Telnet服务器安全

单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,Telnet服务器安全,1,1. 什么是远程登录,以前，很少有人买得起计算机，更甭说买功能强大的计算机了。所以那时的人采用一种叫做Telnet的方式来访问Internet：,也就是把自己的低性能计算机连接到远程性能好的大型计算机上，一旦连接上，他们的计算机就仿佛是这些远程大型计算机上的一个终端，自己就仿佛坐在远程大型机的屏幕前一样输入命令，运行大机器中的程序。人们把这种将自己的电脑连接到远程计算机的操作方式叫做“登录”，称这种登录的技术为Telnet（远程登录）。,2,2 今天的Telnet,Telnet已经越用越少了。主要有如下三方面原因：,第一，个人计算机的性能越来越强，致使在别人的计算机中运行程序要求逐渐减弱。,第二，Telnet服务器的安全性欠佳，因为它允许他人访问其操作系统和文件。,第三，Telnet使用起来不是很容易，特别是对初学者。,3,Telnet的工作原理,当你用Telnet登录进入远程计算机系统时，你事实上启动了两个程序，一个叫Telnet客户程序，它运行在你的本地机上，另一个叫Telnet服务器程序，它运行在你要登录的远程计算机上，本地机上的客户程序要完成如下功能：,1) 建立与服务器的TCP联接。,2) 从键盘上接收你输入的字符。,3) 把你输入的字符串变成标准格式并送给远程服务器。,4) 从远程服务器接收输出的信息。,5) 把该信息显示在你的屏幕上。,远程计算机的“服务”程序通常被称为“精灵”，它平时不声不响地候在远程计算机上，一接到你的请求，它马上活跃起来，并完成如下功能：,1) 通知你的计算机，远程计算机已经准备好了。,2) 等候你输入命令。,3) 对你的命令作出反应（如显示目录内容，或执行某个程序等）。,4) 把执行命令的结果送回给你的计算机。,5) 重新等候你的命令。,4,4 黑客的最爱,当终端服务这个基于图形界面访问的服务推出之后，现在已经很少有人利用Telnet服务进行远程访问和远程办公了。但是Telnet服务却摇身一变成为了黑客的最爱。据统计，被黑客利用得最多的一个系统服务，就是Telnet服务。,黑客为什么不喜欢使用同样基于远程访问，并且更加方便直观的终端服务，而偏爱Telnet服务呢?难道因为黑客就喜欢在黑乎乎的命令窗口中操作吗?,因为使用Telnet服务进行远程控制更加隐蔽，对系统的资源消耗也非常小，并且只需要一个命令即可开启和关闭它。所以对于网络安全来讲Telnet服务是一个非常危险的服务。,5,4 使用telnet能干什么,Telnet是控制主机的第一手段,如果 入侵 者想要在远程主机上执行命令，需要建立IPC$连接，然后使用net time命令查看系统时间，最后使用at命令建立计划任务才能完成远程执行命令。虽然这种方法能够远程执行命令，但相比之下，,Telnet方式对 入侵 者而言则会方便得多。 入侵 者一旦与远程主机建立Telnet连接，就可以像控制本地 计算机 一样来控制远程 计算机 。可见，Telnet方式是 入侵 者惯于使用的远程控制方式，当他们千方百计得到远程主机的管理员权限后，一般都会使用Telnet方式进行登录。,用来做跳板,入侵 者把用来隐身的肉鸡称之为“跳板”，他们经常用这种方法，从一个“肉鸡”登录到另一个“肉鸡”，这样在 入侵 过程中就不会暴露自己的IP地址,6,5 删除Telnet服务,Telnet服务使用Telnet协议传输，在系统中使用的默认端口为TCP23端口。由于Telnet协议是集成在TCP/IP协议中的，所以我们无法使用删除协议的办法来禁止Telnet服务。,7,6 Telnet的攻,1.开启Telnet服务,要想利用系统当中的Telnet服务必须先开启Telnet服务，因为在默认情况下Telnet服务是被系统所禁止的。所以当黑客使用缓冲溢出，IPC等方法拿到远程主机的Shell之后，必须开启Telnet服务。,8,6.2 Telnet的攻,2.利用Telnet服务,那么是不是启动了Telnet服务，黑客就可以利用Telnet服务连接到远程主机中去了呢?在命令行窗口中键入“telnet IP”命令，如telnet 192.168.0.3，这时命令行窗口会出现,9,6.2 Telnet的攻,NTLM验证：,因为用户没有通过远程主机的NTLM验证。正是利用NTLM这个基于WorkGroup网络当中的身份验证协议，使得黑客不能轻易地利用到Telnet服务，这时即使黑客知道了Telnet服务器的管理员用户名和密码，他仍然通不过NTLM验证，这无疑给系统带给了一定的安全性。,10,6.3 突破NTLM验证,黑客知道了Telnet服务器上的一个管理员组的用户名和密码(如用户名为xiewe,i,密码为12345)，,那么黑客可以在自己的系统中建立一个用户名和密码与之相同的管理员组用户。,然后将cmd命令行的运行方式改成新建的用户。 确定之后在打开的命令行窗口中，连接Telnet服务器，就可以非常顺利地通过NTLM验证。,可以上传一些第三方的工具，如Ntlm.exe，然后执行这一工具也可以删除NTLM验证。,11,7防 全面封锁Telnet服务,1.管理好用户的密码,最简单的方法，管理好本机系统当中的用户名和密码，如果用户名和密码无法被黑客取得，那么黑客将很难利用到Telnet服务。,2.修改服务端口,从前面的内容中大家可以了解到Telnet服务使用的是系统的23端口，如果我们修改了Telnet服务的默认端口，无疑隐藏了Telnet服务的入口点，给系统带来了一定的安全保障。,3.禁用Telnet服务,12,7.1 终级防御,Telnet服务管理器,13,7.1 终级防御,第四项：Default Shell,显示Telnet服务所对应的程序。默认值是: %Systemroot%System32Cmd.exe /q /k,Cmd.exe是系统中的命令行窗口，那么当远程用户通过了Telnet验证的话，远程系统就会把自己的Cmd.exe调给远程用户使用，这就是为什么使用Telnet能够拿到远程主机命令控制权限的最根本原因。,14,7.1 终级防御,Telnet服务管理列表中的选项4“DefaultShell”，就会提示我们是否更改Telnet服务的默认设置，选择“Y”，并且把Telnet服务对应的默认程序改为一个未知的文件，如: %SystemRoot%system32xiewei.exe，设置好之后重新启动服务。,管理员用户Administrator，密码为12345，开启了Telnet服务，NTLM验证也被突破，那么使用 “Telnet IP”连接到这台系统，这时会提示键入远程系统的用户名和密码，证明已经通过了NTLM验证，在正确地输入用户名密码之后，系统仍然提示“失去了跟主机的连接”。,15,