주요 콘텐츠로 건너뛰기

점점 더 많은 보안 및 네트워크 관리자가 텔넷 사용을 금지하고 있습니다. 안타깝게도 Stratus RSN은 Stratus 모듈이 텔넷 서버를 실행하도록 요구합니다. 그러나 그렇다고 해서 텔넷 제한의 영을 충족시킬 수 없다는 뜻은 아닙니다.
암호와 같은 기밀 정보를 포함한 모든 정보가 명확한 텍스트로 전송되고 프로토콜 분석기를 가진 사람이 가로챌 수 있기 때문에 텔넷 사용을 제한하는 것입니다. Stratus RSN은 Stratus 캐비닛에 완전히 포함된 유지 보수 네트워크를 통해 실행됩니다. 적절한 권한이 없는 사람이 프로토콜 분석기를 해당 네트워크에 연결할 수 있는 경우 텔넷 사용보다 훨씬 더 큰 문제가 발생합니다. 문제는 다음 단지 유지 보수 네트워크텔넷의 사용을 제한하는 방법입니다.

세 가지 방법이 있습니다.
1) RSN 입력 포트(로그인 포트가 아님)에서만 듣고 유지 보수 네트워크에서만 청취하는 텔넷의 내장 된 기능을 사용합니다.
2) TCP 래퍼를 사용하여 RSN 단말 서버가 텔넷 연결을 만들고 유지하지 못하도록 합니다.
3) IPsec을 사용하여 RSN 터미널 서버가 연결을 만들지 못하도록 합니다.

텔넷의 내장 된 기능을 사용하여 :
RSN 소프트웨어는 표준 포트 가 아닌 포트 85를 사용합니다. RSN을 제외한 사람이 텔넷을 사용하지 않는 경우 포트를 들을 필요가 없지만 85. 명령으로 통신망이 표준 포트를 수신 대기하지 못하도록 할 수 있습니다.

telnet_admin 삭제 -서비스 텔넷

또한 >system>stcp>서비스 파일에서 텔넷 서비스도 제거됩니다. 이로 인해 텔넷 클라이언트 명령이 기본 모드에서 작동하지 않습니다. 텔넷 클라이언트를 실행할 수 있지만 연결하려는 호스트 이름과 함께 포트 번호를 제공해야 합니다. 누군가가 85포트에 텔넷을 시도하면 TCP 연결을 얻을 수 있지만 로그인 배너를 얻지 못합니다. 연결은 입력한 내용을 효과적으로 무시하면 중단됩니다. 몇 분 후에 닫힙시다. 릴리스 17.0에서 시작하여 관리 네트워크 인터페이스에서만 들을 수 있도록 텔넷을 구성할 수 있습니다. 명령으로 수행할 수 있습니다.

telnet_admin rsn_incoming -device_prefix in_rsn_m2 -no_login -특권 -services_port 85 -local_ip 10.20.1.1

자신의 장치 접두사와 IP 주소를 대체해야 합니다. 이 작업을 수행하려면 IP 전달이 꺼져 있는지 확인해야 합니다. 이 명령은
IP_forwarding 꺼져

telnet_admin 명령은 >시스템>stcp>telnetservice 파일을 수정하므로 전화통신망을 영구적으로 구성하려면 위의 명령을 한 번만 실행하면 됩니다. telnet_admin 명령 및 텔넷 서비스 파일에 대한 설명서는 openVOS STREAMS TCP/IP 관리자 가이드 R419에서 찾을 수 http:// Stratadoc .stratus.com/.

TCP 래퍼 사용:
TCP 래퍼는 TCP 연결이 이루어진 후 연결을 통해 데이터를 보내거나 수락하기 전에 telnetd가 확인하는 필터입니다. 필터에서 연결이 허용되지 않으면 연결이 닫힙습니다. 사용자는 외부 호스트 메시지로 닫힌 연결에 따라 연결 전체 메시지가 거의 즉시 표시됩니다(텔넷 클라이언트에 이러한 종류의 메시지가 표시됨).

선 추가
>시스템>stcp>command_library>telnetd.pm : 10.10.1.200
>시스템>stcp>hosts.allow 파일 및 줄
>시스템>stcp>command_library>telnetd.pm : 모두
>system>stcp>hosts.deny 파일 및 인수 -tcpwrapper_check-no_numeric 텔넷 서버를 시작하면 텔넷에 대한 10.10.1.200 호스트 액세스만 허용됩니다. RSN 터미널 서버에 10.10.1.200의 IP 주소가 있다고 가정합니다.

이 메서드는 전화 연결을 만들려고 시도한 사람을 보려면 >system>stcp>logs>tcpddeny 파일을 검토할 수 있는 추가이 있습니다. 항목은 마치
09-04-29 13:15:05 mst 텔넷: 172.30.77.50에서 연결 거부

이 방법의 단점은 TCP 수준에서 연결이 설정되어 연결 정보만 검토하면 개방형 텔넷 포트가 있다는 것입니다.

TCP 래퍼에 대한 문서, hosts.allow, hosts.deny 및 tcppdeny 파일은 http:// OpenVOS STREAMS TCP/IP 관리자 가이드 R419에서 찾을 수 있습니다. Stratadoc .stratus.com/.

Using IPsec;
I have blogged about IPsec before (http://community.stratus.com/blog/openvos/host-based-firewall-vos). You can set up a security policy to allow only 10.10.1.200 access to port 85 with the following statements
{saddr 10.10.1.200 ulp tcp dport 85 dir in} bypass {}
{saddr 0.0.0.0/0 ulp tcp dport 85 dir in} drop {}

IPsec의 가장 큰 장점은 정책이 다른 호스트의 포트에 대한 연결이 중단되면 감사원이 만족할 것이라는 점입니다. 단점은 IPSec별도로 구입해야 하고 시스템에서 사용할 수 없는 제품입니다.

IPsec에 대한 문서는 소프트웨어 릴리스 게시판에서 찾을 수 있습니다: HTTP:// VOS R602에 대한 IPsec Stratadoc .stratus.com/.

© 2024 스트라투스 테크놀로지스.