越来越多的安全和网络管理员禁止使用telnet。不幸的是,Stratus RSN要求Stratus 模块必须运行一个telnet服务器。然而,这并不意味着你不能满足telnet限制的精神,如果不是文字。
精神是限制使用telnet,因为所有的信息,包括机密信息,如密码,都是以明文形式发送的,可能会被有协议分析器的人截获。Stratus RSN在维护网络上运行,维护网络完全包含在Stratus 机柜内。如果有人在没有适当授权的情况下能够将协议分析器连接到该网络中,你的问题比使用telnet大得多。那么问题是如何将telnet的使用限制在维护网络上。
有三种方法。
1)使用telnetd的内置功能,只监听RSN输入端口(不是登录端口),只监听维护网络。
2)使用TCP Wrappers,防止除RSN终端服务器外的任何主机建立和保持telnet连接。
3) 使用IPsec防止除RSN终端服务器以外的任何主机甚至无法建立连接。
使用telnetd的内置功能。
RSN软件使用的是85端口,而不是标准的23端口。 如果除了RSN以外没有人使用telnet,你就不需要监听85以外的任何端口。你可以使用命令停止telnetd监听标准端口,命令是
telnet_admin删除 -service telnet。
这也将从>system>stcp>services文件中删除telnet服务。这将阻止telnet客户端命令在其默认模式下工作。你仍然可以运行telnet客户端,但你需要提供一个端口号和你要连接的主机名。如果有人尝试telnet到85端口,他们会得到一个TCP连接,但他们不会得到一个登录横幅。连接只会被挂起,而不会理会他们输入的内容。几分钟后,它将被关闭。从17.0版本开始,你可以配置telnetd只监听维护网络接口。你可以通过命令
telnet_admin modify -service rsn_incoming -device_prefix in_rsn_m2 -no_login -privileged -services_port 85 -local_ip 10.20.1.1。
你需要替换你自己的设备前缀和IP地址。要做到这一点,你必须确保IP转发被关闭。命令是
IP_forwarding关闭
telnet_admin命令修改了>system>stcp>telnetservice文件,所以您只需要运行一次上述命令就可以永久配置telnetd。关于telnet_admin命令和telnetservice文件的文档可以在OpenVOS STREAMS TCP/IP Administrator's Guide R419中找到,网址是http://stratadoc。stratus.com/。
使用TCP Wrappers。
TCP Wrappers是一个过滤器,telnetd会在TCP连接建立后,但在通过连接发送或接受任何数据之前进行检查。如果过滤器不允许连接,它将被关闭。用户将看到一个连接完成的消息,紧接着是一个由外国主机关闭的连接消息(假设telnet客户端显示了这类消息)。
增加一行
>system>stcp>command_library>telnetd.pm : 10.10.1.200。
在>system>stcp>hosts.allow文件中,并在该行中加入
>系统>stcp>command_library>telnetd.pm。所有
在>system>stcp>hosts.deny文件中,用参数-tcpwrapper_check -no_numeric启动telnetd服务器,将只允许登录到10.10.1.200主机的用户访问telnet。我这里假设RSN终端服务器的IP地址是10.10.1.200。
这种方法还有一个好处,就是你可以查看>system>stcp>logs>tcpddeny文件,看看谁一直在尝试进行telnet连接。条目看起来像
09-04-29 13:15:05 mst telnetd: 拒绝从172.30.77.50连接。
这种方法的缺点是在TCP层面建立了一个连接,所以审计人员如果只审查连接信息,就会叮嘱你有一个开放的telnet端口。
关于TCP Wrappers、hosts.allow、hosts.deny和tcppdeny文件的文档可以在OpenVOS STREAMS TCP/IP管理员指南R419中找到,网址是http://stratadoc.stratus.com/。
Using IPsec;
I have blogged about IPsec before (http://community.stratus.com/blog/openvos/host-based-firewall-vos). You can set up a security policy to allow only 10.10.1.200 access to port 85 with the following statements
{saddr 10.10.1.200 ulp tcp dport 85 dir in} bypass {}
{saddr 0.0.0.0/0 ulp tcp dport 85 dir in} drop {}
IPsec最大的优点是,一旦策略到位,从其他主机到端口的连接就会被丢弃--审计人员会很高兴。缺点是IPSec是一个必须单独购买的产品,你的系统上可能没有。
关于IPsec的文档可以在软件发布公告中找到。http://stratadoc。stratus.com/。