Routeurs Cisco : Comment réparer un accès Telnet défaillant !

Q : Nous utilisons un routeur Cisco 2621 comme connexion Internet et pour
divers services VPN. A cause de changements fréquents des exigences, je
dois me relier par telnet à  ce routeur une fois par semaine. Mais, dernièrement,
le routeur a refusé l’accès telnet en affichant sèchement le
message « connection refused ». Je peux bien sûr entrer dans le routeur
à  l’aide d’un câble série ou du port de console du routeur, mais aucune
de mes commandes ne semble capable de libérer le service telnet suspendu.
La réinitialisation du routeur est le seul moyen de régler le problème.
Comment puis-je régler cette situation et mettre fin aux défaillances
de telnet ?

R : Vous êtes probablement victime d’une attaque par déni de service qui exploite
un bogue, récemment divulgué, dans pratiquement tout le matériel
Cisco qui supporte telnet. Un attaquant exploite le bogue en envoyant un
seul paquet soigneusement élaboré à  un routeur victime, ce qui entraîne immédiatement
l’effondrement des services RSH (Remote Shell) et SSH
(Secure Shell). Comme vous l’avez constaté, le seul moyen de rétablir le service
est de réinitialiser le routeur.

Le bogue, et un moyen de le contourner, est décrit dans le Security
Advisory 61671 de Cisco à  cisco.com/en/UD/products/products_security_advisory09186a00802acbf6.
shtml. Pour supprimer le défaut à  long terme, Cisco
est en train de mettre à  niveau graduellement toutes les versions de son logiciel système d’exploitation routeur, IOS. Mais, à  court terme, vous pouvez
limiter le nombre de ceux qui peuvent se relier par telnet à  votre routeur, en
utilisant une ACL (Access Control List) sur l’interface Virtual Terminal du routeur.
Une ACL est une liste d’adresses auxquelles on autorise ou refuse l’accès
à  un certain service. Dans ce cas, votre ACL est une liste des hôtes auxquels
vous voulez octroyer l’accès à  telnet. La syntaxe de la liste est simple :

access-list 99 permit host 192.168.1.1
access-list 99 permit host 192.168.4.3
access-list 99 permit host 192.168.3.50

Remplacez le nombre 99 de cet exemple par un nombre de 1 à  100, non
utilisé pour l’instant dans le routeur. Une fois la liste d’accès créée, vous
pourrez l’appliquer à  l’interface Virtual Terminal de la manière suivante :

line vty 0 4
access-class 99 in

Consultez régulièrement le site Web de Cisco, à  l’affût d’une mise à  niveau
IOS qui corrigera le problème pour votre routeur et, bien entendu, installez
cette mise à  niveau dès qu’elle sera disponible.