comment fermer port telnet sur cisco

[poupou54]

Bonjour <BR>j ai un cisco 801 et j ai un petit soucis pour fermer 3 ports le telnet 23 ,le 79 et le 8 <BR>J ai eu une intrusion d un trojan et je supose qu il est rentré par un de ces ports car suite a un scan ce sont les seuls ports ouverts. <BR>J ai essayé la commande access-list deny tcp any any eq 23 mais cela ne ferme toujours pas ce port <BR>pouvez vous me conseillé <BR>merci

[tomtom]

<!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-2>En réponse à:</font><HR></TD></TR><TR><TD><FONT SIZE=-2><BLOCKQUOTE> <BR>Le 2003-09-21 15:51, poupou54 a écrit: <BR>Bonjour <BR>j ai un cisco 801 et j ai un petit soucis pour fermer 3 ports le telnet 23 ,le 79 et le 8 <BR>J ai eu une intrusion d un trojan et je supose qu il est rentré par un de ces ports car suite a un scan ce sont les seuls ports ouverts. <BR>J ai essayé la commande access-list deny tcp any any eq 23 mais cela ne ferme toujours pas ce port <BR>pouvez vous me conseillé <BR>merci <BR></BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End --> <BR> <BR> <BR>Plusieurs choses.... <BR> <BR>D'abord, en général les trojans "n'entrent" pas comme tu dis. Le plus souvent, c'est un utilisateur qui l'installe à son insu, avec un autre soft par exemple ou encore via une piece jointe d'un mail, ou un virus..... <BR> <BR>Ensuite, il faut savoir ce que tu veux bloquer. Les acces list sont de plusieurs types : <BR>Standard, extended ou named. <BR>Les acces list standard ne permettent de bloquer que sur IP, donc oublie le blocage des ports, mais vu que ta comande est passée, tu as du utiliser une extended (son numero est > 100 dans ce cas là ). <BR>Les extended permettent un filtrage (stateless) sur le soptions de la couche transport. <BR>Les named font la même chose que les extended, mais on peut leur donner un nom ! <BR> <BR> <BR>Dans ton cas, disons que quelquesoit le sens (entree ou sortie vers le net), tu ne veux pas que le port 23 tcp soit la destionation. <BR>Tu vas creer une acces list ainsi : <BR>access-list 101 deny tcp any any eq 23 <BR>access-list 101 permit any any (hé oui ne pas oublier qu'il y a un deny any any implicite à la fin, ce uqi fait que si on ne met pas cette ligne, rien ne passe !) <BR> <BR>Ensuite, il te faut appliquer cette acces list sur les interfaces correspondante. Pour moi, il vaut mieux le mettre en IN dans ce cas là, pour eviter du traitement inutile au routeur... <BR>ex : <BR>int e0 <BR>ip access-group 101 in <BR> <BR>et la même chose sur l'autre interface (pour eviter le 23 dans l'autre sens) <BR>int e1 <BR>ip access-group 101 in <BR> <BR> <BR> <BR>Je te mets en garde !!!! <BR>- Quand on tape des commabdes comme "access-list deny any any", ca a effet immédiat ! Autant dire que si la liste est appliquée deja à l'interface, tu risques de perdre la main sur le routeur ! Il faut toujours dessappliquer l'acces-list, la modifier puis la reappliquer ! <BR> <BR>- L'ordre est important ! On ne peut pas inserer de lignes au milieu d'une acces-list, il faut la recreer en entier. Perso, je fais du copier-coller avec hyper-terminal, c'ets relou ! <BR> <BR>- Les acces-list, ca sert à creer une securité de base, mais ca ne fait pas et ne fera jamais un firewall !!! Le mieux est de mettre en aval de ton routeur un bon firewall comme ipcop; voire un firewall perso sur la machine que tu suspecte d'etre infectée ! <BR> <BR> <BR> <BR>Voila, j'espère t'avoir quelque peu eclairé ! <BR> <BR>T. <BR> <BR>