Offenen Telnet Port absichern!

[Webfox]

Hallo, nachdem ich einfach über ein DOS-Fenster mit dem Befehl "Telnet" von zu Hause aus auf die entfernte Firmen AS400 zugegriffen habe, frage ich mich was kann ich tun, damit hier kein unbefugter Zugriff erfolgt. Es gibt hier sicherlich einige Sicherheitsvorkehrungen die man treffen kann, damit dies erschwert wird. Der Port muss jedoch offen bleiben, da der Zugriff für die externen eigenen Mitarbeiter gewährt ist. In der AS400 Benutzerverwaltung ist bereits definiert dass max. 2 fehlerhafte Anmeldeversuche durchgeführt werden können. Mir ist das aber zu wenig. Bitte um nützliche Tipps. Danke im Voraus.

[holgerscherer]

Hallo, nachdem ich einfach über ein DOS-Fenster mit dem Befehl "Telnet" von zu Hause aus auf die entfernte Firmen AS400 zugegriffen habe.

Prima ;-) Endlich noch jemand, der seine AS/400 für alle im Netz anbietet <grins>.

Im Ernst: In der Theorie (!) ist das ja noch nicht mal soo schlimm. Schlimm wird es nur, wenn andere als Eure Vertriebsmitarbeiter mal schauen, was auf dem Telnetport so abgeht. Folgende Möglichkeiten solltest Du überdenken:

a) ein VPN, in das sich die Externen einwählen. Dann muss nicht der AS400-Telnetport offen sein, sondern nur ein VPN-Server. Und den kann man absichern, mit Kennwortschutz und Verschlüsselung einrichten etc.
b) den Telnetport auf einen anderen verbiegen. Nicht ganz so einfach, da das dann alle Anwender betrifft. Eventuell über ein Portmapping auf einer dazwischen geschalteten Firewall.
c) a propos Firewall (ist doch hoffentlich eine vorhanden?). Vielleicht haben Eure Externen immer feste IPs? Dann diese dort eintragen, und nur diese erlauben.
d) wenn kein VPN, dann bitte zumindest ein RAS-Server.
e) Kennwortverschlüsselung per SSL unbedingt aktivieren. Ich habe bei Audits auch schon solche Szenarien gesehen, und dabei den folgenden Punkt gesehen:
f) die externen, oder Heimarbeiter, haben ein WLan (Funknetz) ohne Verschlüsselung. Dazu muss man nicht viel sagen. Und WEP-Verschlüsselung ist auch nicht toll, das knackt sich mit ein paar Tools und Geduld auch in kürzerer Zeit. Und nichts ist schöner als ein Kennwort, das unverschlüsselt über den Äther geht.
g) Welche Ports sind denn noch offen? Verrate doch mal die IP-Adresse Euer AS/400 (-:
h) Vergiss meine Frage in Punkt g.

Das ist noch lange nicht alles, aber schon mal ein paar gute Schritte.

-h

[Webfox]

Prima ;-) Endlich noch jemand, der seine AS/400 für alle im Netz anbietet <grins>.

Im Ernst: In der Theorie (!) ist das ja noch nicht mal soo schlimm. Schlimm wird es nur, wenn andere als Eure Vertriebsmitarbeiter mal schauen, was auf dem Telnetport so abgeht. Folgende Möglichkeiten solltest Du überdenken:

a) ein VPN, in das sich die Externen einwählen. Dann muss nicht der AS400-Telnetport offen sein, sondern nur ein VPN-Server. Und den kann man absichern, mit Kennwortschutz und Verschlüsselung einrichten etc.
b) den Telnetport auf einen anderen verbiegen. Nicht ganz so einfach, da das dann alle Anwender betrifft. Eventuell über ein Portmapping auf einer dazwischen geschalteten Firewall.
c) a propos Firewall (ist doch hoffentlich eine vorhanden?). Vielleicht haben Eure Externen immer feste IPs? Dann diese dort eintragen, und nur diese erlauben.
d) wenn kein VPN, dann bitte zumindest ein RAS-Server.
e) Kennwortverschlüsselung per SSL unbedingt aktivieren. Ich habe bei Audits auch schon solche Szenarien gesehen, und dabei den folgenden Punkt gesehen:
f) die externen, oder Heimarbeiter, haben ein WLan (Funknetz) ohne Verschlüsselung. Dazu muss man nicht viel sagen. Und WEP-Verschlüsselung ist auch nicht toll, das knackt sich mit ein paar Tools und Geduld auch in kürzerer Zeit. Und nichts ist schöner als ein Kennwort, das unverschlüsselt über den Äther geht.
g) Welche Ports sind denn noch offen? Verrate doch mal die IP-Adresse Euer AS/400 (-:
h) Vergiss meine Frage in Punkt g.

Das ist noch lange nicht alles, aber schon mal ein paar gute Schritte.

-h

Danke aber so leicht mach ich es nicht. Trotzdem war dein Beitrag hilfreich.

[Webfox]

Danke für die Tipps, also mein Weg ist klar ich geh Richtung VPN u. Firewall.

Dann noch ein paar Einstellungen auf der AS400 u. ich müßte mit 99%Sicherheit unterwegs sein.