Guia Básico para Configuração de Switches – Segurança – volume 3

Galera, disponibilizamos para a compra o nosso terceiro eBook (no formado PDF) com foco em Switches 3Com/H3C/HP que chamamos de “Guia Básico para Configuração de Switches – Segurança”. O material está em português e serve como apoio para compreender alguns tipos de ataques a switches como também a configuração de funcionalidades como ACL, Port Security, DHCP Snooping, proteção ao STP, autenticação via RADIUS, TACACS+, 802.1x, etc.

O eBook aborda diversos assuntos já citados aqui no Blog, mas possui um foco mais didático. Os tópicos abordados são:

• Introdução à Segurança da Informação
• Processo Learning e Forwarding
• Protegendo o STP
• DHCP e ARP
• ACL
• AAA
• 802.1x
• Melhores Práticas

A escolha do PagSeguro como ferramenta, veio pela facilidade do cadastro e o suporte para pagamentos via Boleto, transferências de Pontos, transferências Bancárias e Cartão de Crédito. 😉

Após a conclusão da compra e a confirmação do PagSeguro, encaminharemos o eBook para o e-mail cadastrado no site.

Para visualizar algumas “folhas”… Clique aqui

Valor R$ 29,99




Comware7: Template para IPv6 Prefix-list

Um prefixo ‘bogon’ é uma rota que nunca deve aparecer na tabela de roteamento da Internet. Um pacote roteado pela Internet pública nunca deve ter um endereço de origem em um intervalo ‘bogon'(não incluindo VPNs ou outros tipos túneis). Estes são geralmente encontrados como  endereços de origem de ataques DDoS.

A equipe 6Bogon mantém recomendações atualizadas para Filtro de Pacotes e para Filtro de rotas IPv6 para xSP, descrevendo as recomendações para filtragem de pacotes e filtragem de rotas para uso em roteadores de borda que falam IPv6 em/com xSPs. Continue reading

Comware – Password-control

A funcionalidade password-control (controle de senha) refere-se a um conjunto de funções fornecidas pelo Switch para controlar senhas de login com base em políticas predefinidas, para a base local de usuários.

Com o password control, o administrador pode configurar o comprimento mínimo da senha, a verificação da composição da senha, a verificação da complexidade da senha, o intervalo da atualização da senha, o prazo para a senha expirar, aviso prévio na expiração da senha pendente, login com uma senha expirada, histórico de senhas, limite de tentativa de login, exibição de senha, gerenciamento de tempo limite de autenticação, tempo de inatividade, etc. Continue reading

Comandos secretos para os Switches HP 1950

Galera, segue abaixo a dica para liberar a configuração de algumas funcionalidades via CLI para os Switches HP 1950.

O comando “xtd-cli-mode” no modo user-view libera a configuração “avançada” do Switch via CLI.

Após digitar o comando aparecerá a imagem de warning abaixo. A senha é: foes-bent-pile-atom-ship Continue reading

Bate-papo sobre o ClearPass Policy Manager

O ClearPass é um gestor de politicas que atua na autenticação de usuários e dispositivos e aplica regras baseadas no contexto da conexão, criando políticas que protegem o acesso à rede em redes wireless e cabeada de vários fornecedores.

No vídeo abaixo, compartilho um bate papo do time Aruba.

Outro vídeo do fabricante em português sobre a ferramenta https://youtu.be/Islls9Eypow

Abração

Guia para comparação de comandos (ArubaOS-Switch/Comware/Cisco) v3.3

Galera, a Aruba disponibilizou um guia de comparação de comandos CLI dos switches ArubaOS/Comware/Cisco.

O documento fornece boas referências para aqueles que já dominam a configuração em um determinado fabricante mas precisam administrar um ambiente misto.

Há novos itens adicionados em comparação as versões anterior como:

Capítulo 2: Password Complexity
Capítulo 6: ArubaOS supports NTP
Capítulo17: c: VxLAN
Capítulo17: d: MDNS, IPv6 ND Snooping, BFD
Capítulo17: e: RIPNG
Capítulo17: f: IP-SLA, Portscan Detection
Capítulo 28: ACLs
Capítulo 37: Tunneled Node, Trust QoS and Clear Pass Integration

O documento está disponível para download gratuito no site da HPepress:

https://hpepress.hpe.com/product/ArubaOS-Switch+Comware+and+Cisco+IOS+CLI+Reference+Guide-PDF-18113

comparativo aruba comware ios

Se o link estiver quebrado, deixe um comentário.

RADIUS Change of Authorization (CoA)

Em uma implantação tradicional com AAA utilizando RADIUS, após a autenticação, o Servidor RADIUS apenas assina a autorização como resultado de uma requisição de autenticação.

No entanto, existem muitos casos em que é desejável que hajam alterações sem a exigência do NAS para iniciar a troca de mensagens. Por exemplo, pode haver a necessidade de um administrador da rede ser capaz de encerrar a ‘sessão’ de uma porta autenticada com 802.1x.

Alternativamente, se o usuário alterar o nível de autorização, isto pode exigir que novos atributos de autorização sejam adicionados ou excluídos para o usuário.

Outro exemplo, é a limitação da banda disponível a um usuário após exceder a banda liberada em uma rede wifi, por exemplo.

Para superar essas limitações, vários fabricantes implementaram comandos RADIUS adicionais a fim de permitir que mensagens ‘não solicitadas’ sejam enviada para o NAS . Estes comandos estendidos fornecem suporte para desconectar (disconnect) e mudar de autorização (CoA – Change-of-Authorization).

CoA

Com o avanço da tecnologia e o surgimento de novas demandas, o padrão RADIUS CoA (Change of Authorization) permite ao Servidor iniciar a conversação com o equipamento de rede aplicando comandos:  shut/ no shut, alterar a VLAN, ACL, banda ou então apenas re-autenticar o usuário. As vezes um endpoint pode ser roubado, infectado, ter o anti-virus desabilitado, ultrapassar do limite dos dados disponíveis para navegação ou então ocorrer outros fatores que possam afetar a postura. Nesse caso a rede deve ser capaz de interagir à essas mudanças e atualizar o nível de acesso e autorização para esse dispositivo.

Coa - NAD-ASExemplo

RADIUS Coa - Comutadores

No cenário acima, o cliente (suplicante) inicia a autenticação;  após a troca de certificados e credenciais, o servidor autoriza o usuário enviando uma mensagem RADIUS Access-Accept ao NAD. Uma vez o usuário autenticado, o NAD enviará atualizações de accouting RADIUS para o servidor para atualizá-lo com informações da sessão do usuário: como largura de banda, tempo da sessão etc.

Usando as mensagens de Accounting, o servidor de autenticação  pode correlacionar o MAC e o endereço IP de um usuário com o tempo da conexão.

Se pensarmos em uma rede sem fio, podemos habilitar a desconexão com uma mensagem RADIUS Coa Disconnect-Request para a Controller quando um cliente atingir o limite de 100Mb de trafego.

Referências

https://tools.ietf.org/html/rfc5176

https://tools.ietf.org/html/rfc3576

ClearPass Essentials Student Guide – HP Education Services

IRF em Switches HP 5500 (JG543A) utilizando módulo traseiro

Essa semana troquei alguns emails com o Samuel Alencar de Fortaleza/CE, sobre a configuração de um IRF em Switches HP 5500 (JG543A) utilizando o módulo traseiro com interfaces CX4 (JD360B).

Ele foi bastante gentil em compartilhar com o Blog o script final da configuração. Aproveitem!

IRF 5500

CONFIGURAÇÃO DO SWICTH A

PASSO 0

<HP> reset saved-configuration
<HP> reboot
! reinicie o switch e não salve a configuração.


PASSO 3

[HP] irf member 1 priority 32
[HP] int tengigabitethernet 1/1/1
[HP –Ten-GigabitEthernet1/1/1] shutdown

[HP] irf-port 1/1
[HP – irf-port] port group interface tem 1/1/1
[HP] int TenGigabitEthernet 1/1/1
[HP –Ten-GigabitEthernet1/1/1] undo shutdown
[HP] irf-port-configuration active
[HP] save

 

CONFIGURAÇÃO DO SWICTH B

PASSO 1

! Desconecte os cabos do IRF
<HP> reset saved-configuration
<HP> reboot
! reinicie o switch e não salve a configuração.

 

PASSO 2

[HP] irf member  1 renumber 2
[HP] quit
<HP> reboot


PASSO 4

[HP] irf member 2 priority 31
[HP] int tengigabitethernet 2/2/2
[HP –Ten-GigabitEthernet2/2/2] shutdown

[HP] irf-port 2/2
[HP – irf-port] port group interface tem 2/2/2
[HP] int TenGigabitEthernet 2/2/2
[HP –Ten-GigabitEthernet2/2/2] undo shutdown
[HP –Ten-GigabitEthernet2/2/2] quit
[HP] irf-port-configuration active
[HP] save
! Reconecte os cabos e se o switch não reiniciar automaticamente, digite
! o comando 'irf-port-configuration active'.

[HP]quit
<HP>reboot

Para outros artigos sobre IRF clique aqui http://www.comutadores.com.br/?s=irf

Abração