Telnet Server Security
9/8/2008
O servidor Telnet incluído Windows Embedded CE é um exemplo pretende apresentação você como criar sistema de rede serviços que interagir e registrar com o Services.exe. O exemplo Telnet Server também é útil para dispositivo trazer-Up e depuração.
O servidor Telnet incluído como um ferramenta de ensino, mas não para distribuição comercial sem outras modificações. A segurança no exemplo de Telnet é muito clara e vulnerável a ataques de segurança. Mesmo se o servidor Telnet é configurado para exigir autenticação senha, a senha é enviada em texto sem formatação entre a rede e, portanto, é vulnerável a invasão por sniffer pacote. Um usuário mal-intencionado foi possível obter a senha para o dispositivo pelo observando os pacotes enviados voltar e entre o exemplo Telnet e o cliente durante o estágio de autenticação. Se um usuário mal-intencionado poderia log on to o dispositivo, ele teria completo controle sobre ele. Isso poderia envolver a exclusão ou modificar chave arquivos sistema e o Registro.
Por causa desses riscos de segurança sérios, é altamente recomendável apenas executar o exemplo Telnet para desenvolvimento e depuração fins, em uma rede controlado, privada onde você confiança os usuários. É altamente recomendável que você faça não implantar este servidor Telnet exemplo em uma rede pública such as o Internet.
Microsoft recomenda que você examinar cuidadosamente a codificar e necessidades de segurança para implantação de destino e, se necessário, adicionar mais infra-estrutura de segurança antes de distribuir essa funcionalidade em um produto versão.
Melhores Práticas
Definir as variáveis de lista de usuário e domínio para evitar ataques em seu dispositivo por usuários não autorizados
Se O servidor Telnet for usado sem apropriado valores definidos para as variáveis de lista de usuário e domínio, o servidor Telnet ficará vulnerável a ataques por usuários não autorizados. Essas variáveis não são definidas Por padrão. Um usuário não autorizado só deve adivinhar senha do dispositivo, da maneira que ele é definido no Painel de controle, para obter acessar para o servidor.
Para evitar esse ataque, no nome usuário a UserList valor do Registro deve ser definido para cada um dos servidores que estão execução. O usuário, em seguida, será necessário para log in with o nome usuário especificado e apropriado senha para usar o servidor.
Você pode definir a variável domínio na DefaultDomain valor do Registro, que fica sob a HKEY_LOCAL_MACHINE\Comm\Redir chave Registro. Para obter mais informações sobre este valor do Registro, consulte Configurações do Registro de acesso à rede API/redirecionador Windows.
Se o valor do Registro DefaultDomain não está definida, Windows Embedded CE usa o local banco de dados usuário para definir a variável domínio. Você pode usar o NTLMSetUserInfo função para adicionar usuário informações para o local banco de dados.
Ativar um firewall em seu dispositivo rede
Para ambientes corporação, Microsoft recomenda o uso de um firewall rede com a proteção de invasão, such as Microsoft Internet Security e Acceleration (ISA) Server. Para obter mais informações, visite este Microsoft Web site.
Para ambientes não-corporação ou proteção adicional, Microsoft recomenda que você incluir e configurar o Windows Embedded CE Firewall no dispositivo de rede. Para obter mais informações sobre o Windows Embedded CE IP Firewall e como configurá-lo, consulte Firewall.
Para obter informações sobre como configurar o firewall IP corretamente gerenciar tráfego destinado a rede interna, consulte Referência do firewall IP.
Modificar o cliente Telnet seja mais Seguro
Porque a codificar origem para o cliente Telnet é fornecido com Windows Embedded CE, existem várias coisas que você pode fazer para melhorar a segurança do dispositivo:
- Definir a raiz Telnet como um Diretório sem qualquer confidencial arquivos. O log de Telnet dados são gravados em arquivos em Diretório a raiz de Telnet, portanto, configuração de raiz para um Diretório de segurança conhecido será evitar acessar Telnet a outros diretórios.
- Desative comandos Telnet desnecessários. Para o recurso log, você só precisará habilitar o comando Sair.
- Gravar eventos logs-em-out e os Telnet para a solução de problemas arquivo log.
Em ordem para tornar a acima alterações, copiar o código-fonte Telnet, modificá-lo para restringir sua funcionalidade descrita acima e compilação-lo.
Acima de tudo, esteja ciente de que o cliente Telnet destina-se a ser usado para desenvolvimento, depuração e implantações exemplo e não deve ser implantado comercialmente sem uma atualização de segurança rigorosas.
Configurações do Registro padrão
Você deve estar ciente das configurações de Registro que afetam a segurança. Se um valor tem implicações de segurança, você irá localizar um Security Note na documentação a configurações Registro.
Para informações Registro Telnet Server, consulte Configurações do Registro do servidor Telnet.
Portas
O servidor Telnet usa porta 23 como uma porta usar como padrão para receber conexões Telnet. Este valor pode ser alterada ou adicional ser escutados em portas podem ser adicionadas. O servidor Telnet usa o Services.exe para escutar para de entrada Conexões. O Services.exe pode escutar em qualquer porta IPv4 ou IPv6. Para obter mais informações, consulte Registrando um serviço super automaticamente.
See Also
Concepts
Telnet Server Registry Settings