image

Telnet-aanvallen terug van weggeweest

donderdag 27 januari 2011, 16:24 door Redactie, 17 reacties

Poort 445 is nog altijd de meest aangevallen poort op het internet, maar ook aanvallen op Telnet poort 23 zijn weer terug van weggeweest. Dat blijkt uit het 'State of the Internet' rapport van internetgigant Akamai. Het grote aantal aanvallen op Telnet is opmerkelijk, aangezien het oude protocol als onveilig wordt beschouwd en in SSH een veiliger alternatief heeft. Akamai geeft geen verklaring voor de verdubbeling van het aantal aanvallen. Het laat wel weten dat poort 23 veruit de meest aangevallen poort in Egypte, Peru en Turkije is. In totaal was poort 23 goed voor 17% van de aanvallen, terwijl dat een kwartaal eerder 9% was.

"Het is onduidelijk of er een gemeenschappelijke overeenkomst is die deze drie landen verbindt, of dat de geobserveerde aanvallen brute-force inlogpogingen waren of ander botnet-gerelateerd verkeer", aldus het rapport. Dat meldt verder dat er ook veel aanvallen vanaf mobiele netwerken afkomstig zijn. Die worden niet veroorzaakt door besmette telefoons, maar door geïnfecteerde computers die via mobiele apparaten verbinding maken.

Ondanks de plotselinge toename van Telnet-aanvallen, ligt poort 445 nog altijd het meest onder vuur, hoewel het aandeel wel kleiner is geworden. Ging het in kwartaal twee van vorig jaar nog om 62%, een kwartaal later was het 56%. Poort 445 wordt gebruikt door Microsoft Directory Services en was vooral het doelwit van de Conficker worm.

Reacties (17)
27-01-2011, 16:29 door SirDice
Het grote aantal aanvallen op Telnet is opmerkelijk, aangezien het oude protocol als onveilig wordt beschouwd en in SSH een veiliger alternatief heeft.
Yep. Probeer dat echter Cisco maar eens duidelijk te maken. Die ondersteunen alleen SSHv1, voor v2 moet je of dik betalen of het kan simpelweg niet op een hoop apparatuur. Het argument is dat je je management over IPSec moet doen (waar je overigens ook extra voor moet betalen). Leuk ook hoor, maar wel eens geprobeerd een IPSec management netwerk aan te leggen met meer dan 10 devices?

Ergo, configuratie en beheer van bijna alle Cisco apparatuur gebeurd gewoon over telnet.
27-01-2011, 16:53 door Syzygy
Door SirDice:
Het grote aantal aanvallen op Telnet is opmerkelijk, aangezien het oude protocol als onveilig wordt beschouwd en in SSH een veiliger alternatief heeft.
Yep. Probeer dat echter Cisco maar eens duidelijk te maken. Die ondersteunen alleen SSHv1, voor v2 moet je of dik betalen of het kan simpelweg niet op een hoop apparatuur. Het argument is dat je je management over IPSec moet doen (waar je overigens ook extra voor moet betalen). Leuk ook hoor, maar wel eens geprobeerd een IPSec management netwerk aan te leggen met meer dan 10 devices?

Ergo, configuratie en beheer van bijna alle Cisco apparatuur gebeurd gewoon over telnet.

[Probeert zonder te lachen te schrijven] Als alternatief heb je natuurlijk de webinterface, moet je wel de tar files hebben
27-01-2011, 17:11 door SirDice
Door Syzygy: Als alternatief heb je natuurlijk de webinterface, moet je wel de tar files hebben
Ook leuk maar werkt niet echt als je 10-15000 routers en switches moet beheren. Perl's Net::Telnet en een CLI is dan toch een stuk eenvoudiger implementeren.
27-01-2011, 17:42 door Syzygy
Door SirDice:
Door Syzygy: Als alternatief heb je natuurlijk de webinterface, moet je wel de tar files hebben
Ook leuk maar werkt niet echt als je 10-15000 routers en switches moet beheren. Perl's Net::Telnet en een CLI is dan toch een stuk eenvoudiger implementeren.

[Probeert zonder te lachen te schrijven] Moet ik het nou speciaal voor JOU nog eens benadrukken ?? !!
27-01-2011, 18:15 door Anoniem
Door SirDice:
Het grote aantal aanvallen op Telnet is opmerkelijk, aangezien het oude protocol als onveilig wordt beschouwd en in SSH een veiliger alternatief heeft.
Yep. Probeer dat echter Cisco maar eens duidelijk te maken. Die ondersteunen alleen SSHv1, voor v2 moet je of dik betalen of het kan simpelweg niet op een hoop apparatuur. Het argument is dat je je management over IPSec moet doen (waar je overigens ook extra voor moet betalen). Leuk ook hoor, maar wel eens geprobeerd een IPSec management netwerk aan te leggen met meer dan 10 devices?

Ergo, configuratie en beheer van bijna alle Cisco apparatuur gebeurd gewoon over telnet.
mijn simpele 2600 series router die allang EOL zijn, doen nog gewoon version 2 :) RTFM en UTFS :$
27-01-2011, 19:04 door Anoniem
SSHv2 draait op alle ISRs (800, 1800, 2800, 3800 en 7200 series) routers en uiteraard de nieuwe next gen's.
Cisco heeft bovendien LMS 4.0 en andere management software voor enterprise networks.
Ik kan me niet voorstellen dat een bedrijf met duizenden devices hier geen geld voor zou hebben.
27-01-2011, 19:34 door Anoniem
Door Syzygy:
Door SirDice:
Het grote aantal aanvallen op Telnet is opmerkelijk, aangezien het oude protocol als onveilig wordt beschouwd en in SSH een veiliger alternatief heeft.
Yep. Probeer dat echter Cisco maar eens duidelijk te maken. Die ondersteunen alleen SSHv1, voor v2 moet je of dik betalen of het kan simpelweg niet op een hoop apparatuur. Het argument is dat je je management over IPSec moet doen (waar je overigens ook extra voor moet betalen). Leuk ook hoor, maar wel eens geprobeerd een IPSec management netwerk aan te leggen met meer dan 10 devices?

Ergo, configuratie en beheer van bijna alle Cisco apparatuur gebeurd gewoon over telnet.

Toch denk ik dat je het Cisco niet kwalijk moet nemen dat er nog steeds incapabele systeembeheerders zijn die er geen wachtwoord of een slecht wachtwoord op zetten.
Als dit laatste het geval is kun je alles nog zo veilig over het lijntje sturen maar dit maakt in de praktijk dus niks uit.
27-01-2011, 20:22 door Preddie
Door SirDice:
Door Syzygy: Als alternatief heb je natuurlijk de webinterface, moet je wel de tar files hebben
Ook leuk maar werkt niet echt als je 10-15000 routers en switches moet beheren. Perl's Net::Telnet en een CLI is dan toch een stuk eenvoudiger implementeren.

Ja ik snap dat Net::SSH::Perl te moeilijk is :P
27-01-2011, 23:09 door Anoniem
vreemd want telnet wordt toch haast niet meer gebruikt?.
Als ik het goed heb,is dat vervangen door ssl verbindingen en ssh omdat het veiliger is.
28-01-2011, 00:59 door Securitate
even een vraagje.
is het niet zo dat de meeste routers standaard van buiten naar binnen voor alles dicht staan?
moet ik dan concluderen dat er mensen zijn die het zelf open zetten?
of betreft het hier specifieke staatsdistributies, proactively insecure?
28-01-2011, 07:38 door WhizzMan
Wie heeft het over cisco? De meeste SoHo routers en breedbandmodems hebben een telnetinterface. De kans dat je daar op binnenkomt is vele malen groter dan dat een ciscobeheerder tegenwoordig z'n telnet nog open laat staan voor alle IPranges.
28-01-2011, 08:20 door N4ppy
http://cirt.net/passwords?criteria=telnet is een leuk startpunt :) inderdaad hoop SoHo spul maar ook (oud) cisco pix

Het is natuurlijk koud kunstje om met een botnet te scannen op open telnet en bingo is gelijk binnen op core component.
28-01-2011, 08:33 door Anoniem
SSH veiliger dan telnet ?
http://code.google.com/p/kippo/
Login met password authentication is net zo onveilig. Gebruik keys.
28-01-2011, 10:51 door SirDice
Door Predjuh:
Door SirDice:
Door Syzygy: Als alternatief heb je natuurlijk de webinterface, moet je wel de tar files hebben
Ook leuk maar werkt niet echt als je 10-15000 routers en switches moet beheren. Perl's Net::Telnet en een CLI is dan toch een stuk eenvoudiger implementeren.

Ja ik snap dat Net::SSH::Perl te moeilijk is :P
Nogal, vooral als je geen SSH hebt draaien en alleen telnet toegang hebt.
28-01-2011, 11:01 door SirDice
Door Anoniem: SSHv2 draait op alle ISRs (800, 1800, 2800, 3800 en 7200 series) routers en uiteraard de nieuwe next gen's.
Er zijn genoeg devices van Cisco die het niet ondersteunen. Niet elke versie IOS of CatOS ondersteunt het. Daar komt nog bij dat wij specifieke IOS/CatOS versies moeten gebruiken i.v.m. bugs en/of features. Of wanneer een dergelijke IOS versie niet geexporteerd mag worden naar een aantal landen. Soms mag daar uberhaubt geen Cisco heen en zijn we aangewezen op bijv. Huawei. Kortom telnet werkt overal en altijd, daar kun je dus op standaardiseren. Iets wat zeker aan te raden is met 15000 devices verspreid over heel de wereld. Uiteraard is de telnet toegang alleen toegestaan vanaf onze management servers.

Cisco heeft bovendien LMS 4.0 en andere management software voor enterprise networks.
Ik kan me niet voorstellen dat een bedrijf met duizenden devices hier geen geld voor zou hebben.
Buiten het geld werkt het spul gewoon niet met zoveel devices (en de daaruit vloeiende complexiteit). LMS is ook bedoeld voor een LAN en niet voor het netwerk wat hier ligt (WAN/MAN/LAN alles door en aan elkaar geknoopt). We hebben diverse (grote) Enterprise oplossingen geprobeerd en ze gingen allemaal vrij snel door de knieën. Dat is ook de voornaamste reden dat we onze eigen management suite hebben ontwikkeld.
28-01-2011, 11:12 door SirDice
Door Anoniem: Toch denk ik dat je het Cisco niet kwalijk moet nemen dat er nog steeds incapabele systeembeheerders zijn die er geen wachtwoord of een slecht wachtwoord op zetten.
Mee eens. Als je dan toch telnet gebruikt zorg dan op z'n minst voor een fatsoenlijk wachtwoord (die ook regelmatig vernieuwd wordt) en zorg ervoor dat het alleen beschikbaar is vanaf je management servers.
29-01-2011, 03:02 door Securitate
heb de zyxel handleiding er nog eens bij gepakt.
een veelgebruikt apparaat.
de webconfigurator is aangesloten op de interne lan interface.
natuurlijk staat er een default wachtwoord op die velen nooit zullen veranderen, mijn model verplicht tot aanpassing.
heb je telnet dan zal deze ook op de interne interface actief zijn.
mogelijk dat ouwere apparaten hiervan afwijken, of dat iemand zelf de toegang wijzigt naar externe interface.
nu is mijn zyxel slechts voor toegang tot provider, erachter staat openbsd/pf.
zouden meer mensen moeten doen, wel zo veilig.
tevens geen last meer van evt chinese, israelische, amerikaanse of wat dan ook backdoors in hard/software.
voor een corporate omgeving kun je een beheerlan opzetten zodat de telnet van minder belang wordt.
wel een zielige vertoning dat je wordt uitgeperst voor noodzakelijke veiligheid door de cisco's onder ons.
openssh bevat een bsd licentie, gratis, dus ook zakelijk.
zelfde geldt voor openvpn met certifikaat, nog eenvoudiger en beter dan ipsec.
om terug te komen op de portscan, welke firewalls staan standaard open op de externe interface?
dat een os open staat is dan hooguit in deze situaties van belang.
dat dit dom is kun je een gebruiker niet kwalijk nemen, moet de leverancier al voor zorgen, ook als het gratis is.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.