Sempre più amministratori di sicurezza e di rete vietano l'uso di telnet. Purtroppo l'RSN Stratus richiede che il modulo Stratus gestisca un server telnet. Ciò non significa però che non si possa rispettare lo spirito, se non la lettera, della restrizione di telnet.
Lo spirito è quello di limitare l'uso di telnet perché tutte le informazioni, comprese quelle confidenziali come le password, vengono inviate come testo chiaro e possono essere intercettate da qualcuno con un analizzatore di protocollo. L'RSN Stratus funziona attraverso la rete di manutenzione che è interamente contenuta nell'armadio Stratus . Se qualcuno senza un'adeguata autorizzazione è in grado di collegare un analizzatore di protocollo in quella rete si hanno problemi molto più grandi dell'uso di telnet. Il problema allora è come limitare l'uso di telnet alla sola rete di manutenzione.
Ci sono tre modi:
1) Utilizzare le funzioni integrate di telnetd, ascoltando solo sulla porta di ingresso RSN (che non è una porta di accesso) e ascoltando solo sulla rete di manutenzione.
2) Usare i Wrapper TCP per evitare che qualsiasi host, tranne il terminal server RSN, crei e mantenga una connessione telnet.
3) Usare IPsec per impedire a qualsiasi host, ma il terminal server RSN, di effettuare una connessione.
Utilizzando le funzionalità integrate di telnetd:
Il software RSN usa la porta 85, non la porta standard di 23. Se nessuno, tranne l'RSN, usa telnet, non è necessario ascoltare nessuna porta, tranne 85. Si può impedire a telnetd di ascoltare la porta standard con il comando
telnet_admin delete -service telnet
Questo rimuoverà anche il servizio telnet dal file >sistema>stcp>servizi. Questo impedirà al comando del client telnet di funzionare nella sua modalità predefinita. Sarete ancora in grado di eseguire il client telnet ma dovrete fornire un numero di porta insieme al nome dell'host a cui volete connettervi. Se qualcuno prova a telnet sulla porta 85 otterrà una connessione TCP ma non otterrà un banner di login. La connessione si blocca in modo efficace ignorando ciò che digita. Dopo qualche minuto verrà chiusa. A partire dalla release 17.0 è possibile configurare telnetd per ascoltare solo sull'interfaccia di rete di manutenzione. Lo si può fare con il comando
telnet_admin modify -service rsn_incoming -device_prefix in_rsn_m2 -no_login -privilegiato -services_port 85 -local_ip 10.20.1.1
È necessario sostituire il prefisso del proprio dispositivo e l'indirizzo IP. Affinché questo funzioni, è necessario assicurarsi che l'inoltro IP sia disattivato. Il comando per questo è
IP_trasmissione off
Il comando telnet_admin modifica il file >system>stcp>telnetservice, quindi è necessario eseguire i comandi di cui sopra una sola volta per configurare telnetd in modo permanente. La documentazione sul comando telnet_admin e sul file telnetservice si trova nella OpenVOS STREAMS TCP/IP Administrator's Guide R419 all'indirizzo http://stratadoc.stratus.com/.
Utilizzo di Wrapper TCP:
TCP Wrappers è un filtro che telnetd controllerà dopo che la connessione TCP è stata effettuata ma prima di inviare o accettare qualsiasi dato attraverso la connessione. Se la connessione non è consentita dal filtro, verrà chiusa. Un utente vedrà un messaggio di connessione completa seguito quasi immediatamente da una connessione chiusa da un messaggio di host straniero (supponendo che il client telnet mostri questo tipo di messaggi).
Aggiunta della linea
>sistema>stcp>biblioteca_comando>telnetd.pm : 10.10.1.200
Nel file >sistema>stcp>hosts.allow e nella linea
>sistema>stcp>biblioteca_comando>telnetd.pm : TUTTI
Nel file >system>stcp>hosts.deny e avviando il server telnetd con gli argomenti -tcpwrapper_check -no_numeric permetterà solo agli utenti che hanno effettuato l'accesso all'host 10.10.1.200 di telnet. Presumo qui che il terminal server RSN abbia un indirizzo IP 10.10.1.200.
Questo metodo ha l'ulteriore vantaggio di poter rivedere il file >sistema>stcp>logs>tcpddeny per vedere chi ha cercato di effettuare connessioni telnet. Le voci appariranno come
09-04-29 13:15:05 mst telnetd: rifiutata la connessione da 172.30.77.50
Lo svantaggio di questo metodo è che a livello TCP viene stabilita una connessione in modo tale che gli auditor che esaminano solo le informazioni di connessione vi dingeranno per avere una porta telnet aperta.
La documentazione sui TCP Wrapper, i file hosts.allow, hosts.deny e tcppdeny si trova nella OpenVOS STREAMS TCP/IP Administrator's Guide R419 all'indirizzo http://stratadoc.stratus.com/.
Using IPsec;
I have blogged about IPsec before (http://community.stratus.com/blog/openvos/host-based-firewall-vos). You can set up a security policy to allow only 10.10.1.200 access to port 85 with the following statements
{saddr 10.10.1.200 ulp tcp dport 85 dir in} bypass {}
{saddr 0.0.0.0/0 ulp tcp dport 85 dir in} drop {}
Il vantaggio più grande per IPsec è che una volta che le politiche sono in atto le connessioni alla porta da altri host sono appena abbandonate - gli auditor saranno soddisfatti. Lo svantaggio è che IPSec è un prodotto che deve essere acquistato separatamente e potrebbe non essere disponibile sul vostro sistema.
La documentazione per IPsec si trova nel Software Release Bulletin: IPsec per VOS R602 all'indirizzo http://stratadoc.stratus.com/.
Azienda