Utiliser une liste de contrôle d'accès pour contrôler l'accès VTY
Cisco recommande d'utiliser le protocole SSH pour les connexions administratives aux routeurs et aux commutateurs. Si l'image du logiciel Cisco IOS sur votre routeur ne prend pas en charge le protocole SSH, vous pouvez améliorer la sécurité des lignes administratives en limitant l'accès VTY. La restriction de l'accès VTY est une technique vous permettant de définir les adresses IP avec un accès Telnet au processus d'exécution du routeur. Pour contrôler le poste de travail ou le réseau administratif gérant votre routeur, vous pouvez utiliser une liste de contrôle d'accès et une instruction access-class configurée sur vos lignes VTY. Vous pouvez également utiliser cette technique avec SSH pour renforcer la sécurité de tout accès administratif.
La commande access-class configurée en mode de configuration de ligne limite les connexions entrantes et sortantes entre un VTY spécifique (vers un périphérique Cisco) et les adresses renseignées dans une liste de contrôle d'accès.
Les listes de contrôle d'accès standard et étendues s'appliquent aux paquets traversant un routeur. Elles ne sont pas destinées à bloquer les paquets créés sur le routeur. Par défaut, une liste de contrôle d'accès étendue pour le trafic Telnet sortant n'empêche pas le routeur de lancer des sessions Telnet.
Le filtrage du trafic Telnet ou SSH est généralement considéré comme une fonction de liste de contrôle d'accès IP étendue parce qu'il s'agit de filtrer un protocole de niveau plus élevé. Cependant, étant donné que la commande access-class permet de filtrer les sessions Telnet/SSH entrantes ou sortantes par adresse source, une liste de contrôle d'accès standard peut être utilisée.
La syntaxe de la commande access-class est la suivante :
Router(config-line)# access-class access-list-number { in [ vrf-also ] | out }
Le paramètre in limite les connexions entrantes entre les adresses de la liste d'accès et le périphérique Cisco, tandis que le paramètre out limite les connexions sortantes entre un périphérique Cisco spécifique et les adresses de la liste d'accès.
La Figure 1 présente un exemple où une plage d'adresses est autorisée à accéder aux lignes VTY 0 à 4. La liste de contrôle d'accès de la figure est configurée pour autoriser le réseau 192.168.10.0 à accéder aux lignes VTY 0 à 4, mais refuser tous les autres réseaux.
Vous devez prendre en compte les éléments suivants lors de la configuration de listes de contrôle d'accès sur des lignes VTY :
- Seules des listes de contrôle d'accès numérotées peuvent être appliquées aux lignes VTY.
- Vous devez définir les mêmes restrictions sur toutes les lignes VTY car un utilisateur peut tenter de se connecter à n'importe laquelle.
Utilisez le contrôleur de syntaxe de la Figure 2 pour vous entraîner à sécuriser les accès VTY.