Inspecteur Telnet

Présentation de l’inspecteur Telnet

Type	Inspecteur (service)
Usage	Inspecter
Type d’instance	Multiton
Autres inspecteurs requis	`stream_tcp`
Activé	`faux`

Telnet est un protocole de couche application qui crée un canal de communication en octets de 8 bits sur TCP. Telnet utilise un terminal virtuel réseau pour établir la communication entre un client et un hôte distant. Un serveur Telnet utilise le port TCP 23.

L’inspecteur telnet normalise le tampon de données Telnet en détectant les séquences de commandes Telnet et la négociation des options. L’inspecteur telnet élimine les séquences de commandes Telnet (RFC 854) du paquet. L’inspecteur telnet peut détecter les connexions Telnet chiffrées en examinant l’option de chiffrement Telnet (RFC 2946).

Paramètres de l’inspecteur Telnet

Configuration du service Telnet

L’inspecteur binder configure le service Telnet. Pour obtenir plus d'informations, reportez-vous à la Présentation de l’inspecteur de binder.

Exemple :

[
    {
        "when": {
            "service": "telnet",
            "role": any
        },
        "use": {
            "type": "telnet"
        }
    }
]

ayt_attack_thresh

Spécifie le nombre maximal de commandes Telnet AYT (Are You There) consécutives. L’inspecteur telnet détecte et génère des alertes sur le nombre de commandes AYT consécutives qui dépassent la valeur ayt_attack_thresh. Le paramètre ayt_attack_thresh vise à contrer des vulnérabilités spécifiques aux implémentations BSD de Telnet. Spécifiez -1 pour désactiver le paramètre ayt_attack_thresh. En ce qui concerne ce paramètre, vous pouvez activer la règle 126:1 pour générer des événements et, dans un déploiement en ligne, supprimer les paquets incriminés.

Type : entier

Plage valide : de -1 à 2 147 483 647 (max31)

Valeur par défaut : -1

encrypted_traffic

Indique si le trafic Telnet chiffré doit être détecté. En ce qui concerne ce paramètre, vous pouvez activer la règle 126:2 pour générer des événements et, dans un déploiement en ligne, supprimer les paquets incriminés.

Type : booléen

Valeurs valides : true, false

Valeur par défaut : false

normalize

Indique si le trafic Telnet doit être normalisé. L’inspecteur Telnet normalise le trafic Telnet en éliminant les séquences d’échappement Telnet. Si une règle de prévention des intrusions activée spécifie un paramètre de contenu raw, la règle ignore le tampon Telnet normalisé créé par l’inspecteur telnet.

Type : booléen

Valeurs valides : true, false

Valeur par défaut : false

Règles de l’inspecteur Telnet

Activez l’inspecteur telnet pour générer des événements et, dans un déploiement en ligne, supprimer les paquets incriminés.

Tableau 1. Règles de l’inspecteur Telnet
GID:SID	Message de règle
126:1	Commandes Telnet AYT consécutives au-delà du seuil
126:2	Trafic Telnet chiffré
126:3	Commande de début de sous-négociation Telnet sans fin de sous-négociation correspondante

Options des règles de prévention des intrusions de l’inspecteur Telnet

L’inspecteur telnet ne comporte aucune option pour les règles de prévention des intrusions.

Référence de l’inspecteur Snort 3

Langage exempt de préjugés

À propos de la traduction

Book Title

Référence de l’inspecteur Snort 3

Chapter Title