Ed 03/95 PAQ 1530 NON URGENTE (INFO PRODUIT) TEMPORAIRE DEFINITIVE

Transcription

1 Ed 03/95 PAQ 1530 COMMUNICATION TECHNIQUE N TC0308 Date : OmniPCX 4400 Nb de pages : 9 URGENTE (FLASH PRODUIT) NON URGENTE (INFO PRODUIT) TEMPORAIRE DEFINITIVE OBJET : PRÉCAUTIONS CONTRE LES INTRUSIONS Cette communication technique annule et remplace la communication technique TC0282. Ce document fournit des recommandations et informations concernant la sécurité sur OmniPCX Leur prise en compte est à évaluer selon le degré de protection que le client veut donner à son système. Elles ne sont pas impératives pour un bon fonctionnement de l'omnipcx

2

3 PRÉCAUTIONS CONTRE LES INTRUSIONS OmniPCX 4400 SOMMAIRE 1 SAUVEGARDE DES DONNÉES PROTECTION CONTRE L ACCÈS À OMNIPCX Mots de passe Accès via modem Protection contre l accès par connexion numérique via RNIS (ports de communication io2tty) Datas sécurisées Protection contre l accès par IP Personnalisation OmniPCX Divers Aide à la détection d attaques sur IP LISTE DES SERVICES GÉRÉS PAR LES TCP-WRAPPERS : UTILISATION PAR LES APPLICATIONS ALCATEL LISTE DES PORTS OUVERTS SUR OMNIPCX 4400 ET LEUR UTILISATION...11 Ed TC0308

4 OmniPCX 4400 PRÉCAUTIONS CONTRE LES INTRUSIONS TC Ed

5 PRÉCAUTIONS CONTRE LES INTRUSIONS OmniPCX 4400 Les informations données ci-dessous sont des recommandations et informations concernant la sécurité sur OmniPCX Leur prise en compte est à évaluer selon le degré de protection que le client veut donner à son système. Elles ne sont pas impératives pour un bon fonctionnement de l'omnipcx SAUVEGARDE DES DONNÉES Les données du PABX doivent être sauvegardées et sont de deux types : système (configuration IP, crontabs et atjobs), téléphone (configuration du système, observation de trafic, taxation, données ACD/CCD, guides vocaux, configuration messagerie vocale). De plus, les règles élémentaires de sécurité préconisent de garder au moins une sauvegarde dans un lieu sûr. Deux types de sauvegardes sont proposées : Sauvegardes périodiques sur disque OmniPCX 4400 par mécanisme de type "éphéméride". Elles doivent être ensuite récupérées sur des machines distantes (47xx). Sauvegardes périodiques sur disquettes. Ces deux types de sauvegardes sont mutuellement exclusives. Cependant les sauvegardes immédiates sont toujours possibles. 2 PROTECTION CONTRE L ACCÈS À OmniPCX Mots de passe Tous les comptes Unix décrits dans le paragraphe 2.6 Personnalisation OmniPCX 4400 doivent être gérés avec un mot de passe qui doit : contenir au moins 6 caractères (préconisé par le système lui-même, 8 caractères maximum pris en compte pour ce type de cryptage), mixer lettres (majuscules/minuscules), chiffres, signes de ponctuation. Les comptes mtcl et mtch gèrent une temporisation d inactivité de 300s (modifiable ponctuellement par la commande timout, la valeur 0 est à proscrire). 2.2 Accès via modem Il est possible d insérer entre le modem et les ports V24, un système sécurisé de type RMA (Alcatel) ou autre. Les principales caractéristiques du RMA sont : Demande d'un login/mot de passe d entrée. Au bout de 3 tentatives infructueuses, le RMA devient indisponible de l extérieur pendant 30 min. Fonctionnement en rappel automatique selon 2 modes : un où il faut fournir un numéro à rappeler et un autre où le numéro à rappeler est pré-configuré. Ed TC0308

6 OmniPCX 4400 PRÉCAUTIONS CONTRE LES INTRUSIONS Tous ces cas sont sélectionnés par un type de login/mot de passe. L accès à OmniPCX 4400 est effectué par un double contrôle de type login/mot de passe. Consultation des alarmes et des connexions dans des journaux de RMA. Se reporter à la documentation technique du RMA pour plus de détails. Sur les ports V24, seul le port console permet l accès direct (sur demande de login) au compte root. Ce compte est aussi accessible directement par IP (telnet, rlogin). Sur les ports 2 à 4 de la CPU, l accès à root ne se fera que par la commande su à partir d un compte quelconque. Le mot de passe sera demandé. 2.3 Protection contre l accès par connexion numérique via RNIS (ports de communication io2tty) L'accès est effectué via les applications datas. La connexion est soit via une carte IO2 ou OBCA soit en arrivée sur terminal data. Applications susceptibles d'être attaquées : type login. L accès est soumis aux mêmes règles qu un accès direct ou modem (login/mot de passe ; le compte root est autorisé). type SLIP. La connexion n'est réalisée qu avec une adresse IP cliente compatible avec celle décrite dans l application data. Le lien étant établi, l accès à OmniPCX 4400 est soumis aux mêmes règles que ci-dessus. type PPP. Même comportement que le SLIP mais une authentification peut être demandée au préalable pour la connexion (gestion Chap sous netadmin). Ce type de connexion plus sécurisé doit être préféré au SLIP. Cependant il n est supporté qu à partir de la Release 4.1. Dans tous ces cas, l appelant doit réaliser une connexion avec une machine appelante supportant le protocole V120 (protocole compatible avec l IO2 ou l OBCA ou certains terminaux data). Le protocole V110 (sur certains terminaux data) ne dialoguera qu'entre deux terminaux data supportant ce protocole. 2.4 Datas sécurisées Le but est de sécuriser les arrivées sur les terminaux data connectés à des éléments sensibles (port CPU) ou les applications datas exécutant aussi des process sensibles. Seuls les appels numériques extérieurs en arrivée sur un terminal data (dit "sécurisé") ou une OBCA ou une IO2 sont concernés. Un contrôle est effectué entre le numéro reçu (contenu dans l élément d information Numéro d origine du message d établissement) et un numéro abrégé contenant aussi ce numéro. Si la vérification est positive, l appel est accepté, sinon l appel est rejeté avec la cause Non droit au service et l'incident système Remarque Le numéro d origine contrôlé peut-être selon le cas : le NDS (Numéro de Désignation Supplémentaire) s il est fourni par le demandeur et validé par le réseau ISDN (indication donnée dans l octet 3a), TC Ed

7 PRÉCAUTIONS CONTRE LES INTRUSIONS OmniPCX 4400 le NDI (Numéro de Désignation de l'installation) fourni par le réseau (indication donnée dans l octet 3a). Si le NDS et le NDI sont présents et que le NDS reçu est fourni par l usager et validé par le réseau, dans ce cas le contrôle portera sur les NDI et NDS et il suffit que l un des deux soit autorisé pour que l appel soit accepté. Un paramètre par TA (Data sécurisée) gère sa propre sécurisation et le booléen système Sécurité Data Circuit gère l ensemble des datas sécurisées. La sécurisation est faite soit sur l ensemble des connexions data soit uniquement sur les applications data. 2.5 Protection contre l accès par IP L accès à OmniPCX 4400 doit être sécurisé en appliquant le mécanisme des trusted hosts. Seules ces machines pourront dialoguer avec OmniPCX Il existe 2 groupes de trusted hosts : ceux reliés sur l interface Ethernet et ceux connectés par un autre lien (de type SLIP, PPP et tunnel). Cette gestion est réalisée avec l outil netadmin. Pour ces trusted hosts, activer le mécanisme de TCP-WRAPPER (voir 3) qui filtre les services TCP de type ftp, telnet, shell, etc. ainsi que des services de type 4400 (audit, save-restore, etc.). Cette fonctionnalité apparaît à partir de la Release 3. Pour des raisons évidentes de sécurité le gestionnaire doit être logué root et sur port console uniquement pour toute la gestion de la sécurisation. Aucun message système n'est édité si un host non répertorié dans la liste trusted essaie de se connecter à OmniPCX Un mécanisme de type anti-flooding (exemple: écroulement de l'omnipcx 4400 par inondation de trames Ethernet) est mis en place nativement sur les CPU5 et CPU6. Ce mécanisme coupe momentanément le lien Ethernet sur dépassement d'un des 3 types de seuil : seuil de trames, seuil en Koctets, seuil de diffusion (broadcast), en nombre de trames de diffusion par seconde. Des incidents sont émis lors d un flux IP trop important : incident 1565 (concerne la CPU 4400) en cas de dépassement du seuil de trames ou en Koctets, incident 1566 (concerne la CPU 4400) en cas de dépassement du seuil de diffusion, incident 4401 (concerne les coupleurs LIOE/INT-IP) en cas de dépassement du seuil de diffusion. Les seuils sont visualisables par la commande ethctl sous login root. Ils sont aussi modifiables ponctuellement par la même commande avec des arguments (help : ethctl -?). A ce jour, il n'est pas possible d avoir des seuils différents de l initialisation après un redémarrage. Il est fortement recommandé d insérer des équipements extérieurs de type Lan-switches pour assurer la sécurisation du système. De plus, vous devez gérer un plan d adressage IP de l OmniPCX 4400 avec un subnet dédié. Note Les équipements TSC-IP doivent être aussi connectés sur ce type de matériel. Ed TC0308

8 OmniPCX 4400 PRÉCAUTIONS CONTRE LES INTRUSIONS 2.6 Personnalisation OmniPCX 4400 Les comptes dont le mot de passe est gérable par l administrateur (commande passwd sous root) sont : mtcl, mtch, client, adfexc (à mettre en concordance avec les applications de gestion), kermit, dhs3pms, dhs3mt, at4400, nmcmao, pcmao, ppp, install, halt, root, mntple (sur certaines machines; ce compte n'est pas systématiquement présent), sync, swinst (à partir de la version C1.522). Les autres comptes systèmes ne peuvent pas être modifiés. Bien que l OmniPCX 4400 permet un certain niveau de personnalisation, celle-ci n est pas supportée (exemple : rajout/ suppression de comptes, etc.). En effet, des problèmes peuvent apparaître dus aux mécanismes d installation, à certains scripts et à l impossibilité de sauvegarder automatiquement ces modifications avec swinst. La personnalisation OmniPCX4400 autorisée concerne : tout ce qui est gérable par netadmin, les crontabs et atjobs, la gestion des ports séries non dupliqués (setup de communication et ouverture/fermeture du port), les mots de passe. Cependant ceux-ci ne sont pas sauvegardés par swinst, il faut procéder par recopie du fichier /etc/passwd. Toute autre modification dans l operating system reste sous la responsabilité de l installateur ou du client final. TC Ed

9 PRÉCAUTIONS CONTRE LES INTRUSIONS OmniPCX Divers Le mécanisme de shadow des mots de passe n est pas implémenté dans OmniPCX Le serveur tftpd de l'omnipcx 4400 utilisé par les équipements TSC-IP a été modifié pour être protégé contre les écritures et lectures (les put seront refusés systématiquement et les get seront refusés sur tous les répertoires autres que celui utilisé pour le téléchargement des IP Phones). Les équipements IP de type CPU et postes IP ont un agent snmp embarqué. Ils sont protégés contre les opérations de type set de la manière suivante : CPU : l opération peut être effectuée mais elle n est pas prise en compte par le système. Postes IP : l opération peut être effectuée, elle est prise en compte mais cela n aura aucune influence sur le fonctionnement téléphonique des postes. De plus les données modifiées sont en mémoire volatile et seront perdues au reset du poste. On reviendra à l état initial. A partir de la version C t, l'incident 1125 est émis (consultable par incvisu) lorsque l on se logue sur le système en tant qu'utilisateur mtcl ou mtch et à chaque première connexion à la base de données. Cet incident décrit l'utilisateur et le type de connexion [lors d un login ou lors d une connexion par l'application mgr (nommée MANAGER dans l incident) ou par l'application 47xx (avec le nom netbios du PC)]. A la date de ce jour, cette nouvelle exploitation n est pas encore reportée dans d autres versions. 2.8 Aide à la détection d attaques sur IP Il est possible de mettre en œuvre des traces noyau de type syslog afin de surveiller certaines connexions à OmniPCX 4400 (exemple : ftp, rlogin, rsh, etc.). Cette fonction doit être activée manuellement ; la surveillance des fichiers log ainsi que le lancement automatique de l outil reste sous la responsabilité de l installateur ou du client final. Sa mise en œuvre est la suivante : se loguer root sous /chetc, créer un fichier syslog.conf contenant les informations suivantes : *.<type><tabulation><un_nom_de_fichier_log> avec <type> qui peut être : info debug warn notice Il peut y avoir une ou plusieurs lignes selon le type d'informations souhaitées. Le fichier log peut être le même ou être différent pour toutes les lignes. Le(s) fichier(s) log doivent être nommés avec leur chemin complet. Ils peuvent être aussi un device (exemple : un port v24), créer le(s) fichier(s) de log vides (sauf en cas de sortie sur ports V24), Ed TC0308

10 OmniPCX 4400 PRÉCAUTIONS CONTRE LES INTRUSIONS lancer syslogd (il tournera sans se tuer à la sortie du shell), le relancer après chaque redémarrage, les fichiers sont horodatés, au redémarrage du PABX, relancer le process. Détection des mouvements sur les tables ARP. Pour obtenir des informations suite à des modifications apportées sur les tables ARP (messages arp moved, etc.), taper la commande dklog a. Détection des modifications des routes. Avec la commande route liste, les routes modifiées ont le flag marqué "D" ou "d" (trame IP de type icmp redirect). La cause peut cependant être tout à fait normale. Il est possible de compter le nombre de trames de ce type avec la commande smstat -s grep redirect (login root). Usurpation d adresse IP. Un message système est émis sur le port console (duplicate IP address avec l adresse MAC de la machine pirate). De plus, la même information est stockée en mémoire sur la carte CPU et lisible avec la commande dklog -a. Il n y a pas d enregistrement quelconque sur disque. TC Ed

11 PRÉCAUTIONS CONTRE LES INTRUSIONS OmniPCX LISTE DES SERVICES GÉRÉS PAR LES TCP-WRAPPERS : UTILISATION PAR LES APPLICATIONS ALCATEL Dans le menu netadmin m/security/trusted Hosts, si vous répondez Non aux 2 questions (Accept/Deny) concernant les services à valider/dévalider, la liste ci-dessous des différents services est proposée. Services Explication Do you want to allow FTP service (y/n, Machines de gestion 47xx pour les opérations de default is y)? save/restore, de collecte de tickets et de rapatriement du modèle objet. Do you want to allow TELNET service (y/n, default is y)? Toutes machines de gestion 47xx ou autre voulant se connecter à cette machine via Telnet. Do you want to allow SHELL (rsh, rcp) service (y/n, default is y)? Pas d impact sur des machines Windows. Alcatel 4755 : utilisé en télémaintenance. Utilisé pour l application rload de chargement à distance. Do you want to allow LOGIN (rlogin) service Pas d impact sur des machines Windows. (y/n, default is y)? Alcatel 4755 : utilisé en télémaintenance. Do you want to allow TFTP service (y/n, Téléchargement des postes IP Phones. default is y)? Do you want to allow NETACCESS (47xx, Les machines de gestion 47xx (gestion, management machines) service (y/n, default is n)? notifications d alarme) et la gestion inter-réseau (process CMISD/ABCA). Do you want to allow RCSTA service (y/n, Tout ce qui concerne les machines utilisant le default is n)? Do you want to allow SAVEREST service (y/n, default is n)? Do you want to allow RTEST service (y/n, default is n)? Do you want to allow BUILDDISTANT service (y/n, default is n)? Do you want to allow LOADDISTANT service (y/n, default is n)? Do you want to allow RLIS service (y/n, default is n)? Do you want to allow TFTP (bootp server) service (y/n, default is y)? CSTA (CCD, 4980) ; voir Note. Les machines de gestion 47xx (30/40/55/60) utilisant le save/restore entre des nœuds 4400 et elles-mêmes. Utilisé pour test. Peut être dévalidé sans conséquence. Utilisé entre 4400 pour le process d audit (en connexion IP directe ou via le tunnel). Va de paire avec le loaddistant. Utilisé entre 4400 pour le process d audit (en connexion IP directe ou via le tunnel). Va de paire avec le builddistant. Utilisé en pays "Russie" pour un service spécifique d écoutes. Utilisé entre 4400 pour une installation complète avec formatage de disque (application non totalement opérationnelle à la date de ce document). Ce service peut être dévalidé sans conséquence. Ed TC0308

12 OmniPCX 4400 PRÉCAUTIONS CONTRE LES INTRUSIONS Note En Release 4 (Chorus 16.9), le service rcsta ne passe plus par le deamon inetd (process du 4400). Il n apparaît donc plus dans la liste des services, sauf si les données netadmin proviennent d anciennes releases. Dans ce cas, supprimer le trusted host, faire un apply (touche a) puis re-gérer ce host. Une adresse IP non intégrée dans les trusted hosts ne peut pas faire de ping sur OmniPCX 4400 (pas de route IP). Une adresse IP gérée en trusted hosts mais avec tous les services dévalidés pourra joindre OmniPCX 4400 (route présente, ping possible, scan possible). TC Ed

13 PRÉCAUTIONS CONTRE LES INTRUSIONS OmniPCX LISTE DES PORTS OUVERTS SUR OmniPCX 4400 ET LEUR UTILISATION icmp Ports N Port Description des services Scripts du 4400, maintenance Ports TCP ftp 21 telnet 23 shell 514 login 513 Services propriétaires Alcatel : netaccess 2533 CMISD/ABCA accès réseau pad 2534 PAD X25 cmisd 2535 CMISD serveur saverest 2536 Application Save/Restore acd 2538 CCD (ACDV2) builddistant 2539 Process d audit loaddistant 2540 Process d audit auditres Audit : réservé auditres Audit : réservé acdccs 2543 ACD terminal server acdpcag 2544 ACD PC agent suprout 2545 Application suproutage sur PC alb 2546 ACD Agent List Builder rtest 2554 Non Utilisé rcsta 2555 ASN-1 CSTA accès serveur redundancy 2558 Duplication CPU sur Ethernet rlis 2560 LIS server ahltcp 2561 AHL (lien hospitalier) sur Ethernet dhcdupli 2562 Duplication DHCP, ouvert sur CPU Stand-By servobs 2565 Observation Server servobs_c 2566 Observation Server Client securidprop 5510 ACE/server Secure-id sdlog 5520 ACE/server Secure-id sdserv 5530 ACE/server Secure-id Ed TC0308

14 OmniPCX 4400 PRÉCAUTIONS CONTRE LES INTRUSIONS Ports N Port Description des services Ports UDP bootps 67 Si process bootp lancé bootpc 68 Si dhcpd est lancé tftp 69 ntp 123 Network Time Protocol : utilisé pour synchroniser les clients ccview (CCD) et le PABX snmp 161 Si activation des traps snmp syslog 514 Si process syslog est lancé route 520 Si le process de routage IP routed ou gated est lancé Services propriétaires Alcatel : hybrid-vpn 2556 Lien hybride VPN sur UDP notif-gsm 2557 Si GSM Notification Server rsl 2559 Port socket RSL (ouvert si gated est lancé en protocole RSL) dhcdupli_m 2563 Duplication DHCP sur CPU Main dhcdupli_s 2564 Duplication DHCP sur CPU Main secured 5500 Si ACE/server Secure-id TC Ed