Portar

Port 23: Telnet

Äldre fjärrterminal i klartext. Mestadels osäkert förutom i hårt kontrollerade labb.

Var du ser detta: Du ser detta i skanningar, brandväggsregler, sårbarhetsrapporter och tjänstkonfigurationer. Behandla öppna portar som exponeringspunkter och verifiera att tjänsten är förväntad, härdad och begränsad.

Vad det är

TCP port 23 används traditionellt av Telnet för fjärrterminalåtkomst. En port är ett transportlagernummer som används tillsammans med en IP-adress och ett protokoll som TCP eller UDP för att dirigera trafik till rätt tjänst på en värd.

En serverprocess binder en socket till en port och lyssnar, medan en klient vanligtvis väljer en tillfällig källport för utgående anslutningar. Kombinationen av käll- och destinations-IP-adresser, käll- och destinationsportar och transportprotokollet identifierar unikt ett flöde så att operativsystemet kan hålla många konversationer åtskilda.

Brandväggar, NAT och skannrar talar om portar eftersom destinationsporten är den stabila mötespunkten som exponerar en tjänst för nätverket. En Telnet-server lyssnar på port 23 och en klient öppnar en TCP-anslutning från en tillfällig källport till destinationsport 23.

Efter handskakningen flyter tangenttryckningar och utdata som vanlig text utan inbyggd kryptering. I praktiken betyder det att användarnamn, lösenord och kommandon kan läsas eller ändras av alla som kan observera eller avlyssna trafiken på vägen.

Det är därför Telnet till stor del är äldre idag och ersätts av SSH på port 22 för säker administration. Om du fortfarande hittar 23 öppna, indikerar det ofta äldre nätverksutrustning, labbmiljöer eller felkonfigurerade hanteringsgränssnitt som bör isoleras.

Hur det fungerar i stora drag

  1. Klienten ansluter och börjar omedelbart skicka tangenttryckningar och ta emot terminalutdata.
  2. Valfri Telnet alternativförhandling kan justera terminalbeteende, men det lägger inte till konfidentialitet.
  3. Autentisering och kommandon körs helt i klartext om inte en extern tunnel används.

Konkret exempel

En tekniker ansluter till en switch från ett WiFi-nätverk. Alla i samma segment med en sniffer kan fånga inloggningen och återanvända den, vilket är anledningen till att moderna enheter som standard är SSH.

Varför det är viktigt

Telnet spelar roll eftersom du fortfarande hittar det på gammal nätverksutrustning, inbäddade enheter och labbmiljöer. Ur ett säkerhetsperspektiv är en exponerad Telnet-tjänst nästan alltid ett problem eftersom referenser kan fångas och sessioner kan kapas.

Säkerhetsperspektiv

  • Inaktivera Telnet och använd SSH istället.
  • Om du inte kan ta bort det, begränsa till ett hanteringsnätverk och lägg till stark övervakning.
  • Leta efter Telnet i skanningar och loggar eftersom det ofta indikerar föråldrade enheter.

Vanliga fallgropar

  • Använder Telnet på delade nätverk där angripare kan sniffa trafik.
  • Lämnar standardinloggningsuppgifter på enheter som exponerar Telnet.
  • Att anta ett privat VLAN betyder säkert. Många interna hot börjar inuti nätverket.