Главная > Полезное > WiFi-роутер Asus: настройка портов, чтобы трудно было взломать! Как закрыть порты, блокируем протоколы Как же всё-таки не дать взломать роутер.

WiFi-роутер Asus: настройка портов, чтобы трудно было взломать! Как закрыть порты, блокируем протоколы Как же всё-таки не дать взломать роутер.

Недавняя крупнейшая DDoS атака на DNS-серверы компании Dyn на Хабре не прошла незамеченной . Особенностью этого блэкаута стала широкое применение http запросов c IoT устройств и открытый 23-й tcp порт, используемый службой telnet .


Оказывается, телнет жив и хорошо устроился на встроенных системах и приманках. По злому-ли умыслу или человеческому недомыслию что это, глупость или измена? telnet порт был открыт и вовсю гадил у огромного количества IoT устройств, за несколько месяцев до блэкаута, но контр-мер не принимали, пока гром не грянул.

Теоретический минимум

Уязвимость CVE-2016-1000245 - это просто караул. На всех девайсах один и тот же рутовый пароль xc3511, который нельзя изменить так как на системе нет команды passwd . Служба telnet включена и из настроек никак не отключается, разве что удалить инит скрипт из /etc/init.d/rcS .


/etc $ cat passwd root:absxcfbgXtb3o:0:0:root:/:/bin/sh /etc $ cat passwd- root:ab8nBoH3mb8.g:0:0::/root:/bin/sh
All internet-capable XiongMai Technology boards running the DVR/NVR CMS (Also known as
NetSurveillance) enable the telnet service to run on the primary ethernet interface. This service
is run via /etc/rcS and cannot be disabled. The user "root" has a hardcoded and immutable
password of xc3511. These systems do not have the "passwd" tool installed and the root
password cannot be changed from command line nor from the web interface.

Уязвимость CVE-2016-1000246 не уступает первой. Можно обойти ввод учетной записи и пароля, если зайти через http:///DVR.htm .


Many known XiongMai DVRs, NVRs and IP Cameras run "CMS" (also called NetSurveillance) built by XM Technologies. This software is also used by all downstream vendors of XiongMai Technologies. The login page for these devices can be bypassed by simply changing the from http://_IP_/Login.htm to http://_IP_/DVR.htm . This allows you access to view all the camera systems without authentication. Furthermore, there is no logging on the system so user management is not possible. The web-server version on all affected products is the same; “uc-httpd”. All products currently affected by CVE-2016-1000245 are also vulnerable to the authentication bypass.

Надеюсь, что в наших аэропортах не установлены эти самые XiongMai и Dahua .

Итоги

Телнет оказался очень живуч и даже спустя десятилетия после появления ssh не спешит покидать сцену. Он вполне пригоден, даже полезен, если его использовать по назначению - в пределах прямой видимости между клиентом и сервером. Дело, однако в том, что телнет вырвался на волю из серверной, как джин из бутылки и уже начал пошаливать. По чьей вине это случилось?


С моего забора вижу так. Во-первых , основная вина на горе-производителях дырявых IoT устройств и встроенных систем. Все эти XiongMai и Dahua . С опозданием, но производитель отзывает из продажи IP-камеры . Однако, беглый обзор новостей показывает, что PR-отделы китайских компаний и сотрудники министерства коммерции не даром едят свой хлеб.


Мне это отделение известно! Там кому попало выдают паспорта!

Во-вторых , конечно виноваты регулирующие органы - те, кто их сертифицирует и дает положительное заключение. Из отчета Rapid7.


These results all speak to a fundamental failure in modern internet engineering. Despite calls from the Internet Architecture Board, the Internet Engineering Task Force, and virtually every security company and security advocacy organization on Earth, compulsory encryption is not a default, standard feature in internet protocol design. Cleartext protocols “just work,” and security concerns are doggedly secondary.

В-третьих , подрядчики и интеграторы, которые засадили весь мир этими CCTV камерами.
Если не принять законодательные меры, регулирующие ИТ безопасность интернет-утюгов и видеокамер, то блэкауты станут все чаще и круче, как кайдзю.





P. S. Пока набирал текст, возникло сильное желание - проверить домашний роутер nmap-ом и прочими инструментами. Проверил и успокоился, но видимо ненадолго.

Использованные материалы

  1. W. Richard Stevens TCP/IP Illustrated, Volume 1, The Protocols, 1994.

TechnoDrive неоднократно писал о том, что защищать WiFi-роутер необходимо, и что это должно быть главной заботой администратора домашней сети. С чего бы это, спросите вы? Ведь информация на маршрутизаторе обычно не хранится! Это так, однако через роутер проходят ваши данные, и на взломанном устройстве они могут быть перехвачены или перенаправлены. После чего, к примеру, вы предоставите свой логин и пароль вовсе не любимой социальной сети или банку, а введёте его на поддельной страничке злоумышленников (напоминающую нужную лишь дизайном). Недавно автор был свидетелем того, как роутер Asus в домашней сети был взломан в ходе обычного просмотра фильма из Интернета на планшете. Давайте подумаем, как этого можно было избежать?

Для безопасной настройки роутера веб-интерфейса недостаточно

Итак, роутер Asus был взломан через Интернет при обычном просмотре фильма онлайн на планшете в домашней сети. Гаджет, соответственно, был подключён по WiFi. При этом, на планшете использовался фирменный браузер, - без всяких плагинов, - с самой свежей версией модной ОС.

Казалось бы, ничто не предвещало беды! Ведь маршрутизатор был защищён длинным паролем, telnet-доступ (как и администрирование через браузер из Интернета) были заблокированы, беспроводная сеть была доступна только для доверенных MAC-адресов, а для шифрования использовалось технология WPA2-PSK (AES). Идентификатор сети SSID был скрыт (и так далее).

Однако настройка роутера Asus была изменена прямо с веб-страницы «кинотеатра», после чего Интернет пропал, а после перезагрузки роутера связь возобновилась с досадным «нововведением». Пароль для админки роутера уже не работал!

Этот случай ярко продемонстрировал, что должна включать в себя не только обязательные манипуляции с веб-интерфейсом, но и нечто большее!

И связано это с тем, что производители домашних маршрутизаторов не всегда предоставляют новые прошивки вовремя, а со старым программным обеспечением часто содержат известные хакерам уязвимости.

Как же всё-таки не дать взломать роутер?

0. Прежде всего, следуйте инструкциям из текста по ссылке, нужный раздел называется (иначе дальше можно не читать).

1. Тщательно поищите в Интернете, не входит ли производитель вашего WiFi-роутера в заголовки новостей про уязвимости.

Пример запроса на английском языке: «asus router vulnerability» (на русском информация может запаздывать).

Вендор «засветился»? Надо действовать! Причём, действовать даже в том случае, если используется другая модель WiFi-роутера, чем в обзорах (вашу могли не успеть протестировать, либо тестер живёт в стране, где она не продаётся).

Внимание! Дальнейшие действия вы выполняете на свой страх и риск. Автор не может предугадать последствий для всех роутеров всех производителей при настройке всех версий операционных систем. Перепрошивка и iptables - это серьёзно, есть шанс поломать устройство так, что не восстановит и сервисный центр! Особенно это касается перепрошивок!

2. Если засвеченная в Инете уязвимость «лечится» новой прошивкой, попробуйте поменять прошивку. Не торопитесь, внимательнейшим образом прочтите инструкции на сайте производителя!

Совет: под рукой желательно иметь запасной рабочий WiFi-маршрутизатор, если перепрошивка «превратит в кирпич» (или временно сделает недоступным) вашего основного «пациента». Либо, как минимум, нужен альтернативный доступ в Интернет с мобильного устройства, не привязанного к «локалке» и WiFi.

Подсказка: мы не рекомендуем использовать «альтернативные» прошивки, хотя бы потому, что в них уязвимости тоже встречаются. Альтернативные прошивки - это вовсе не панацея против взлома (хотя, конечно, некоторые из них допускают более тонкие настройки безопасности)

Настройка маршрутизатора: вначале - обязательная проверка сброса параметров через выключение и включение

Дальше начинается самое интересное! Чтобы предотвратить взлом роутера, мы вручную защищаем его порты для того, чтобы заражённый планшет, смартфон, Smart TV или «умный холодильник» не смогли добраться до админки WiFi-роутера. Конечно, это не гарантия 100%, но здорово затрудняет работу вредоносным скриптам!

Прежде всего, нужно убедиться в том, что к маршрутизатору есть доступ через Telnet, и что наши новые дополнительные настройки сбросятся, если выключить и включить роутер!

1. Убедитесь в том, что у вас есть доступ к роутеру по Телнету. Для это узнайте IP-адрес роутера. Нажмите «Пуск» - «Выполнить» - введите «cmd» - «Enter» - введите «ipconfig /all» - «Enter». «Основной шлюз» - это и есть айпишник роутера.

Команда для Linux: «route -n», ищите второй IP в первой строке.

2. Попробуйте зайти в роутер через Telnet, наберите в чёрном окне терминала: «telnet IP_адрес_роутера» (к примеру, 192.168.1.2).

Кстати, доступ через Telnet должен быть предварительно разрешён через веб-интерфейс роутера, введите в браузере адрес http://IP_адрес_роутера и поищите эту опцию в настройках (в состоянии Off Телнет точно не будет подключаться).

3. Логин и пароль для Телнета должны быть такие же, как для web-интерфейса управления, и если они «admin/admin» или «admin/1234», то обязательно установите нормальный длинный пароль со спецсимволами и цифрами через web-интерфейс!

Повторяем, вы действуете на свой страх и риск, автор не может гарантировать, что его личный опыт можно успешно повторить на всех возможных роутерах!

5. Давайте попробуем заблокировать какой-нибудь сайт, который вам никогда не понадобится, в целях тестирования работы netfilter и для проверки успешной работы сброса параметров при выключении роутера.

К примеру, пусть этим сайтом будет ’Action For Singapore Dogs’ (asdsingapore.com, IP: 192.185.46.70). Откройте в интернет-браузере адрес asdsingapore.com. Открылся? Теперь введите в терминале команду:

Iptables -I FORWARD -s 192.185.46.70 -j DROP

6. Если роутер не ругается на эту команду, а воспринял её вполне спокойно, то откройте интернет-браузер и попробуйте зайти на сайт asdsingapore.com. Если раньше он ГРУЗИЛСЯ, а теперь - НЕТ, значит вы можете закрывать порты на своём wifi-роутере Asus (или на любом другом, который вы тестируете).

У вас работает netfilter и есть права использовать iptables!

7.САМАЯ ВАЖНАЯ ЧАСТЬ! Выключите WiFi-роутер из сети, а через несколько секунд включите обратно. Если прошла минута, и сайт asdsingapore.com снова ЗАГРУЖАЕТСЯ в браузере, значит, включение и выключение стёрло изменения в iptables и вы можете невозбранно вносить туда свои правки, а потом сбрасывать их (когда понадобится доступ к панели управления ) простым выключением и включением роутера.

8. А вот если asdsingapore.com после манипуляций с iptables НЕ грузится, лучше не экспериментировать дальше! Это говорит о том, что устройство запоминает своё состояние, и неверно введённые команды заставят вас, как минимум, возвращать маршрутизатор к заводским настройкам (процесс описан в инструкции по настройке роутера) или обращаться в сервисный центр.

9.Если же ’Action For Singapore Dogs’ был вами успешно заблокирован, а затем благополучно открылся, введите по телнету новые команды «в чёрном окне», строка за строкой:

Iptables -I INPUT -p udp --dport 443 -j DROP

Iptables -I INPUT -p udp --dport 80 -j DROP

Iptables -I INPUT -p udp --dport 23 -j DROP

Iptables -I INPUT -p udp --dport 22 -j DROP

Iptables -I INPUT -p udp --dport 21 -j DROP

Iptables -I INPUT -p tcp --dport 443 -j DROP

Iptables -I INPUT -p tcp --dport 80 -j DROP

Iptables -I INPUT -p tcp --dport 22 -j DROP

Iptables -I INPUT -p tcp --dport 21 -j DROP

Iptables -I INPUT -p tcp --dport 23 -j DROP ; exit

Подсказка: это не так сложно, ведь «стрелка вверх» позволяет снова открывать предыдущие строки и редактировать их, а затем нужно нажать «Enter». Кроме того, строки можно просто скопировать и выполнить, одну за другой, из текста TechnoDrive в окне терминала.

10. Если вы заходите с 23-го порта Телнетом (это настройка по умолчанию), то после самой последней строчки у вас пропадёт доступ к роутеру и он выйдет из Telnet. Так и должно быть!

Теперь данными портами (21, 22, 23, 80 и 443), по протоколам TCP и UDP не смогут воспользоваться хакеры (даже если взломают пользовательские устройства вашей сети, к примеру, «IP-видеоняню» или «умную лампочку»).

11. А когда вам понадобится войти в админку (панель управления) через браузер, достаточно будет выключить и включить роутер.

Затем внести, при необходимости, через веб-интерфейс, а потом повторить всё то, что было сказано выше про telnet и iptables (за исключением тестирования сайта из Сингапура).

Кстати, если в уязвимостях вашего роутера в Интернете указаны и другие уязвимые порты, к примеру, 9999, нужно внести их в начало списка команд! Рабочий пример:

Iptables -I INPUT -p udp --dport 9999 -j DROP

Iptables -I INPUT -p tcp --dport 9999 -j DROP

Иначе настройка роутера будет неполной, есть шанс взлома маршрутизатора именно через этот порт! Иными словами, ваш производитель мог задействовать для управления устройством и нестандартные порты, тогда правила для iptables надо корректировать. В общем, постарайтесь узнать про недостатки вашего маршрутизатора в Интернете как можно больше!

Что делать, если настроить роутер «до конца» не получается?

Конечно, желательно закрыть все подозрительные порты в WiFi-роутере, поскольку через них обычно подменяют DNS и даже перепрошивают маршрутизаторы.

Оставить открытым, к примеру, стоит UDP-порт для службы DHCP/67 (хотя без DHCP можно обойтись, если сетевые установки на всех устройствах задать вручную). Их текущее состояние, в режиме автоматической настройки (на каждом клиенте), можно выписать - и затем внести IP-адреса в поля для статичной настройки.

Вопрос про UPD для DNS-порта 53 более спорный, тут нужно экспериментировать в зависимости от того, какие DNS-серверы и сетевые настройки вы используете. К примеру, при статических IP (без DHCP) и гугловских DNS-серверах, заданных нами на каждом «клиенте», закрытый по протоколам TCP/UDP порт 53 на роутере Asus на работу сети плохо не влиял.

А если совсем «забить» на настройку роутера?

Если же совсем не настраивать роутер против взлома, как было сказано выше, после вторжения хакеров, к примеру, вы наберёте в браузере на любом устройстве домашней сети online.svoi-bank-doverie.ru, и попадёте на сайт-«обманку», где у вас пытаются вытащить логин и пароль от банковского счёта. Останется надежда только на SMS-верификацию!

WiFi-роутер можно защитить от атак клиентских устройств, защитив сами эти устройства

Что же касается планшетов, то в качестве мер защиты браузеров от атак, затрагивающих роутеры (и не только!) порекомендуем Kaspersky Safe Browser для iOS и AdBlock Plus для Chrome/Chromium.

Также продвинутые технологии защиты обещает обновлённый Яндекс.Браузер .

На Дону беспилотники тоже ищут пропавших

По данным МЧС и МВД России, в стране ежегодно пропадают без вести более 120 тысяч граждан (бóльшая часть быстро находится сама, это важный момент - БЗ). В день это порядка 330 человек, и жизнь многих зависит от эффективности поисков. Ведь особенно часто теряются дети (в этом году на 7% больше) и пожилые люди. Поэтому для поисков используется широкий арсенал технических средств: геолокаторы, тепловизоры - и, разумеется, беспилотники. Эффективность такого комплексного подхода постоянно находит своё подтверждение. Один из недавних примеров - спасение 79-летней жительницы Новошахтинска, заблудившейся в лесу.

Не все пользователи компьютеров знают о наличии скрытых служб, которые позволяют выполнять различные операции без использования специального программного обеспечения. В операционных системах Windows и Linux присутствует служба Telnet. В этом материале будет подробно рассмотрено назначение службы, команды, возможности и как с ней правильно работать.

Что такое Telnet

Telnet – представляет собой средство связи, которое устанавливается между терминальными устройствами. Пример такой связи достаточно простой: персональный компьютер и сервер, который поддерживает подобный тип соединения. Телнет не является каким-либо программным обеспечением, это протокол связи . Но необходимо отметить, что есть некоторые утилиты, которые работают посредством протокола «terminalnetwork».

В недавнем прошлом Телнет был одним из основных способов подключения к сети. Сейчас утилита практически не используется . На сегодняшний день в операционные системы установлены более совершенные протоколы, исключая какие-либо дополнительные действия от пользователя.

Этот протокол связи используется в некоторых операциях:

  • подключение к удаленному рабочему столу;
  • проверка портов на возможность подключения;
  • использование программного обеспечения, которое доступно только на удаленных машинах;
  • применение системных каталогов , которые могут быть открыты только с использованием этого типа протокола;
  • отправка электронной почты без использования дополнительного софта;
  • пользователи, применяя этот протокол позволяет другим юзерам получить доступ к своему персональному компьютеру.

Установка и запуск

Скачивать утилиту не нужно, Telnet встроен в Windows 7/8/10 по умолчанию.

Инструкция по установке и запуску:

Для того, чтобы запустить клиент нужно открыть командную строку:

Предлагаем ознакомиться с видео по установке Телнет в Windows:

Проверка порта

Проверка сетевого порта на наличие доступа к нему персонального компьютера в Telnet:

  • в окне необходимо ввести команду telnetip;
  • далее следует ввести IP адрес компьютера, например, 192.168.1.1. Посмотреть адрес можно в настройках сетевого маршрутизатора;
  • в конце вводим порт FTP «21». Таким образом команда будет выглядеть так: telnet 192.168.0.1 21;
  • после этого появится сообщение об ошибке , если порт недоступен или с просьбой ввести дополнительные данные, если порт открыт.

Команды Telnet

Команды утилиты являются способом взаимодействия с ней. Для отображения списка всех команд , необходимо ввести «help». Далее подробно разберем основные команды:

  • «open» — запрос позволяет выполнить подключение к удаленному серверу;
  • «close» — прерывание процесса подключения к удаленному серверу;
  • «set» — настройка параметров подключения к серверу;
  • «term» — запрос предназначен для указания типа терминала ;
  • «escape» — задает управляющий символ ;
  • «mode» — выбор режима работы ;
  • «unset» — сброс ранее введенных параметров;
  • «start» — запуск сервера;
  • «pause» — временная остановка работы сервера;
  • «continue» — продолжение работы сервера после паузы;
  • «stop» — полное прекращение работы сервера.

Telnet в Linux

Как и в Виндовс, Телнет встроен в операционную систему Linux. Ранее он использовался, как стандартный протокол Telnet, теперь на его место пришел более улучшенный SSH. Как и с предыдущей ОС, утилита в Linux используется для проверки портов, маршрутизаторов и т.д.

Рассмотрим основные режимы работы:

  • «построчный ». Данный режим работы является рекомендованным. В этом случае редактирование запроса осуществляется на локальном ПК и отправляется на сервер только в том случае, когда она готова;
  • «посимвольный ». Каждый набранный символ в окне консоли отправляется на удаленный сервер. Здесь нельзя осуществить редактирование текста. При удалении символа с помощью «Backspace», он тоже будет отправлен на сервер.

Базовые команды в Linux:

  • «close» — прерывание подключения;
  • «encrypt» — включение шифрования;
  • «logout» — выключение утилиты и закрытие соединения;
  • «mode» — выбор режима работы;
  • «status» — состояние соединения;
  • «send» — отправка запроса телнет;
  • «set» — настройка параметров сервера;
  • «open» — подключение к удаленному серверу;
  • «display» — отображение специальных символов.
  • в окне консоли вводим запрос для проверки доступности сервера , например, «telnet 192.168.1.243»;
  • далее проверим доступ к порту путем ввода запроса «telnet localhost 122» и «telnet localhost 21». На экране консоли появится сообщение о том принимает ли соединение какой-либо из портов;
  • пример удаленного управления с помощью телнет. Для этого необходимо ввести в главном окне запрос «telnet localhost 23». «23» порт используемый по умолчанию. Чтобы произвести удаленное управление, необходимо установить на локальный компьютер «telnet-server». После этого появится сообщение с требованием ввода логина и пароля.

Недостатки Telnet

Главным недостатком данного протокола является – удаленное соединение без использования шифрования . Единственным моментом безопасности является авторизация пользователей в сессии телнет. Но тем не менее логин и пароль также передаются в незашифрованном виде, тем самым доступ к ним можно так или иначе получить. Настоятельно не рекомендуется передавать какие-либо важные данные в локальных сетях.

Прогресс - явление, не знающее остановок. В области информационных технологий изменения происходят каждый день: появляются новые продукты, уходят в прошлое отжившие свое сервисы. Но есть инструменты, которые до сих пор пользуются популярностью несмотря на появившуюся альтернативу. Ярким примером является протокол Telnet. Что такое Telnet и как его использовать?

Немного истории: когда и для чего появился Telnet?

Telnet появился более 40 лет назад, вскоре после установки первого сервера ARPANET. Это один из наиболее старых протоколов сети Интернет. В эпоху, когда не было и в помине, а первые сети уже появились, необходимость в удаленном подключении к устройствам диктовала свои требования. Первое решение появившейся проблемы, как и все последующие, позволяло работать на удаленном устройстве как на своем. В интерфейсе стал доступен весь функционал, поддерживающийся Достаточно лишь получить необходимый уровень доступа и знать команды Telnet. Что такое и для чего нужен этот протокол мы разобрались. Но как на сегодняшний день реализуется подключение Telnet?

Запуск терминала. Включение необходимых служб

В современных операционных системах семейства Windows, перед тем как запустить Telnet, необходимо проверить, установлен ли данный компонент в системе. Сделать это несложно. Для Windows 7, самой распространённой на сегодняшней день операционной системы, необходимо выполнить приведенную ниже последовательность действий:

  1. Выбрать пункт "Панель Управления" или Control Panel в меню "Пуск" (Start).
  2. В открывшемся окне выбрать пункт "Программы". В английской версии системы это будет Programs.
  3. Переходим на вкладку "Включение или отключение компонентов Windows" (Turn Windows features on or off). Система составляет список всех доступных компонентов. Уже установленные будут отмечены флажками. Этот процесс может затянуться на несколько минут.
  4. После того как подгрузится список, необходимо найти пункт Telnet-клиент. В меню есть и Telnet-сервер, но к этому мы вернемся чуть позже. Если галочка напротив нужного нам пункта не стоит, ее нужно поставить.
  5. После нажатия кнопки "ОК" система начнет устанавливать необходимые составляющие для правильной работы протокола. На это может потребоваться некоторое время, но на современных компьютерах процесс вряд ли займет больше минуты. Таким образом, вопрос, как включить Telnet, был решен в 5 простых шагов.

Служба Telnet: и клиент Telnet?

Чуть выше уже упоминались оба понятия из заголовка. Как и у множества других приложений, в Telnet различают клиентскую и серверную части. Однако сервер Telnet - вовсе не обязательно сервер в общем понимании этого слова. Компьютер, с которого осуществляется подключение, принято считать клиентом, устройство, к которому осуществляется данное подключение, будет сервером. Это может быть маршрутизатор, компьютер, или любой другой хост, поддерживающий управление с командной строки. Если речь идет об удаленном администрировании персонального пользовательского компьютера или сервера, Telnet-порт должен быть открыт. Часто его закрывают в целях безопасности, поэтому при попытке установить сессию появится сообщение об ошибке. Для проверки открытых и закрытых портов можно использовать специальную утилиту либо веб-сервис. Стандартный Telnet порт - 23. Если вы хотите не только самостоятельно подключаться к другим компьютерам, но и разрешить администрирование вашего ПК посредством Telnet, то в той же оснастке операционной системы необходимо поставить галочку и напротив компонента сервера Telnet. Аналогичным образом должны быть настроены те ПК и серверное оборудование, которые вы администрируете.

Программы для работы с Telnet

После запуска всех необходимых служб Telnet можно смело начинать работу с помощью встроенного инструмента Windows - командной строки. Вызывается она из меню "Пуск", либо щелчком мыши по соответствующему пункту, либо быстрым набором (cmd). Желательно всегда запускать командную строку с правами пользователя "Администратор" (либо локальный, устройства на котором вы работаете, либо доменный). В этом случае вам не придется перезапускать приложение, если потребуется повышение прав. Помимо имеющегося инструмента самой операционной системы, существуют и сторонние программы, позволяющие осуществлять доступ по Telnet-протоколу. Самой популярной из них является Putty. Наряду с ней пользуются успехом и другие приложения, работающие под разными операционными системами, такие как TeraTerm, AnyConnect, DTelnet, EasyTerm, KoalaTerm и многие другие. Какой программой пользоваться, каждый решает сам, в зависимости от личных предпочтений, требований к интерфейсу и т. д. Существенных отличий в плане функциональности между ними нет, и быть не может. Каждая из утилит реализует весь доступный список команд Telnet.

Telnet-команды: как разобраться?

Опытному не составит труда в считаные минуты установить необходимые компоненты (если они не были проинсталлированы ранее), открыть Telnet-сессию и выполнить всю настройку удаленного хоста. Однако есть и новички, которые видят консоль чуть ли не в первый раз в жизни. Как узнать список доступных команд в Telnet? Что такое WONT AUTH или SET LOCALECHO? Все не так сложно, как кажется поначалу. Во-первых, всегда надо помнить о том, что в любом командном интерфейсе есть встроенная справка. Она бывает доступна по стандартным ключам, например, help или «?». Во-вторых, учитывая, насколько старый в сети можно найти бесконечное множество ресурсов с полезной информацией по синтаксису. Таким образом, переживать совершенно не о чем. А практика показывает, что с помощью нескольких строк команд результата добиться намного легче в большинстве случаев. И уже через несколько сессий вы с уверенностью будете набирать нужные команды без обращений к синтаксис-помощнику.

Telnet на сетевых устройствах

Мы уже говорили о том, что с помощью протокола Telnet можно управлять не только компьютерами, но и самыми различными сетевыми устройствами. Наиболее часто встречающийся класс таких устройств — это маршрутизаторы. Так что такое Telnet в роутере, для чего он нужен, как его включить?

В зависимости от производителя и конкретной модели включить доступ по Telnet можно по-разному. Вы можете зайти на роутер по веб-интерфейсу либо через консоль. В первом случае вам нужно будет найти пункт удаленного администрирования, где разрешается тот или иной вид подключения (Telnet, ssh). Во втором случае доступ может быть предоставлен посредством командной строки. Каждый администратор выбирает удобный для себя сценарий. Однако встречаются маршрутизаторы, в которых реализован только один из двух возможных вариантов первоначального подключения, например, доступен лишь веб-интерфейс. Администратору, привыкшему к работе с консолью, будет достаточно некомфортно искать пункт, где нужно поставить заветную галочку, но в действительности ничего сложного в этом нет. Интерфейс большинства современных роутеров достаточно понятен. Названия пунктов меню говорят сами за себя, минималистический дизайн не позволит запутаться.

Преимущества Telnet-сессий

К этому моменту мы в достаточной мере ознакомились с технологией, чтобы поговорить о достоинствах и недостатках Telnet. Каким бы удачным ни был продукт, нельзя говорить о том, что он абсолютно лишен минусов. А если речь идет о службе, которая была выпущена в самом начале 70-х годов прошлого века, забывать об этом факте и вовсе не стоит.

Из очевидных плюсов обязательно нужно отметить простоту, быстроту и удобство протокола. Меньше чем за минуту удобный клиент обратится к выбранному вами TCP-порту сервера и создаст эмуляцию локального терминала. Выше мы говорили о стандартном 23 рабочем порте. На самом деле и «прослушивать», и «разговаривать» по Telnet можно на любом порте. Именно в этом и заключается гибкость работы протокола.

По сравнению с другими протоколами удаленного администрирования Telnet менее требователен к процессору. С современными темпами развития этот плюс может показаться незначительным, но лишь на первый взгляд. Наряду с развитием техники, не стоят на месте и компании, выпускающие программное обеспечение. Приложения становятся все более громоздкими, требуют все больше места на жестком диске, больше оперативной памяти, более мощные процессоры. Утилита, которая на фоне остального установленного ПО будет потреблять незначительное количество системных ресурсов, придется как нельзя кстати.

Недостатки Telnet-протокола

Основной и часто приводимый недостаток Telnet - доступ к удаленному устройству осуществляется по незашифрованному каналу связи. Единственной преградой для злоумышленника служит аутентификация пользователя в момент открытия Telnet-сессии, то есть требование логина и пароля. Однако эти данные также передаются в незашифрованном виде. Поэтому, если кто-то задастся целью взломать доступ по Telnet, ему достаточно ненадолго запустить packet sniffer (программное обеспечение для «отлова» пакетов). Через какое-то время администратор откроет свою Telnet-сессию и сообщит удаленному серверу логин и пароль, которые тут же будут перехвачены злоумышленником в открытом виде. В этом разрезе альтернативой Telnet является SSH (защищенное соединение). Поэтому не рекомендуется использовать Telnet в сетях широкой доступности, например, вне вашей защищенной локальной сети офиса. Кроме того, следует помнить о том, что соединение с сервером может быть прервано.

Заключение. Использовать или нет?

Безусловно, за более чем четыре десятилетия появились и другие способы удаленного администрирования. Большой популярностью пользуется SSH. Казалось бы, Telnet должен был исчезнуть уже давно. Но он по-прежнему востребован, все так же используется. Если следовать определенным принципам безопасности, не забывая о том, что ваша локальная сеть должна быть надежно защищена от проникновения извне, использование Telnet не причинит вреда вашему оборудованию. При халатном отношении к безопасности не спасет ни SSH, ни любая другая технология.

Telnet используется до сих пор в таких сферах, как подключение к базам данных, проверка доступности сетевых устройств (маршрутизаторов и коммутаторов), серверного оборудования и т. д.


Рекомендуем также