Blog Archives

Reset de Senha: Switches 3Com, HPN e H3C

Há diversas situações em que o Eng. de Rede necessita administrar uma rede (ou alguns velhos Switches), em cenários que não possui a senha para acesso console, telnet ou SSH do equipamento.

O procedimento abaixo serve para permitir  o acesso à administração do Switch configurando o equipamento para que antes do processo de boot, pule o arquivo de configuração na inicialização….
 
Obs: Pode haver uma pequena variação no processo, o que pode não atender a todos os modelos, geralmente os modelos com o Ssistema Operacional Comware versão 3 ou 5 suportam o procedimento abaixo.
 

Procedimento

Consiga um acesso via Console ao Switch. Reinicie o equipamento e  digite “Crtl + B” quando o Switch exibir a mensagem na inicialização…

Digite a senha em branco ( se ninguém alterou [pressione Enter no teclado] ) e você cairá na tela abaixo:

BOOT MENU

1. Download application file to flash
2. Select application file to boot
3. Display all files in flash
4. Delete file from flash
5. Modify BootRom password
6. Enter BootRom upgrade menu
7. Skip current system configuration
8. Set BootRom password recovery
9. Set switch startup mode
0. Reboot

…escolha a opção 7, confirme e reinicie o Switch.

No próximo passo, o equipamento inicializará sem a configuração anterior. Digite no <user-view> more nomedoarquivo.cfg, verifique se a senha está cifrada. Se não estiver cifrada… pronto, tudo resolvido! Se estiver cifrada, basta copiar toda a configuração em um TXT e colar no Switch criando um novo usuário. Após salvar, o arquivo anterior será sobrescrito.
 
Obs: Após todo o procedimento ser efetuado, vá novamente a tela do botrom (Crtl + B ) escolha a opção 7 e negue a opção ( para o Switch não pular o arquivo de configuração sempre que reiniciar).
 
Se o seu Switch possuir um procedimento diferente do listado aqui, se possível, escreva o “how to” nos comentários .. :)

Seja cauteloso e Boa Sorte!

Switches 3Com 7900 – Configurando acesso HTTPS com Servidor CA (Windows Server 2003)

Publicado originalmente em 25 de novembro de 2010
O post de hoje foi encaminhado pelo Douglas Jefferson com um “How to” para configuração de acesso HTTPS no Switch 3Com 7900 utilizando um Servidor CA com o Windows Server 2003.

HTTPS com CA

Aproveitem as dicas….

Durante a instalação do CA verifique se o Windows será um MemberServer ou se estará fora do Domínio. No exemplo listado nesse tutorial, o Servidor estará fora do domínio, pois nos passos a frente na instalação da CA(Certificate Authority) há diferenças em qual CA criar(Enterprise, StandAlone , SubAuthority Root CA) e quais grupos devem ter permissões.

OBS.: Certifique-se de instalar na sequencia do tutorial. Se porventura for instalado primeiro a CA e em seguinda IIS você terá que saber colocar os códigos da aplicação da CA no diretório “Home Directory” do IIS, normalmente em “%windir%\inetpub\wwwroot”.

Instalar Componente do Windows como Web Server Microsoft IIS (NNF)

  1. Certificar de que o CD/ISO de instalação está disponível, porque será solicitado.
  2.  Clique em “Iniciar >Painel de Controle>Instalar e Remover Programas”, do lado esquerdo, terceira opção, de cima para baixo “Componentes do Windows”, assinale somente a opção do IIS (Internet Information Service) e clique em Detalhes, para certificar de que todas as opções estão assinaladas.
  3. Verificar se o serviço está escutando a porta 80 padrão.
  4. Testar pelo CMD com “netstat” e Web Browser local “http://IP_do_IIS/”.

Instalar Componente do Windows como CA (NNF)

  1. Repita Passo 2B mas no lugar de IIS assinale “Certificate Authority” e para este Windows 2003 Server Standard Edition fora do domínio (não Member Server) somente aparecerá “StandAlone Root CA” (NNF), com usuário Administrador local.

Fontes:
http://www.petri.co.il/install_windows_server_2003_ca.htm
http://technet.microsoft.com/en-us/library/cc875810.aspx

  1. Verificar se o serviço está em pleno funcionamento, averiguando se há possibilidade de gerar certificados via interfaceWeb. Link: http://192.168.100.40/certsrv/

Se esse link mostrar a interface Web da administração da CA, OK!

CA teste

Se  NÃO verificar instalação, passos anteriores.

  1. O Windows 2003 Servers não tem suporte ao protocolo SCEP por padrão (Simple Certificate Enrollment Protocol, created by Cisco System), assim precisamos instala-lo (NNF).

http://www.microsoft.com/downloads/en/details.aspx?familyid=9f306763-d036-41d8-8860-1636411b2d01&displaylang=en

OBS.: Será solicitado informações sobre a RA (switch 3Com 7900) no final da instalação do programa, como Hostname, Cidade, Estado , Tipo de Cifra e Certificado. Se a CA estiver instalada, o que aparecer Negritado é o que ele reconheceu como padrão da CA em uso, se tiver dúvidas mantenha o que ele identificou.

  1. Após instala-lo estará disponível a interface via Web para solicitações de certificados, assim nos possibilitando configurar os equipamentos da rede.

Interface Enrollment para equipamentos de rede Link: http://192.168.100.40/certsrv/mscep/mscep.dll

  1. Na instalação do programa que foi baixado no site da Microsoft (protocolo SCEP) a CA cria 2 certificados para a entidade RA (switch), então vamos verificar se está tudo OK. Navegue em Iniciar > Painel de Controle > Ferramentas Administrativas > Certificate Authority Expandir em Certificate Authority  > CA > Issued Certificates, verificar se existem 2 certificados devidamente criados, se “OK” siga em frete. Se “NÃO” verifique passos anteriores.
  2. Ainda dentro da seção “Certificate Authority“, clique com o botão direto na “CA > Properties” Em seguida na aba “Policy Module > Properties“, novamente, e selecione a opção “Follow de settings in the certificate template, if………” Será solicitado que você reinicie o serviço da CA (Apply/OK), faça-o.
  3. Agora vá em “Iniciar–>Painel de Controle–>Ferramentas Administrativas–>IIS” Expandir em “Server(Local)–>Web Sites–>Default Web Site”, verifique se os serviços “Certsrv“,”CertControl” e “CertEnroll” estão disponíveis. Se quiser trocar o caminho padrão sinta-se avontade (clique com o botão direito do mouse em “Default Web Site–>Home Directory–>LocalPath“).

Configurando o Switch

Configurando o equipamento da rede (switch 3Com 7900 CORE, ou qualquer que suporte PKI/SSL) para solicitações de certificados a CA.

 

pki entity AAA
common-name SW_CORE
quit
#
pki domain CLIENTEX
ca identifier SERVIDOR
#
certificate request url http://192.168.100.4/certsrv/mscep/mscep.dll
certificate request from ra
certificate request entity AAA
crl url http://192.168.100.4/CertEnroll/IMC.crl
quit
#
pki retrieval-certificate ca domain CLIENTEX

(Y/N):y
#
pki retrieval-crl domain CLIENTEX
#

OBS.: Para saber a senha do desafio (Challenge Password), abra seu navegador com o link http://IP_do_IIS/certsrv/mscep/ , será solicitado um usuário e senha para autenticação, esse usuário é o que instalou o programa que da suporte ao protocolo SCEP (no meu caso Administrator), após autenticado você será redirecionado para a tela que conterá o “Ca Certificate ThumbPrint” e “Challenge Password“(port 60 minutos)
CA teste 2

!Faz a requisição do certificado e o armazena.
#
pki request-certificate domain CLIENTEX Challenge_Password
#
pki request-certificate domain CLIENTEX 7F4C5A740C78B06D

!Lista o certificado importado.
#
display pki certificate local domain CLIENTEX

!Cria o dominio SSL com as especificações dessa seção. CLIENTEX-SSL
#
ssl server-policy CLIENTEX-SSL
pki-domain CLIENTEX
client-verify enable
quit
#
!Vincula o domínio SSL ao servidor HTTPS
#
ip https ssl-server-policy CLIENTEX-SSL

!Habilita o Servidor HTTPS
#
ip https enable

!Restringe o acesso às Redes contidas na ACL de número 2000
#
ip https acl 2000

Feito todos os passos acima com sucesso, precisaremos solicitar um certificado para o navegador da máquina que vamos utilizar para acessar a interface Web do Switch CORE, seguindo os passos abaixo:

Abra o navegador e digite o seguinte link http://192.168.100.40/certsrv/

CA teste 3

Clique em “Request a Certificate”

Clique em “Web Browser Certificate”

CA teste 4

Preencha os campos em clique em “Submit”

Aparecerá uma mensagem “This Web site is requesting a new certificate……...”, clique em “YES“.

Em seguida clique no link “Install This Certificate“.

Será instalado no seu navegador, assim você estará apto a acessar com seu navegador a página de administração do switch de forma segura (SSL).

Agora basta acessar o IP do Switch em seu Browser de preferência….

Se desejar verificar o handshake/transações PKI e/ou SSL, habilite o debug

a. Debug ssl
b. Debug pki

Espero que tenham gostado! :)

ACL para Gerenciamento Telnet, SSH, SNMP …

A aplicação de ACL para limitar as redes que poderão efetuar o gerenciamento do Switch e/ou Roteador é uma técnica bastante utilizada para restringir quais redes ou hosts de origem terão a permissão para gerenciar o equipamento via Telnet, SSH ou SNMP

Imaginando uma empresa com diversas sub redes,  permitiremos no cenário abaixo o acesso ao Switch apenas da sub rede 172.31.1.0/24 (lembrando que a mascara para listas de acesso [ACL] são no formato de mascara curinga [wildcard mask])

acl number 2000
rule 0 permit source 172.31.1.0 0.0.0.255
rule 5 deny
#
user-interface vty 0 4
acl 2000 inbound
! Vinculando a ACL 2000 ao VTY
#
snmp-agent community read 123abc acl 2000
snmp-agent community write aaa111 acl 2000
! Vinculando a ACL 2000 às comunidades SNMP "123abc" e "aaa111"

Caso a interface de gerenciamento esteja dentro de uma VRF, ou a origem do acesso inicie de uma vpn-instance (VRF), a ACL deverá fazer referência a isso:

[H3C-acl-basic-2000]rule 1 permit source 172.31.1.0 0.0.0.255 vpn-instance ?
STRING<1-31>  VPN-Instance name

Dúvidas? Deixe um comentário…
Até logo!

Switches HPN: Configurando espelhamento de VLANs (Traffic Mirroring)

O espelhamento de VLANs é uma técnica que permite que o Switch efetue a cópia dos pacotes de uma VLAN para uma porta do Switch.

Essa técnica é bastante utilizada quando precisamos analisar o comportamento de alguma rede como por exemplo, para identificação de vírus, acessos “estranhos”, etc.

No cenário abaixo efetuaremos a cópia do tráfego da vlan 99 do Switch para o Servidor de Análise. A comunicação da VLAN 99 com qualquer host ou servidor da rede não será afetada pois o Switch direcionará apenas a cópia do tráfego!

VLAN Mirroring

Configuração

#
vlan 99
#
traffic classifier TRAFEGO operator and
if-match any
! Criando a política para dar match no tráfego, nesse caso, qualquer tráfego (any)
! ( é possível inclusive vincular uma ACL para filtrar o tráfego)
#
traffic behavior ESPELHAR
mirror-to interface Ethernet1/0/7
!  Criando o behavior para o espelhamento [para a interface Ethernet1/0/7]
#
qos policy ESPELHAMENTO
classifier TRAFEGO behavior ESPELHAR
! Vinculando o tráfego com o comportamento na policy
#
qos vlan-policy ESPELHAMENTO vlan 99 inbound
! Vinculando a policy para a vlan 99
#

No servidor de coleta poderíamos utilizar os Softwares TCPDump, Wireshark, etc para monitorar o tráfego.

Obs: No post http://www.comutadores.com.br/switches-3com-4500-configurando-o-espelhamento-de-porta-port-mirroring/ demonstramos a configuração para o espelhamento de porta.

Switches 3Com 4800G – SSH, autenticação por troca de Chaves

O post de hoje surgiu da necessidade de um projeto na UNESP onde o cliente gerava as próprias chaves pública e privada e importava para o Switch. A autenticação para conexão ao Switch para fins de gerenciamento ocorrerá através de certificados. O cliente SSH irá autenticar-se utilizando certificados ao invés de senhas. Se não houver um certificado válido o usuário não conseguirá conectar-se ao Switch.

Mostraremos passo-a-passo como gerar as chaves pública e privada utilizando o Software Putty para Windows e configuraremos o Switch para permitir o acesso do host via SSH por troca de chaves.

Para efetuar download do Putty e do Puttygen clique em http://www.chiark.greenend.org.uk/~sgtatham/putty/download.html

Gerando as chaves

Gere as chaves pelo puttygen. Abra o software e clique no botão Generate. Depois, fique movendo o mouse no espaço abaixo da barra de progresso até que o processo esteja finalizado (isso é feito para gerar dados aleatórios para criar o certificado).

 

Após concluir o processo, será exibida a tela abaixo:

Salve a chave pública e privada. No exemplo salvaremos a chave privada como comutadores.ppk e chave pública como comutadores.pub.

Configurando o Switch

Criaremos um diretório chamado chave no Switch e copiaremos a chave pública na memória Flash no modo user-view:
mkdir chave

%Created dir flash:/chave.

tftp 1.1.1.2 get comutadores.pub flash:/chave/comutadores.pub
! Importando a chave pública para o Switch e ativando o SSH no Switch
[4800G]ssh server enable
[4800G]
public-key local create rsa
! Gerando as chaves  no Switch
[4800G]public-key peer comutadores.pub import sshkeyflash:/chave/comutadores.pub
! Criando o usuário diego e permitindo acesso por SSH com nível 3 de permissão 

#
local-user diego
authorization-attribute level 3
service-type ssh
#
user-interface vty 0 4
authentication-mode scheme
user privilege level 3
protocol inbound ssh
#

! Associando o usuário diego a chave comutadores.pub
[4800G] ssh user diego service-type all authentication-type publickey assign publickey comutadores.pub work-directory flash:/chave/comutadores.pub

Utilizando a chave pública geradas pelo computador para acesso ao Switch

Utilizando o software putty digite o endeço IP do Switch e marque a opção SSH

Agora, você terá que acessar as opções oferecidas no menu à esquerda da janela do PuTTy. Neste menu, encontraremos uma opção chamada “Connection” e, logo abaixo dela, uma opção chamada “Data”, clique nela. Em “Auto-login username” digite o nome do usuário que você quer utilizar para se conectar ao Switch.

Agora, vamos dizer ao PuTTy onde está localizada a chave privada para que ele possa utilizá-la durante a conexão. Para isso, no menu à esquerda, vá em “Connection”, expanda “SSH” e clique em “Auth”. Clique no botão “Browse” e selecione o arquivo com a chave privada.

Agora, volte para “Session” (a primeira opção, no topo do menu à esquerda) e clique no botão “Save”. Pronto, se tudo correu bem, basta você dar dois cliques no nome do perfil que você salvou, clique em Open e você irá conseguir logar automaticamente no Switch.

Configuração final

ssh server enable
#
public-key peer comutadores.pub
public-key-code begin
AAAAAB3Nza00D06092A864886F70D010101050003818A003081860281806522B8CDE0A37D42A5
98ABCA897D7BEBBC9A7C6C9E0411CC43094076904639F090EFCC5844CD688AC3E25867E29D
C618B50CE435A5E0BEA497C6411A6C32E8DDAC4D9DD123418BD91F9D60EEDC3D4C96911E07
56621E8017F196AE8FBC39BB99794296A88A58C3BF9B0C13FC36DF9B67B186103B233F67E4
7AD1BE9E6B502A9B020125
public-key-code end
peer-public-key end
#
local-user diego
authorization-attribute level 3
service-type ssh
#
ssh user diego service-type all authentication-type publickey assign publickey comutadores.pub work-directory flash:/chave/comutadores.pub
#
user-interface vty 0 4
authentication-mode scheme
user privilege level 3
#
Script enviado por Douglas Jefferson.

Sites de referência:

http://www.pedropereira.net/ssh-sem-senha-autenticacao-atraves-de-certificados-rsa/

http://urucubaca.com/putty-o-poder-do-ssh-no-windows/2008/01/31/

Dúvidas? Deixem comentários…

Switches 3Com 7900 – Aplicando ACLs em VLANs

Para configurarmos as listas de acesso (ACL) e aplicarmos a uma interface física ou VLAN no Switch 7900 é necessário o vínculo a uma politica de QoS, aplicando a ACL indiretamente à Interface ou VLAN.

No script abaixo iremos negar a rede 192.168.1.0/24 de comunicar-se com a rede 172.31.1.0/24.

Configuração

vlan 192
vlan 172
#
interface Vlan-interface192

ip address 192.168.1.1 255.255.255.0
#
interface Vlan-interface172
ip address 172.31.1.1 255.255.255.0
#
acl number 3001
!criando a ACL avançada 3001
rule 0 deny ip source 192.168.1.0 0.0.0.255 destination 172.31.1.0 0.0.0.255
! regra 0 irá negar a origem 192.168.1.0/24 (é obrigatório a utilização de máscara curinga) de comunicar com a rede 172.31.1.0/24. Nesse caso poderíamos ter mais de uma regra!!
quit
traffic classifier rede_192 operator and
! Criando a classificação de tráfego com o nome rede_192
if-match acl 3001
! Efetuando match na ACL 3001
quit
#
traffic behavior rede_172
! Criando o comportamento com o nome rede_172

filter deny
! Criando o filtro negar (deny)
quit
#
qos policy proibe_rede_192_172

!Criando a policy com nome proibe_rede_192_172

classifier rede_192 behavior rede_172
! vinculo do classifier rede_192(ACL) com o behavior rede_172 (deny)
quit
qos vlan-policy proibe_192_172 vlan 192 inbound
! aplicando a politica de QoS na VLAN 192, proibindo a rede 192.168.1.0/24 de comunicar-se com a rede 172.31.1.0/24 no sentido de entrada do Switch

Para aplicarmos a sintaxe a uma porta física (GigabitEthernet) a sintaxe seria:

interface GigabitEthernet 2/0/9
qos apply policy proibe_192_172 inbound

A utilização do script acima para filtro de pacotes negará todas as regras que forem explicitamente escritas, nesse caso permitirá a comunicação da rede 192.168.1.0/24 com qualquer outra rede que não tenha referência nas linhas da ACL 3001 (não importando o permit ou deny da ACL).

Até logo :)

 

 

Práticas comuns de “Hardening” para equipamentos com Comware

Dias atrás pesquisando na Internet sobre dicas de Hardening para Switches e Roteadores que utilizam o Comware (3Com/ HP/ H3C ) encontrei um documento oficial do fabricante chamado de “Common practices for hardening HP Comware based devices” no endereço Clique aqui

O documento é interessante e vale a pena dar uma lida!  ;)

 

 

Switches 3Com 5500 – SSH, gerando as chaves pelo Switch

Publicado originalmente em 8 DE SETEMBRO DE 2010

O serviço de SSH permite realizar o acesso remoto ao Switch de forma criptografada.. O Script abaixo demonstra como gerarmos as chaves pública e privada no Switch e autenticarmos o usuário!

public-key local create rsa
! Gerando as chaves  no Switch
#
local-user diego
! Criando o usuário diego
password cipher senha123
! Configurando a senha para o usuário diego [ o comando cipher deixará a senha cifrada no arquivo de configuração]
service-type ssh
! Configurando somente o acesso SSH para o usuário diego
level 3
! Configurando o usuário com permissão de administrador [ o nível 3 é o maior]
#
ssh authentication-type default password

! Configurando o SSH para autenticar utilizando a base de usuários local
#
user-interface vty 0 4
authentication-mode scheme
!Permitindo a consulta do usuário da base de dados local na falta de configuração de um Servidor RADIUS para autenticação

Após estabelecida a configuração, utilize algum software para efetuar acesso ao Switch, como por exemplo o Putty.

Durante o acesso SSH, aceite a chave publica encaminhada pelo Switch.

Digite o usuário e senha cadastrados no Switch e efetua as configurações de sua preferência….

Dúvidas? Deixe um comentário…..

Switches 3Com 4500 – Configurando o Espelhamento de Porta ( Port Mirroring)

O espelhamento de portas é uma técnica que permite que o Switch efetue a cópia dos pacotes de rede de uma porta para outra em um Switch.

Essa técnica é bastante utilizada quando precisamos analisar o comportamento de algum servidor, como por exemplo, para identificação de vírus, acessos “estranhos”, etc.

No cenário abaixo efetuaremos a cópia do tráfego da porta do Switch que está conectada ao Roteador de Internet (como origem) para o Servidor de Análise ( como destino). A comunicação com a Internet não será afetada pois o Switch direcionará apenas a cópia!

Configuração
#
mirroring-group 1 local 
! Criando o Grupo 1 de portas para o Espelhamento
#
interface Ethernet1/0/3
stp disable
! desabilitando o Spanning-Tree da porta para não interferir na coleta
mirroring-group 1 monitor-port
!Configurando a porta para monitorar o tráfego da porta mirroring (no exemplo a porta Ethernet1/0/1)
#
interface Ethernet1/0/1
mirroring-group 1 mirroring-port both
! Configurando a Porta de origem que terá seu tráfego copiado no sentido inbound (entrada) e outbound (saída); comando both
#

Pronto! Configurações efetuadas… :)
No servidor de coleta poderíamos utilizar os Softwares TCPDump, Wireshark, etc para monitorar o tráfego. No exemplo abaixo, “printamos” a tela do software NTOP (freeware) com estatisticas da coleta!

Simples, agora  é só atuar no tráfego e/ou comportamento identificados na rede….
Até logo!

Switches HPN 4200G – Configurando a autenticação com TACACS

Compatilho abaixo o script básico (comentado) para a autenticação no acesso em Switches HPN utilizando AAA, com o Servidor ACS da Cisco e o protocolo TACACS. A autenticação para o super usuário em nosso exemplo, está como local.

Configuração

#
super password level 3 simple S3nha
! Criando a senha do super usuário como "S3nha"
#
hwtacacs scheme comutadores
! Criando o esquema TACACS com o nome Comutadores
primary authentication 192.168.1.10
!Configurando o IP do Servidor ACS para autenticação
primary authorization 192.168.1.10
!Configurando o IP do Servidor ACS para autorização
primary accounting 192.168.1.10
!Configurando o IP do Servidor ACS para contabilidade
nas-ip 148.91.219.56
!Endereço de IP do Switch cadastrado no ACS
key authentication s3nhacom
! Chave para autenticação com o servidor ACS  com a senha"s3nhacom"

key authorization s3nhacom
key accounting s3nhacom
user-name-format without-domain
! Encaminhamento do usuário sem o formato @dominio
#
domain comutadores.com.br
authentication login hwtacacs-scheme comutadores local
!Configurando a autenticação com TACACS e em caso de falha, a autenticação será local.
authorization login hwtacacs-scheme comutadores local
accounting login hwtacacs-scheme comutadores local
#
domain default enable comutadores.com.br
! Habilitando o dominio comutadores.com.br como default para auetnticação
#
user-interface vty 0 4
authentication-mode scheme
#

obs: Sugerimos que durante os testes, não configure o authentication-mode scheme no acesso via Console, para em caso de falha nos testes, você não fique trancado do lado de fora do Switch. ;)

Boa semana!