仅在 Windows 上安装 telnet 客户端是否存在安全风险?

仅在 Windows 上安装 telnet 客户端是否存在安全风险?

我最近要求在我的 Windows 安装上启用 telnet 客户端。devops 人员告诉我,它受到限制,因为它通过明文传递了人们的用户名和密码。我猜他指的是使用它来连接到不安全的 telnet 服务器,但我不会用它来做这件事,而是用它来做一些快速的 TCP 检查。

我还注意到 OWASP 在其文档中提到了这样做。

https://www.owasp.org/index.php/Test_HTTP_Methods_(OTG-CONFIG-006)

所以我忽略了什么,客户端是否存在安全问题?

答案1

仅安装客户端不会带来直接的安全问题。问题在于客户端和使用它访问未加密连接的服务器的用户的组合。做出技术限制比改变人类行为更容易。

删除客户端软件是缓解此问题的唯一方法吗?当然不是,例如,在防火墙上阻止未加密的协议可能会更有效,还可以阻止运行自己的可执行文件或使用自己的设备来规避此限制。但这仍然是一项合理的公司政策,可能基于经验。

答案2

有一些方法可以执行不使用未加密协议的基本连接检查:在 Windows 中,使用命令行,如何检查远程端口是否打开?

其中,我喜欢 PowerShell 中包含的 Test-NetConnection。nmap 功能更强大,但是是第三方的。

我之所以这么说,是因为我在 UNIX 机器上使用 telnet 发送了测试 SMTP 电子邮件。这太低级了,但我知道发生了什么。从未用于登录,telnet 服务始终处于禁用状态。

相关内容