Telnet Dienst ein Sicherheitsrisiko?

[Grillwetter]

Hallo,

ich hab unter Win7 den Telnet-Clienten-Dienst aktiviert, um darüber mit einem Mailserver zu kommunizieren, no problemo.

Bin mir grad nicht sicher, wie die Sicherheitsbedenken einzustufen sind, die im Zusammenhang mit Telnet immer erwähnt werden., von wegen Passwörter im Klartext und so. Das bedeutet ja, daß Dritte mit Sniffer-tools sowas mitlesen können, ok.

Was ist denn, wenn der Dienst gar nicht verwendet wird? Bedeutet das irgendwelche Gefahren an meinem Ende? Sollte der Dienst wieder deaktiviert werden.

Besten Dank!

 

[Lawnmower]

Das Sicherheitsbedenken beträfe wohl eher Telnet Server und nicht Clients, ansonsten nutz SSH.

 

[Cool Master]

@Lawnmower

Auch der Client ist betroffen, wie schon gesagt wurde stichpunkt Klartext PW.

@TE

Wie schon gesagt wurde setze auf SSH bzw. SFTP.

 

[conf_t]

Wie "Was ist denn, wenn der Dienst gar nicht verwendet wird?"?
Du schreibst doch, dass du einen Telnet Client verwendest, das ist widersprüchlich!
Wenn du kein Telnet nutzt ist es für den Client-PC egal. Also kein Sicherheitsrisiko, aber wie du sagst, kann man bei Telnet alles mitlesen, solange da keine sensiblen Daten (Passwörter + Benutzernamen) mit transportiert werden, who cares? Aber das wird kaum möglich sein, also ohne User und PW per Telnet klarzukommen.
Jeder geöffnete Port an einem Server stellt immer ein potenzielles Risiko da.

 

[Grillwetter]

Wie "Was ist denn, wenn der Dienst gar nicht verwendet wird?"?
Du schreibst doch, dass du einen Telnet Client verwendest, das ist widersprüchlich!
Wenn du kein Telnet nutzt ist es für den Client-PC egal. Also kein Sicherheitsrisiko, aber wie du sagst, kann man bei Telnet alles mitlesen, solange da keine sensiblen Daten (Passwörter + Benutzernamen) mit transportiert werden, who cares? Aber das wird kaum möglich sein, also ohne User und PW per Telnet klarzukommen.
Jeder geöffnete Port an einem Server stellt immer ein potenzielles Risiko da.

Sorry, hab mich mißverständlich ausgedrückt:
Ich hab Telnet aktiviert, um die Konfiguration meines Outlook zu überprüfen, bzw die Erreichbarkeit des Mailservers zu testen.
Jetzt, wo das Problem gelöst ist, brauche ich Telnet nicht mehr, und da frage ich mich halt, ob es sinnvoll ist den Dienst wieder einzuschläfern.
Ok, die Verwendung von Telnet ist ein Risiko, schon klar.
Aber kann jetzt ein Hacker meinen PC fernsteuern, nur weil auf dem der Telnet Dienst aktiviert ist?
Sprich über den geöffneten Port-blabla krasse Kommandozeilen schreiben und die Festplatte leerfegen?
Das hört sich bestimmt naiv an, ich weiss. Die Warnung von Windows beim aktivieren des Telnet-Dienstes hat mit verunsichert. Da stand irgendwas von Hochgefahr oder so ähnlich. Vlt is es ja besser, das Ding ganz schnell wieder in die Büchse der Pandora zurückzustopfen?

 

[Fr4g3r]

Naja, wenn du es nicht mehr brauchst dann deaktiviere es halt wieder.
Ansonsten kann man da ja auch putty nehmen falls man es doch mal wieder braucht.

 

[HominiLupus]

Es ist kein Dienst, es ist ein Programm: telnet.exe
Es macht nix dieses Programm zu behalten, kein Sicherheitsrisiko. Auch der Test deines Mailservers war normalerweise kein Risiko: da wird nix im Klartext übertragen was auch nicht sonst immer Klartext ist (SMTP).

 

[Grillwetter]

Naja, wenn du es nicht mehr brauchst dann deaktiviere es halt wieder.
Ansonsten kann man da ja auch putty nehmen falls man es doch mal wieder braucht.

Genau das wüßte ich gerne genauer ;-)

Telnet kommuniziert doch über Ports (POP usw), die sind doch sowieso auf jedem PC offen.
Vergrößert die "Installation" von Telnet die Angriffsfläche?

 

[fuyuhasugu]

Die Standardportnummern und auch die Protokolle für POP3 und Telnet unterscheiden sich. Prinzipiell ist jede Tür (aka Port) eine zusätzliche Angriffsfläche, wenn auch erst mal nur theoretisch. Aber bei telnet reicht ja schon das Durchprobieren vieler Name-Passwortkombinationen. Darum gehört es, wenn du es nicht brauchst, abgeschaltet.

 

[lodex]

Telnet ist in deinem Fall ein Programm, ein Client. Mit diesem Programm ist es möglich TCP Verbindungen über entsprechende Ports mit entfernten Diensten aufzubauen und textbasierte Kommandos an diese abzusetzen, wie z.B. ein SMTP Server über Port 25. Diese Kommandos werden in der Regel im Klartext übertragen, weshalb man das mit Vorsicht genießen sollte.

Es gibt aber auch Geräte, wie z.B. Switches, welche sich über einen Telnet-Server, TCP Port 23, fernwarten lassen. In diesem Fall besteht ein konkretes Sicherheitsrisiko, da diese Verbindungen leicht abgehört werden können. Deshalb ist es in einem solchen Fall immer ratsam, den Telnet-Server auf dem Gerät zu deaktivieren und auf beispielsweise eine SSH Verbindung auszuweichen.

 

[conf_t]

Genau: Telnet Client laufen lassen kein Thema, kannst du machen wie du lustig bist, in deinem Fall. Das hat nix mit dem Telnet-Dienst = Telnet-Server zu tun! Der Telnetclient kommuniziert nicht über bereits geöffnete Ports am Client, sondern über offene Ports am Server. Welchen Port du nutzt, musst du angeben, per default ist Telnet aber TCP/23 (am Server). Den Telnet Client aktiviert zu lassen ist ein kleineres Risiko als einen Browser zu installieren, den man eh nicht nutzt.

 

[Grillwetter]

Danke schön für das Licht im Dunkeln! Das heißt also, daß Telnet-Clienten nicht angesprochen werden können, sie keine "Pakete" annehmen und verarbeiten oder so. Also sowas wie:

telnet OPFER-PC 110
* Hello
I'm a hacker, give me root access!
* Ok
harhar!

geht dann nicht. Alles klar, dann bleibts drauf für später

 

[conf_t]

Jepp. Ein Browser ist doch auch kein Webserver, oder?

 

[Lawnmower]

Ausserdem müsste der Telnet Server (im LAN) ja auch noch von aussen (WAN) erreichbar sein was beim Einsatz von einem Router ohne Port Weiterleitung sowiso nicht möglich ist.

Kannst ja das hier mal noch ausführen, der prüft dann welche verbreiteten Ports von aussen (WAN) offen sind bei Dir bzw deinem Router: http://www.heise.de/security/dienste/Netzwerkcheck-2114.html

 

[fuyuhasugu]

ich hab unter Win7 den Telnet-Clienten-Dienst aktiviert

Ist es nun ein Client oder ein Dienst? Der K(c)lient kann, außer über Sicherheitslücken in ihm und nur in Kombination mit Sicherheitslücken in einem anderen Programm wie z.B. im Browser, keinen Schaden anrichten. Mit Dienst dagegen wird i.a. der Service eines Servers bezeichnet. Der sollte aus schon genannten Gründen definitiv deaktiviert werden.

 

[Grillwetter]

Bei mir läuft nur der Klient. Ich nehme an, die Betreiber von Telnet-Servern wissen was sie tun und sind abgesichert, sodass über den keine Schaden im System angerichtet werden kann. Wäre schlecht für die Kunden.

@Lawnmower
Danke für den Link! Ein paar ports sind offen (HTTPS, HTTP, Terminal Services), aber die sind wohl auf den Fileserver zurückzuführen.
Einen Telnet-Server hab ich hier nicht ;-)