Cada vez mais os administradores de rede e de segurança estão proibindo o uso de telnet. Infelizmente, o Stratus RSN exige que o módulo Stratus execute um servidor telnet. Isso, entretanto, não significa que você não possa atender ao espírito, se não à letra, da restrição da telnet.
O espírito é restringir o uso do telnet porque todas as informações, incluindo informações confidenciais como senhas, são enviadas como texto claro e podem ser interceptadas por alguém com um analisador de protocolo. O Stratus RSN funciona através da rede de manutenção que está totalmente contida dentro do gabinete Stratus. Se alguém sem a devida autorização for capaz de conectar um analisador de protocolo a essa rede, você terá problemas muito maiores do que o uso da telnet. A questão então é como restringir o uso do telnet apenas à rede de manutenção.
Há três maneiras:
1) Usar as características embutidas do telnetd, ouvindo apenas na porta de entrada RSN (que não é uma porta de login) e ouvindo apenas na rede de manutenção.
2) Usar TCP Wrappers para evitar que qualquer host, exceto o servidor de terminal RSN, faça e mantenha uma conexão telnet.
3) Use IPsec para evitar que qualquer host, exceto o servidor de terminal RSN, faça e mantenha uma conexão
Usando as características embutidas do telnetd:
O software RSN usa a porta 85, não a porta padrão de 23. Se ninguém além do RSN estiver usando telnet, você não precisa escutar nenhuma porta, mas 85. Você pode impedir o telnetd de ouvir a porta padrão com o comando
telnet_admin apagar -service telnet
Isto também removerá o serviço telnet do arquivo >system>stcp>services. Isso impedirá que o comando do cliente telnet funcione em seu modo padrão. Você ainda poderá executar o cliente telnet, mas precisará fornecer um número de porta junto com o nome do host ao qual você quer se conectar. Se alguém tentar telnet para a porta 85, receberá uma conexão TCP, mas não receberá um banner de login. A conexão fica efetivamente pendurada ignorando o que eles digitam. Após alguns minutos, ela será fechada. A partir do release 17.0 você pode configurar o telnetd para escutar apenas na interface da rede de manutenção. Você pode fazer isso com o comando
telnet_admin modificar -service rsn_incoming -device_prefix in_rsn_m2 -no_login -privileged -services_port 85 -local_ip 10.20.1.1
Você precisará substituir seu próprio prefixo de dispositivo e endereço IP. Para que isto funcione, você deve certificar-se de que o encaminhamento IP esteja desligado. O comando para isso é
IP_forwarding off
O comando telnet_admin modifica o arquivo >system>stcp>telnetservice, de modo que você só tem que executar os comandos acima uma vez para configurar o telnetd permanentemente. A documentação sobre o comando telnet_admin e o arquivo telnetservice pode ser encontrada no OpenVOS STREAMS TCP/IP Administrator's Guide R419 em http://stratadoc.stratus.com/.
Usando TCP Wrappers:
TCP Wrappers é um filtro que o telnetd verificará após a conexão TCP ser feita, mas antes de enviar ou aceitar qualquer dado sobre a conexão. Se a conexão não for permitida pelo filtro, ele será fechado. Um usuário verá uma mensagem completa de conexão seguida quase imediatamente por uma conexão fechada por uma mensagem do host estrangeiro (assumindo que o cliente telnet mostre este tipo de mensagem).
Adicionando a linha
>system>stcp>command_library>telnetd.pm : 10.10.1.200
No >system>stcp>hosts.allow file e na linha
>system>stcp>command_library>telnetd.pm : ALL
No >system>stcp>hosts.deny file e iniciar o servidor telnetd com os argumentos -tcpwrapper_check -no_numeric permitirá somente aos usuários logados no 10.10.1.200 acesso ao host telnet. Estou assumindo aqui que o servidor terminal RSN tem um endereço IP de 10.10.1.200.
Este método tem o benefício adicional de que você pode rever o >sistema>stcp>logs>tcpddeny file para ver quem tem tentado fazer conexões telnet. As entradas serão parecidas com
09-04-29 13:15:05 mst telnetd: recusa de conexão a partir de 172.30.77.50
A desvantagem deste método é que no nível TCP é estabelecida uma conexão para que os auditores que revisam apenas as informações da conexão possam lhe cobrar por ter uma porta telnet aberta.
A documentação sobre TCP Wrappers, os hosts.allow, hosts.deny e tcppdeny pode ser encontrada no OpenVOS STREAMS TCP/IP Administrator's Guide R419 em http://stratadoc.stratus.com/.
Using IPsec;
I have blogged about IPsec before (http://community.stratus.com/blog/openvos/host-based-firewall-vos). You can set up a security policy to allow only 10.10.1.200 access to port 85 with the following statements
{saddr 10.10.1.200 ulp tcp dport 85 dir in} bypass {}
{saddr 0.0.0.0/0 ulp tcp dport 85 dir in} drop {}
A maior vantagem para o IPsec é que, uma vez que as políticas estejam em vigor, as conexões com o porto de outros anfitriões acabam de ser abandonadas - os auditores ficarão satisfeitos. A desvantagem é que o IPSec é um produto que deve ser adquirido separadamente e pode não estar disponível em seu sistema.
A documentação para a IPsec pode ser encontrada no Boletim de Lançamento de Software: IPsec para VOS R602 em http://stratadoc.stratus.com/.
Empresa