Закрыть telnet на роутере

Ограничение доступа к маршрутизатору по telnet или ssh с помощью ACL

Давайте разберёмся, как ограничить доступ к маршрутизатору. Для начала рекомендую прочитать статью об ACL, если вы этого ещё не сделали.

Как не надо делать

Итак, есть маршрутизатор, мы, как администраторы хотим иметь возможность удалённо к нему подключаться по ssh либо telnet, но не хотим, чтобы к нему удалённо подключались злоумышленники и брутфорсили наши пароли. Задача достаточно сложная, если пытаться решить её применением расширенных ACL на интерфейсы маршрутизатора.

Допустим есть роутер с такими интерфейсами:

Чтобы зафильтровать доступ по telnet, на Fa0/0 нам пришлось бы применить такой ACL на вход:

access-list 101 deny tcp any host 192.168.0.1 eq telnet access-list 101 deny tcp any host 192.168.1.1 eq telnet access-list 101 deny tcp any host 192.168.2.1 eq telnet access-list 101 permit ip any any

На Fa0/1 и Fa0/2 надо было бы применить тот же ACL. Так как к маршрутизатору можно подключиться на любой его интерфейс. Например, мы можем находиться в сети, подключенной через Fa0/0 и обратиться к роутеру через интерфейс Fa0/1. Наш трафик заходит через Fa0/0, маршрутизируется на Fa0/1 и там уже происходит подключение по telnet. Поэтому мы и перечислили все интерфейсы. Представьте теперь, что на каждом из интерфейсов уже был свой ACL со своими правилами по фильтрации. В этом случае у нас не получится применить общий ACL 101 на все интерфейсы, надо будет в каждый ACL добавлять три строчки. Представьте, что появился новый интерфейс Fa0/3 (192.168.3.1) – теперь нам надо обойти все созданные ранее ACL и добавить там строчку

deny tcp any host 192.168.3.1 eq telnet

Короче говоря, мы обязательно что-то забудем, да и вообще, так дела не делаются. К счастью, у cisco есть гораздо более простой способ ограничить доступ с каких-то адресов к telnet или ssh.

Как надо делать

Создаём стандартный ACL, в котором перечисляем адреса и сети, из который доступ по telnet надо разрешить. И применяем его непосредственно на line vty 0 4, то есть, на линии виртульного терминала, к которым происходит подключение. Таким образом, не важно, через какой интерфейс маршрутизатора telnet пакеты попадут на роутер, они будут отфильтрованы когда доберутся собственно до vty.

Например, в предыдущем примере, с тремя интерфейсами на маршрутизаторе надо разрешить подключение по telnet с адреса администратора (192.168.1.100), со всех остальных адресов – запретить. Настройка будет выглядеть так:

R1#configure terminal Enter configuration commands, one per line. End with CNTL/Z. R1(config)#access-list 1 permit host 192.168.1.100 R1(config)#access-list 1 deny any R1(config)#line vty 0 4 R1(config-line)#access-class 1 in

ACL 1 — простой ACL, состоящий из двух строк. Применён он на line vty и теперь не важно, откуда пришёл трафик, с какого интерфейса, с какой сети. Когда он дойдёт до VTY, он будет проверен на соответствие ACL и принят, либо отброшен.

Обратите внимание, что ACL применяется на интерфейсе командой access-group, а на vty — командой access-class.

Источник

• 

Мы принимаем к оплате:

«Подарочный сертификат» от нашего Учебного Центра – это лучший подарок для тех, кто Вам дорог! Оплате обучение и подарите Вашим родным и близким обучение по любому из курсов.

«Сертификат на повторное обучение» дает возможность повторно пройти обучение в нашем Учебном Центре со скидкой 1000 рублей!

Как закрыть порт 23 служба telnet tcp на роутере

Запрет сетевой службы TELNET в Keenetic – Keenetic

Вопрос: Антивирусное приложение ESET NOD32 при проверке роутера Keenetic показывает такое сообщение:

«Открытые сетевые службы. Ваш маршрутизатор запускает сетевые службы, которые могут быть использованы другими людьми. Причиной этого может быть неправильная настройка или скомпромитированный маршрутизатор. Проверьте конфигурацию маршрутизатора. Порт 23; Служба TELNET, TCP«.

Действительно ли это является угрозой для моего ПК и домашней сети? Нужно ли с этим что-то делать? И если нужно, то что и как.

Ответ: Антивирусное ПО может показывать похожие сообщения из-за работы стандартной службы TELNET на роутере Keenetic, которая используется для настройки устройства из интерфейса командной строки (CLI). Это уведомление не является компрометирующим фактором. Можно просто не обращать внимание на него.
По умолчанию служба TELNET открыта только со стороны вашей домашней сети, защищена паролем (имя и пароль те же, что и для доступа в веб-конфигуратор) и функцией защиты от перебора паролей. С настройками по умолчанию любые внешние подключения блокируются на уровне межсетевого экрана, а если провайдер вам предоставляет IP-адрес из частного диапазона, то ни одно внешнее подключение к вашему роутеру не пройдет в принципе. Реальную опасность могут создать только приложения внутри сети, которые могут инициировать исходящие соединения и таким образом открыть канал для злоумышленника, то есть приложения, которые запускаются на ваших устройствах.

Если командной строкой вы никогда не пользуетесь, можно полностью заблокировать службу TELNET при помощи межсетевого экрана роутера. Для этого зайдите в веб-конфигуратор интернет-центра и на странице «Межсетевой экран» для интерфейса «Домашняя сеть» добавьте запрещающее правило для протокола «TCP/23 — Удаленный терминал (Telnet)».

После этого доступ для управления командами через протокол TELNET будет закрыт для всех устройств домашней сети.

Решено: больше не могу подключиться по Telnet к маршрутизатору через порт 23 еще раз

больше не может снова подключиться к маршрутизатору через telnet с сервера 192.168.0.102. Был подключен 4 дня назад ОК нет проблем

C: \ Пользователи \ Администратор> telnet 192.168.0.12

Может telnet переключить OK на ip 192.168.0.2

Ошибка:
Подключение к 192.168.0.12 . Не удалось открыть соединение с хостом, на порту 23:
Ошибка подключения

Устранение неисправностей выполнено

Отключили и снова включили Telnet через службы.msc

Неустановленный / переустановленный клиент / сервер Telnet

C: \ Users \ Administrator> tlntadmn \ thebeast config port = 23
Настройки были успешно обновлены.

C: \ Пользователи \ Администратор> пинг 192.168.0.12

Пинг 192.168.0.12 с 32 байтами данных:
Ответ от 192.168.0.12: байты = 32 времени tracert 192.168.0.12

Трассировка маршрута до 192.168.0.12 максимум на 30 переходах

Источник

Порт 23 служба telnet tcp как закрыть на роутере

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Top Posters In This Topic

ska79 31 posts

andrew75 12 posts

Алексей Игуменов 7 posts

Soft 5 posts

Popular Days

Popular Posts

pacman

Как сетевик, могу вам сказать, что telnet доступен только из локальной сети, т.е. подключиться из интернета невозможно, только из локально сети. Но ежели все таки каким-то образом telnet открылся во в

Я хоть и безопасник, но не понимаю зачем париться дома по такому поводу, при условии что ip динамический?

Порт 23 служба telnet tcp как закрыть на роутере

SPI и DMZ не трогайте, пусть так и будут, как были. DMZ лучше выключить, если было включено.

У меня сейчас аппарата под рукой нет, так что могу сказать что-то неточно.

Все надо писать в разделе Firewall rules.

Правило 1: Source от 192.168.0.2 до 192.168.0.254
Dest от 192.168.0.1 до 192.168.0.1
Port range от 23 до 23
Schedule always
Протокол — какой вам нужен (TCP, UDP или оба)
Action Deny

Второе правило — поменять местами Source и Dest, остальное так же.

Поставить слева от правил галочки и сохранить настройки.

По идее это должно полностью запретить прохождение пакетов с любой машины в вашей локальной сети до маршрутизатора и наоборот.

Но между собой машины смогут общаться по порту 23.

PS кажись, я наврал. Надо запрещать пакеты не с/на маршрутизатор, а отовсюду и вовсюда. Но как такое задать — не помню. А проэкспериментировать не могу.

Порт 23 служба telnet tcp как закрыть на роутере

Дорогие пользователи! У нас появился новый форум на платформе tp-link.community (Сообщество)

Форум доступен по ссылке https://community.tp-link.com/ru
Просим Вас отнестись с пониманием к новому форуму, он находится в стадии доработки и в скором времени будет полностью завершен.

Если при регистрации в Сообществе Вы укажете адрес электронный почты, который используете на данном форуме, то Ваши данные будут перенесены на форум Сообщества автоматически.
Также, если на форуме Сообщества Ваш никнейм будет занят, то Вам предложат сменить его или оставить, но с приставкой «_RU».

Убедительная просьба не дублировать темы на старом/новом форуме.

антивирус Eset и служба telnet

антивирус Eset и служба telnet

Сообщение AlexAB » 13 фев 2020, 14:48

Название темы : антивирус Eset и служба telnet
Аппаратная версия устройства : 1
Версия встроенного ПО : 160314 rel.08192
Провайдер : Ростелеком
VPI, VCI по договору с провайдером : vpi 0, vci 35
Описание проблемы : Здравствуйте,
искал по существующим темам этого маршрутизатора TD-W8961N, нет подобных вопросов в обсуждении.

1. антивирус Eset, при проверке wi-fi сети ругается на то, что открыт порт и запущена служба telnet, которой могут воспользоваться «злоумышленники». Вопрос, как предотвратить доступ к запуску telnet, для чего она в этом маршрутизаторе.

2. Второй вопрос, на официальном сайте tp-link роутер TD-W8961N именуется как N300 (и у него одни дрова) и он так же похож на TD-W8961ND (но под него дрова другие) визуально картинка прибора совершенно одинакова, однако упаковочные коробки разные. У меня, как я считал, TD-W8961N (под него и дрова такие загрузил), но по «коробке» — TD-W8961ND (дрова от него не принимает роутер). Как по прибору определить, что в руках (ну кроме тупо надписи на нем)?

3. Третий вопрос, есть ли описание всех настроек для TD-W8961N (D)?, тот файл, что предлагают скачать с оф.сайта, не дает описания всех возможных настроек которые перечислены в самом роутере?

Источник

Закрыть telnet на роутере

Протокол telnet удобен, однако он небезопасен для прослушивания трафика и для взлома. Поэтому доступ к TCP-порту telnet лучше всего ограничить. Ниже это показано на примере.

Имеем роутер (C871), который одним интерфейсом смотрит в Интернет, и по VPN подключается к серверу VPN (ASA-5540) удаленного офиса. Задача — сделать так, чтобы можно было администрировать по протоколу SSH откуда угодно (подключаясь и через Интернет, и через локальную сеть), а по протоколу telnet — только изнутри (подключаясь либо с внутренней сети филиала, либо через канал VPN из офиса с ASA-5540, через её внутреннюю сеть). Проще всего было бы отключить доступ к telnet вообще, например:

(config)#line vty 0 4 (config)# transport input ssh (config)# transport output all

Недостаток этого способа в том, что консоль telnet становится совсем недоступна из всех сетей, в том числе и из внутренних, что не удобно. Решить задачу можно, если наложить access-list на внутренний интерфейс:

ip access-list extended cons-Admin deny tcp any any eq telnet log permit ip any any interface FastEthernet4 ip address 83.219.a.b 255.255.255.248 ip access-group cons-Admin in

Теперь по telnet можно коннектиться только через соединения по внутренней сети (через Интернет нельзя вообще, даже из наших публичных адресов). По SSH можно коннектиться откуда угодно (и через Интернет, и через локальную сеть). Такой вариант настройки хорош тем, что нельзя снаружи засниферить незащищенный пароль telnet, но надо помнить, что пароль к логину должен быть достаточно стойким к подбору (чтобы нельзя было подобрать его снаружи).

Источник