j'ai compris

Différents comportements SSH entre les appareils V5 et V8

publié il y a  2021-4-30 02:11:54Dernière réponse abr. 30, 2021 02:12:50 39 1 0 0 0
  Récompense F-coins.: 0 (Résolu)

Salut,

Les appareils V5 et V8 sont déployés dans notre environnement.

Sur l'appareil V8, le client SSH qui n'autorise pas la liste ACL peut toujours se connecter et demander des messages comme ci-dessous. 

 SSH

 

SSH

Cependant, l'appareil V5 peut bloquer le client qui n'autorise pas la liste ACL.

SSH


Pourquoi le comportement SSH est-il différent entre les appareils V5 et V8?


  • x
  • Standard:

Réponses en vedette

Meilleure réponse

mariano93
publié il y a 2021-4-30 02:12:50

Bonjour,

Il y a des changements sur le mécanisme d'authentification de SSH lors de la comparaison de l'adresse IP de la liste ACL.

Sur la plateforme V5 

Le processus de connexion SSH est le suivant:

une. Lorsque l'utilisateur essaie d'accéder à partir du réseau public.

b. La commande vty acl prend effet lors de l'application des ressources VTY.

c. Une fois la connexion TCP à trois voies terminée et la négociation SSH terminée, le nom d'utilisateur et le mot de passe sont authentifiés.

ré. Une fois l'authentification réussie, la ressource VTY est appliquée.

e. L'utilisateur ne peut se connecter au périphérique qu'une fois la ressource VTY appliquée avec succès.

 

Sur la plateforme V8

Le processus de connexion SSH est le suivant:

une. Une fois la connexion TCP à trois voies terminée et la négociation SSH terminée, le nom d'utilisateur et le mot de passe sont authentifiés.

b. Une fois l'authentification réussie, la ressource VTY est appliquée.

c. L'utilisateur ne peut se connecter au périphérique qu'une fois la ressource VTY appliquée avec succès.

ré. La commande vty acl prend effet lors de l'application des ressources VTY.

 

 Ainsi, vous pourriez constater que même si vous avez utilisé une adresse IP qui n'est pas autorisée sur la liste ACL sous vty view, il y a toujours un message vous invitant à entrer le nom d'utilisateur / mot de passe. Et pendant l'authentification des utilisateurs, les journaux sont générés, que l'authentification réussisse ou échoue.

Le service SSH contient plusieurs protocoles de connexion. Certains protocoles nécessitent des ressources VTY, d'autres non. Lorsqu'une connexion TCP est établie, le protocole utilisé par l'utilisateur pour la connexion ne peut pas être déterminé et le processus d'authentification VTY n'est pas démarré, par conséquent, une adresse IP non valide ne peut pas être interceptée en mode VTY.

Suggérer de configurer la commande  ssh server acl 3001  sous la vue système pour restreindre les utilisateurs juste avant l'établissement de TCP.


View more
  • x
  • Standard:

Toutes les réponses
mariano93
mariano93 publié il y a 2021-4-30 02:12:50

Bonjour,

Il y a des changements sur le mécanisme d'authentification de SSH lors de la comparaison de l'adresse IP de la liste ACL.

Sur la plateforme V5 

Le processus de connexion SSH est le suivant:

une. Lorsque l'utilisateur essaie d'accéder à partir du réseau public.

b. La commande vty acl prend effet lors de l'application des ressources VTY.

c. Une fois la connexion TCP à trois voies terminée et la négociation SSH terminée, le nom d'utilisateur et le mot de passe sont authentifiés.

ré. Une fois l'authentification réussie, la ressource VTY est appliquée.

e. L'utilisateur ne peut se connecter au périphérique qu'une fois la ressource VTY appliquée avec succès.

 

Sur la plateforme V8

Le processus de connexion SSH est le suivant:

une. Une fois la connexion TCP à trois voies terminée et la négociation SSH terminée, le nom d'utilisateur et le mot de passe sont authentifiés.

b. Une fois l'authentification réussie, la ressource VTY est appliquée.

c. L'utilisateur ne peut se connecter au périphérique qu'une fois la ressource VTY appliquée avec succès.

ré. La commande vty acl prend effet lors de l'application des ressources VTY.

 

 Ainsi, vous pourriez constater que même si vous avez utilisé une adresse IP qui n'est pas autorisée sur la liste ACL sous vty view, il y a toujours un message vous invitant à entrer le nom d'utilisateur / mot de passe. Et pendant l'authentification des utilisateurs, les journaux sont générés, que l'authentification réussisse ou échoue.

Le service SSH contient plusieurs protocoles de connexion. Certains protocoles nécessitent des ressources VTY, d'autres non. Lorsqu'une connexion TCP est établie, le protocole utilisé par l'utilisateur pour la connexion ne peut pas être déterminé et le processus d'authentification VTY n'est pas démarré, par conséquent, une adresse IP non valide ne peut pas être interceptée en mode VTY.

Suggérer de configurer la commande  ssh server acl 3001  sous la vue système pour restreindre les utilisateurs juste avant l'établissement de TCP.


View more
  • x
  • Standard:

Commentaire

Connectez-vous pour répondre. Se connecter | Enregistrer
envoyer

Remarque : Afin de protéger vos droits et intérêts légitimes, ceux de la communauté et des tiers, ne divulguez aucun contenu qui pourrait présenter des risques juridiques pour toutes les parties. Le contenu interdit comprend, sans toutefois s'y limiter, le contenu politiquement sensible, le contenu lié à la pornographie, aux jeux d'argent, à l'abus et au trafic de drogues, le contenu qui peut divulguer ou enfreindre la propriété intellectuelle d'autrui, y compris les secrets professionnels, les marques commerciales, les droits d'auteur et les brevets, ainsi que la vie privée personnelle. Ne partagez pas votre nom d'utilisateur ou votre mot de passe avec d'autres personnes. Toutes les opérations effectuées à partir de votre compte seront considérées comme vos propres actions, et toutes les conséquences en découlant vous seront imputées. Pour plus de détails, voir « Politique de confidentialité ».

My Followers

Connectez-vous pour participer à la communication et au partage

S'identifier

Bloquer
Êtes-vous sûr de bloquer cet utilisateur?
Les utilisateurs de votre liste noire ne peuvent ni commenter votre publication,ni vous mentionner, ni vous envoyer de messages privés.
Rappel
Veuillez lier votre numéro de téléphone pour obtenir un bonus d'invitation.