텔넷 포트 안내: 포트 23의 레거시 원격 액세스

Telnet은 TCP 연결을 열고 텍스트 기반 터미널 세션을 제공합니다. 서버가 연결을 수락한 후 클라이언트와 서버는 터미널 옵션을 협상할 수 있으며, 그런 다음 사용자는 명령을 보내고 출력을 일반 텍스트로 받습니다.

이러한 단순함이 Telnet이 장치 관리, 연구실, 제조 장비 및 오래된 기기에서 살아남은 이유입니다. 이것이 위험한 이유이기도 합니다. 별도의 암호화된 터널이 없으면 클라이언트와 서버 간의 트래픽을 캡처할 수 있는 사람은 누구나 자격 증명과 명령을 읽을 수 있습니다.

SSH는 세션을 암호화하고 서버 호스트 키를 확인하며 더 강력한 인증을 지원하기 때문에 대부분의 원격 관리에서 Telnet을 대체했습니다. SSH는 일반적으로 TCP 포트 22를 사용하고 Telnet은 일반적으로 TCP 포트 23을 사용합니다.

장치가 SSH를 지원하는 경우 Telnet 대신 SSH를 사용하십시오. 업그레이드할 수 없는 시스템, 격리된 실험실 액세스 또는 보상 제어가 이미 마련되어 있는 짧은 긴급 작업 흐름의 경우에만 Telnet을 유지하세요.

Telnet은 SSH가 표준이 되기 전에 설계된 구형 라우터 및 스위치, PBX 시스템, 대역 외 콘솔 서버, 건물 제어 장치, 산업용 컨트롤러, 스토리지 어레이, 프린터 및 공급업체 장비에 여전히 나타납니다.

또한 원시 TCP 서비스에 대한 간단한 진단 클라이언트로도 사용되지만, nc, ncat, 컬, openssl s_client 및 특수 제작된 프로토콜 클라이언트와 같은 최신 도구는 일반적으로 더 나은 가시성과 적은 놀라움을 제공합니다.

포트 23은 공용 인터넷에 거의 공개되어서는 안 됩니다. 공용 텔넷은 자동화된 검색, 기본 비밀번호 공격, 봇넷 활동 및 기회주의적 장치 탈취를 유도합니다. 신뢰할 수 있는 네트워크 외부에서 Telnet 서비스에 접근할 수 있는 경우 이를 긴급 검토 대상으로 간주하십시오.

텔넷이 불가피한 경우 관리 VLAN, VPN, 배스천 호스트, 점프박스, 직렬 콘솔 네트워크 또는 소스 IP 허용 목록으로 제한하세요. 목표는 Telnet을 정말로 필요로 하는 사람과 자동화만이 Telnet에 연결할 수 있도록 만드는 것입니다.

TCP 23을 허용하기 전에 Telnet이 여전히 필요한 이유와 SSH, HTTPS 관리, 공급업체 API 또는 직렬 콘솔이 이를 대체할 수 있는지 확인하세요. 그런 다음 누가, 어떤 네트워크에서, 얼마나 오랫동안 연결해야 하는지, 어떤 로깅이 가능한지 식별합니다.

포트 검사기는 외부에서 TCP 23에 연결할 수 있는지 여부를 알려줄 수 있지만 자격 증명이 안전한지 또는 장치가 최신 액세스 제어를 지원하는지 여부는 알 수 없습니다. 신뢰할 수 있는 네트워크에서만 실제 로그인 경로를 테스트하고 신뢰할 수 없는 링크를 통해 실제 비밀번호를 보내지 마십시오.

Windows에서는 테스트를 위해 Telnet 클라이언트를 활성화할 수 있지만 일반적인 관리를 위해서는 Telnet 서버를 사용하면 안 됩니다. Windows 시스템에 원격 명령 액세스가 필요한 경우 게이트웨이 또는 다른 암호화된 관리 경로를 통해 PowerShell 원격, SSH, RDP를 사용하십시오.

Linux에서 Telnet 서버 패키지는 일반적으로 불필요하므로 비활성화된 상태로 유지해야 합니다. 레거시 데몬을 실행해야 하는 경우 이를 비공개 인터페이스에 바인딩하고 Firewalld, ufw, nftables, iptables 또는 호스트 기반 허용 목록을 사용하여 액세스를 제한하세요.

네트워크 장치 및 장비에서 SSH 또는 HTTPS 관리가 가능하면 Telnet을 비활성화하십시오. 공급업체 제한으로 인해 텔넷이 강제되는 경우 장치를 제한된 관리 네트워크에 배치하고 예외를 문서화하여 다음 새로 고침 주기 중에 제거할 수 있도록 하십시오.

호스트 이름이나 IP 주소 및 포트 23에 대한 외부 포트 검사로 시작합니다. 결과가 공개되면 원격 클라이언트는 Telnet 수신기에 대한 TCP 연결을 설정할 수 있습니다. 그렇다고 해서 공용 인터넷에서 로그인하는 것이 안전하다는 의미는 아닙니다.

신뢰할 수 있는 네트워크에서 telnet 호스트 23, nc -vz 호스트 23 또는 ncat를 사용하여 배너를 테스트할 수 있습니다. 서버 또는 장치에서 서비스 상태 및 방화벽 규칙을 검사합니다. 어플라이언스의 경우 SSH 또는 웹 관리와 별도로 Telnet이 활성화될 수 있으므로 관리 설정을 확인하세요.

포트 23이 닫히면 Telnet이 비활성화되거나, 장치가 SSH만 지원하거나, 서비스가 관리 인터페이스에 바인딩되거나, 방화벽이 경로를 차단할 수 있습니다. 시간이 초과되면 라우터, ACL, VPN 정책, 클라우드 방화벽 또는 소스 IP 제한으로 인해 트래픽이 삭제될 수 있습니다.

포트가 열려 있지만 로그인에 실패하는 경우 사용자 이름 형식, 비밀번호 상태, 장치 액세스 클래스 규칙, 로컬 및 디렉터리 인증, 회선 구성 및 잠금 설정을 검사합니다. 네트워크 장비에서는 VTY 회선 정책 또는 관리 평면 ACL이 실패를 설명하는 경우가 많습니다.

가능하면 텔넷을 비활성화하십시오. SSH, HTTPS 관리, VPN 전용 액세스, 직렬 콘솔 또는 공급업체 도구로 교체하세요. 기본 계정을 제거하고, 공유 비밀번호를 교체하고, Telnet 종속성이 사라질 때까지 장치 펌웨어를 최신 상태로 유지하세요.

Telnet을 유지해야 하는 경우 이를 사용자 네트워크 및 인터넷에서 격리하고 액세스 시도를 기록하며 예상치 못한 소스 주소 및 문서 소유권을 모니터링합니다. 모든 Telnet 예외를 정상적인 관리 패턴이 아닌 임시 운영 부채로 처리하십시오.