Discussion :

[jmessene]

Salut,

Je me trouve dans une entreprise où il faut gérer des équipements de Telecom .Certains d'entre eux ne supportent pas SSH.
– TELNET a toujours été utilisé par les administrateurs pour gérer les équipements Telecom et jusque là, aucun incident n’a été signalé
– Un coupe-feu principal filtre le flux entrant et sortant du réseau de l'entreprise.
Une authentification centralisée (AD) est utilisée pour accéder aux équipements de Telecom. Chaque administrateur réseau a un compte AD
– Pour administrer les équipements de Telecom, les administrateurs doivent être connectés au réseau interne de l'entreprise. Les accès à distance ne sont pas permis pour administrer les équipements de Telecom.

J'aimerais continuer avec TELNET pour deux raisons:
1. Manque de budget pour upgrader les équipements incompatibles SSH
2. On a SNMP v2 installé et non SNMP v3

Qu'Est-ce que je peux proposer comme solution de secours ?

[BufferBob]

salut jmessene,

vu d'ici et avec les contraintes que tu décris je dirais, autant que possible :
- restriction de l'accès aux seules IP (si elles sont fixes évidement) autorisées à accéder le telnet
- politique de mots de passe un peu conséquente, c'est à dire longs (16-20 chars), case sensitive, et renouvelés fréquemment (tous les mois ou tous les deux mois par exemple)

c'est de toutes façons pas idéal on est d'accord, et dans tous les cas ça n’empêchera pas un pirate éventuel de sniffer le trafic et récupérer le mot de passe...

[gangsoleil]

- politique de mots de passe un peu conséquente, c'est à dire longs (16-20 chars), case sensitive, et renouvelés fréquemment (tous les mois ou tous les deux mois par exemple)

Ca ne sert a rien, telnet envoyant les mots de passe en clair.

Securiser telnet, c'est un peu comme si demandais comment transformer une plage publique en piscine securisee : ce n'est pas possible, sauf en construisant une piscine securisee (dans la mer ou pas).

Un simple sniffeur sur n'importe quelle machine va permettre de recuperer les mots de passe, donc non, tu ne peux pas securiser telnet.

Ensuite, tu dis que tu veux garder telnet car vous utilisez SNMP v2 et v3. Quel est le rapport ?

[BufferBob]

Ca ne sert a rien

je modifiais mon post justement au moment où tu écrivais le tiens, je m'en vais quand même mitiger un peu ton propos, quand bien même ce n'est pas idéal et ça n'empêchera pas le sniffing du mot de passe, son renouvellement fréquent peut au moins permettre d'écourter sa durée de vie, ce qui est toujours mieux que de ne rien faire, sans parler du fait que ça se justifie bien plus facilement auprès du n+1