Comware: Reset de senha via SNMP

O Paulo Roque nos enviou um procedimento muito bacana para acesso à console de um Switch HP baseado no Comware com o IRF configurado quando não se tem a senha do equipamento, mas a community SNMP ainda é conhecida (o procedimento também funciona em Switches não configurados com o IRF).

Para executar esse procedimento precisaremos de:

  • um servidor para coleta e configuração do Switch via SNMP
  • um servidor para transferência de arquivos que utilize o serviço FTP.
  • máquina para acesso via console.

Para facilitar o exemplo, o nosso cenário incluirá todos os serviços instalados em uma só máquina, conforme desenho abaixo.

A máquina 192.168.1.40 está com o serviço SNMP e  FTP instalados , além do cabo console diretamente conectado do notebook ao Switch.

SNMP Comware Password Reset

  1. Teste  a conectividade com o Switch via SNMP
# snmpwalk -v 2c -c pri123 192.168.1.1 .1.3.6.1.2.1.1

SNMPv2-MIB::sysDescr.0 = STRING: H3C Comware software. H3C S12508 Product Version 
S12500-CMW520-R1728P01. Copyright (c) 2004-2012 Hangzhou H3C Tech. Co., Ltd. All rights reserved.
SNMPv2-MIB::sysObjectID.0 = OID: SNMPv2-SMI::enterprises.25506.1.391
DISMAN-EVENT-MIB::sysUpTimeInstance = Timeticks: (1672958598) 193 days, 15:06:25.98
SNMPv2-MIB::sysContact.0 = STRING: NOC-teste @ +55 11 aaaa bbbb
SNMPv2-MIB::sysName.0 = STRING: Switch-teste
SNMPv2-MIB::sysLocation.0 = STRING: Hangzhou, China
SNMPv2-MIB::sysServices.0 = INTEGER: 78
  1. Faça o download da configuração do Switch para o servidor FTP
#snmpset -v 2vc -c pri123 192.168.1.1 \
1.3.6.1.4.1.25506.2.4.1.2.4.1.2.2 i 3 \
1.3.6.1.4.1.25506.2.4.1.2.4.1.3.2 i 1 \
1.3.6.1.4.1.25506.2.4.1.2.4.1.4.2 s aa.cfg \
1.3.6.1.4.1.25506.2.4.1.2.4.1.5.2 a 192.168.1.40 \
1.3.6.1.4.1.25506.2.4.1.2.4.1.6.2 s ftpuser \
1.3.6.1.4.1.25506.2.4.1.2.4.1.7.2 s 123senha \
1.3.6.1.4.1.25506.2.4.1.2.4.1.9.2 i 4

O Sistema irá returnar a seguinte informação:

iso.3.6.1.4.1.25506.2.4.1.2.4.1.2.2 = INTEGER: 3
iso.3.6.1.4.1.25506.2.4.1.2.4.1.3.2 = INTEGER: 1
iso.3.6.1.4.1.25506.2.4.1.2.4.1.4.2 = STRING: "aa.cfg"
iso.3.6.1.4.1.25506.2.4.1.2.4.1.5.2 = IpAddress: 192.168.1.40
iso.3.6.1.4.1.25506.2.4.1.2.4.1.6.2 = STRING: "ftpuser"
iso.3.6.1.4.1.25506.2.4.1.2.4.1.7.2 = STRING: "123senha"
iso.3.6.1.4.1.25506.2.4.1.2.4.1.9.2 = INTEGER: 4
  1. Ao efetuar o download do arquivo, caso o Switch não esteja configurado com a autenticação por TACACS/RADIUS,  abra o arquivo de configuração e veja se a senha foi configurada como não-cifrada. Nesse caso,  se for possível detectar a senha, descarte todos os processos abaixo  e faça a autenticação no Switch com  a senha escrita no arquivo de configuração.

Se o procedimento acima não resolver para efetuar a autenticação ao Switch, continue com os passos abaixo para alterar a configuração corrente do Switch via SNMP e assim desabilitar o processo de autenticação da console do equipamento

  1. Crie um arquivo chamado “passreset.cfg” e insira a seguinte configuração:
user-interface aux 0 1
 authentication-mode none

obs: o nome do arquivo é apenas sugestivo

  1. Salve o arquivo no servidor FTP
  2. Utilize o servidor FTP para transferência do arquivo para o Switch  e via snmpset  envie os atributos abaixo via SNMP para o Switch (o equipamento irá solicitar o download da configuração ao servidor ftp pela instruções utilizadas via SNMP).
# snmpset -v 2c -c pri123 192.168.1.1 \
1.3.6.1.4.1.25506.2.4.1.2.4.1.2.3 i 4 \
1.3.6.1.4.1.25506.2.4.1.2.4.1.3.3 i 1 \
1.3.6.1.4.1.25506.2.4.1.2.4.1.4.3 s passreset.cfg \
1.3.6.1.4.1.25506.2.4.1.2.4.1.5.3 a 192.168.1.40 \
1.3.6.1.4.1.25506.2.4.1.2.4.1.6.3 s ftpuser \
1.3.6.1.4.1.25506.2.4.1.2.4.1.7.3 s 123senha \
1.3.6.1.4.1.25506.2.4.1.2.4.1.9.3 i 4

O Sistema irá retornar as seguintes informações:

iso.3.6.1.4.1.25506.2.4.1.2.4.1.2.3 = INTEGER: 4
iso.3.6.1.4.1.25506.2.4.1.2.4.1.3.3 = INTEGER: 1
iso.3.6.1.4.1.25506.2.4.1.2.4.1.4.3 = STRING: "passreset.cfg"
iso.3.6.1.4.1.25506.2.4.1.2.4.1.5.3 = IpAddress: 192.168.1.40
iso.3.6.1.4.1.25506.2.4.1.2.4.1.6.3 = STRING: "ftpuser"
iso.3.6.1.4.1.25506.2.4.1.2.4.1.7.3 = STRING: "123senha"
iso.3.6.1.4.1.25506.2.4.1.2.4.1.9.3 = INTEGER: 4

O comando snmpset permitirá que o Switch faça o download do arquivo passreset.cfg do FTP e assim aplicar as configurações na configuração corrente (memória RAM [current-configuration]) sem alterar as outras configurações do equipamento.

Nesse caso, será removida a autenticação da console, permitindo o acesso como adminsitrador ao Switch.

Para uma descrição completa das “MIBs” do fabricante (em inglês) acesse: http://www.h3c.com/portal/Products___Solutions/Technology/System_Management/Configuration_Example/200912/656452_57_0.htm#_Toc247357229

Abração e até o próximo artigo! 😉

Links interessantes para Configuração do 802.1x em Switches HPN, H3C e 3Com

IEEE 802.1X é um padrão IEEE para controle de acesso à rede que provê um mecanismo de autenticação para dispositivos que desejam juntar-se à uma porta na LAN, prevenindo acesso para esta porta se a autenticação falhar. A feature é também bastante poderosa para vinculo de VLANs, VLANs Guest e ACL’s dinâmicas.

Segue abaixo alguns links com modelos e soluções bem interessantes. Infelizmente nunca participei diretamente em projetos envolvendo esse modelo de autenticação, mas os documentos possuem detalhes importantes e vale a pena a leitura caso haja interesse em implementar a solução.

IEEE 802.1x Authentication –
http://h20195.www2.hp.com/v2/GetPDF.aspx/4AA3-7309ENW.pdf
! Esse arquivo PDF foi muito bem escrito e possui alguns modelos de autenticação de 802.1x com Software Livre, infelizmente o documento está em inglês.

Estudo de caso: Autenticação IEEE 802.1x baseada no Protocolo RADIUS e Serviço de Diretório LDAP aplicado a rede GIGAUFOPNET
http://www.decom.ufop.br/menotti/monoII102/files/BCC391-102-vf-04.1.4174…
! Documento muito bem escrito pelo Tiago Rodrigues Chaves como trabalho de conclusão de curso, utilizando Switches 3Com modelo 5500 e 4500

801.1x Configuration – H3C
http://www.h3c.com/portal/Technical_Support___Documents/Technical_Documents/Switches/H3C_…
! Material bem técnico elaborado pela H3C, infelizmente o documento está em inglês.

Se algum link estiver quebrado, mande email ou deixe um comentário

Boa leitura

Switches 3Com 4800G – Autenticação de MAC via RADIUS

Publicado originamente em 13 DE ABRIL DE 2011

A autenticação de endereços MAC permite a autenticação da máquina do usuário baseada no endereço de Hardware. O cenário é bastante útil quando não há a possibilidade de utilização de 802.1x devido a diversos fatores, como software client, autenticação manual de usuários e etc.

O servidor RADIUS deverá possui a base de endereços MAC para validação da interface de rede do Switch para o usuário conectar-se a rede.

Configuração

#
mac-authentication
! Habilitando a autenticação por endereço MAC
#
radius scheme comutadores
! Criando o esquema para o RADIUS com o nome comutadores
server-type extended
primary authentication 192.168.99.6 
! Atribuindo endereço IP do Servidor RADIUS para autenticação
primary accounting 192.168.99.6 
key authentication s3nharadius
! Atribuindo a chave s3nharadius para autenticação com o RADIUS
key accounting s3nharadius
user-name-format without-domain
#
domain comutadores 
! Criando o domínio comutadores
authentication login local
! Autenticação para administração do Switch com a base de usuários locais
authorization login local
authentication default radius-scheme comutadores
! Autenticação do Switch com a base no esquema de RADIUS comutadores
authorization default radius-scheme comutadores
#
interface GigabitEthernet1/0/1
mac-authentication
!Habilitando a autenticação de MAC na interface Giga1/0/1
#

Obs: Por default o Switch encaminhará o endereço MAC como usuário e senha para validação no RADIUS

Um agradecimento especial pela equipe de Redes da UNESP Botucatu e o mestre Camilo Quitério que encaminharam o script!

Switches HP A7500 – Configurando Autenticação para o OSPF na Área 0

Publicado originalmente em 29 DE JANEIRO DE 2011

Para validar a troca de informações de Roteamento, o protocolo OSPF suporta a Autenticação para estabelecimento de adjacência com vizinhos. O Processo incrementa segurança ao Roteamento Dinâmico com troca de chaves em MD5.

Para ativarmos a Autenticação é necessário informar qual a Área OSPF  utilizará  a Autenticação e precisaremos habilitar a chave na Interface VLAN que formará a adjacência.

Configurando

Segue abaixo a configuração dos Switches.

Switch A

#
interface Vlan-interface1
ip address 172.31.0.1 255.255.0.0
ospf authentication-mode md5 10 cipher testeospf
! Configurando a chave md5 cifrada com a chave numero 10 como testeospf na interface VLAN
(a senha será exibida no arquivo de configuração cifrada)
#
ospf 100 router-id 172.31.0.1
area 0.0.0.0
authentication-mode md5
! Habilitando a autenticação utilizando md5 na Area 0
network 172.31.1.1 0.0.0.0
area 2
network 192.168.1.1 0.0.0.0
! Area 2 sem autenticação
#

Switch B

#
interface Vlan-interface1
ip address 172.31.0.2 255.255.0.0
ospf authentication-mode md5 10 cipher testeospf
! Configurando a chave md5 cifrada com a chave numero 10 como testeospf na interface VLAN #
ospf 100 router-id 172.31.0.2
area 0.0.0.0
authentication-mode md5
! Habilitando a autenticação utilizando md5 na Area 0
network 172.31.1.2 0.0.0.0

Display

[SW1] display ospf peer
OSPF Process 100 with Router ID 172.31.0.1
Neighbor Brief Information
Area: 0.0.0.0
Router ID  Address Pri Dead-Time Interface State
172.31.0.2 172.31.0.2 1 36 Vlan1 Full/DR

 

Até a próxima! 😉