Cada vez más administradores de seguridad y de redes están prohibiendo el uso de telnet. Desafortunadamente, el RSN de Stratus requiere que el módulo de Stratus ejecute un servidor de telnet. Eso, sin embargo, no significa que no pueda cumplir con el espíritu, si no la letra, de la restricción de telnet.
El espíritu es restringir el uso de telnet porque toda la información, incluyendo la información confidencial como las contraseñas, se envía como texto claro y puede ser interceptada por alguien con un analizador de protocolo. El RSN Stratus corre sobre la red de mantenimiento que se encuentra totalmente dentro del gabinete Stratus . Si alguien sin la debida autorización es capaz de conectar un analizador de protocolo a esa red, tiene problemas mucho más grandes que el uso de telnet. El problema entonces es cómo restringir el uso de telnet sólo a la red de mantenimiento.
Hay tres maneras:
1) Usar las características incorporadas de telnetd, escuchando sólo en el puerto de entrada RSN (que no es un puerto de acceso) y escuchando sólo en la red de mantenimiento.
2) Usar los TCP Wrappers para evitar que cualquier host, excepto el servidor de la terminal RSN, haga y mantenga una conexión telnet.
3) Utilice IPsec para evitar que cualquier host, excepto el servidor de la terminal RSN, incluso haga una conexión
Usando las características incorporadas de telnetd:
El software RSN usa el puerto 85, no el puerto estándar de 23. Si nadie más que el RSN está usando telnet no necesitas escuchar ningún puerto más que el 85. Puedes evitar que telnetd escuche el puerto estándar con el comando
telnet_admin delete -servicio telnet
Esto también eliminará el servicio telnet del archivo >sistema>stcp>servicios. Eso evitará que el comando cliente telnet funcione en su modo por defecto. Todavía podrás ejecutar el cliente telnet pero tendrás que proporcionar un número de puerto junto con el nombre del host al que te quieres conectar. Si alguien intenta telnet al puerto 85 obtendrá una conexión TCP pero no obtendrá un banner de acceso. La conexión se cuelga efectivamente ignorando lo que escriben. Después de unos minutos se cerrará. A partir de la versión 17.0 se puede configurar telnetd para que sólo escuche en la interfaz de la red de mantenimiento. Puede hacerlo con el comando
telnet_admin modify -service rsn_incoming -device_prefix in_rsn_m2 -no_login -privileged -services_port 85 -local_ip 10.20.1.1
Tendrás que sustituir el prefijo de tu propio dispositivo y la dirección IP. Para que esto funcione, debes asegurarte de que el reenvío de IP esté desactivado. El comando para eso es
Reenvío de IP
El comando telnet_admin modifica el archivo >system>stcp>telnetservice, por lo que sólo hay que ejecutar los comandos anteriores una vez para configurar telnetd de forma permanente. La documentación sobre el comando telnet_admin y el archivo telnetservice se puede encontrar en la Guía del Administrador de OpenVOS STREAMS TCP/IP R419 en http://stratadoc.stratus.com/.
Usando TCP Wrappers:
TCP Wrappers es un filtro que telnetd comprobará después de que se realice la conexión TCP pero antes de enviar o aceptar cualquier dato a través de la conexión. Si la conexión no está permitida por el filtro, se cerrará. El usuario verá un mensaje de conexión completa seguido casi inmediatamente por una conexión cerrada por un mensaje de host extranjero (asumiendo que el cliente telnet muestra este tipo de mensajes).
Añadiendo la línea
>sistema>stcp>biblioteca_de_comandos>telnetd.pm : 10.10.1.200
En el archivo >system>stcp>hosts.allow y la línea
>sistema>stcp>biblioteca_de_comandos>telnetd.pm : TODOS
En el archivo >system>stcp>hosts.deny e iniciando el servidor de telnetd con los argumentos -tcpwrapper_check -no_numeric permitirá sólo a los usuarios conectados en el host 10.10.1.200 acceder a telnet. Estoy asumiendo aquí que el servidor de terminal RSN tiene una dirección IP de 10.10.1.200.
Este método tiene la ventaja añadida de que se puede revisar el archivo >system>stcp>logs>tcpddeny para ver quién ha estado tratando de hacer conexiones telnet. Las entradas se verán como
09-04-29 13:15:05 mst telnetd: rechazada la conexión desde el 172.30.77.50
La desventaja de este método es que a nivel del TCP se establece una conexión, por lo que los auditores que revisan sólo la información de la conexión le ding por tener un puerto telnet abierto.
La documentación sobre TCP Wrappers, los archivos hosts.allow, hosts.deny y tcppdeny pueden encontrarse en la Guía del Administrador de TCP/IP de OpenVOS STREAMS R419 en http://stratadoc.stratus.com/.
Using IPsec;
I have blogged about IPsec before (http://community.stratus.com/blog/openvos/host-based-firewall-vos). You can set up a security policy to allow only 10.10.1.200 access to port 85 with the following statements
{saddr 10.10.1.200 ulp tcp dport 85 dir in} bypass {}
{saddr 0.0.0.0/0 ulp tcp dport 85 dir in} drop {}
La mayor ventaja del IPsec es que una vez que las políticas están en vigor, las conexiones al puerto desde otros hosts se eliminan sin más, y los auditores estarán encantados. La desventaja es que el IPSec es un producto que debe comprarse por separado y puede no estar disponible en su sistema.
La documentación para IPsec se puede encontrar en el Boletín de Lanzamiento de Software: IPsec para VOS R602 en http://stratadoc.stratus.com/.
Empresa