COMMUNICATION TECHNIQUE OmniPCX 4400 - PABX-fr

Ed 03/95
PAQ 1530
COMMUNICATION TECHNIQUE
N° TC0308
OmniPCX 4400
Nb de pages : 9
Date : 10-04-2002
URGENTE (FLASH PRODUIT)
NON URGENTE (INFO PRODUIT)
TEMPORAIRE
DEFINITIVE
OBJET : PRÉCAUTIONS CONTRE LES INTRUSIONS DANS OmniPCX 4400
Cette communication technique annule et remplace la communication technique TC0282.
Ce document fournit des recommandations et informations concernant la sécurité sur OmniPCX 4400.
Leur prise en compte est à évaluer selon le degré de protection que le client veut donner à son
système. Elles ne sont pas impératives pour un bon fonctionnement de l'OmniPCX 4400.
1
OmniPCX 4400
PRÉCAUTIONS CONTRE LES INTRUSIONS
DANS OmniPCX 4400
SOMMAIRE
1
SAUVEGARDE DES DONNÉES .................................................... 3
2
PROTECTION CONTRE L’ACCÈS À OMNIPCX 4400 .................... 3
2.1 Mots de passe ............................................................................................ 3
2.2 Accès via modem ....................................................................................... 3
2.3 Protection contre l’accès par connexion numérique via RNIS (ports de
communication io2tty) ............................................................................ 4
2.4 Datas sécurisées ........................................................................................ 4
2.5 Protection contre l’accès par IP................................................................... 5
2.6 Personnalisation OmniPCX 4400 ................................................................ 6
2.7 Divers ........................................................................................................ 7
2.8 Aide à la détection d’attaques sur IP .......................................................... 7
3
LISTE DES SERVICES GÉRÉS PAR LES TCP-WRAPPERS :
UTILISATION PAR LES APPLICATIONS ALCATEL.......................... 9
4
LISTE DES PORTS OUVERTS SUR OMNIPCX 4400 ET LEUR
UTILISATION............................................................................ 11
Ed. 10-04-2002
1
TC0308
OmniPCX 4400
PRÉCAUTIONS CONTRE LES INTRUSIONS
DANS OmniPCX 4400
TC0308
2
Ed. 10-04-2002
OmniPCX 4400
PRÉCAUTIONS CONTRE LES INTRUSIONS
DANS OmniPCX 4400
Les informations données ci-dessous sont des recommandations et informations concernant la
sécurité sur OmniPCX 4400. Leur prise en compte est à évaluer selon le degré de protection que le
client veut donner à son système. Elles ne sont pas impératives pour un bon fonctionnement de
l'OmniPCX 4400.
1 SAUVEGARDE DES DONNÉES
Les données du PABX doivent être sauvegardées et sont de deux types :
•
système (configuration IP, crontabs et atjobs),
•
téléphone (configuration du système, observation de trafic, taxation, données ACD/CCD,
guides vocaux, configuration messagerie vocale).
De plus, les règles élémentaires de sécurité préconisent de garder au moins une sauvegarde dans
un lieu sûr.
Deux types de sauvegardes sont proposées :
•
Sauvegardes périodiques sur disque OmniPCX 4400 par mécanisme de type "éphéméride".
Elles doivent être ensuite récupérées sur des machines distantes (47xx).
•
Sauvegardes périodiques sur disquettes.
Ces deux types de sauvegardes sont mutuellement exclusives. Cependant les sauvegardes
immédiates sont toujours possibles.
2 PROTECTION CONTRE L’ACCÈS À OmniPCX 4400
2.1 Mots de passe
Tous les comptes Unix décrits dans le paragraphe 2.6 Personnalisation OmniPCX 4400 doivent être
gérés avec un mot de passe qui doit :
−
contenir au moins 6 caractères (préconisé par le système lui-même, 8 caractères maximum pris
en compte pour ce type de cryptage),
−
mixer lettres (majuscules/minuscules), chiffres, signes de ponctuation.
Les comptes mtcl et mtch gèrent une temporisation d’inactivité de 300s (modifiable ponctuellement
par la commande timout, la valeur 0 est à proscrire).
2.2 Accès via modem
Il est possible d’insérer entre le modem et les ports V24, un système sécurisé de type RMA (Alcatel)
ou autre. Les principales caractéristiques du RMA sont :
•
Demande d'un login/mot de passe d’entrée. Au bout de 3 tentatives infructueuses, le RMA
devient indisponible de l’extérieur pendant 30 min.
•
Fonctionnement en rappel automatique selon 2 modes : un où il faut fournir un numéro à
rappeler et un autre où le numéro à rappeler est pré-configuré.
Ed. 10-04-2002
3
TC0308
OmniPCX 4400
PRÉCAUTIONS CONTRE LES INTRUSIONS
DANS OmniPCX 4400
•
Tous ces cas sont sélectionnés par un type de login/mot de passe. L’accès à OmniPCX 4400
est effectué par un double contrôle de type login/mot de passe.
•
Consultation des alarmes et des connexions dans des journaux de RMA.
Se reporter à la documentation technique du RMA pour plus de détails.
Sur les ports V24, seul le port console permet l’accès direct (sur demande de login) au compte root.
Ce compte est aussi accessible directement par IP (telnet, rlogin). Sur les ports 2 à 4 de la CPU,
l’accès à root ne se fera que par la commande su à partir d’un compte quelconque. Le mot de
passe sera demandé.
2.3 Protection contre l’accès par connexion numérique via RNIS (ports de
communication io2tty)
L'accès est effectué via les applications datas. La connexion est soit via une carte IO2 ou OBCA soit
en arrivée sur terminal data.
Applications susceptibles d'être attaquées :
•
type login.
L’accès est soumis aux mêmes règles qu’un accès direct ou modem (login/mot de passe ; le
compte root est autorisé).
•
type SLIP.
La connexion n'est réalisée qu’avec une adresse IP cliente compatible avec celle décrite dans
l’application data. Le lien étant établi, l’accès à OmniPCX 4400 est soumis aux mêmes
règles que ci-dessus.
•
type PPP.
Même comportement que le SLIP mais une authentification peut être demandée au
préalable pour la connexion (gestion Chap sous netadmin). Ce type de connexion plus
sécurisé doit être préféré au SLIP. Cependant il n’est supporté qu’à partir de la Release 4.1.
Dans tous ces cas, l’appelant doit réaliser une connexion avec une machine appelante supportant le
protocole V120 (protocole compatible avec l’IO2 ou l’OBCA ou certains terminaux data). Le
protocole V110 (sur certains terminaux data) ne dialoguera qu'entre deux terminaux data supportant
ce protocole.
2.4 Datas sécurisées
Le but est de sécuriser les arrivées sur les terminaux data connectés à des éléments sensibles (port
CPU) ou les applications datas exécutant aussi des process sensibles.
Seuls les appels numériques extérieurs en arrivée sur un terminal data (dit "sécurisé") ou une OBCA
ou une IO2 sont concernés. Un contrôle est effectué entre le numéro reçu (contenu dans l’élément
d’information Numéro d’origine du message d’établissement) et un numéro abrégé contenant aussi
ce numéro. Si la vérification est positive, l’appel est accepté, sinon l’appel est rejeté avec la cause
Non droit au service et l'incident système 4309.
Remarque
Le numéro d’origine contrôlé peut-être selon le cas :
− le NDS (Numéro de Désignation Supplémentaire) s’il est fourni par le demandeur et validé par
le réseau ISDN (indication donnée dans l’octet 3a),
TC0308
4
Ed. 10-04-2002
OmniPCX 4400
PRÉCAUTIONS CONTRE LES INTRUSIONS
DANS OmniPCX 4400
le NDI (Numéro de Désignation de l'Installation) fourni par le réseau (indication donnée dans
l’octet 3a).
Si le NDS et le NDI sont présents et que le NDS reçu est fourni par l’usager et validé par le réseau,
dans ce cas le contrôle portera sur les NDI et NDS et il suffit que l’un des deux soit autorisé pour
que l’appel soit accepté.
−
Un paramètre par TA (Data sécurisée) gère sa propre sécurisation et le booléen système Sécurité
Data Circuit gère l’ensemble des datas sécurisées. La sécurisation est faite soit sur l’ensemble des
connexions data soit uniquement sur les applications data.
2.5 Protection contre l’accès par IP
L’accès à OmniPCX 4400 doit être sécurisé en appliquant le mécanisme des trusted hosts. Seules
ces machines pourront dialoguer avec OmniPCX 4400. Il existe 2 groupes de trusted hosts : ceux
reliés sur l’interface Ethernet et ceux connectés par un autre lien (de type SLIP, PPP et tunnel). Cette
gestion est réalisée avec l’outil netadmin.
Pour ces trusted hosts, activer le mécanisme de TCP-WRAPPER (voir § 3) qui filtre les services TCP de
type ftp, telnet, shell, etc. ainsi que des services de type 4400 (audit, save-restore, etc.). Cette
fonctionnalité apparaît à partir de la Release 3.
Pour des raisons évidentes de sécurité le gestionnaire doit être logué root et sur port console
uniquement pour toute la gestion de la sécurisation.
Aucun message système n'est édité si un host non répertorié dans la liste trusted essaie de se
connecter à OmniPCX 4400.
Un mécanisme de type anti-flooding (exemple: écroulement de l'OmniPCX 4400 par inondation de
trames Ethernet) est mis en place nativement sur les CPU5 et CPU6. Ce mécanisme coupe
momentanément le lien Ethernet sur dépassement d'un des 3 types de seuil :
•
seuil de trames,
•
seuil en Koctets,
•
seuil de diffusion (broadcast), en nombre de trames de diffusion par seconde.
Des incidents sont émis lors d’un flux IP trop important :
•
incident 1565 (concerne la CPU 4400) en cas de dépassement du seuil de trames ou en
Koctets,
•
incident 1566 (concerne la CPU 4400) en cas de dépassement du seuil de diffusion,
•
incident 4401 (concerne les coupleurs LIOE/INT-IP) en cas de dépassement du seuil de
diffusion.
Les seuils sont visualisables par la commande ethctl sous login root. Ils sont aussi modifiables
ponctuellement par la même commande avec des arguments (help : ethctl - ?). A ce jour, il n'est
pas possible d’avoir des seuils différents de l’initialisation après un redémarrage.
Il est fortement recommandé d’insérer des équipements extérieurs de type Lan-switches pour assurer
la sécurisation du système. De plus, vous devez gérer un plan d’adressage IP de l’OmniPCX 4400
avec un subnet dédié.
Note
Les équipements TSC-IP doivent être aussi connectés sur ce type de matériel.
Ed. 10-04-2002
5
TC0308
OmniPCX 4400
PRÉCAUTIONS CONTRE LES INTRUSIONS
DANS OmniPCX 4400
2.6 Personnalisation OmniPCX 4400
Les comptes dont le mot de passe est gérable par l’administrateur (commande passwd sous root)
sont :
−
mtcl,
−
mtch,
−
client,
−
adfexc (à mettre en concordance avec les applications de gestion),
−
kermit,
−
dhs3pms,
−
dhs3mt,
−
at4400,
−
nmcmao,
−
pcmao,
−
ppp,
−
install,
−
halt,
−
root,
−
mntple (sur certaines machines; ce compte n'est pas systématiquement présent),
−
sync,
−
swinst (à partir de la version C1.522).
Les autres comptes systèmes ne peuvent pas être modifiés.
Bien que l’OmniPCX 4400 permet un certain niveau de personnalisation, celle-ci n’est pas
supportée (exemple : rajout/ suppression de comptes, etc.). En effet, des problèmes peuvent
apparaître dus aux mécanismes d’installation, à certains scripts et à l’impossibilité de sauvegarder
automatiquement ces modifications avec swinst. La personnalisation OmniPCX4400 autorisée
concerne :
−
tout ce qui est gérable par netadmin,
−
les crontabs et atjobs,
−
la gestion des ports séries non dupliqués (setup de communication et ouverture/fermeture du
port),
−
les mots de passe. Cependant ceux-ci ne sont pas sauvegardés par swinst, il faut procéder par
recopie du fichier /etc/passwd.
Toute autre modification dans l’operating system reste sous la responsabilité de
l’installateur ou du client final.
TC0308
6
Ed. 10-04-2002
OmniPCX 4400
PRÉCAUTIONS CONTRE LES INTRUSIONS
DANS OmniPCX 4400
2.7 Divers
−
Le mécanisme de shadow des mots de passe n’est pas implémenté dans OmniPCX 4400.
−
Le serveur tftpd de l'OmniPCX 4400 utilisé par les équipements TSC-IP a été modifié pour être
protégé contre les écritures et lectures (les put seront refusés systématiquement et les get seront
refusés sur tous les répertoires autres que celui utilisé pour le téléchargement des IP Phones).
−
Les équipements IP de type CPU et postes IP ont un agent snmp embarqué. Ils sont protégés
contre les opérations de type set de la manière suivante :
−
•
CPU : l’opération peut être effectuée mais elle n’est pas prise en compte par le système.
•
Postes IP : l’opération peut être effectuée, elle est prise en compte mais cela n’aura aucune
influence sur le fonctionnement téléphonique des postes. De plus les données modifiées sont
en mémoire volatile et seront perdues au reset du poste. On reviendra à l’état initial.
A partir de la version C1.714.3.t, l'incident 1125 est émis (consultable par incvisu) lorsque l’on
se logue sur le système en tant qu'utilisateur mtcl ou mtch et à chaque première connexion à la
base de données.
Cet incident décrit l'utilisateur et le type de connexion [lors d’un login ou lors d’une connexion
par l'application mgr (nommée MANAGER dans l’incident) ou par l'application 47xx (avec le
nom netbios du PC)].
A la date de ce jour, cette nouvelle exploitation n’est pas encore reportée dans d’autres
versions.
2.8 Aide à la détection d’attaques sur IP
−
Il est possible de mettre en œuvre des traces noyau de type syslog afin de surveiller certaines
connexions à OmniPCX 4400 (exemple : ftp, rlogin, rsh, etc.). Cette fonction doit être activée
manuellement ; la surveillance des fichiers log ainsi que le lancement automatique de l’outil
reste sous la responsabilité de l’installateur ou du client final. Sa mise en œuvre est la suivante :
•
se loguer root
•
sous /chetc, créer un fichier syslog.conf contenant les informations suivantes :
.
* <type><tabulation><un_nom_de_fichier_log>
avec <type> qui peut être :
♦ info
♦ debug
♦ warn
♦ notice
Il peut y avoir une ou plusieurs lignes selon le type d'informations souhaitées. Le fichier log
peut être le même ou être différent pour toutes les lignes.
Le(s) fichier(s) log doivent être nommés avec leur chemin complet. Ils peuvent être aussi un
device (exemple : un port v24),
•
créer le(s) fichier(s) de log vides (sauf en cas de sortie sur ports V24),
Ed. 10-04-2002
7
TC0308
OmniPCX 4400
PRÉCAUTIONS CONTRE LES INTRUSIONS
DANS OmniPCX 4400
•
lancer syslogd (il tournera sans se tuer à la sortie du shell), le relancer après chaque
redémarrage,
•
les fichiers sont horodatés,
•
au redémarrage du PABX, relancer le process.
−
Détection des mouvements sur les tables ARP.
Pour obtenir des informations suite à des modifications apportées sur les tables ARP (messages
arp moved, etc.), taper la commande dklog –a.
−
Détection des modifications des routes.
Avec la commande route liste, les routes modifiées ont le flag marqué "D" ou "d" (trame IP
de type icmp redirect). La cause peut cependant être tout à fait normale. Il est possible de
compter le nombre de trames de ce type avec la commande smstat -s | grep redirect
(login root).
−
Usurpation d’adresse IP.
Un message système est émis sur le port console (duplicate IP address avec l’adresse MAC de la
machine pirate). De plus, la même information est stockée en mémoire sur la carte CPU et
lisible avec la commande dklog -a. Il n’y a pas d’enregistrement quelconque sur disque.
TC0308
8
Ed. 10-04-2002
OmniPCX 4400
PRÉCAUTIONS CONTRE LES INTRUSIONS
DANS OmniPCX 4400
3 LISTE DES SERVICES GÉRÉS PAR LES TCP-WRAPPERS : UTILISATION
PAR LES APPLICATIONS ALCATEL
Dans le menu netadmin –m/Security/Trusted Hosts, si vous répondez Non aux 2 questions
(Accept/Deny) concernant les services à valider/dévalider, la liste ci-dessous des différents services
est proposée.
Services
Explication
Do you want to allow FTP service (y/n, Machines de gestion 47xx pour les opérations de
default is y)?
save/restore, de collecte de tickets et de
rapatriement du modèle objet.
Do you want to allow TELNET service (y/n, Toutes machines de gestion 47xx ou autre
default is y)?
voulant se connecter à cette machine via Telnet.
Do you want to allow SHELL (rsh, rcp) service Pas d’impact sur des machines Windows.
(y/n, default is y)?
Alcatel 4755 : utilisé en télémaintenance.
Utilisé pour l’application rload de chargement à
distance.
Do you want to allow LOGIN (rlogin) service Pas d’impact sur des machines Windows.
(y/n, default is y)?
Alcatel 4755 : utilisé en télémaintenance.
Do you want to allow TFTP service (y/n, Téléchargement des postes IP Phones.
default is y)?
Do you want to allow NETACCESS (47xx, Les machines de gestion 47xx (gestion,
management machines) service (y/n, default notifications d’alarme) et la gestion inter-réseau
is n)?
(process CMISD/ABCA).
Do you want to allow RCSTA service (y/n, Tout ce qui concerne les machines utilisant le
default is n)?
CSTA (CCD, 4980) ; voir Note.
Do you want to allow SAVEREST service (y/n, Les machines de gestion 47xx (30/40/55/60)
default is n)?
utilisant le save/restore entre des nœuds 4400 et
elles-mêmes.
Do you want to allow RTEST service (y/n, Utilisé pour test. Peut être dévalidé sans
default is n)?
conséquence.
Do you want to allow BUILDDISTANT service Utilisé entre 4400 pour le process d’audit (en
(y/n, default is n)?
connexion IP directe ou via le tunnel). Va de
paire avec le loaddistant.
Do you want to allow LOADDISTANT service Utilisé entre 4400 pour le process d’audit (en
(y/n, default is n)?
connexion IP directe ou via le tunnel). Va de
paire avec le builddistant.
Do you want to allow RLIS service (y/n, Utilisé en pays "Russie" pour un service spécifique
default is n)?
d’écoutes.
Do you want to allow TFTP (bootp server) Utilisé entre 4400 pour une installation complète
service (y/n, default is y)?
avec formatage de disque (application non
totalement opérationnelle à la date de ce
document). Ce service peut être dévalidé sans
conséquence.
Ed. 10-04-2002
9
TC0308
OmniPCX 4400
PRÉCAUTIONS CONTRE LES INTRUSIONS
DANS OmniPCX 4400
Note
En Release 4 (Chorus 16.9), le service rcsta ne passe plus par le deamon inetd (process du 4400). Il
n’apparaît donc plus dans la liste des services, sauf si les données netadmin proviennent
d’anciennes releases. Dans ce cas, supprimer le trusted host, faire un apply (touche a) puis re-gérer
ce host.
Une adresse IP non intégrée dans les trusted hosts ne peut pas faire de ping sur OmniPCX 4400
(pas de route IP).
Une adresse IP gérée en trusted hosts mais avec tous les services dévalidés pourra joindre OmniPCX
4400 (route présente, ping possible, scan possible).
TC0308
10
Ed. 10-04-2002
OmniPCX 4400
PRÉCAUTIONS CONTRE LES INTRUSIONS
DANS OmniPCX 4400
4 LISTE DES PORTS OUVERTS SUR OmniPCX 4400 ET LEUR
UTILISATION
Ports
N° Port
icmp
Ports TCP
ftp
telnet
shell
login
Services propriétaires Alcatel :
netaccess
pad
cmisd
saverest
acd
builddistant
loaddistant
auditres1
auditres2
acdccs
acdpcag
suprout
alb
rtest
rcsta
redundancy
rlis
ahltcp
dhcdupli
servobs
servobs_c
securidprop
sdlog
sdserv
Ed. 10-04-2002
Description des services
Scripts du 4400, maintenance…
21
23
514
513
2533
2534
2535
2536
2538
2539
2540
2541
2542
2543
2544
2545
2546
2554
2555
2558
2560
2561
2562
2565
2566
5510
5520
5530
CMISD/ABCA accès réseau
PAD X25
CMISD serveur
Application Save/Restore
CCD (ACDV2)
Process d’audit
Process d’audit
Audit : réservé
Audit : réservé
ACD terminal server
ACD PC agent
Application suproutage sur PC
ACD Agent List Builder
Non Utilisé
ASN-1 CSTA accès serveur
Duplication CPU sur Ethernet
LIS server
AHL (lien hospitalier) sur Ethernet
Duplication DHCP, ouvert sur CPU Stand-By
Observation Server
Observation Server Client
ACE/server Secure-id
ACE/server Secure-id
ACE/server Secure-id
11
TC0308
OmniPCX 4400
PRÉCAUTIONS CONTRE LES INTRUSIONS
DANS OmniPCX 4400
Ports
Ports UDP
bootps
bootpc
tftp
ntp
snmp
syslog
route
Services propriétaires Alcatel :
hybrid-vpn
notif-gsm
rsl
dhcdupli_m
dhcdupli_s
secured
TC0308
N° Port
67
68
69
123
161
514
520
2556
2557
2559
2563
2564
5500
Description des services
Si process bootp lancé
Si dhcpd est lancé
Network Time Protocol : utilisé pour synchroniser les
clients ccview (CCD) et le PABX
Si activation des traps snmp
Si process syslog est lancé
Si le process de routage IP routed ou gated est lancé
Lien hybride VPN sur UDP
Si GSM Notification Server
Port socket RSL (ouvert si gated est lancé en protocole
RSL)
Duplication DHCP sur CPU Main
Duplication DHCP sur CPU Main
Si ACE/server Secure-id
12
Ed. 10-04-2002