Faire un telnet sur un port différent de 23

3

En activant le protocole telnet sur notre routeur, le service écoute sur le port 23 toute tentative de connexion. Lorsqu’on tape la commande telnet pour accéder à notre switch ou routeur, le protocole du même nom initie une communication TCP vers le port destination 23.

Dans le monde des réseaux, il peut être utile de déplacer l’écoute vers un port autre que 23 afin d’éviter qu’un stagiaire/pirate douteux essaye de se connecter à notre routeur.

Ceci est possible dans l’IOS de Cisco. Pas sûr que ce soit très utile pour l’examen CCNA mais dans un réseau en production, pourquoi pas?

Configuration du nouveau port d’écoute:

Lors de l’activation des lignes VTY, on ajoute la variable rotary qui définit le port 3000 comme port d’écoute par défaut (au lieu de 23).

Switch# configure terminal
Switch(config)# access-list 101 deny tcp any any eq 23
Switch(config)# access-list 101 permit ip any any
Switch(config)#
Switch(config)# line vty 0 4
Switch(config-line)# rotary 
Switch(config-line)# access-class 101 in 
Switch(config-line)# exit 
Switch(config)# 

Et voilà, on peut désormais faire un telnet uniquement sur le port 3000

Remarque:

Le port d’écoute 23 est toujours ouvert donc pour interdire l’accès a ce port, on a créé l’Access-List 101 qui supprime les paquet a destination du port 23 🙂

Comme maintenant le port d’écoute est 3000, il ne faut pas oublier de taper le n° du port quand on tape la commande:  telnet  1.1.1.1  3000

Si 3000 ne vous convient pas, vous pouvez ajouter un nombre après la variable rotary. Par exemple, rotary 50 activera l’écoute sur le port 3000+50 = 3050

3 COMMENTAIRES

  1. Intéressant ce genre d’astuce.

    Bien évidemment j’ai testé et j’ai poussé l’expérience en essayant de visualiser les ports à l’écoute sur le routeur.

    configuration sur le routeur :

    line vty 0 4
    login local
    transport input telnet

    sniff à partir d’une station :

    Starting Nmap 5.21 ( http://nmap.org ) at 2012-09-08 16:54 CEST
    Nmap scan report for routeur (192.168.0.1)
    Host is up (0.0015s latency).
    Not shown: 998 closed ports
    PORT STATE SERVICE

    23/tcp open telnet

    Maintentant je modifie la configuration des lignes VTY.
    Sur ce routeur ( cisco 871 ) il faut spécifier un numéro de groupe après la commande rotary.

    configuration sur le routeur :

    Routeur#conf t
    Enter configuration commands, one per line. End with CNTL/Z.
    Routeur(config)#line vty 0 4
    Routeur(config-line)#rotary 1

    Ecoute à partir d’une station :

    Starting Nmap 5.21 ( http://nmap.org ) at 2012-09-08 16:57 CEST
    Nmap scan report for routeur (192.168.0.1)
    Host is up (0.0014s latency).
    Not shown: 994 closed ports
    PORT STATE SERVICE
    23/tcp open telnet
    3001/tcp open nessus
    5001/tcp open commplex-link
    7001/tcp open afs3-callback
    10001/tcp open unknown

    On remarque que quatre nouveaux ports sont maintenant ouverts ( 3001, 5001, 7001, 10001 ).

    Que donne la connexion en telnet sur ces ports ?

    Telnet sur le port 3001 = succès.
    Telnet sur le port 5001 possible, mais le compte local configuré sur le routeur n’est pas reconnu.
    Telnet sur le port 7001 = succès.
    Telnet sur le port 10001 = succès.

  2. Kwakou Steve Missoh

    hi cyrill; bravo pour ce site; simple, clair, utile.
    dis moi, j’ai essayé l’astuce rotary sur un 1941/k9.
    line vty 0 15
    rotary 23
    jariv bien a meconnecter avec telnet w.x.y.z 3023 mais le port par defaut (23) est toujours a l’ecoute.

    • Bonjour Steve,
      Bien vu, en effet le port par défaut est toujours ouvert. Pour cela il faut créer une Access-List qui interdit le port 23 en entrée (j’ai mis a jour l’article). Merci beaucoup pour cette remarque pertinente!

LAISSER UNE RÉPONSE

Please enter your comment!
Please enter your name here

This site uses Akismet to reduce spam. Learn how your comment data is processed.