Control del acceso mediante Telnet

Tenga en cuenta las consideraciones sobre seguridad si desea que los clientes Telnet puedan acceder al sistema.

Autenticación de cliente

El servidor Telnet soporta la autenticación de cliente además de la autenticación de servidor TLS. Cuando está habilitado, el servidor Telnet autentica los certificados de servidor y cliente cuando los clientes Telnet se conectan al puerto TLS de Telnet. Los clientes Telnet que no envían un certificado de cliente válido al intentar conectarse al puerto Telnet TLS no podrán establecer una sesión de pantalla o impresora.

Protección de contraseñas

Las contraseñas de Telnet no están cifradas cuando se envían entre el cliente tradicional y el servidor. En función de los métodos de conexión, el sistema puede ser vulnerable al robo de contraseñas mediante el rastreo de línea. (La acción de supervisar una línea mediante un equipo electrónico suele recibir el nombre de husmear). Las contraseñas de Telnet son hash unidireccional, si se utilizan negociaciones TN5250E para intercambiar una contraseña hash. En tal caso, el panel de inicio de sesión se puede omitir y no se envía ninguna contraseña de texto simple a través de la red. Solo se aplica un hash unidireccional a la contraseña con TN5250E; TLS es necesario para cifrar todo el tráfico.

Sin embargo, si utiliza el servidor Telnet TLS y un cliente Telnet habilitado para TLS, todas las transacciones, incluidas las contraseñas, están cifradas y protegidas. El puerto Telnet TLS se define en la entrada WRKSRVTBLE bajo telnet-ssl. El valor del sistema Número máximo de intentos de inicio de sesión permitidos (QMAXSIGN) limita el número de intentos de inicio de sesión. Aunque el valor del sistema QMAXSIGN hace referencia a Telnet, puede disminuir la eficacia de este valor del sistema si se establece el sistema de modo que configure automáticamente los dispositivos virtuales. Cuando el valor del sistema QAUTOVRT tiene un valor superior a 0, el usuario Telnet anómalo puede volver a conectarse y acceder a un dispositivo virtual recién creado. Esto puede continuar hasta que se produzca una de las situaciones siguientes:

Todos los dispositivos virtuales están inhabilitados y el sistema ha superado el límite de creación de nuevos dispositivos virtuales.
Todos los perfiles de usuario están inhabilitados.
El intruso (hacker) consigue iniciar la sesión en el sistema.

Al configurar automáticamente los dispositivos virtuales se multiplica el número de intentos de Telnet disponibles.

Nota: Para facilitar el control de dispositivos virtuales, es posible que desee establecer el valor del sistema QAUTOVRT en un valor mayor que 0 durante un breve periodo de tiempo. Utilice Telnet para forzar al sistema a crear dispositivos o espere a que otros usuarios hagan que el sistema cree suficientes dispositivos virtuales. A continuación, establezca el valor del sistema QAUTOVRT en 0.

Las mejoras de Telnet permiten limitar el número de veces que un intruso puede intentar acceder al sistema. Puede crear un programa de salida al que llame el sistema cada vez que un cliente intente iniciar una sesión Telnet. El programa de salida recibe la dirección IP del solicitante. Si el programa ve una serie de peticiones de la misma dirección IP en un periodo de tiempo reducido, puede llevar a cabo una acción, como por ejemplo rechazar las peticiones adicionales que procedan de la dirección y enviar un mensaje a la cola de mensajes QSYSOPR. En el tema Visión general de la prestación de programas de salida de Telnet se proporciona información global sobre la prestación de los programas de salida de Telnet.

Nota: De forma alternativa, puede utilizar el programa de salida Telnet para proporcionar registro. En lugar de que sea el programa el tome decisiones sobre los posibles intentos de intrusión, puede utilizar la prestación de anotaciones para supervisar los intentos de iniciar sesiones Telnet.

Finalización de sesiones inactivas

Las sesiones Telnet se incluyen en el proceso del valor QINACTITV del sistema. El valor del sistema QINACTMSGQ define la acción para las sesiones Telnet interactivas que están inactivas una vez transcurrido el intervalo de tiempo de espera de trabajos inactivos. Si el valor QINACTMSGQ especifica que el trabajo debe desconectarse, la sesión debe dar soporte a la función de desconexión de trabajos. De lo contrario, el trabajo finaliza en lugar de desconectarse. Las sesiones Telnet que siguen utilizando descripciones de dispositivos denominadas QPADEVxxxx no permitirán a los usuarios desconectarse de esos trabajos. Desconectarse de esos trabajos no está permitido ya que la descripción de dispositivo a la que se vuelve a conectar a un usuario es imprevisible. Para desconectar un trabajo se requiere la misma descripción de dispositivo para el usuario una vez reconectado el trabajo. Consulte Establecimiento del tiempo de espera de trabajo inactivo utilizado por Telnet.

Limitación del número de intentos de inicio de sesión

El número de intentos de inicio de sesión en Telnet permitidos aumenta si tiene dispositivos virtuales configurados automáticamente. El valor del sistema QAUTOVRT define el número de dispositivos virtuales que Telnet puede crear.

Utilice los valores del sistema de inicio de sesión para definir el número de intentos de inicio de sesión en el sistema permitidos. Para obtener instrucciones para establecer estos valores, consulte Restricción de usuarios privilegiados a dispositivos específicos y limitación de intentos de inicio de sesión.

Restricción de perfiles de usuario avanzados

Puede emplear el valor del sistema QLMTSECOFR para restringir los usuarios con la autorización especial *ALLOBJ o *SERVICE. El usuario o QSECOFR debe tener una autorización explícita para un dispositivo a fin de iniciar la sesión. De este modo puede impedir que los usuarios con la autorización especial *ALLOBJ utilicen Telnet para acceder al sistema asegurándose de que QSECOFR no tiene autorización para los dispositivos virtuales. En lugar de impedir el acceso de los usuarios de Telnet con la autorización especial *ALLOBJ, puede restringir los usuarios de Telnet avanzados por ubicación. Con el punto de salida de iniciación de Telnet, puede crear un programa de salida que asigne una descripción de dispositivo específica a una petición de sesión a partir de la dirección IP del solicitante.

Control de función por ubicación

Puede controlar qué funciones están permitidas o qué menú ve el usuario según la ubicación donde se origina la petición de Telnet. La API (interfaz de programas de aplicación) QDCRDEVD permite acceder a la dirección IP del solicitante. Vea varias recomendaciones a continuación para utilizar este soporte:

Puede utilizar la API en un programa inicial para todos los usuarios (si la actividad de Telnet es significativa en su entorno).
Puede establecer el menú del usuario o incluso cambiar a un perfil de usuario específico en función de la dirección IP del usuario que solicita el inicio de sesión.
Puede emplear el programa de salida de Telnet para tomar decisiones según la dirección IP del solicitante. De este modo no es necesario definir un programa inicial en cada perfil de usuario. Por ejemplo, puede establecer el menú inicial del usuario, establecer el programa inicial del usuario o especificar con qué perfil de usuario se ejecutará la sesión Telnet.

Además, con el acceso a la dirección IP del usuario, puede permitir la impresión dinámica en una impresora asociada a la dirección IP del usuario. La API QDCRDEVD también devuelve las direcciones IP de las impresoras, así como de las pantallas. Seleccione el formato DEVD1100 para las impresoras y DEVD0600 para las pantallas.

Control del inicio de sesión automático

Telnet permite que un usuario IBM i Access Client Solutions omita la pantalla de inicio de sesión enviando un nombre de perfil de usuario y una contraseña con la solicitud de sesión Telnet. El sistema utiliza el valor establecido para el valor del sistema QRMTSIGN (Inicio de sesión remoto) a fin de determinar cómo manejar las peticiones de inicio de sesión automático. La tabla siguiente muestra las opciones. Estas opciones solo son válidas cuando la petición de Telnet incluye un ID de usuario y una contraseña.

Tabla 1. Opciones del valor del sistema QRMTSIGN
Opción	Cómo funciona QRMTSIGN con Telnet
*REJECT	El sistema pasa por alto el perfil de usuario y la contraseña. El usuario ve la pantalla de inicio de sesión.
*VERIFY	Si la combinación de perfil de usuario y contraseña es válida, se inicia la sesión Telnet. ¹
*SAMEPRF	Si la combinación de perfil de usuario y contraseña es válida, se inicia la sesión Telnet. ¹
*FRCSIGNON	El sistema pasa por alto el perfil de usuario y la contraseña. El usuario ve la pantalla de inicio de sesión.
nombre-de-programa nombre-de-biblioteca	El programa especificado se ejecuta al principio y al final de cada sesión de paso a través. Nota: Telnet utiliza un valor de *FRCSIGNON cuando se especifica este programa.^{1, 2}

¹- Un programa de salida de Telnet registrado puede alterar temporalmente el valor de QRMTSIGN eligiendo si debe permitirse el inicio de sesión automático para un solicitante (probablemente en función de la dirección IP)

²- Cuando se configura un programa de sesión remota para el paso a través de estación de pantalla de control y Telnet también necesita permitir que el usuario eluda el inicio de sesión, es necesario configurar un programa de punto de salida de Telnet para alterar temporalmente la opción predeterminada de *FRCSIGNON utilizada por Telnet para el valor del sistema QRMTSIGN. Para obtener más información, consulte Programa de salida de inicialización de dispositivo.

Esta validación se produce antes de que se ejecute el programa de salida de Telnet. El programa de salida recibe una indicación que describe si la validación se ha ejecutado correcta o incorrectamente. De todos modos, el programa de salida puede permitir o denegar la sesión, independientemente del indicador. La indicación tiene uno de los valores siguientes:

Valor = 0; la contraseña o frase de paso del cliente (o el ticket de Kerberos) no se ha validado o no se ha recibido.
Valor = 1; la contraseña o frase de paso no cifrada del cliente se ha validado.
Valor = 2; la contraseña o frase de paso cifrada del cliente (o el ticket de Kerberos) se ha validado.

Habilitación del inicio de sesión anónimo

Puede utilizar los programas de salida Telnet para proporcionar Telnet anónimo o invitado en el sistema. Con el programa de salida, puede detectar la dirección IP del solicitante. Si la dirección IP procede de fuera de la organización, puede asignar la sesión Telnet a un perfil de usuario que tiene autorización limitada en el sistema y un menú específico. Puede eludir la pantalla de inicio de sesión a fin de que el visitante no tenga la posibilidad de utilizar otro perfil de usuario más avanzado. Con esta opción, el usuario no tiene que especificar un ID de usuario y una contraseña.

Visión general de la prestación de programas de salida de Telnet

Puede registrar programas de salida escritos por usuario que se ejecuten cuando se inicie una sesión Telnet y cuando finalice. Puede realizar las siguientes acciones cuando inicie un programa de salida:

Utilice el certificado TLS de cliente para asociar un perfil de usuario al certificado y asignar dicho perfil de usuario a la sesión Telnet, omitiendo la pantalla de inicio de sesión.
Utilice la dirección IP del sistema (local) en sistemas conectados a más de una red para direccionar las conexiones a distintos subsistemas en función de la interfaz de red (dirección IP).
Permita o deniegue la sesión, según cualquier criterio conocido, como la dirección IP del usuario, la hora, el perfil de usuario solicitado, el tipo de dispositivo (por ejemplo, una impresora), etc.
Asigne una descripción de dispositivo IBM i específica para la sesión. Esto permite direccionar el trabajo interactivo a cualquier subsistema configurado para recibir estos dispositivos.
Asigne valores de idioma nacional específicos para la sesión, como por ejemplo el teclado y el juego de caracteres.
Asigne un perfil de usuario específico para la sesión.
Iniciar sesión automáticamente en el solicitante (sin visualizar una pantalla de inicio de sesión).
Configure las anotaciones de auditoría para la sesión.