配置并取证:Telnet远程管理协议的工作原理



telnet协议是TCP/IP协议族中的一员,用于Internet远程登录服务的标准协议和主要实现方式。它使用TCP协议的23号端口完成工作,为用户提供在本地计算机上完成配置远程主机、路由器、交换机等网络设备的能力。思科的IOS系统集了Telnet功能,在本地计算机上使用Telnet程序,用它连接到远程设备,本地终端可以在Telnet程序中输入命令,这些命令会在路由器、交换机上运行,给人的感觉就像直接在网络设备的控制台上输入一样。要开始一个Telnet会话,必须输入用户名和密码来登录网络设备。Telnet远程登录服务分为以下几个过程,如9.1所示。


配置并取证:Telnet远程管理协议的工作原理_第1张图片

用户Telnet路由器时,首先完成的是源主机到路由器23号端口的TCP三次握手,当三次握手完成后,才正式地将在源主机上输入的Telnet的密码与指令传送到路由器,并让其执行。Telnet传送指令到路由器时,没有经过任何加密或安全措施,而且是用户从键盘上输入一个字符,就传递一个字符。所以安全性不高,利用协议分析器可轻松获得用户通过Telnet输入的指令。


演示:思科路由器的Telnet远程管理



演示目标:完成在思科路由器上Telnet的配置,并分析Telnet的数据帧。

演示环境:图9.1所示的演示环境。

演示步骤:

第一步:要学会配置路由器上的Telnet服务,首先需要理解Telnet的线序。可以使用show line指令查看路由器上的各种线路序号,如图9.2所示。

配置并取证:Telnet远程管理协议的工作原理_第2张图片

nCTY指示与控制终端(Console线的线路。

nAUX辅助控制终端的线路。

nVTYTelnet专用的线路,共有5条,从物理的线序计数是2~6


注意:“*”表示该线路正在被使用。要配置Telnet首先要进入属于Telnet的线路号。有两种方式可以进入,一种是通过逻辑线序line vty 0 4进入,另一种是通过物理线序line 2 6进入,通过这两种方式都可以配置Telnet,如下所示:


配置并取证:Telnet远程管理协议的工作原理_第3张图片


第二步:开始正式配置路由器上的Telnet服务。在进入Telnet的线路模式后,配置Telnet的指令如下所示。然后可以在192.168.1.1的主机的命令提示符CMD方式下,发起Telnet 192.168.1.1的指令,进行Telnet登录。配置Telnet的指令如下:

Router(config-line)#login * 指示telnet的登录验证。

Router(config-line)#password ccna * 配置telnet的登录密码。

Router(config)#enable password ccna2 * 配置路由器的使能用户的密码。


第三步:使用协议分析器取证Telnet的数据帧。在192.168.1.2的主机开始Telnet 到目标路由器R1(192.168.1.1)之前开启协议分析器,然后再完成Telnet登录,当密码输入完成后,停止协议分析器,可看到如下图9.3所示的数据帧结构。可看到Telnet的三次TCP握手与各个密码的输入情况,可看出Telnet的指令是逐个传递的,而且没有经过任何加密保护。


配置并取证:Telnet远程管理协议的工作原理_第4张图片

注意:通过上述步骤的演示,可得出一个结论:就Telnet服务而言,它的安全性非常脆弱,因为登录的验证密码没有经过任何保护,这样很容易被非法用户所窃取。那么有什么方式可以安全地替代Telnet服务呢?