Galera, disponibilizamos para a compra o nosso terceiro eBook (no formado PDF) com foco em Switches 3Com/H3C/HP que chamamos de “Guia Básico para Configuração de Switches – Segurança”. O material está em português e serve como apoio para compreender alguns tipos de ataques a switches como também a configuração de funcionalidades como ACL, Port Security, DHCP Snooping, proteção ao STP, autenticação via RADIUS, TACACS+, 802.1x, etc.
O eBook aborda diversos assuntos já citados aqui no Blog, mas possui um foco mais didático. Os tópicos abordados são:
• Introdução à Segurança da Informação
• Processo Learning e Forwarding
• Protegendo o STP
• DHCP e ARP
• ACL
• AAA
• 802.1x
• Melhores Práticas
A escolha do PagSeguro como ferramenta, veio pela facilidade do cadastro e o suporte para pagamentos via Boleto, transferências de Pontos, transferências Bancárias e Cartão de Crédito. 😉
Após a conclusão da compra e a confirmação do PagSeguro, encaminharemos o eBook para o e-mail cadastrado no site.
O protocolo NDP pode ser utilizado em alguns Switches 3Com (geralmente com o Comware na versão 3) para descoberta de vizinhos, assim como o CDP e o LLDP em outros equipamentos.
O Neighbor Discover Protocol ( NDP ) detecta informações sobre o dispositivo diretamente conectado, incluindo o tipo, versão do software / hardware, porta conectada , ID , endereço de porta , e etc.
No exemplo abaixo habilitamos o processo globalmente entre dois Switch 3Com modelo 4500.
[4500_Core]ndp enable
! habilitando o processo Globalmente
[4500_Core]
[4500_Core]display ndp
Neighbor Discovery Protocol is enabled.
Neighbor Discovery Protocol Ver: 1, Hello Timer: 60(s), Aging Timer: 180(s)
Interface: Ethernet1/0/1
Status: Enabled, Pkts Snd: 92638, Pkts Rvd: 92807, Pkts Err: 0
Neighbor 1: Aging Time: 144(s)
MAC Address : 0022-57a5-9999
Host Name : 4500_Administrativo
Port Name : Ethernet1/0/23
Software Ver: 3Com OS V3.03.00s56
Device Name : Switch 4500 26-Port
Port Duplex : AUTO
Product Ver : 4500-1601P05
BootROM Ver : 3.00
Os testes também funcionaram entre Switches HP 1910 e um 3Com 4500. Para a detecção de vizinhos de Switches 3Com/HP/H3C com o Comware versão 5 para cima, sugiro a utilização do protocolo LLDP que é o padrão de mercado.
Recentemente a HP liberou uma nova versão do simulador para testes de comandos e features em equipamentos HP/ H3C /3Com ( baseados no Comware). O software é chamado de Simware ou HP Network Simulator .
A notícia é muito bem vinda e aguardada há um bom tempo por aqueles que administram esses equipamentos.
O simulador baseia-se a versão 7 do Comware (a maioria dos comandos é muito similar a versão 5 do Sistema Operacional).
Segue o link para download, dentro dele há as instruções para instalação e configuração da topologia (em inglês):
Obs: Um detalhe importante é a necessidade do Virtual Box para o funcionamento do Simulador, caso você encontre algum problema na instalação, utilize a versão 4.3.2 http://download.virtualbox.org/virtualbox/4.3.2/
Apesar da ferramenta trabalhar no modo GUI, a montagem da topologia deverá ser feita via texto em um arquivo de configuração (também explicado no manual do software).
Curtam, compartilhem e façam comentários. É um bom momento para comemorarmos. 🙂
Há diversas situações em que o Eng. de Rede necessita administrar uma rede (ou alguns velhos Switches), em cenários que não possui a senha para acesso console, telnet ou SSH do equipamento.
O procedimento abaixo serve para permitir o acesso à administração do Switch configurando o equipamento para que antes do processo de boot, pule o arquivo de configuração na inicialização….
Obs: Pode haver uma pequena variação no processo, o que pode não atender a todos os modelos, geralmente os modelos com o Ssistema Operacional Comware versão 3 ou 5 suportam o procedimento abaixo.
Procedimento
Consiga um acesso via Console ao Switch. Reinicie o equipamento e digite “Crtl + B” quando o Switch exibir a mensagem na inicialização…
Digite a senha em branco ( se ninguém alterou [pressione Enter no teclado] ) e você cairá na tela abaixo:
BOOT MENU
1. Download application file to flash
2. Select application file to boot
3. Display all files in flash
4. Delete file from flash
5. Modify BootRom password
6. Enter BootRom upgrade menu
7. Skip current system configuration
8. Set BootRom password recovery
9. Set switch startup mode
0. Reboot
…escolha a opção 7, confirme e reinicie o Switch.
No próximo passo, o equipamento inicializará sem a configuração anterior. Digite no <user-view> more nomedoarquivo.cfg, verifique se a senha está cifrada. Se não estiver cifrada… pronto, tudo resolvido! Se estiver cifrada, basta copiar toda a configuração em um TXT e colar no Switch criando um novo usuário. Após salvar, o arquivo anterior será sobrescrito.
Obs: Após todo o procedimento ser efetuado, vá novamente a tela do botrom (Crtl + B ) escolha a opção 7 e negue a opção ( para o Switch não pular o arquivo de configuração sempre que reiniciar).
Se o seu Switch possuir um procedimento diferente do listado aqui, se possível, escreva o “how to” nos comentários .. 🙂
Essa semana recebi uma dica bem bacana do Dilson Augusto para a administração de Switches 3Com Baseline.
Pesquisando melhor na Internet sobre o procedimento, vi que há outros modelos como o Switch HP v1910 que também aceitam o “comando secreto” para liberar a configuração de diversas features via CLI.
Ainda não pude testar a dica infomada em equipamentos em produção, então tomem todo o cuidado antes de executar o procedimento abaixo (prestem bastante atenção no warning exibido após a execução do comando) 😉 . De resto, curtam e simulem a dica em laboratório e comentem aqui no blog!!!
Obrigado Dilson. Segue abaixo o texto:
Boa tarde Diego,
Gostaria de compartilhar algo que descobri recentemente depois de muito tempo de pesquisa.
A linha Baseline Switch da HP é conhecida por ter seu gerenciamento console bem “restrito”, para não dizer simplório…
<3Com Baseline Switch>?
User view commands:
initialize Delete the startup configuration file and reboot system
ipsetup Specify the IP address of the VLAN interface 1
password Specify password of local user
ping Ping function
quit Exit from current command view
reboot Reboot system
summary Display summary information of the device.
upgrade Upgrade the system boot file or the Boot ROM program
<3Com Baseline Switch>
Então… depois de muita pesquisa, acabei encontrando um comando mais que bacana… Se tiver um switch desses a mão, testa aí:
<3Com Baseline Switch>_cmdline-mode on
Vai apresentar a mensagem:
All commands can be displayed and executed. Continue? [Y/N]Y
Please input password:******
Warning: Now you enter an all-command mode for developer's testing,some commands may affect operation by wrong use, please carefully useit with our engineer's direction.
A senha é: 512900
<3Com Baseline Switch>?
User view commands:
archive Specify archive settings
backup Backup next startup-configuration file to TFTP server
boot-loader Set boot loader
bootrom Update/read/backup/restore bootrom
cd Change current directory
clock Specify the system clock
cluster Run cluster command
copy Copy from one file to another
debugging Enable system debugging functions
delete Delete a file
dir List files on a file system
display Display current system information
fixdisk Recover lost chains in storage device
format Format the device
free Clear user terminal interface
ftp Open FTP connection
initialize Delete the startup configuration file and reboot system
ipsetup Specify the IP address of the VLAN interface 1
lock Lock current user terminal interface
logfile Specify log file configuration
mkdir Create a new directory
more Display the contents of a file
move Move the file
ntdp Run NTDP commands
password Specify password of local user
ping Ping function
pwd Display current working directory
quit Exit from current command view
reboot Reboot system
rename Rename a file or directory
reset Reset operation
restore Restore next startup-configuration file from TFTP server
rmdir Remove an existing directory
save Save current configuration
schedule Schedule system task
screen-length Specify the lines displayed on one screen
send Send information to other user terminal interface
sftp Establish one SFTP connection
ssh2 Establish a secure shell client connection
stack Switch stack system
startup Specify system startup parameters
summary Display summary information of the device.
super Set the current user priority level
system-view Enter the System View
telnet Establish one TELNET connection
terminal Set the terminal line characteristics
tftp Open TFTP connection
tracert Trace route function
undelete Recover a deleted file
undo Cancel current setting
upgrade Upgrade the system boot file or the Boot ROM program
<3Com Baseline Switch>
<3Com Baseline Switch>system-view
System View: return to User View with Ctrl+Z.
[3Com Baseline Switch]display cpu-usage history
100%|
95%|
90%|
85%|
80%|
75%|
70%|
65%|
60%|
55%|
50%|
45%|
40%|
35%|
30%|
25%|
20%| #
15%| #
10%| #
5% |# #
------------------------------------------------------------
10 20 30 40 50 60 (minutes)
cpu-usage last 60 minutes(SYSTEM)
[3Com Baseline Switch]
Caso queira compartilhar no blog, sinta-se a vontade… pode vir a auxiliar diversos administradores de rede.
A publicação de conteúdo em vídeo, sempre foi um dos meus desejos para os assuntos já abordados aqui no blog. Nesse primeiro video, abordamos a configuração de portas Access, Hybrid e Trunk para Switches HPN, 3Com e H3C..
Sugestões e Comentários serão bem vindos. Espero que a gravação possa ser útil! 😉
O post de hoje surgiu da necessidade de um projeto na UNESP onde o cliente gerava as próprias chaves pública e privada e importava para o Switch. A autenticação para conexão ao Switch para fins de gerenciamento ocorrerá através de certificados. O cliente SSH irá autenticar-se utilizando certificados ao invés de senhas. Se não houver um certificado válido o usuário não conseguirá conectar-se ao Switch.
Mostraremos passo-a-passo como gerar as chaves pública e privada utilizando o Software Putty para Windows e configuraremos o Switch para permitir o acesso do host via SSH por troca de chaves.
Gere as chaves pelo puttygen. Abra o software e clique no botão Generate. Depois, fique movendo o mouse no espaço abaixo da barra de progresso até que o processo esteja finalizado (isso é feito para gerar dados aleatórios para criar o certificado).
Após concluir o processo, será exibida a tela abaixo:
Salve a chave pública e privada. No exemplo salvaremos a chave privada como comutadores.ppk e chave pública como comutadores.pub.
Configurando o Switch
Criaremos um diretório chamado chave no Switch e copiaremos a chave pública na memória Flash no modo user-view: mkdir chave
…
%Created dir flash:/chave.
tftp 1.1.1.2 get comutadores.pub flash:/chave/comutadores.pub ! Importando a chave pública para o Switch e ativando o SSH no Switch [4800G]ssh server enable [4800G]public-key local create rsa ! Gerando as chaves no Switch [4800G]public-key peer comutadores.pub import sshkeyflash:/chave/comutadores.pub ! Criando o usuário diego e permitindo acesso por SSH com nível 3 de permissão
#
local-user diego
authorization-attribute level 3
service-type ssh
#
user-interface vty 0 4
authentication-mode scheme
user privilege level 3
protocol inbound ssh
# ! Associando o usuário diego a chave comutadores.pub [4800G] ssh user diego service-type all authentication-type publickey assign publickey comutadores.pub work-directory flash:/chave/comutadores.pub
Utilizando a chave pública geradas pelo computador para acesso ao Switch
Utilizando o software putty digite o endeço IP do Switch e marque a opção SSH
Agora, você terá que acessar as opções oferecidas no menu à esquerda da janela do PuTTy. Neste menu, encontraremos uma opção chamada “Connection” e, logo abaixo dela, uma opção chamada “Data”, clique nela. Em “Auto-login username” digite o nome do usuário que você quer utilizar para se conectar ao Switch.
Agora, vamos dizer ao PuTTy onde está localizada a chave privada para que ele possa utilizá-la durante a conexão. Para isso, no menu à esquerda, vá em “Connection”, expanda “SSH” e clique em “Auth”. Clique no botão “Browse” e selecione o arquivo com a chave privada.
Agora, volte para “Session” (a primeira opção, no topo do menu à esquerda) e clique no botão “Save”. Pronto, se tudo correu bem, basta você dar dois cliques no nome do perfil que você salvou, clique em Open e você irá conseguir logar automaticamente no Switch.
Configuração final
ssh server enable
#
public-key peer comutadores.pub
public-key-code begin
AAAAAB3Nza00D06092A864886F70D010101050003818A003081860281806522B8CDE0A37D42A5
98ABCA897D7BEBBC9A7C6C9E0411CC43094076904639F090EFCC5844CD688AC3E25867E29D
C618B50CE435A5E0BEA497C6411A6C32E8DDAC4D9DD123418BD91F9D60EEDC3D4C96911E07
56621E8017F196AE8FBC39BB99794296A88A58C3BF9B0C13FC36DF9B67B186103B233F67E4
7AD1BE9E6B502A9B020125
public-key-code end
peer-public-key end
#
local-user diego
authorization-attribute level 3
service-type ssh
#
ssh user diego service-type all authentication-type publickey assign publickey comutadores.pub work-directory flash:/chave/comutadores.pub
#
user-interface vty 0 4
authentication-mode scheme
user privilege level 3
# Script enviado por Douglas Jefferson.
Dias atrás pesquisando na Internet sobre dicas de Hardening para Switches e Roteadores que utilizam o Comware (3Com/ HP/ H3C ) encontrei um documento oficial do fabricante chamado de “Common practices for hardening HP Comware based devices” no endereço Clique aqui
O documento é interessante e vale a pena dar uma lida! 😉
O serviço de SSH permite realizar o acesso remoto ao Switch de forma criptografada.. O Script abaixo demonstra como gerarmos as chaves pública e privada no Switch e autenticarmos o usuário!
public-key local create rsa ! Gerando as chaves no Switch # local-user diego ! Criando o usuário diego password cipher senha123 ! Configurando a senha para o usuário diego [ o comando cipher deixará a senha cifrada no arquivo de configuração] service-type ssh ! Configurando somente o acesso SSH para o usuário diego level 3 ! Configurando o usuário com permissão de administrador [ o nível 3 é o maior] #
ssh authentication-type default password ! Configurando o SSH para autenticar utilizando a base de usuários local # user-interface vty 0 4 authentication-mode scheme !Permitindo a consulta do usuário da base de dados local na falta de configuração de um Servidor RADIUS para autenticação
Após estabelecida a configuração, utilize algum software para efetuar acesso ao Switch, como por exemplo o Putty.
Durante o acesso SSH, aceite a chave publica encaminhada pelo Switch.
Digite o usuário e senha cadastrados no Switch e efetua as configurações de sua preferência….
Olá amigos, já faz um bom tempo que eu venho pensando em escrever um post sobre o RIP. Esses dias durante a leitura de um livro muito bacana chamado Routing TCP/IP, Volume I 2nd Edition (Jeff Doyle, Jennifer Carroll), decidi escrever esse artigo.
Apesar do RIP ser um protocolo de Roteamento simples, sua função é bastante útil em redes pequenas, em comunicações entre Roteadores PE e CPE em redes MPLS, na redistribuição entre protocolos de Roteamento e dispositivos de rede com suporte apenas ao RIP (como protocolo de Roteamento Dinâmico).
O Routing Information Protocol (RIP) utiliza o algoritmo de vetor de distancia (Distance Vector) para escolha de melhor caminho para o destino – o RIP determina a distancia como métrica.
A contagem máxima de distancia para o RIP é 15, o 16º salto é considerado como inalcançável ou infinito.
No exemplo abaixo com todos os Roteadores com RIP ativo, o Roteador W informaria dinamicamente a todos os Roteadores diretamente conectados que possui a Rede 192.168.1.0/24 essas informações são repassadas pelos outros Roteadores até o Roteador X que escolheria o Caminho B como caminho mais curto para acesso a rede 192.168.1.0/24 e incluiria essa informação na tabela de Roteamento.
O RIP encaminha a cada 30 segundos toda a sua tabela de Roteamento em Broadcast (255.255.255.255) na porta 520 UDP.
A regra Split Horizon diz que as atualizações recebidas por uma interface não serão incluídas e/ou encaminhadas de volta nas atualizações para aquela interface. Exemplificando, o Roteador X não encaminhará informações da Rede 192.168.1.0/24 de volta aos Roteadores que lhe encaminharam informações sobre essa rota.
Outra maneira de evitar rotas inconsistentes é a utilização de Route Poisoning, por exemplo, se a rota 192.168.1.0/24 ficar Down o Roteador W iniciará o Route Poisoning anunciando a rede com métrica 16 (como inalcançável). Os roteadores diretamente conectados responderão com a mensagem poison reverse ao Roteador W certificando que receberam a mensagem além de replicarem a rota poisoning aos outros Roteadores.
O RIP encaminha mensagens a cada 30 segundos, o tempo para determinar uma rota como invalida é de 180 segundos.
Obs: o RIP versão 1 não encaminha informações sobre mascara nas atualizações de Rotas para os vizinhos, por isso é considerado um protocolo ClassFull (classe cheia) que obrigatoriamente precisa de consistência na distribuição de sub-redes, não sendo possível trabalhar com mascaras de tamanho variável e redes descontinuas.
Configurando o RIP
Switch 4500-A
[4500G-A]
vlan 1
#
vlan 2
#
vlan 50
#
interface Vlan-interface1
ip address 192.168.1.1 255.255.255.0
! Atribuindo o endereço IP a VLAN 1
#
interface Vlan-interface2
ip address 192.168.2.1 255.255.255.0
! Atribuindo o endereço IP a VLAN 2
#
interface Vlan-interface50
ip address 192.168.50.1 255.255.255.0
! Atribuindo o endereço IP a VLAN 50
#
rip 1
! Ativando o processo RIP 1(é possivel trabalharmos com processos RIP
! independentes no mesmo Switch)
version 1
! O RIP possui 2 versões,a versão 1 trabalha somente com mensagens em
! Broadcaste rotas Classfull enquanto o RIP versão 2 oferece suporte
! a máscaras de tamanho variável e atualizações em multicast
network 192.168.1.0
network 192.168.2.0
network 192.168.50.0
! Adicionando as redes 192.168.1.0, 192.168.2.0 e 192.168.50.0 ao
! processo RIP, para encaminhamento de atualizações dessas redes
! aos vizinhos, incluindo o encaminhamento de mensagens Broadcasts
! por essas VLANs
#
Switch 4500-B
[4500G-B]
vlan 1
#
vlan 10
#
vlan 17
#
interface Vlan-interface1
ip address 192.168.1.2 255.255.255.0
#
interface Vlan-interface10
ip address 10.0.0.1 255.0.0.0
#
interface Vlan-interface17
ip address 172.17.0.1 255.255.0.0
#
rip 1
network 192.168.1.0
network 172.17.0.0
network 10.0.0.0
#
Comandos Display
<4500G-A>display ip routing-table
Routing Tables: Public
Destinations : 10 Routes : 10
Destination/Mask Proto Pre Cost NextHop Interface
10.0.0.0/8 RIP 100 1 192.168.1.2 Vlan1
127.0.0.0/8 Direct 0 0 127.0.0.1 InLoop0
127.0.0.1/32 Direct 0 0 127.0.0.1 InLoop0
172.17.0.0/16 RIP 100 1 192.168.1.2 Vlan1
192.168.1.0/24 Direct 0 0 192.168.1.1 Vlan1
192.168.1.1/32 Direct 0 0 127.0.0.1 InLoop0
192.168.2.0/24 Direct 0 0 192.168.2.1 Vlan2
192.168.2.1/32 Direct 0 0 127.0.0.1 InLoop0
192.168.50.0/24 Direct 0 0 192.168.50.1 Vlan50
192.168.50.1/32 Direct 0 0 127.0.0.1 InLoop0
<4500G-A>display rip
RIP process : 1
RIP version : 1
Preference : 100
Checkzero : Enabled
Default-cost : 0
Summary : Enabled
Hostroutes : Enabled
Maximum number of balanced paths : 1
Update time : 30 sec(s) Timeout time : 180 sec(s)
Suppress time : 120 sec(s) Garbage-collect time : 120 sec(s)
update output delay : 20(ms) output count : 3
TRIP retransmit time : 5 sec(s)
TRIP response packets retransmit count : 36
Silent interfaces : None Default routes : Disabled
Verify-source : Enabled
Networks :
192.168.50.0 192.168.2.0192.168.1.0
Configured peers : None
Triggered updates sent : 43
Number of routes changes : 24
Number of replies to queries : 4
O eBook aborda diversos assuntos já citados aqui no Blog, mas possui um foco mais didático. Os tópicos abordados são:
