Bảo vệ các dòng Telnet VTY cho thiết bị Cisco (Switch, Router, Firewall)

Thường có 5 đường VTY trên thiết bị Cisco (VTY 0 đến 4). Kẻ tấn công có thể thực hiện tấn công từ chối dịch vụ bằng cách mở một số kết nối Telnet hoặc SSH đồng thời tới bộ định tuyến, chiếm tất cả các đường truyền có sẵn và cấm quản trị viên hợp pháp quản lý thiết bị.

​

Để bảo vệ khỏi loại tấn công này, chúng ta có thể định cấu hình và áp dụng ACL trên các dòng từ 0 đến 3 cho phép phạm vi địa chỉ Quản lý mạng chung, sau đó định cấu hình ACL hạn chế hơn cho dòng VTY 4 cuối cùng, chỉ cho phép một trạm quản lý cụ thể kết nối.

Configuration Example:

! Cho phép truy cập từ dãi IP Quản lý mạng chung (giả sử mạng quản lý là 10.10.10.0/24)

Router(config)# access-list 100 permit tcp 10.10.10.0 0.0.0.255 any eq ssh

! Cho phép truy cập từ một máy trạm quản lý duy nhất

Router(config)# access-list 101 permit tcp host 10.10.10.10 any eq ssh

Router(config)# line vty 0 3
Router(config-line)# access-class 100 in

Router(config)# line vty 4
Router(config-line)# access-class 101 in

Chúc các bạn thành công!