Руководство по порту Telnet: устаревший удаленный доступ к порту 23

Telnet открывает TCP-соединение и представляет текстовый терминальный сеанс. После того, как сервер принимает соединение, клиент и сервер могут согласовать параметры терминала, затем пользователь отправляет команды и получает выходные данные в виде обычного текста.

Именно эта простота является причиной того, что Telnet выжил в сфере управления устройствами, лабораториями, производственным оборудованием и старыми приборами. Именно поэтому это рискованно: без отдельного зашифрованного туннеля любой, кто может перехватывать трафик между клиентом и сервером, может читать учетные данные и команды.

SSH заменил Telnet в большинстве случаев удаленного администрирования, поскольку SSH шифрует сеанс, проверяет ключ хоста сервера и поддерживает более надежную аутентификацию. SSH обычно использует TCP-порт 22, а Telnet обычно использует TCP-порт 23.

Если устройство поддерживает SSH, используйте SSH вместо Telnet. Сохраняйте Telnet только для систем, которые не могут быть обновлены, для изолированного доступа к лаборатории или для коротких экстренных рабочих процессов, когда компенсирующие средства управления уже установлены.

Telnet по-прежнему присутствует на старых маршрутизаторах и коммутаторах, системах УАТС, внеполосных консольных серверах, системах управления зданиями, промышленных контроллерах, массивах хранения данных, принтерах и устройствах поставщиков, которые были разработаны до того, как SSH стал стандартом.

Он также используется в качестве простого диагностического клиента для необработанных служб TCP, хотя современные инструменты, такие как nc, ncat, curl, openssl s_client и специально созданные клиенты протоколов, обычно обеспечивают лучшую видимость и меньше сюрпризов.

Порт 23 практически никогда не должен быть открыт для общего доступа в Интернет. Public Telnet привлекает автоматическое сканирование, атаки с использованием пароля по умолчанию, активность ботнетов и оппортунистический захват устройств. Если служба Telnet доступна за пределами доверенной сети, рассматривайте это как срочную проверку.

Если Telnet неизбежен, ограничьте его управляющей VLAN, VPN, узлом-бастионом, Jump Box, сетью последовательной консоли или списком разрешенных IP-адресов источника. Цель состоит в том, чтобы сделать Telnet доступным только для тех людей и автоматизации, которые действительно в нем нуждаются.

Прежде чем разрешить TCP 23, подтвердите, почему Telnet все еще требуется и могут ли его заменить SSH, управление HTTPS, API поставщика или последовательная консоль. Затем определите, кто должен подключаться, из какой сети, как долго и какие журналы доступны.

Средство проверки портов может сказать вам, доступен ли TCP 23 извне, но оно не может сказать вам, безопасны ли учетные данные или поддерживает ли устройство современные средства управления доступом. Проверяйте действительный путь входа только из доверенной сети и избегайте отправки реальных паролей по ненадежным ссылкам.

В Windows клиент Telnet можно включить для тестирования, но сервер Telnet не следует использовать для обычного администрирования. Если системе Windows требуется удаленный командный доступ, используйте PowerShell Remoting, SSH, RDP через шлюз или другой зашифрованный путь управления.

В Linux пакеты сервера Telnet обычно не нужны и их следует оставить отключенными. Если необходимо запустить устаревший демон, привяжите его к частному интерфейсу и ограничьте доступ с помощью firewalld, ufw, nftables, iptables или списка разрешений на основе хоста.

На сетевых устройствах и устройствах отключите Telnet, если доступно управление SSH или HTTPS. Если ограничения поставщика вынуждают использовать Telnet, поместите устройство в сеть управления с ограниченным доступом и задокументируйте исключение, чтобы его можно было удалить во время следующего цикла обновления.

Начните с проверки внешнего порта по имени хоста или IP-адресу и порту 23. Если результат открыт, удаленный клиент может установить TCP-соединение с прослушивателем Telnet. Это не означает, что вход в систему из общедоступного Интернета безопасен.

Из доверенной сети вы можете протестировать баннер с помощью telnet хоста 23, nc -vz хоста 23 или ncat. На сервере или устройстве проверьте состояние службы и правила брандмауэра. Для устройств проверьте настройки управления, поскольку Telnet может быть включен отдельно от SSH или веб-администрирования.

Если порт 23 закрыт, Telnet может быть отключен, устройство может поддерживать только SSH, служба может быть привязана к интерфейсу управления или брандмауэр может блокировать путь. Если время истекло, маршрутизатор, ACL, политика VPN, облачный брандмауэр или ограничение исходного IP-адреса могут отбрасывать трафик.

Если порт открыт, но вход невозможен, проверьте формат имени пользователя, состояние пароля, правила класса доступа к устройству, аутентификацию локального и каталога, конфигурацию линии и настройки блокировки. На сетевом оборудовании сбой часто объясняется политикой линии VTY или списками ACL уровня управления.

Отключите Telnet везде, где это возможно. Замените его SSH, управлением HTTPS, доступом только через VPN, последовательной консолью или инструментами поставщика. Удалите учетные записи по умолчанию, поменяйте общие пароли и поддерживайте актуальность прошивки устройства до тех пор, пока зависимость Telnet не исчезнет.

Если Telnet необходимо сохранить, изолируйте его от пользовательских сетей и Интернета, регистрируйте попытки доступа, отслеживайте неожиданные исходные адреса и документируйте право собственности. Рассматривайте каждое исключение Telnet как временную операционную задолженность, а не как нормальную модель управления.