Configurer les ACL pour les canaux VTY
Si aucune liste de contrôle d'accès n'est configurée pour les canaux VTY sur un périphérique, celui-ci est exposé à des attaques externes, ce qui entraîne une utilisation intensive du processeur.
Scénario
Un utilisateur se connecte à un périphérique via Telnet ou SSH.
Configuration requise
Les listes de contrôle d'accès doivent être configurées pour les canaux VTY afin de contrôler les droits d'appel entrant et sortant.
Risques de mauvaise configuration
Description du risque:
Si aucune liste de contrôle d'accès n'est configurée pour les canaux VTY sur le périphérique et que celui-ci fait l'objet d'attaques, l'utilisation du processeur devient importante, ce qui affecte les services.
Méthode d'identification:
Exécutez la commande display current-configuration dans la vue utilisateur pour vérifier si la commande acl acl-number inbound | outbound est exécutée pour tous les canaux VTY.
Dans l'exemple suivant, la commande acl acl-number inbound | outbound n'est pas exécutée pour les canaux VTY 16 à 20.
<HUAWEI> display current-configuration configuration
#
user-interface vty 0 14
acl 3100 inbound
authentication-mode aaa
protocol inbound ssh
user-interface vty 16 20
authentication-mode aaa
protocol inbound ssh
#
Mesures de récupération:
Configurez les listes de contrôle d'accès pour les canaux VTY afin de contrôler les droits d'appel entrant et sortant.