Galera, disponibilizamos para a compra o nosso terceiro eBook (no formado PDF) com foco em Switches 3Com/H3C/HP que chamamos de “Guia Básico para Configuração de Switches – Segurança”. O material está em português e serve como apoio para compreender alguns tipos de ataques a switches como também a configuração de funcionalidades como ACL, Port Security, DHCP Snooping, proteção ao STP, autenticação via RADIUS, TACACS+, 802.1x, etc.
O eBook aborda diversos assuntos já citados aqui no Blog, mas possui um foco mais didático. Os tópicos abordados são:
• Introdução à Segurança da Informação
• Processo Learning e Forwarding
• Protegendo o STP
• DHCP e ARP
• ACL
• AAA
• 802.1x
• Melhores Práticas
A escolha do PagSeguro como ferramenta, veio pela facilidade do cadastro e o suporte para pagamentos via Boleto, transferências de Pontos, transferências Bancárias e Cartão de Crédito. 😉
Após a conclusão da compra e a confirmação do PagSeguro, encaminharemos o eBook para o e-mail cadastrado no site.
Galera, a Aruba disponibilizou um guia de comparação de comandos CLI dos switches ArubaOS/Comware/Cisco.
O documento fornece boas referências para aqueles que já dominam a configuração em um determinado fabricante mas precisam administrar um ambiente misto.
Há novos itens adicionados em comparação as versões anterior como:
O IEEE 802.1X (também chamado de dot1x) é um padrão IEEE RFC 3748 para controle de acesso à rede. Ele prove um mecanismo de autenticação para hosts que desejam conectar-se a um Switch ou Access Point, por exemplo. A funcionalidade é também bastante poderosa para vinculo de VLANs, VLANs Guest e ACL’s dinâmicas. Essas informações são enviadas durante o processo de autenticação utilizando o RADIUS como servidor. As funcionalidades do 802.1x permitem por exemplo, que caso um computador não autentique na rede, a máquina seja redirecionada para uma rede de visitantes, etc.
O padrão 802.1x descreve como as mensagens EAP são encaminhadas entre um suplicante (dispositivo final, como uma máquina de um usuário) e o autenticador (Switch ou Access Point), e entre o autenticador e o servidor de autenticação. O autenticador encaminha as informações EAP para o servidor de autenticação pelo protocolo RADIUS.
Uma das vantagens da arquitetura EAP é a sua flexibilidade. O protocolo EAP é utilizado para selecionar o mecanismo de autenticação. O protocolo 802.1x é chamado de encapsulamento EAP over LAN (EAPOL). Atualmente ele é definido para redes Ethernet, incluindo o padrão 802.11 para LANs sem fios.
Os dispositivos que compõem a topologia para o funcionamento do padrão 802.1x são:
Suplicante (Supplicant): um suplicante pode ser um host com suporte a 802.1x com software cliente para autenticação, um telefone IP com software com suporte a 802.1x etc.
Autenticador (Authenticator): Dispositivo (geralmente o Switch, AP, etc) no meio do caminho que efetua a interface entre o Autenticador e o Suplicante. O autenticador funciona como um proxy para fazer o relay da informação entre o suplicante e o servidor de autenticação. O Switch recebe a informação de identidade do suplicante via frame EAPoL (EAP over LAN) que é então verificado e encapsulado pelo protocolo RADIUS e encaminhado para o servidor de autenticação. Os frames EAP não são modificados ou examinados durante o encapsulamento. Já quando o Switch recebe a mensagem do RADIUS do Servidor de autenticação, o cabeçalho RADIUS é removido, e o frame EAP é encapsulado no formato 802.1x e encaminhado de volta ao cliente.
Servidor de Autenticação (Authentication Server): O Servidor RADIUS é responsável pelas mensagens de permissão ou negação após validação do usuário. Durante o processo de autenticação o Authentication Server continua transparente para o cliente pois o suplicante comunica-se apenas com o authenticator. O protocolo RADIUS com as extensões EAP são somente suportados pelo servidor de autenticação.
O suplicante envia uma mensagem start para o autenticador.
O autenticador envia uma mensagem solicitando um login ao suplicante.
O suplicante responde com o login com as credenciais do usuário ou do equipamento.
O autenticador verifica o quadro EAPoL e encapsula-o no formato RADIUS, encaminhando posteriormente o quadro para o servidor RADIUS.
O servidor verifica as credenciais do cliente e envia uma resposta ao autenticador com a aplicação das políticas.
Baseado ne mensagem da resposta, o autenticador permite ou nega o acesso à rede para a porta do cliente.
Exemplo de Configuração em Switches HP baseados no Comware
Neste, post forneceremos apenas a configuração de um Switch HP com o Comware 5. As configurações do suplicante e do Servidor de autenticação devem ser verificadas na documentação dos seus respectivos SO.
Passo 1: Configure o servidor RADIUS
radius scheme <nome do radius scheme>
primary authentication <ip do servidor> key <chave>
! Configure o IP do servidor RADIUS e a chave
user-name-format without-domain
! o formato do nome de usuário sem o envio do @dominio
nas-ip <endereço IP do Switch>
! O NAS-IP permite forçar o IP para as mensagens trocadas entre o Switch e RADIUS
quit
Passo 2: Configure o Domínio
domain <nome do domain>
authentication lan-access radius-scheme <nome do radius scheme>
authorization lan-access radius-scheme <nome do radius scheme>
! Configurando a autenticação e a autorização do acesso a LAN
quit
Passo 3: Configure o 802.1x globalmente no Switch
dot1x
dot1x authentication-method eap
Passo 4: Configure o dot1x nas portas do switch
interface GigabitEthernet 1/0/x
dot1x
! A porta utiliza o modo auto do 802.1x e solicita autenticação
O comando dir, permite visualizarmos os arquivos dentro de um diretório. Caso estejamos na raiz (sem digitar em nenhum comando para mover-se no modo user-view), o comando irá exibir o conteúdo da memória flash:
As vezes para atualizar o sistema operacional do Switch ou Roteador precisamos liberar espaço na memória flash. Utilize o comando delete para remover os arquivos:
<4800G>delete a5500ei-cmw520-r2220p02.bin
Delete flash:/a5500ei-cmw520-r2220p02.bin?[Y/N]:
Before pressing ENTER you must choose 'YES' or 'NO'[Y/N]:y
.
%Delete file flash:/a5500ei-cmw520-r2220p02.bin...Done.
O comando dir /all exibe quais arquivos estão na lixeira exibindo o nome do arquivo entre colchetes( [ ] ).
Após a exclusão do arquivo, o mesmo ficará na lixeira até efetuarmos a limpeza com o comando reset recycle-bin.
Para deletar o arquivo de forma que o mesmo não vá para lixeira utilize o comando delete /unreserved [nome do arquivo].
Obs: Tome cuidado para não desligar o equipamento caso tenha removido os arquivos do Comware.
O comando boot-loader define qual imagem será escolhida como principal e a de backup na inicialização do Switch.
Por Exemplo, após atualização por TFTP da imagem atual do Switch de s4800g-cmw520-r2102p02.bin para s4800g-cmw520-r2202p15-s56.bin, precisaremos informar ao equipamento qual versão do Sistema Operacional iremos utilizar no próximo boot.
<4800G>boot-loader file S4800G-cmw520-r2202p15-s56.bin main
Faça a validação com o comando display boot-loader
Bootrom
No documento de liberação de releases para alguns modelos de Switches será solicitado o upgrade do bootrom .
<4800G>bootrom update file s4800g-btm_604.btm
Após efetuados os passos acima, reinicie o equipamento com o comando reboot.
Galera, o John Costa nos enviou uma dica muito bacana do novo Simulador de Comware feito pela H3C para simular Switches e Roteadores HP/H3C. A diferença desse novo simulador é a similaridade com o GNS3 para a configuração das topologias de rede. Basta arrastar os objetos e criar os links. 🙂
Segue o email do John:
Olá Diego Dias
Estou passando para divulgar para você a nova ferramente de simulação de rede com base em switches comware 7.
O programa se chama HCL – H3C cloud lab.
O programa é muito bom, divulgue para os demais no seu site caso já não tenha feito isso, assim poderemos discutir caso apareça alguns bugs.
Abaixo segue os links para você baixar e um desenho de uma topologia que eu já montei.
Essa dica é para trabalhar com logs em switches HP e 3com, redirecionado os logs para um servidor syslog.
O syslog é uma ótima forma para monitorar e descobrir problemas na rede, com ele podemos receber alertas do switch em um servidor syslog e tomar as ações necessárias em caso de problemas.
A RFC do syslog é a RFC 3164. Há vários níveis do syslog que documentam desde problemas a um simples login no equipamento.
Vamos as configurações!
No modo system inserir os seguintes comandos:
info-center enable
info-center loghost [ip do servidor syslog]
info-center source default channel 2 log level error trap state off
Explicação dos comandos.
1 – info-center enable
Habilita o info-center, feature dos Switches 3com para logs do sistema, por padrão já vem habilitado nos switchs.
2- info-center loghost [ip do servidor syslog]
Configura o servidor para envio dos logs.
3- info-center source default channel 2 log level error trap state off
Com esse cara você define o nível do log.
Existem 8 niveis de erros conforme imagem abaixo:
Fonte: http://www.ietf.org/rfc/rfc3164.txt
Nesse caso ativei o nivel “erros”.
O parâmetro “trap state” define se será enviado ou não traps para o syslog server, essas são as traps SNMP, que enviam alertas como UP/DOWN de interfaces e problemas em geral. Outro parâmetro que poderia ser configurado é o “debug state” que envia informações de debug, por padrão já vem desabilitado.
A forma que os logs serão recebidos será dessa forma:
1 – Prioridade(priority): Prioridade do log, existe uma formula para o seu calculo:
facility*8+severity-1
facility, o valor padrão é 23 – O facility define o que gerou o log no sistema, em sistemas unix o valor vai de 0 a 15, do 16 ao 23 é reservado.
Severity é o nivel do log conforme a imagem acima, no nosso caso, o nível configurado foi o 3 porém essa é uma mensagem de nível critico, que seria o valor 2.
No exemplo acima, a formula ficaria assim:
23*8+2-1=185.
2 – Timestamp: O horário no qual o sistema gerou o log, esse horário é o horário que está no Switch.
3 – Sysname: Nome do switch
4 – Modulo do syslog/Nivel/alerta(resumido).
5 – O alerta em si, mostrando a mensagem do alerta.
Esse procedimento se aplica para os Comware, já para os switches Procurve mudam alguns comandos conforme abaixo:
1- logging severity warning
Define nivel dos logs
2- logging [ip do servidor syslog]
Configura o servidor para envio dos logs.
E é isso.
Obrigado pela leitura e boa configuração a todos!
Fonte: Foram verificados os manuais dos equipamentos 3com 4210 e 5500.
A HP Network disponibilizou a terceira versão do guia de referência de comandos como um dicionário para comparação de features dos Switches HP, H3C/3Com (Comware), HP Provision e IOS Cisco. Dessa vez foram adicionados comandos para o Comware 7.
O TBrecci nos enviou uma dica para desconectar um usuário travado em uma conexão SSH durante o ajuste do AAA. O procedimento pode ser utilizado em qualquer outra situação.
A histório era que estava tentando aplicar o TACACS no equipamento. Para isso, criei um outro domain, me conectei por ele, para somente assim alterar a autenthicação do domain system. Porém o bichinho reclamava quando tem alguém conectado no outro domain, e não deixava fazer a modificação.
Neste caso, era a minha propria conexão de outro Putty que estava impedindo.
No exemplo abaixo o usuário netwsuporte estava travado na VTY 0
[Switch]display users
The user application information of the user interface(s):
Idx UI Delay Type Userlevel
20 VTY 0 00:22:16 SSH 3
+ 21 VTY 1 00:00:00 SSH 3
Following are more details.
VTY 0 :
User name: netwsuporte
Location: 192.168.219.62
VTY 1 :
User name: [email protected]
Location: 192.168.219.62
+ : Current operation user.
F : Current operation user work in async mode.
[Switch]
Abaixo a desconexão do usuário conectado na VTY 0
<Switch> free user-interface vty 0
Are you sure to free user-interface vty0? [Y/N]:y
[OK]
<Switch> display users
The user application information of the user interface(s):
Idx UI Delay Type Userlevel
+ 21 VTY 1 00:00:00 SSH 3
Following are more details.
VTY 1 :
User name: [email protected]
Location: 192.168.219.62+
: Current operation user.
F : Current operation user work in async mode.
<Switch>
O eBook aborda diversos assuntos já citados aqui no Blog, mas possui um foco mais didático. Os tópicos abordados são:
