Казалось бы, использование telnet в 2014 году выглядит как минимум странно. Однако, до сих пор существует ряд причин, по которым использование telnet актуально, например, нужно заходить с соседнего хоста, на котором нет ssh-клиента (к примеру, на Cisco ASR1K с управляющей картой ESP10-N), где-то работают старые telnet-скрипты(а сам протокол telnet реализован на коленке на сокетах), а безопасность осуществляется на уровне транспорта. Так или иначе, telnet на сетевом оборудовании всё ещё применяется и не редко встаёт задача закрыть telnet-сервис access-list’ом.

В случае с IOS-XR, чтобы повесить ACL на telnet-сервис(в GRT) нужно применить следующую команду:

telnet vrf default ipv4 server max-servers 10 access-list 25

После чего, зайти по телнету можно будет только хостам, определённым в acl 25. Однако, в этом случае, порт-сканеры(например, онлайн-проверка портов ping.eu) покажет вам, что порт 23 открыт. Если вы периодически сканируете свою сеть на предмет уязвимостей, то эта запись в отчёте будет каждый раз привлекать ваше внимание. Если снять дамп и посмотреть что происходит, то становится понятно почему порт считается открытым:

N  Source IP         Destination IP     Packet info
1  192.0.2.1         203.0.113.0        36764 → telnet [SYN] Seq=0 Win=29200 Len=0
2  203.0.113.0       192.0.2.1          telnet → 36764 [SYN, ACK] Seq=0 Ack=1 Win=16384 Len=0
3  192.0.2.1         203.0.113.0        36764 → telnet [ACK] Seq=1 Ack=1 Win=229 Len=0
4  203.0.113.0       192.0.2.1          telnet → 36764 [RST, ACK] Seq=1 Ack=1 Win=16384 Len=0

(192.0.2.1 – клиент, 203.0.113.0 – IOS-XR) Continue reading →