOS R602 à l'adresse http://stratadoc.stratus.com/.