Telnet-poortgids: oudere externe toegang op poort 23

Telnet opent een TCP-verbinding en presenteert een op tekst gebaseerde terminalsessie. Nadat de server de verbinding heeft geaccepteerd, kunnen de client en de server onderhandelen over terminalopties. Vervolgens verzendt de gebruiker opdrachten en ontvangt de uitvoer als platte tekst.

Die eenvoud is de reden waarom Telnet overleefde in apparaatbeheer, laboratoria, productieapparatuur en oude apparaten. Daarom is het ook riskant: zonder een afzonderlijke gecodeerde tunnel kan iedereen die het verkeer tussen de client en de server kan vastleggen, inloggegevens en opdrachten lezen.

SSH heeft Telnet vervangen voor het meeste beheer op afstand, omdat SSH de sessie codeert, de hostsleutel van de server verifieert en sterkere authenticatie ondersteunt. SSH gebruikt normaal gesproken TCP-poort 22, terwijl Telnet normaal gesproken TCP-poort 23 gebruikt.

Als het apparaat SSH ondersteunt, gebruik dan SSH in plaats van Telnet. Behoud Telnet alleen voor systemen die niet kunnen worden geüpgraded, voor geïsoleerde laboratoriumtoegang of voor korte noodworkflows waarbij al compenserende controles zijn uitgevoerd.

Telnet verschijnt nog steeds op oudere routers en switches, PBX-systemen, out-of-band consoleservers, gebouwbeheersystemen, industriële controllers, opslagarrays, printers en apparaten van leveranciers die zijn ontworpen voordat SSH standaard werd.

Het wordt ook gebruikt als een eenvoudige diagnostische client voor onbewerkte TCP-services, hoewel moderne tools zoals nc, ncat, curl, openssl s_client en speciaal gebouwde protocolclients doorgaans een betere zichtbaarheid en minder verrassingen bieden.

Poort 23 zou vrijwel nooit open moeten staan ​​voor het openbare internet. Openbaar Telnet trekt automatisch scannen, standaardwachtwoordaanvallen, botnetactiviteit en opportunistische apparaatovername aan. Als een Telnet-service bereikbaar is van buiten een vertrouwd netwerk, beschouw dit dan als een urgente blootstelling die moet worden beoordeeld.

Als Telnet onvermijdelijk is, beperk het dan tot een beheer-VLAN, VPN, bastionhost, jumpbox, serieel consolenetwerk of bron-IP-toelatingslijst. Het doel is om Telnet alleen bereikbaar te maken voor de mensen en automatisering die het echt nodig hebben.

Voordat u TCP 23 toestaat, moet u bevestigen waarom Telnet nog steeds vereist is en of SSH, HTTPS-beheer, een leveranciers-API of een seriële console dit kunnen vervangen. Bepaal vervolgens wie verbinding moet maken, vanaf welk netwerk, voor hoe lang en welke logboekregistratie beschikbaar is.

Een poortcontrole kan u vertellen of TCP 23 van buitenaf bereikbaar is, maar kan u niet vertellen of de inloggegevens veilig zijn of dat het apparaat moderne toegangscontroles ondersteunt. Test het daadwerkelijke inlogpad alleen vanaf een vertrouwd netwerk en vermijd het verzenden van echte wachtwoorden via niet-vertrouwde links.

Op Windows kan Telnet Client worden ingeschakeld voor testen, maar Telnet Server mag niet worden gebruikt voor normaal beheer. Als een Windows-systeem externe opdrachttoegang nodig heeft, gebruik dan PowerShell Remoting, SSH, RDP via een gateway of een ander gecodeerd beheerpad.

Op Linux zijn Telnet-serverpakketten meestal niet nodig en moeten uitgeschakeld blijven. Als een oudere daemon moet worden uitgevoerd, bind deze dan aan een privé-interface en beperk de toegang met firewalld, ufw, nftables, iptables of een op een host gebaseerde toelatingslijst.

Schakel Telnet uit op netwerkapparaten en -apparaten wanneer SSH- of HTTPS-beheer beschikbaar is. Als leveranciersbeperkingen Telnet afdwingen, plaatst u het apparaat op een beperkt beheernetwerk en documenteert u de uitzondering zodat deze tijdens de volgende vernieuwingscyclus kan worden verwijderd.

Begin met een externe poortcontrole aan de hand van de hostnaam of het IP-adres en poort 23. Als het resultaat open is, kan een externe client een TCP-verbinding tot stand brengen met de Telnet-listener. Dat betekent niet dat het veilig is om in te loggen vanaf het openbare internet.

Vanaf een vertrouwd netwerk kunt u de banner testen met telnet host 23, nc -vz host 23 of ncat. Inspecteer de servicestatus en firewallregels op de server of het apparaat. Controleer voor apparaten de beheerinstellingen, omdat Telnet mogelijk afzonderlijk van SSH of webbeheer kan worden ingeschakeld.

Als poort 23 gesloten is, is Telnet mogelijk uitgeschakeld, ondersteunt het apparaat mogelijk alleen SSH, is de service mogelijk gebonden aan een beheerinterface of blokkeert een firewall het pad. Als er een time-out optreedt, kan het verkeer worden geblokkeerd door een router, ACL, VPN-beleid, cloudfirewall of bron-IP-beperking.

Als de poort open is maar inloggen mislukt, controleer dan het gebruikersnaamformaat, de wachtwoordstatus, de toegangsklasseregels voor het apparaat, lokale versus directoryverificatie, lijnconfiguratie en vergrendelingsinstellingen. Op netwerkapparatuur verklaren VTY-lijnbeleid of ACL's op managementvlak vaak de storing.

Schakel Telnet uit waar mogelijk. Vervang het door SSH, HTTPS-beheer, alleen-VPN-toegang, seriële console of tools van leveranciers. Verwijder standaardaccounts, roteer gedeelde wachtwoorden en houd de apparaatfirmware actueel totdat de Telnet-afhankelijkheid verdwenen is.

Als Telnet moet blijven bestaan, isoleer het dan van gebruikersnetwerken en internet, registreer toegangspogingen, controleer onverwachte bronadressen en documenteer eigendom. Behandel elke Telnet-uitzondering als een tijdelijke operationele schuld, en niet als een normaal beheerpatroon.