Telnet dans le top 4 des ports sur Internet !

@Sylvain: tu crois que beaucoup de gens utilisent vraiment du SSH sur leur routeur ?

Peut être je suis un peu naïf !!!

Oui enfin ce qui fait peur c'est qu'il s'agit du resultat d'un scan, ce qui veut dire les gens qui utilise encore telnet sur leurs routeurs ou switchs ne sont pas fichu de mettre un pauvre ACL.. C'est vraiment grave quand on voit la difficulte d'un Brute force sur ce genre de machines..

@Sylvain Au moins Fyodor montre que rien n'a changé depuis des années

La notion de port "open" me laisse pensif....Est-ce qu'il inclu aussi les ports "filtered" ? comme ce qu'affiche nmap ?

That is the question

@S A mon sens ce n'est pas du tout viable d'inclure les "filtered" dans les résultats par rapport à la complexité des tests affichés par Fyodor dans ses slides. Ca donnerait trop de faux positifs et moins de valeur à son étude.

Soit t'es alive soit tu l'es pas. L'état commateux c'est pas alive
Par contre je viens de voir dans la prez defcon que Telnet est 7ième : http>smtp>ssh>https>ftp>auth>telnet>dns>rtsp>ms-term-server

@ Francois Alors encore une fois les journalistes disent des .....

On sent qu'il y a de l'experience en gestion de reseaux de grande taille ici, hein

Pourquoi telnet et pas ssh ? Pour une quelques raisons tres simples: ssh n'es pas disponible chez tous les equipementiers et sshd est largement moins stable que telnetd sur beaucoup de routeurs. Et puis franchement, si quelqu'un peut sniffer sur un reseau d'operateur je pense que vous avez d'autres questions a vous poser que ssh vs telnet.

Et puis si vous avez deja regarde, les services TCP (avec des ACLs dessus) ne reagissent pas de la meme facon (meme chez un meme vendeur suivant la version logicielle): il peut y avoir three-way-handshake TCP avant un RST (un peu comme tcp_wrappers). nmap le voit comme open, alors qu'il ne l'est pas vraiment.

Nico,

je partage ton avis, l'info telnet est un scoop sans vraiment dire comment les tests ont été fait et leur fiabilité, c'est à se demander si l'info n'est pas en décalage par rapport aux pratiques d'aujourd'hui ...

@ Nico Connais tu des opérateurs qui utilisent un mécanisme d'authentification forte pour sécuriser leur parc d'équipements ? Par exemple un techno de type OTP sur une session telnet....

Dans le monde bancaire on le fait souvent, par exemple les routeurs et les switchs via radius et SecurID.

Je pense que cela est une bonne approche pour les secteurs sensibles.

@nico: on attendait ton passage pour parler de cette histoire
"Ca prends de la ressource CPU inutilement ".

Sylvain: l'OTP chez un operateur n'est que gerable si tu as une solution de SSO ou d'OTP-bypass-post-auth pour quelques heures. A l'epoque Kerberos etait interessant sauf que ce n'est plus vraiment supporte et tu ne pouvais par faire d'autorisation par commande.

S: ce n'est pas tant un probleme de CPU qu'un probleme de stabilite du code. Apres meme si tu fais de l'IPsec (avec telnet par dessus) et que tu ne fais pas tourner de scripts comme un sauvage la partie CPU tu peux l'ignorer (on parle de routeurs ici, meme "petits", pas de [vendeur]box qui font aussi le cafe).

@acz: en fait il semblerait que mon commentaire ai été censuré !!!! j'avais mis plus que cela a l'origine..

@ACZ: si tu passes par la, tu peux me dire pourquoi ?

@S tu as du faire une fausse manip, je suis en congés pendant 15 jours là, je n'ai pas le temps de censurer quoi que ce soit

@acz: promis demain j'arrete le Chateau Talbot suivi du Fieuzal..... et je passe au Haut Brion
Le texte initial que je voulais mettre etait :

Lorsque je travaillais chez un opérateur anglais historique et que j'ai demandé, si on pourrait mettre du SSH, la réponse fut :

" Ca prends du CPU inutilement", "c'est pas dispos sur tous les IOS..."; et puis aussi, "faut réécrire les scripts...."