Guia Básico para Configuração de Switches – Segurança – volume 3

Galera, disponibilizamos para a compra o nosso terceiro eBook (no formado PDF) com foco em Switches 3Com/H3C/HP que chamamos de “Guia Básico para Configuração de Switches – Segurança”. O material está em português e serve como apoio para compreender alguns tipos de ataques a switches como também a configuração de funcionalidades como ACL, Port Security, DHCP Snooping, proteção ao STP, autenticação via RADIUS, TACACS+, 802.1x, etc.

O eBook aborda diversos assuntos já citados aqui no Blog, mas possui um foco mais didático. Os tópicos abordados são:

• Introdução à Segurança da Informação
• Processo Learning e Forwarding
• Protegendo o STP
• DHCP e ARP
• ACL
• AAA
• 802.1x
• Melhores Práticas

A escolha do PagSeguro como ferramenta, veio pela facilidade do cadastro e o suporte para pagamentos via Boleto, transferências de Pontos, transferências Bancárias e Cartão de Crédito. 😉

Após a conclusão da compra e a confirmação do PagSeguro, encaminharemos o eBook para o e-mail cadastrado no site.

Para visualizar algumas “folhas”… Clique aqui

Valor R$ 29,99




Utilizando o NDP para descoberta de Switches 3COM

O protocolo NDP pode ser utilizado em alguns Switches 3Com (geralmente com o Comware na versão 3) para descoberta de vizinhos, assim como o CDP e o LLDP em outros equipamentos.

O Neighbor Discover Protocol ( NDP ) detecta informações sobre o dispositivo diretamente conectado, incluindo o tipo, versão do software / hardware, porta conectada , ID , endereço de porta , e etc.

No exemplo abaixo habilitamos o processo globalmente entre dois Switch 3Com modelo 4500.

[4500_Core]ndp enable
! habilitando o processo Globalmente
[4500_Core]

[4500_Core]display ndp
Neighbor Discovery Protocol is enabled.
Neighbor Discovery Protocol Ver: 1, Hello Timer: 60(s), Aging Timer: 180(s)
Interface: Ethernet1/0/1
Status: Enabled, Pkts Snd: 92638, Pkts Rvd: 92807, Pkts Err: 0
Neighbor 1: Aging Time: 144(s)
MAC Address : 0022-57a5-9999
Host Name : 4500_Administrativo
Port Name : Ethernet1/0/23
Software Ver: 3Com OS V3.03.00s56
Device Name : Switch 4500 26-Port
Port Duplex : AUTO
Product Ver : 4500-1601P05
BootROM Ver : 3.00

Os testes também funcionaram entre Switches HP 1910 e um 3Com 4500. Para a detecção de vizinhos de Switches 3Com/HP/H3C com o Comware versão 5 para cima, sugiro a utilização do protocolo LLDP que é o padrão de mercado.

Abração

HP Network Simulator – o simulador de equipamentos de rede HP baseado no Comware 7

Recentemente a HP liberou uma nova versão do simulador para testes de comandos e features em equipamentos HP/ H3C /3Com ( baseados no Comware). O software é chamado de Simware ou HP Network Simulator .

A notícia é muito bem vinda e aguardada há um bom tempo por aqueles que administram esses equipamentos.

O  simulador baseia-se a versão 7 do Comware (a maioria dos comandos é muito similar a versão 5 do Sistema Operacional).

Segue o link para download, dentro dele há as instruções para instalação e configuração da topologia (em inglês):

http://h17007.www1.hp.com/ca/en/networking/products/simulator/index.aspx#.Ve12dRFViko

 

HP Network Simulator

Obs: Um detalhe importante é a necessidade  do Virtual Box para o funcionamento do Simulador, caso você encontre  algum problema na instalação, utilize a versão 4.3.2  http://download.virtualbox.org/virtualbox/4.3.2/

Apesar da ferramenta trabalhar no modo GUI, a montagem da topologia deverá ser feita via texto em um arquivo de configuração (também explicado no manual do software).

Curtam, compartilhem e façam comentários. É um bom momento para comemorarmos. 🙂

Se o link estiver quebrado, deixe um comentário.

Um grande abraço

Reset de Senha: Switches 3Com, HPN e H3C

Há diversas situações em que o Eng. de Rede necessita administrar uma rede (ou alguns velhos Switches), em cenários que não possui a senha para acesso console, telnet ou SSH do equipamento.

O procedimento abaixo serve para permitir  o acesso à administração do Switch configurando o equipamento para que antes do processo de boot, pule o arquivo de configuração na inicialização….
 
Obs: Pode haver uma pequena variação no processo, o que pode não atender a todos os modelos, geralmente os modelos com o Ssistema Operacional Comware versão 3 ou 5 suportam o procedimento abaixo.
 

Procedimento

Consiga um acesso via Console ao Switch. Reinicie o equipamento e  digite “Crtl + B” quando o Switch exibir a mensagem na inicialização…

Digite a senha em branco ( se ninguém alterou [pressione Enter no teclado] ) e você cairá na tela abaixo:

BOOT MENU

1. Download application file to flash
2. Select application file to boot
3. Display all files in flash
4. Delete file from flash
5. Modify BootRom password
6. Enter BootRom upgrade menu
7. Skip current system configuration
8. Set BootRom password recovery
9. Set switch startup mode
0. Reboot

…escolha a opção 7, confirme e reinicie o Switch.

No próximo passo, o equipamento inicializará sem a configuração anterior. Digite no <user-view> more nomedoarquivo.cfg, verifique se a senha está cifrada. Se não estiver cifrada… pronto, tudo resolvido! Se estiver cifrada, basta copiar toda a configuração em um TXT e colar no Switch criando um novo usuário. Após salvar, o arquivo anterior será sobrescrito.
 
Obs: Após todo o procedimento ser efetuado, vá novamente a tela do botrom (Crtl + B ) escolha a opção 7 e negue a opção ( para o Switch não pular o arquivo de configuração sempre que reiniciar).
 
Se o seu Switch possuir um procedimento diferente do listado aqui, se possível, escreva o “how to” nos comentários .. 🙂

Seja cauteloso e Boa Sorte!

Comandos Secretos para os Switches 3Com Baseline e HP v1910

Essa semana  recebi uma dica bem bacana do Dilson Augusto para a administração de Switches 3Com Baseline.

Pesquisando melhor na Internet sobre o procedimento, vi que há outros modelos como o Switch HP v1910 que também aceitam o “comando secreto” para liberar a configuração de diversas features via CLI.

Ainda não pude testar a dica infomada em equipamentos em produção, então tomem todo o cuidado antes de executar o procedimento abaixo (prestem bastante atenção no warning exibido após a execução do comando) 😉 . De resto, curtam e simulem a dica em laboratório e comentem aqui no blog!!!

Obrigado Dilson. Segue abaixo o texto:

 

Boa tarde Diego,

Gostaria de compartilhar algo que descobri recentemente depois de muito tempo de pesquisa.
A linha Baseline Switch da HP é conhecida por ter seu gerenciamento console bem “restrito”, para não dizer simplório…

<3Com Baseline Switch>?
User view commands:
initialize  Delete the startup configuration file and reboot system
ipsetup     Specify the IP address of the VLAN interface 1
password    Specify password of local user
ping        Ping function
quit        Exit from current command view
reboot      Reboot system
summary     Display summary information of the device.
upgrade     Upgrade the system boot file or the Boot ROM program

<3Com Baseline Switch>

Então… depois de muita pesquisa, acabei encontrando um comando mais que bacana… Se tiver um switch desses a mão, testa aí:

<3Com Baseline Switch>_cmdline-mode on

Vai apresentar a mensagem:

All commands can be displayed and executed. Continue? [Y/N]Y
Please input password:******
Warning: Now you enter an all-command mode for developer's testing, 
some commands may affect operation by wrong use, please carefully use 
it with our engineer's direction.

A senha é: 512900

<3Com Baseline Switch>?
User view commands:
archive        Specify archive settings
backup         Backup next startup-configuration file to TFTP server
boot-loader    Set boot loader
bootrom        Update/read/backup/restore bootrom
cd             Change current directory
clock          Specify the system clock
cluster        Run cluster command
copy           Copy from one file to another
debugging      Enable system debugging functions
delete         Delete a file
dir            List files on a file system
display        Display current system information
fixdisk        Recover lost chains in storage device
format         Format the device
free           Clear user terminal interface
ftp            Open FTP connection
initialize     Delete the startup configuration file and reboot system
ipsetup        Specify the IP address of the VLAN interface 1
lock           Lock current user terminal interface
logfile        Specify log file configuration
mkdir          Create a new directory
more           Display the contents of a file
move           Move the file
ntdp           Run NTDP commands
password       Specify password of local user
ping           Ping function
pwd            Display current working directory
quit           Exit from current command view
reboot         Reboot system
rename         Rename a file or directory
reset          Reset operation
restore        Restore next startup-configuration file from TFTP server
rmdir          Remove an existing directory
save           Save current configuration
schedule       Schedule system task
screen-length  Specify the lines displayed on one screen
send           Send information to other user terminal interface
sftp           Establish one SFTP connection
ssh2           Establish a secure shell client connection
stack          Switch stack system
startup        Specify system startup parameters
summary        Display summary information of the device.
super          Set the current user priority level
system-view    Enter the System View
telnet         Establish one TELNET connection
terminal       Set the terminal line characteristics
tftp           Open TFTP connection
tracert        Trace route function
undelete       Recover a deleted file
undo           Cancel current setting
upgrade        Upgrade the system boot file or the Boot ROM program

<3Com Baseline Switch>

<3Com Baseline Switch>system-view
System View: return to User View with Ctrl+Z.

[3Com Baseline Switch]display cpu-usage history
100%|
95%|
90%|
85%|
80%|
75%|
70%|
65%|
60%|
55%|
50%|
45%|
40%|
35%|
30%|
25%|
20%|             #
15%|             #
10%|             #
5% |#            #
------------------------------------------------------------
10        20        30        40        50        60  (minutes)
cpu-usage last 60 minutes(SYSTEM)

[3Com Baseline Switch]

Caso queira compartilhar no blog, sinta-se a vontade… pode vir a auxiliar diversos administradores de rede.

Referências

Segue o link como referência o Switch HP v1910
http://glazenbakje.wordpress.com/2012/08/21/hp-v1910-secret-commando-list-how-to-enable-it/

Segue a saída publicada no forum da HP para o Switch 3Com 2952
http://h30499.www3.hp.com/hpeb/attachments/hpeb/itrc-269/30228/1/user_mode_cli.txt

Video: VLANs – Configuração de Porta Access, Hybrid e Trunk para Switches HPN, 3Com e H3C

A publicação de conteúdo em vídeo, sempre foi um dos meus desejos para os assuntos já abordados aqui no blog. Nesse primeiro video, abordamos a configuração de portas Access, Hybrid e Trunk para Switches HPN, 3Com e H3C..

Sugestões e Comentários serão bem vindos. Espero que a gravação possa ser útil! 😉


Abração a todos!

Guia Básico para Configuração de Switches – Alta Disponibilidade (segundo volume)

Amigos, disponibilizamos para a compra o nosso segundo eBook (no formado PDF) que chamamos de “Guia Básico para Configuração de Switches – Alta Disponibilidade“. O material em português serve como apoio para compreender features como STP, Link- Aggregation, VRRP, etc para Switches Ethernet dos fabricantes 3Com, H3C e HP.

Além disso, assim como no primeiro volume, esperamos que o eBook seja uma ferramenta de apoio para continuarmos com os Serviços oferecidos nos Blogs (comutadores.com.br e rotadefault.com.br) e que de forma direta e/ou indireta nos impulsione novos Projetos.

eBook aborda assuntos já citados aqui no Blog, mas possui um foco mais didático para a disposição de Switches com o Sistema Operacional Comware (3Com, H3C e HP Serie-A) para prover Alta Disponibilidade nos Serviços da Rede Local …. incluindo pequenos laboratórios com soluções para elucidar os exemplos. Os tópicos abordados são:

  • Introdução à Alta Disponibilidade de Switches Ethernet
  • Spanning-Tree
  • Link-Aggregation
  • VRRP
  • XRN & IRF

A escolha do PagSeguro como ferramenta, veio pela facilidade do cadastro e o suporte para pagamentos via Boleto, transferências de Pontos, transferências Bancárias e Cartão de Crédito. ;)

Após a conclusão da compra e a confirmação do PagSeguro, encaminharemos o eBook para o email cadastrado no site.

 

Para visualizar algumas “folhas”… Clique aqui

Valor R$ 19,99


 

Switches 3Com 4800G – SSH, autenticação por troca de Chaves

O post de hoje surgiu da necessidade de um projeto na UNESP onde o cliente gerava as próprias chaves pública e privada e importava para o Switch. A autenticação para conexão ao Switch para fins de gerenciamento ocorrerá através de certificados. O cliente SSH irá autenticar-se utilizando certificados ao invés de senhas. Se não houver um certificado válido o usuário não conseguirá conectar-se ao Switch.

Mostraremos passo-a-passo como gerar as chaves pública e privada utilizando o Software Putty para Windows e configuraremos o Switch para permitir o acesso do host via SSH por troca de chaves.

Para efetuar download do Putty e do Puttygen clique em http://www.chiark.greenend.org.uk/~sgtatham/putty/download.html

Gerando as chaves

Gere as chaves pelo puttygen. Abra o software e clique no botão Generate. Depois, fique movendo o mouse no espaço abaixo da barra de progresso até que o processo esteja finalizado (isso é feito para gerar dados aleatórios para criar o certificado).

 

Após concluir o processo, será exibida a tela abaixo:

Salve a chave pública e privada. No exemplo salvaremos a chave privada como comutadores.ppk e chave pública como comutadores.pub.

Configurando o Switch

Criaremos um diretório chamado chave no Switch e copiaremos a chave pública na memória Flash no modo user-view:
mkdir chave

%Created dir flash:/chave.

tftp 1.1.1.2 get comutadores.pub flash:/chave/comutadores.pub
! Importando a chave pública para o Switch e ativando o SSH no Switch
[4800G]ssh server enable
[4800G]
public-key local create rsa
! Gerando as chaves  no Switch
[4800G]public-key peer comutadores.pub import sshkeyflash:/chave/comutadores.pub
! Criando o usuário diego e permitindo acesso por SSH com nível 3 de permissão 

#
local-user diego
authorization-attribute level 3
service-type ssh
#
user-interface vty 0 4
authentication-mode scheme
user privilege level 3
protocol inbound ssh
#

! Associando o usuário diego a chave comutadores.pub
[4800G] ssh user diego service-type all authentication-type publickey assign publickey comutadores.pub work-directory flash:/chave/comutadores.pub

Utilizando a chave pública geradas pelo computador para acesso ao Switch

Utilizando o software putty digite o endeço IP do Switch e marque a opção SSH

Agora, você terá que acessar as opções oferecidas no menu à esquerda da janela do PuTTy. Neste menu, encontraremos uma opção chamada “Connection” e, logo abaixo dela, uma opção chamada “Data”, clique nela. Em “Auto-login username” digite o nome do usuário que você quer utilizar para se conectar ao Switch.

Agora, vamos dizer ao PuTTy onde está localizada a chave privada para que ele possa utilizá-la durante a conexão. Para isso, no menu à esquerda, vá em “Connection”, expanda “SSH” e clique em “Auth”. Clique no botão “Browse” e selecione o arquivo com a chave privada.

Agora, volte para “Session” (a primeira opção, no topo do menu à esquerda) e clique no botão “Save”. Pronto, se tudo correu bem, basta você dar dois cliques no nome do perfil que você salvou, clique em Open e você irá conseguir logar automaticamente no Switch.

Configuração final

ssh server enable
#
public-key peer comutadores.pub
public-key-code begin
AAAAAB3Nza00D06092A864886F70D010101050003818A003081860281806522B8CDE0A37D42A5
98ABCA897D7BEBBC9A7C6C9E0411CC43094076904639F090EFCC5844CD688AC3E25867E29D
C618B50CE435A5E0BEA497C6411A6C32E8DDAC4D9DD123418BD91F9D60EEDC3D4C96911E07
56621E8017F196AE8FBC39BB99794296A88A58C3BF9B0C13FC36DF9B67B186103B233F67E4
7AD1BE9E6B502A9B020125
public-key-code end
peer-public-key end
#
local-user diego
authorization-attribute level 3
service-type ssh
#
ssh user diego service-type all authentication-type publickey assign publickey comutadores.pub work-directory flash:/chave/comutadores.pub
#
user-interface vty 0 4
authentication-mode scheme
user privilege level 3
#
Script enviado por Douglas Jefferson.

Sites de referência:

http://www.pedropereira.net/ssh-sem-senha-autenticacao-atraves-de-certificados-rsa/

http://urucubaca.com/putty-o-poder-do-ssh-no-windows/2008/01/31/

Dúvidas? Deixem comentários…

Práticas comuns de “Hardening” para equipamentos com Comware

Dias atrás pesquisando na Internet sobre dicas de Hardening para Switches e Roteadores que utilizam o Comware (3Com/ HP/ H3C ) encontrei um documento oficial do fabricante chamado de “Common practices for hardening HP Comware based devices” no endereço Clique aqui

O documento é interessante e vale a pena dar uma lida!  😉

 

 

Switches 3Com 5500 – SSH, gerando as chaves pelo Switch

Publicado originalmente em 8 DE SETEMBRO DE 2010

O serviço de SSH permite realizar o acesso remoto ao Switch de forma criptografada.. O Script abaixo demonstra como gerarmos as chaves pública e privada no Switch e autenticarmos o usuário!

public-key local create rsa
! Gerando as chaves  no Switch
#
local-user diego
! Criando o usuário diego
password cipher senha123
! Configurando a senha para o usuário diego [ o comando cipher deixará a senha cifrada no arquivo de configuração]
service-type ssh
! Configurando somente o acesso SSH para o usuário diego
level 3
! Configurando o usuário com permissão de administrador [ o nível 3 é o maior]
#
ssh authentication-type default password

! Configurando o SSH para autenticar utilizando a base de usuários local
#
user-interface vty 0 4
authentication-mode scheme
!Permitindo a consulta do usuário da base de dados local na falta de configuração de um Servidor RADIUS para autenticação

Após estabelecida a configuração, utilize algum software para efetuar acesso ao Switch, como por exemplo o Putty.

Durante o acesso SSH, aceite a chave publica encaminhada pelo Switch.

Digite o usuário e senha cadastrados no Switch e efetua as configurações de sua preferência….

Dúvidas? Deixe um comentário…..