Galera, disponibilizamos para a compra o nosso terceiro eBook (no formado PDF) com foco em Switches 3Com/H3C/HP que chamamos de “Guia Básico para Configuração de Switches – Segurança”. O material está em português e serve como apoio para compreender alguns tipos de ataques a switches como também a configuração de funcionalidades como ACL, Port Security, DHCP Snooping, proteção ao STP, autenticação via RADIUS, TACACS+, 802.1x, etc.
O eBook aborda diversos assuntos já citados aqui no Blog, mas possui um foco mais didático. Os tópicos abordados são:
• Introdução à Segurança da Informação
• Processo Learning e Forwarding
• Protegendo o STP
• DHCP e ARP
• ACL
• AAA
• 802.1x
• Melhores Práticas
A escolha do PagSeguro como ferramenta, veio pela facilidade do cadastro e o suporte para pagamentos via Boleto, transferências de Pontos, transferências Bancárias e Cartão de Crédito. 😉
Após a conclusão da compra e a confirmação do PagSeguro, encaminharemos o eBook para o e-mail cadastrado no site.
O protocolo NDP pode ser utilizado em alguns Switches 3Com (geralmente com o Comware na versão 3) para descoberta de vizinhos, assim como o CDP e o LLDP em outros equipamentos.
O Neighbor Discover Protocol ( NDP ) detecta informações sobre o dispositivo diretamente conectado, incluindo o tipo, versão do software / hardware, porta conectada , ID , endereço de porta , e etc.
No exemplo abaixo habilitamos o processo globalmente entre dois Switch 3Com modelo 4500.
[4500_Core]ndp enable
! habilitando o processo Globalmente
[4500_Core]
[4500_Core]display ndp
Neighbor Discovery Protocol is enabled.
Neighbor Discovery Protocol Ver: 1, Hello Timer: 60(s), Aging Timer: 180(s)
Interface: Ethernet1/0/1
Status: Enabled, Pkts Snd: 92638, Pkts Rvd: 92807, Pkts Err: 0
Neighbor 1: Aging Time: 144(s)
MAC Address : 0022-57a5-9999
Host Name : 4500_Administrativo
Port Name : Ethernet1/0/23
Software Ver: 3Com OS V3.03.00s56
Device Name : Switch 4500 26-Port
Port Duplex : AUTO
Product Ver : 4500-1601P05
BootROM Ver : 3.00
Os testes também funcionaram entre Switches HP 1910 e um 3Com 4500. Para a detecção de vizinhos de Switches 3Com/HP/H3C com o Comware versão 5 para cima, sugiro a utilização do protocolo LLDP que é o padrão de mercado.
Recentemente a HP liberou uma nova versão do simulador para testes de comandos e features em equipamentos HP/ H3C /3Com ( baseados no Comware). O software é chamado de Simware ou HP Network Simulator .
A notícia é muito bem vinda e aguardada há um bom tempo por aqueles que administram esses equipamentos.
O simulador baseia-se a versão 7 do Comware (a maioria dos comandos é muito similar a versão 5 do Sistema Operacional).
Segue o link para download, dentro dele há as instruções para instalação e configuração da topologia (em inglês):
Obs: Um detalhe importante é a necessidade do Virtual Box para o funcionamento do Simulador, caso você encontre algum problema na instalação, utilize a versão 4.3.2 http://download.virtualbox.org/virtualbox/4.3.2/
Apesar da ferramenta trabalhar no modo GUI, a montagem da topologia deverá ser feita via texto em um arquivo de configuração (também explicado no manual do software).
Curtam, compartilhem e façam comentários. É um bom momento para comemorarmos. 🙂
Há diversas situações em que o Eng. de Rede necessita administrar uma rede (ou alguns velhos Switches), em cenários que não possui a senha para acesso console, telnet ou SSH do equipamento.
O procedimento abaixo serve para permitir o acesso à administração do Switch configurando o equipamento para que antes do processo de boot, pule o arquivo de configuração na inicialização….
Obs: Pode haver uma pequena variação no processo, o que pode não atender a todos os modelos, geralmente os modelos com o Ssistema Operacional Comware versão 3 ou 5 suportam o procedimento abaixo.
Procedimento
Consiga um acesso via Console ao Switch. Reinicie o equipamento e digite “Crtl + B” quando o Switch exibir a mensagem na inicialização…
Digite a senha em branco ( se ninguém alterou [pressione Enter no teclado] ) e você cairá na tela abaixo:
BOOT MENU
1. Download application file to flash
2. Select application file to boot
3. Display all files in flash
4. Delete file from flash
5. Modify BootRom password
6. Enter BootRom upgrade menu
7. Skip current system configuration
8. Set BootRom password recovery
9. Set switch startup mode
0. Reboot
…escolha a opção 7, confirme e reinicie o Switch.
No próximo passo, o equipamento inicializará sem a configuração anterior. Digite no <user-view> more nomedoarquivo.cfg, verifique se a senha está cifrada. Se não estiver cifrada… pronto, tudo resolvido! Se estiver cifrada, basta copiar toda a configuração em um TXT e colar no Switch criando um novo usuário. Após salvar, o arquivo anterior será sobrescrito.
Obs: Após todo o procedimento ser efetuado, vá novamente a tela do botrom (Crtl + B ) escolha a opção 7 e negue a opção ( para o Switch não pular o arquivo de configuração sempre que reiniciar).
Se o seu Switch possuir um procedimento diferente do listado aqui, se possível, escreva o “how to” nos comentários .. 🙂
Essa semana recebi uma dica bem bacana do Dilson Augusto para a administração de Switches 3Com Baseline.
Pesquisando melhor na Internet sobre o procedimento, vi que há outros modelos como o Switch HP v1910 que também aceitam o “comando secreto” para liberar a configuração de diversas features via CLI.
Ainda não pude testar a dica infomada em equipamentos em produção, então tomem todo o cuidado antes de executar o procedimento abaixo (prestem bastante atenção no warning exibido após a execução do comando) 😉 . De resto, curtam e simulem a dica em laboratório e comentem aqui no blog!!!
Obrigado Dilson. Segue abaixo o texto:
Boa tarde Diego,
Gostaria de compartilhar algo que descobri recentemente depois de muito tempo de pesquisa.
A linha Baseline Switch da HP é conhecida por ter seu gerenciamento console bem “restrito”, para não dizer simplório…
<3Com Baseline Switch>?
User view commands:
initialize Delete the startup configuration file and reboot system
ipsetup Specify the IP address of the VLAN interface 1
password Specify password of local user
ping Ping function
quit Exit from current command view
reboot Reboot system
summary Display summary information of the device.
upgrade Upgrade the system boot file or the Boot ROM program
<3Com Baseline Switch>
Então… depois de muita pesquisa, acabei encontrando um comando mais que bacana… Se tiver um switch desses a mão, testa aí:
<3Com Baseline Switch>_cmdline-mode on
Vai apresentar a mensagem:
All commands can be displayed and executed. Continue? [Y/N]Y
Please input password:******
Warning: Now you enter an all-command mode for developer's testing,some commands may affect operation by wrong use, please carefully useit with our engineer's direction.
A senha é: 512900
<3Com Baseline Switch>?
User view commands:
archive Specify archive settings
backup Backup next startup-configuration file to TFTP server
boot-loader Set boot loader
bootrom Update/read/backup/restore bootrom
cd Change current directory
clock Specify the system clock
cluster Run cluster command
copy Copy from one file to another
debugging Enable system debugging functions
delete Delete a file
dir List files on a file system
display Display current system information
fixdisk Recover lost chains in storage device
format Format the device
free Clear user terminal interface
ftp Open FTP connection
initialize Delete the startup configuration file and reboot system
ipsetup Specify the IP address of the VLAN interface 1
lock Lock current user terminal interface
logfile Specify log file configuration
mkdir Create a new directory
more Display the contents of a file
move Move the file
ntdp Run NTDP commands
password Specify password of local user
ping Ping function
pwd Display current working directory
quit Exit from current command view
reboot Reboot system
rename Rename a file or directory
reset Reset operation
restore Restore next startup-configuration file from TFTP server
rmdir Remove an existing directory
save Save current configuration
schedule Schedule system task
screen-length Specify the lines displayed on one screen
send Send information to other user terminal interface
sftp Establish one SFTP connection
ssh2 Establish a secure shell client connection
stack Switch stack system
startup Specify system startup parameters
summary Display summary information of the device.
super Set the current user priority level
system-view Enter the System View
telnet Establish one TELNET connection
terminal Set the terminal line characteristics
tftp Open TFTP connection
tracert Trace route function
undelete Recover a deleted file
undo Cancel current setting
upgrade Upgrade the system boot file or the Boot ROM program
<3Com Baseline Switch>
<3Com Baseline Switch>system-view
System View: return to User View with Ctrl+Z.
[3Com Baseline Switch]display cpu-usage history
100%|
95%|
90%|
85%|
80%|
75%|
70%|
65%|
60%|
55%|
50%|
45%|
40%|
35%|
30%|
25%|
20%| #
15%| #
10%| #
5% |# #
------------------------------------------------------------
10 20 30 40 50 60 (minutes)
cpu-usage last 60 minutes(SYSTEM)
[3Com Baseline Switch]
Caso queira compartilhar no blog, sinta-se a vontade… pode vir a auxiliar diversos administradores de rede.
A publicação de conteúdo em vídeo, sempre foi um dos meus desejos para os assuntos já abordados aqui no blog. Nesse primeiro video, abordamos a configuração de portas Access, Hybrid e Trunk para Switches HPN, 3Com e H3C..
Sugestões e Comentários serão bem vindos. Espero que a gravação possa ser útil! 😉
Amigos, disponibilizamos para a compra o nosso segundo eBook (no formado PDF) que chamamos de “Guia Básico para Configuração de Switches – Alta Disponibilidade“. O material em português serve como apoio para compreender features como STP, Link- Aggregation, VRRP, etc para Switches Ethernet dos fabricantes 3Com, H3C e HP.
Além disso, assim como no primeiro volume, esperamos que o eBook seja uma ferramenta de apoio para continuarmos com os Serviços oferecidos nos Blogs (comutadores.com.br e rotadefault.com.br) e que de forma direta e/ou indireta nos impulsione novos Projetos.
O eBook aborda assuntos já citados aqui no Blog, mas possui um foco mais didático para a disposição de Switches com o Sistema Operacional Comware (3Com, H3C e HP Serie-A) para prover Alta Disponibilidade nos Serviços da Rede Local …. incluindo pequenos laboratórios com soluções para elucidar os exemplos. Os tópicos abordados são:
Introdução à Alta Disponibilidade de Switches Ethernet
Spanning-Tree
Link-Aggregation
VRRP
XRN & IRF
A escolha do PagSeguro como ferramenta, veio pela facilidade do cadastro e o suporte para pagamentos via Boleto, transferências de Pontos, transferências Bancárias e Cartão de Crédito.
Após a conclusão da compra e a confirmação do PagSeguro, encaminharemos o eBook para o email cadastrado no site.
O post de hoje surgiu da necessidade de um projeto na UNESP onde o cliente gerava as próprias chaves pública e privada e importava para o Switch. A autenticação para conexão ao Switch para fins de gerenciamento ocorrerá através de certificados. O cliente SSH irá autenticar-se utilizando certificados ao invés de senhas. Se não houver um certificado válido o usuário não conseguirá conectar-se ao Switch.
Mostraremos passo-a-passo como gerar as chaves pública e privada utilizando o Software Putty para Windows e configuraremos o Switch para permitir o acesso do host via SSH por troca de chaves.
Gere as chaves pelo puttygen. Abra o software e clique no botão Generate. Depois, fique movendo o mouse no espaço abaixo da barra de progresso até que o processo esteja finalizado (isso é feito para gerar dados aleatórios para criar o certificado).
Após concluir o processo, será exibida a tela abaixo:
Salve a chave pública e privada. No exemplo salvaremos a chave privada como comutadores.ppk e chave pública como comutadores.pub.
Configurando o Switch
Criaremos um diretório chamado chave no Switch e copiaremos a chave pública na memória Flash no modo user-view: mkdir chave
…
%Created dir flash:/chave.
tftp 1.1.1.2 get comutadores.pub flash:/chave/comutadores.pub ! Importando a chave pública para o Switch e ativando o SSH no Switch [4800G]ssh server enable [4800G]public-key local create rsa ! Gerando as chaves no Switch [4800G]public-key peer comutadores.pub import sshkeyflash:/chave/comutadores.pub ! Criando o usuário diego e permitindo acesso por SSH com nível 3 de permissão
#
local-user diego
authorization-attribute level 3
service-type ssh
#
user-interface vty 0 4
authentication-mode scheme
user privilege level 3
protocol inbound ssh
# ! Associando o usuário diego a chave comutadores.pub [4800G] ssh user diego service-type all authentication-type publickey assign publickey comutadores.pub work-directory flash:/chave/comutadores.pub
Utilizando a chave pública geradas pelo computador para acesso ao Switch
Utilizando o software putty digite o endeço IP do Switch e marque a opção SSH
Agora, você terá que acessar as opções oferecidas no menu à esquerda da janela do PuTTy. Neste menu, encontraremos uma opção chamada “Connection” e, logo abaixo dela, uma opção chamada “Data”, clique nela. Em “Auto-login username” digite o nome do usuário que você quer utilizar para se conectar ao Switch.
Agora, vamos dizer ao PuTTy onde está localizada a chave privada para que ele possa utilizá-la durante a conexão. Para isso, no menu à esquerda, vá em “Connection”, expanda “SSH” e clique em “Auth”. Clique no botão “Browse” e selecione o arquivo com a chave privada.
Agora, volte para “Session” (a primeira opção, no topo do menu à esquerda) e clique no botão “Save”. Pronto, se tudo correu bem, basta você dar dois cliques no nome do perfil que você salvou, clique em Open e você irá conseguir logar automaticamente no Switch.
Configuração final
ssh server enable
#
public-key peer comutadores.pub
public-key-code begin
AAAAAB3Nza00D06092A864886F70D010101050003818A003081860281806522B8CDE0A37D42A5
98ABCA897D7BEBBC9A7C6C9E0411CC43094076904639F090EFCC5844CD688AC3E25867E29D
C618B50CE435A5E0BEA497C6411A6C32E8DDAC4D9DD123418BD91F9D60EEDC3D4C96911E07
56621E8017F196AE8FBC39BB99794296A88A58C3BF9B0C13FC36DF9B67B186103B233F67E4
7AD1BE9E6B502A9B020125
public-key-code end
peer-public-key end
#
local-user diego
authorization-attribute level 3
service-type ssh
#
ssh user diego service-type all authentication-type publickey assign publickey comutadores.pub work-directory flash:/chave/comutadores.pub
#
user-interface vty 0 4
authentication-mode scheme
user privilege level 3
# Script enviado por Douglas Jefferson.
Dias atrás pesquisando na Internet sobre dicas de Hardening para Switches e Roteadores que utilizam o Comware (3Com/ HP/ H3C ) encontrei um documento oficial do fabricante chamado de “Common practices for hardening HP Comware based devices” no endereço Clique aqui
O documento é interessante e vale a pena dar uma lida! 😉
O serviço de SSH permite realizar o acesso remoto ao Switch de forma criptografada.. O Script abaixo demonstra como gerarmos as chaves pública e privada no Switch e autenticarmos o usuário!
public-key local create rsa ! Gerando as chaves no Switch # local-user diego ! Criando o usuário diego password cipher senha123 ! Configurando a senha para o usuário diego [ o comando cipher deixará a senha cifrada no arquivo de configuração] service-type ssh ! Configurando somente o acesso SSH para o usuário diego level 3 ! Configurando o usuário com permissão de administrador [ o nível 3 é o maior] #
ssh authentication-type default password ! Configurando o SSH para autenticar utilizando a base de usuários local # user-interface vty 0 4 authentication-mode scheme !Permitindo a consulta do usuário da base de dados local na falta de configuração de um Servidor RADIUS para autenticação
Após estabelecida a configuração, utilize algum software para efetuar acesso ao Switch, como por exemplo o Putty.
Durante o acesso SSH, aceite a chave publica encaminhada pelo Switch.
Digite o usuário e senha cadastrados no Switch e efetua as configurações de sua preferência….
O eBook aborda diversos assuntos já citados aqui no Blog, mas possui um foco mais didático. Os tópicos abordados são:
