Les trucs & astuces de la semaine du 31Octobre au 6 Novembre 2005
Routeurs Cisco : Comment réparer un accès Telnet défaillant !
Q : Nous utilisons un routeur Cisco 2621 comme connexion Internet et pour
divers services VPN. A cause de changements fréquents des exigences, je
dois me relier par telnet à ce routeur une fois par semaine. Mais, dernièrement,
le routeur a refusé l’accès telnet en affichant sèchement le
message « connection refused ». Je peux bien sûr entrer dans le routeur
à l’aide d’un câble série ou du port de console du routeur, mais aucune
de mes commandes ne semble capable de libérer le service telnet suspendu.
La réinitialisation du routeur est le seul moyen de régler le problème.
Comment puis-je régler cette situation et mettre fin aux défaillances
de telnet ?
R : Vous êtes probablement victime d’une attaque par déni de service qui exploite
un bogue, récemment divulgué, dans pratiquement tout le matériel
Cisco qui supporte telnet. Un attaquant exploite le bogue en envoyant un
seul paquet soigneusement élaboré à un routeur victime, ce qui entraîne immédiatement
l’effondrement des services RSH (Remote Shell) et SSH
(Secure Shell). Comme vous l’avez constaté, le seul moyen de rétablir le service
est de réinitialiser le routeur.
Le bogue, et un moyen de le contourner, est décrit dans le Security
Advisory 61671 de Cisco à cisco.com/en/UD/products/products_security_advisory09186a00802acbf6.
shtml. Pour supprimer le défaut à long terme, Cisco
est en train de mettre à niveau graduellement toutes les versions de son logiciel système d’exploitation routeur, IOS. Mais, à court terme, vous pouvez
limiter le nombre de ceux qui peuvent se relier par telnet à votre routeur, en
utilisant une ACL (Access Control List) sur l’interface Virtual Terminal du routeur.
Une ACL est une liste d’adresses auxquelles on autorise ou refuse l’accès
à un certain service. Dans ce cas, votre ACL est une liste des hôtes auxquels
vous voulez octroyer l’accès à telnet. La syntaxe de la liste est simple :
access-list 99 permit host 192.168.1.1
access-list 99 permit host 192.168.4.3
access-list 99 permit host 192.168.3.50
Remplacez le nombre 99 de cet exemple par un nombre de 1 à 100, non
utilisé pour l’instant dans le routeur. Une fois la liste d’accès créée, vous
pourrez l’appliquer à l’interface Virtual Terminal de la manière suivante :
line vty 0 4
access-class 99 in
Consultez régulièrement le site Web de Cisco, à l’affût d’une mise à niveau
IOS qui corrigera le problème pour votre routeur et, bien entendu, installez
cette mise à niveau dès qu’elle sera disponible.
Téléchargez cette ressource
État des lieux de la réponse à incident de cybersécurité
Les experts de Palo Alto Networks, Unit 42 et Forrester Research livrent dans ce webinaire exclusif leurs éclairages et stratégies en matière de réponses aux incidents. Bénéficiez d'un panorama complet du paysage actuel de la réponse aux incidents et de sa relation avec la continuité de l'activité, des défis auxquels font face les entreprises et des tendances majeures qui modèlent ce domaine. Un état des lieux précieux pour les décideurs et professionnels IT.
Les articles les plus consultés
A travers cette chaîne
A travers ITPro
Les plus consultés sur iTPro.fr
- Adopter l’IA augmenterait le PIB mondial à l’horizon 2035
- Renouvellement des certificats SSL tous les 45 jours : une mise en œuvre impossible sans automatisation ?
- Palo Alto Networks s’engage sur la cyber solidarité
- Recrudescence des cyberattaques pilotées par l’IA
- Quelles salles de réunion renforcent la dynamique et la confiance d’équipe ?
