En activant le protocole telnet sur notre routeur, le service écoute sur le port 23 toute tentative de connexion. Lorsqu’on tape la commande telnet pour accéder à notre switch ou routeur, le protocole du même nom initie une communication TCP vers le port destination 23.
Dans le monde des réseaux, il peut être utile de déplacer l’écoute vers un port autre que 23 afin d’éviter qu’un stagiaire/pirate douteux essaye de se connecter à notre routeur.
Ceci est possible dans l’IOS de Cisco. Pas sûr que ce soit très utile pour l’examen CCNA mais dans un réseau en production, pourquoi pas ?
Configuration du nouveau port d’écoute :
Lors de l’activation des lignes VTY, on ajoute la variable rotary qui définit le port 3000 comme port d’écoute par défaut (au lieu de 23).
Switch# configure terminal Switch(config)# access-list 101 deny tcp any any eq 23 Switch(config)# access-list 101 permit ip any any Switch(config)# Switch(config)# line vty 0 4 Switch(config-line)# rotary Switch(config-line)# access-class 101 in Switch(config-line)# exit Switch(config)#
Et voilà, on peut désormais faire un telnet uniquement sur le port 3000
Remarque :
Le port d’écoute 23 est toujours ouvert donc pour interdire l’accès a ce port, on a créé l’Access-List 101 qui supprime les paquet a destination du port 23 🙂
Comme maintenant le port d’écoute est 3000, il ne faut pas oublier de taper le n° du port quand on tape la commande : telnet 1.1.1.1 3000
Si 3000 ne vous convient pas, vous pouvez ajouter un nombre après la variable rotary. Par exemple, rotary 50 activera l’écoute sur le port 3000+50 = 3050
Intéressant ce genre d’astuce.
Bien évidemment j’ai testé et j’ai poussé l’expérience en essayant de visualiser les ports à l’écoute sur le routeur.
configuration sur le routeur :
line vty 0 4
login local
transport input telnet
sniff à partir d’une station :
Starting Nmap 5.21 ( http://nmap.org ) at 2012-09-08 16:54 CEST
Nmap scan report for routeur (192.168.0.1)
Host is up (0.0015s latency).
Not shown : 998 closed ports
PORT STATE SERVICE
23/tcp open telnet
Maintentant je modifie la configuration des lignes VTY.
Sur ce routeur ( cisco 871 ) il faut spécifier un numéro de groupe après la commande rotary.
configuration sur le routeur :
Routeur#conf t
Enter configuration commands, one per line. End with CNTL/Z.
Routeur(config)#line vty 0 4
Routeur(config-line)#rotary 1
Ecoute à partir d’une station :
Starting Nmap 5.21 ( http://nmap.org ) at 2012-09-08 16:57 CEST
Nmap scan report for routeur (192.168.0.1)
Host is up (0.0014s latency).
Not shown : 994 closed ports
PORT STATE SERVICE
23/tcp open telnet
3001/tcp open nessus
5001/tcp open commplex-link
7001/tcp open afs3-callback
10001/tcp open unknown
On remarque que quatre nouveaux ports sont maintenant ouverts ( 3001, 5001, 7001, 10001 ).
Que donne la connexion en telnet sur ces ports ?
Telnet sur le port 3001 = succès.
Telnet sur le port 5001 possible, mais le compte local configuré sur le routeur n’est pas reconnu.
Telnet sur le port 7001 = succès.
Telnet sur le port 10001 = succès.
hi cyrill ; bravo pour ce site ; simple, clair, utile.
dis moi, j’ai essayé l’astuce rotary sur un 1941/k9.
line vty 0 15
rotary 23
jariv bien a meconnecter avec telnet w.x.y.z 3023 mais le port par defaut (23) est toujours a l’ecoute.
Bonjour Steve,
Bien vu, en effet le port par défaut est toujours ouvert. Pour cela il faut créer une Access-List qui interdit le port 23 en entrée (j’ai mis a jour l’article). Merci beaucoup pour cette remarque pertinente !