ますます多くのセキュリティ管理者やネットワーク管理者が、telnet の使用を禁止しています。残念ながら、Stratus RSN では、Stratus モジュールが telnet サーバを実行する必要がある。しかし、だからといって、文字通りではないにせよ、telnet の制限の精神を満たすことができないというわけではありません。
これは、パスワードなどの機密情報を含むすべての情報がクリアテキストとして送信されるため、プロトコルアナライザを持っている人に傍受される可能性があるため、telnet の使用を制限することを目的としたものである。Stratus RSN は、Stratus のキャビネット内に完全に収容されたメンテナンスネットワーク上で動作する。適切な権限を持たない者がこのネットワークにプロトコルアナライザを接続することができた場合、telnet の使用よりもはるかに大きな問題が発生する。そこで問題となるのは、telnet の使用をメンテナンスネットワークのみに制限する方法である。
方法は3つあります。
1) telnetd の内蔵特長 を使用し、RSN の入力ポート(ログインポートではありません)のみをリッスンし、保守ネットワークのみをリッスンする。
2) RSN 端末サーバ以外のホストが telnet 接続を行ったり維持したりするのを防ぐために TCP ラッパーを使用する。
3) IPsec を使用して、RSN 端末サーバ以外のホストが接続できないようにします。
telnetd の内蔵特長 を使用しています。
RSNソフトウェアは標準ポート23ではなくポート85を使用します。 RSN以外の誰もtelnetを使用していない場合、85以外のポートをリッスンする必要はありません。telnetdが標準ポートをリッスンしないようにするには、次のコマンドを実行します。
telnet_admin delete -service telnet
これにより、>system>stcp>servicesファイルからtelnetサービスも削除されます。これにより、telnetクライアントコマンドがデフォルトモードで動作しなくなります。telnetクライアントを実行することはできますが、ポート番号と接続先のホスト名を指定する必要があります。誰かがポート85にtelnetしようとした場合、TCP接続は得られますが、ログインバナーは得られません。接続は効果的に彼らが入力したものを無視してハングアップします。数分後に終了します。リリース17.0からは、telnetdをメンテナンスネットワークインターフェースのみをリッスンするように設定することができます。これは以下のコマンドで行うことができます
telnet_admin modify -service rsn_incoming -device_prefix in_rsn_m2 -no_login -privileged -services_port 85 -local_ip 10.20.1.1
自分のデバイスのプレフィックスとIPアドレスを代用する必要があります。これを行うには、IP転送がオフになっていることを確認する必要があります。そのためのコマンドは
IP_フォワーディングオフ
telnet_admin コマンドは >system>stcp>telnetservice ファイルを変更するので、telnetd を恒久的に設定するには、上記のコマンドを一度だけ実行する必要があります。telnet_admin コマンドおよび telnetservice ファイルに関するドキュメントは、OpenVOS STREAMS TCP/IP 管理者ガイド R419 http://stratadoc.stratus.com/.
TCPラッパーを使う。
TCPラッパーとは、TCP接続が行われた後、接続上のデータを送信したり受け入れたりする前にtelnetdがチェックするフィルターのことです。接続がフィルタによって許可されていない場合、接続は閉じられます。ユーザーは、接続完了メッセージに続いて、ほとんどすぐに外国人ホストによって接続が閉じられたメッセージを見ることができます(telnetクライアントがこの種のメッセージを表示していると仮定しています)。
行の追加
>システム>stcp>command_library>telnetd.pm : 10.10.1.200
システム >system>stcp>hosts.allow ファイルの中で、行
>システム>stcp>command_library>telnetd.pm .ALL
システム>stcp>hosts.denyファイルで、引数-tcpwrapper_check -no_numericでtelnetdサーバを起動すると、10.10.1.200ホストにログインしているユーザだけがtelnetにアクセスできるようになります。ここではRSNターミナルサーバのIPアドレスが10.10.1.200であると仮定しています。
この方法には、>system>stcp>logs>tcpddenyファイルを確認して、誰がtelnet接続をしようとしているかを確認できるという利点があります。エントリは以下のようになります。
09-04-29 13:15:05 mst telnetd: refused connect from 172.30.77.50
この方法の欠点は、TCPレベルで接続が確立されているため、接続情報だけを確認する監査人は、開いているtelnetポートを持っていることを理由にあなたを非難します。
TCP ラッパー、hosts.allow、hosts.deny、および tcppdeny ファイルに関するドキュメントは、OpenVOS STREAMS TCP/IP 管理者ガイド R419 http://stratadoc.stratus.com/.
Using IPsec;
I have blogged about IPsec before (http://community.stratus.com/blog/openvos/host-based-firewall-vos). You can set up a security policy to allow only 10.10.1.200 access to port 85 with the following statements
{saddr 10.10.1.200 ulp tcp dport 85 dir in} bypass {}
{saddr 0.0.0.0/0 ulp tcp dport 85 dir in} drop {}
IPsecの最大の利点は、一度ポリシーが適用されると、他のホストからのポートへの接続がちょうどドロップされることです - 監査人は喜ぶでしょう。欠点は、IPSecは別途購入しなければならない製品であり、システム上で利用できない場合があることです。
IPsec に関するドキュメントは、Software Release Bulletin に記載されている。IPsec for VOS R602 http://stratadoc.stratus.com/.