Guia Básico para Configuração de Switches – Segurança – volume 3

Galera, disponibilizamos para a compra o nosso terceiro eBook (no formado PDF) com foco em Switches 3Com/H3C/HP que chamamos de “Guia Básico para Configuração de Switches – Segurança”. O material está em português e serve como apoio para compreender alguns tipos de ataques a switches como também a configuração de funcionalidades como ACL, Port Security, DHCP Snooping, proteção ao STP, autenticação via RADIUS, TACACS+, 802.1x, etc.

O eBook aborda diversos assuntos já citados aqui no Blog, mas possui um foco mais didático. Os tópicos abordados são:

• Introdução à Segurança da Informação
• Processo Learning e Forwarding
• Protegendo o STP
• DHCP e ARP
• ACL
• AAA
• 802.1x
• Melhores Práticas

A escolha do PagSeguro como ferramenta, veio pela facilidade do cadastro e o suporte para pagamentos via Boleto, transferências de Pontos, transferências Bancárias e Cartão de Crédito. 😉

Após a conclusão da compra e a confirmação do PagSeguro, encaminharemos o eBook para o e-mail cadastrado no site.

Para visualizar algumas “folhas”… Clique aqui

Valor R$ 29,99




Comware: Trocando o endereço MAC de uma porta com Port-security habilitado

Galera, quando configuramos o port-security em uma interface Ethernet de um Switch, aquela porta aprenderá o endereço MAC da máquina conectada e não permitirá que outra máquina funcione naquela porta (caso você tenha configurado o aprendizado de apenas um endereço MAC).

Uma vez aprendido o endereço MAC de um host, este não poderá conectar-se em outra porta caso o port-security esteja habilitado.

No post http://www.comutadores.com.br/switches-3com-4800g-port-security/ há mais informações da configuração do port-security.

Logo abaixo segue o exemplo de configuração de um Switch HP 1910 com a porta configurada com port-security:

< HP\v1910_SW04> display current interface giga1/0/8
#
interface GigabitEthernet1/0/8
port-security max-mac-count 1
port-security port-mode autolearn
port-security mac-address security 0040-63c0-aaaa vlan 1
#

Mas há cenários que é preciso trocar uma máquina queimada ou por qualquer outro motivo. Nesse caso ao conectarmos a nova placa de rede ao Switch aparecerá a seguinte mensagem gerada de log, alertando sobre a impossibilidade de comunicação do novo host:

[HP\v1910_SW04]
#Apr 27 07:14:21:820 2000 HP\v1910_SW04 IFNET/4/INTERFACE UPDOWN:
 Trap 1.3.6.1.6.3.1.1.5.4: Interface 9437191 is Up, ifAdminStatus is 1, ifOperStatus is 1
#Apr 27 07:14:22:025 2000 HP\v1910_SW04 MSTP/1/PFWD:
 Trap 1.3.6.1.4.1.25506.8.35.14.0.1: Instance 0's Port 0.9437191 has been set to forwarding state!
%Apr 27 07:14:22:225 2000 HP\v1910_SW04 IFNET/3/LINK_UPDOWN: GigabitEthernet1/0/8 link status is UP.
%Apr 27 07:14:22:355 2000 HP\v1910_SW04 MSTP/6/MSTP_FORWARDING: Instance 0's port GigabitEthernet1/0/8 has been set to forwarding state.
%Apr 27 07:14:22:535 2000 HP\v1910_SW04 PORTSEC/5/PORTSEC_VIOLATION: -IfName=GigabitEthernet1/0/8-MACAddr=00:90:DC:05:E9:4F-VlanId=-1-IfStatus=Up; Intrusion detected.
%Apr 27 07:14:23:270 2000 HP\v1910_SW04 PORTSEC/5/PORTSEC_VIOLATION: -IfName=GigabitEthernet1/0/8-MACAddr=00:90:DC:05:E9:4F-VlanId=-1-IfStatus=Up; Intrusion detected.

Trocando o endereço MAC

Para resolver essa questão, desconecte o novo host do Switch para cessar a mensagem de log. Já para remoção do endereço basta copiar a linha que contem o endereço MAC.

[HP\v1910_SW04-GigabitEthernet1/0/8]undo  port-security mac-address security 0040-63c0-aaaa vlan 1
         --- 1 security MAC address(es) deleted. ---

Conecte a nova máquina e espere o Switch aprender o novo endereço MAC (após este iniciar a primeira comunicação com a rede) …

[HP\v1910_SW04]
#Apr 27 07:16:01:290 2000 HP\v1910_SW04 IFNET/4/INTERFACE UPDOWN:
 Trap 1.3.6.1.6.3.1.1.5.4: Interface 9437191 is Up, ifAdminStatus is 1, ifOperStatus is 1
#Apr 27 07:16:01:495 2000 HP\v1910_SW04 MSTP/1/PFWD:
 Trap 1.3.6.1.4.1.25506.8.35.14.0.1: Instance 0's Port 0.9437191 has been set to forwarding state!
%Apr 27 07:16:01:705 2000 HP\v1910_SW04 IFNET/3/LINK_UPDOWN: GigabitEthernet1/0/8 link status is UP.
%Apr 27 07:16:01:835 2000 HP\v1910_SW04 MSTP/6/MSTP_FORWARDING: Instance 0's port GigabitEthernet1/0/8 has been set to forwarding state.
%Apr 27 07:16:02:016 2000 HP\v1910_SW04 PORTSEC/6/PORTSEC_LEARNED_MACADDR: -IfName=GigabitEthernet1/0/8-MACAddr=00:90:DC:05:E9:4F-VlanId=1; A new MAC address learned.
#
[HP\v1910_SW04]disp current-configuration interface giga1/0/8
#
interface GigabitEthernet1/0/8
 port-security max-mac-count 1
 port-security port-mode autolearn
 port-security mac-address security 0090-dc05-e94f vlan 1
#

Pronto, a porta está configurada com port-security e vinculará as restrições de endereço MAC como anteriormente.

Até logo.

Switches 3Com 7900 – Configurando acesso HTTPS com Servidor CA (Windows Server 2003)

Publicado originalmente em 25 de novembro de 2010
O post de hoje foi encaminhado pelo Douglas Jefferson com um “How to” para configuração de acesso HTTPS no Switch 3Com 7900 utilizando um Servidor CA com o Windows Server 2003.

HTTPS com CA

Aproveitem as dicas….

Durante a instalação do CA verifique se o Windows será um MemberServer ou se estará fora do Domínio. No exemplo listado nesse tutorial, o Servidor estará fora do domínio, pois nos passos a frente na instalação da CA(Certificate Authority) há diferenças em qual CA criar(Enterprise, StandAlone , SubAuthority Root CA) e quais grupos devem ter permissões.

OBS.: Certifique-se de instalar na sequencia do tutorial. Se porventura for instalado primeiro a CA e em seguinda IIS você terá que saber colocar os códigos da aplicação da CA no diretório “Home Directory” do IIS, normalmente em “%windir%\inetpub\wwwroot”.

Instalar Componente do Windows como Web Server Microsoft IIS (NNF)

  1. Certificar de que o CD/ISO de instalação está disponível, porque será solicitado.
  2.  Clique em “Iniciar >Painel de Controle>Instalar e Remover Programas”, do lado esquerdo, terceira opção, de cima para baixo “Componentes do Windows”, assinale somente a opção do IIS (Internet Information Service) e clique em Detalhes, para certificar de que todas as opções estão assinaladas.
  3. Verificar se o serviço está escutando a porta 80 padrão.
  4. Testar pelo CMD com “netstat” e Web Browser local “http://IP_do_IIS/”.

Instalar Componente do Windows como CA (NNF)

  1. Repita Passo 2B mas no lugar de IIS assinale “Certificate Authority” e para este Windows 2003 Server Standard Edition fora do domínio (não Member Server) somente aparecerá “StandAlone Root CA” (NNF), com usuário Administrador local.

Fontes:
http://www.petri.co.il/install_windows_server_2003_ca.htm
http://technet.microsoft.com/en-us/library/cc875810.aspx

  1. Verificar se o serviço está em pleno funcionamento, averiguando se há possibilidade de gerar certificados via interfaceWeb. Link: http://192.168.100.40/certsrv/

Se esse link mostrar a interface Web da administração da CA, OK!

CA teste

Se  NÃO verificar instalação, passos anteriores.

  1. O Windows 2003 Servers não tem suporte ao protocolo SCEP por padrão (Simple Certificate Enrollment Protocol, created by Cisco System), assim precisamos instala-lo (NNF).

http://www.microsoft.com/downloads/en/details.aspx?familyid=9f306763-d036-41d8-8860-1636411b2d01&displaylang=en

OBS.: Será solicitado informações sobre a RA (switch 3Com 7900) no final da instalação do programa, como Hostname, Cidade, Estado , Tipo de Cifra e Certificado. Se a CA estiver instalada, o que aparecer Negritado é o que ele reconheceu como padrão da CA em uso, se tiver dúvidas mantenha o que ele identificou.

  1. Após instala-lo estará disponível a interface via Web para solicitações de certificados, assim nos possibilitando configurar os equipamentos da rede.

Interface Enrollment para equipamentos de rede Link: http://192.168.100.40/certsrv/mscep/mscep.dll

  1. Na instalação do programa que foi baixado no site da Microsoft (protocolo SCEP) a CA cria 2 certificados para a entidade RA (switch), então vamos verificar se está tudo OK. Navegue em Iniciar > Painel de Controle > Ferramentas Administrativas > Certificate Authority Expandir em Certificate Authority  > CA > Issued Certificates, verificar se existem 2 certificados devidamente criados, se “OK” siga em frete. Se “NÃO” verifique passos anteriores.
  2. Ainda dentro da seção “Certificate Authority“, clique com o botão direto na “CA > Properties” Em seguida na aba “Policy Module > Properties“, novamente, e selecione a opção “Follow de settings in the certificate template, if………” Será solicitado que você reinicie o serviço da CA (Apply/OK), faça-o.
  3. Agora vá em “Iniciar–>Painel de Controle–>Ferramentas Administrativas–>IIS” Expandir em “Server(Local)–>Web Sites–>Default Web Site”, verifique se os serviços “Certsrv“,”CertControl” e “CertEnroll” estão disponíveis. Se quiser trocar o caminho padrão sinta-se avontade (clique com o botão direito do mouse em “Default Web Site–>Home Directory–>LocalPath“).

Configurando o Switch

Configurando o equipamento da rede (switch 3Com 7900 CORE, ou qualquer que suporte PKI/SSL) para solicitações de certificados a CA.

 

pki entity AAA
common-name SW_CORE
quit
#
pki domain CLIENTEX
ca identifier SERVIDOR
#
certificate request url http://192.168.100.4/certsrv/mscep/mscep.dll
certificate request from ra
certificate request entity AAA
crl url http://192.168.100.4/CertEnroll/IMC.crl
quit
#
pki retrieval-certificate ca domain CLIENTEX

(Y/N):y
#
pki retrieval-crl domain CLIENTEX
#

OBS.: Para saber a senha do desafio (Challenge Password), abra seu navegador com o link http://IP_do_IIS/certsrv/mscep/ , será solicitado um usuário e senha para autenticação, esse usuário é o que instalou o programa que da suporte ao protocolo SCEP (no meu caso Administrator), após autenticado você será redirecionado para a tela que conterá o “Ca Certificate ThumbPrint” e “Challenge Password“(port 60 minutos)
CA teste 2

!Faz a requisição do certificado e o armazena.
#
pki request-certificate domain CLIENTEX Challenge_Password
#
pki request-certificate domain CLIENTEX 7F4C5A740C78B06D

!Lista o certificado importado.
#
display pki certificate local domain CLIENTEX

!Cria o dominio SSL com as especificações dessa seção. CLIENTEX-SSL
#
ssl server-policy CLIENTEX-SSL
pki-domain CLIENTEX
client-verify enable
quit
#
!Vincula o domínio SSL ao servidor HTTPS
#
ip https ssl-server-policy CLIENTEX-SSL

!Habilita o Servidor HTTPS
#
ip https enable

!Restringe o acesso às Redes contidas na ACL de número 2000
#
ip https acl 2000

Feito todos os passos acima com sucesso, precisaremos solicitar um certificado para o navegador da máquina que vamos utilizar para acessar a interface Web do Switch CORE, seguindo os passos abaixo:

Abra o navegador e digite o seguinte link http://192.168.100.40/certsrv/

CA teste 3

Clique em “Request a Certificate”

Clique em “Web Browser Certificate”

CA teste 4

Preencha os campos em clique em “Submit”

Aparecerá uma mensagem “This Web site is requesting a new certificate……...”, clique em “YES“.

Em seguida clique no link “Install This Certificate“.

Será instalado no seu navegador, assim você estará apto a acessar com seu navegador a página de administração do switch de forma segura (SSL).

Agora basta acessar o IP do Switch em seu Browser de preferência….

Se desejar verificar o handshake/transações PKI e/ou SSL, habilite o debug

a. Debug ssl
b. Debug pki

Espero que tenham gostado! 🙂

Switches HP A5800 – Configurando o SNMPv3

A versão 3 do protocolo SNMP substitui o modelo de “autenticação” baseado em comunidade ( da versão anterior para gerenciamento dos dispositivos) para o conceito de permissão, grupo e usuário para coleta de informações além de autenticação e criptografia.

  • A configuração da View define qual item da arvore SNMP iremos administrar.
  • A configuração do Grupo permite definirmos qual View será permitida para leitura e escrita.
  • A configuração do Usuário deverá conter o vinculo com o grupo.

A estrutura do SNMPv3 permite uma administração modular para os equipamentos com permissões para usuários de diferentes servidores de coleta (NMS).

A escolha do modelo tambem permite aumentar o nível de segurança na administração dos dispositivos via SNMP.

 

Modelo
Autenticação
Criptografia
Itens
noAuthNoPriv
Usuário
Não
Utiliza o nome de usuário para autenticação
authNoPriv
MD5 ou SHA
Não
Provê autenticação baseada nos algoritmos HMAC-MD5 ou HMAC-SHA
authPriv
MD5 ou SHA
DES
Provê autenticação baseada nos algoritmos HMAC-MD5 ou HMAC-SHA. Provê criptografia utilizando DES e AES.

Segue abaixo o print de uma tela do Cacti utilizando SNMPv3

Configurando
Segue abaixo o modelo utilizando authPriv para gerenciamento do Switch A5800
!
snmp-agent
! Habilitando o service SNMP
snmp-agent sys-info version v3
! Habilitando a versão 3 do protocolo
snmp-agent group v3 TESTE privacy write-view ViewDefault notify-view ViewDefault
! Criando o grupo TESTE com a permissão de leitura e escrita para a view ViewDefault
 (configurada por padrão no Switch)
snmp-agent usm-user v3 COMUTADORES TESTE authentication-mode sha cactipasswd1 privacy-mode 3des cactipasswd2
!Criando o usuário COMUTADORES, vinculando com o grupo TESTE, autenticando com SHA com a senha “cactipasswd1” e a chave “cactipasswd2” para privacidade.
!

Obs: Script encaminhado pelo Camilo Quiterio!

Referencia

http://oreilly.com/catalog/esnmp/chapter/ch02.html
http://forums.cacti.net/about24756.html
http://www.cisco.com/en/US/docs/ios/12_0t/12_0t3/feature/guide/Snmp3.html
http://www.h3c.com/portal/Products___Solutions/Products/Switches/H3C_S5810_Series_Switches/…

Switches HP A7500 – Configurando Autenticação para o OSPF na Área 0

Publicado originalmente em 29 DE JANEIRO DE 2011

Para validar a troca de informações de Roteamento, o protocolo OSPF suporta a Autenticação para estabelecimento de adjacência com vizinhos. O Processo incrementa segurança ao Roteamento Dinâmico com troca de chaves em MD5.

Para ativarmos a Autenticação é necessário informar qual a Área OSPF  utilizará  a Autenticação e precisaremos habilitar a chave na Interface VLAN que formará a adjacência.

Configurando

Segue abaixo a configuração dos Switches.

Switch A

#
interface Vlan-interface1
ip address 172.31.0.1 255.255.0.0
ospf authentication-mode md5 10 cipher testeospf
! Configurando a chave md5 cifrada com a chave numero 10 como testeospf na interface VLAN
(a senha será exibida no arquivo de configuração cifrada)
#
ospf 100 router-id 172.31.0.1
area 0.0.0.0
authentication-mode md5
! Habilitando a autenticação utilizando md5 na Area 0
network 172.31.1.1 0.0.0.0
area 2
network 192.168.1.1 0.0.0.0
! Area 2 sem autenticação
#

Switch B

#
interface Vlan-interface1
ip address 172.31.0.2 255.255.0.0
ospf authentication-mode md5 10 cipher testeospf
! Configurando a chave md5 cifrada com a chave numero 10 como testeospf na interface VLAN #
ospf 100 router-id 172.31.0.2
area 0.0.0.0
authentication-mode md5
! Habilitando a autenticação utilizando md5 na Area 0
network 172.31.1.2 0.0.0.0

Display

[SW1] display ospf peer
OSPF Process 100 with Router ID 172.31.0.1
Neighbor Brief Information
Area: 0.0.0.0
Router ID  Address Pri Dead-Time Interface State
172.31.0.2 172.31.0.2 1 36 Vlan1 Full/DR

 

Até a próxima! 😉

 

 

Switches 3Com 4800G – DHCP Snooping – Como proteger a rede de falsos servidores DHCP?

A feature DHCP Snooping permite a proteção da rede contra Servidores DHCP não autorizados.

Uma negociação simples de solicitação DHCP ocorre com a troca das mensagens: DHCP Discover, DHCP Offer, DHCP Request e o DHCP Ack.


O comando dhcp-snooping configurado globalmente, faz o Switch filtrar as mensagens DHCP Offer e DHCP Ack encaminhadas pelo falso Servidor DHCP. A configuração restringe todas as portas do Switch como untrusted (não confiável).

Para o funcionamento do Servidor DHCP válido deveremos configurar a porta do Servidor como trusted (confiável) , incluíndo as portas de UpLink.

No Exemplo, configuraremos o dhcp-snooping no Switch com a porta GigabitEthernet 1/0/8 conectada ao servidor DHCP válido como trust.

Configuração

[4800G]dhcp-snooping
DHCP Snooping is enabled.

[4800G]int g1/0/8
[4800G-GigabitEthernet1/0/8]dhcp-snooping trust

Comandos Display

Para visualização das portas em trust digite display dhcp-snooping trust

[4800G]disp dhcp-snooping trust
DHCP Snooping is enabled.
DHCP Snooping trust becomes active.
Interface Trusted
=========================
GigabitEthernet1/0/8 Trusted

O DHCP-Snooping constrói uma tabela que contém o endereço IP liberado pelo servidor DHCP vinculado ao endereço MAC.

[4800G]display dhcp-snooping
DHCP Snooping is enabled.
The client binding table for all untrusted ports.
Type : D--Dynamic , S--Static
Type IP Address MAC Address Lease VLAN Interface
==== =============== ============== ============ ==== =================
D 192.168.1.102 0027-0e0f-a154 172653 1 GigabitEthernet1/0/4
D 192.168.1.103 0027-0e0f-9edb 172728 1 GigabitEthernet1/0/12
--- 2 dhcp-snooping item(s) found ---

Não esqueça de habilitar as portas de Uplink como trust caso a rede possua diversos Switches. 😉

Até o proximo post!

 

 

Switches 3Com 5500 – Port Isolate – Como isolar os hosts de um Switch (na mesma VLAN)? Sem ACL!!!

Publicado originalmente em  2 DE FEVEREIRO DE 2010

O comando port isolate permite isolarmos as portas do Switch dentro de um grupo impossibilitando a comunicação dos dispositivos pertencentes ao grupo de uma maneira fácil e prática. A comunicação das interfaces do Switch com port isolate ocorrerá somente com as portas que não possuem o comando aplicado.

Ex: Em um dos projetos, o cliente efetuou a seguinte solicitação:

“Precisamos configurar um Switch 3Com 5500 para que as portas FastEthernet1/0/19 e FastEthernet1/0/20 não comuniquem entre si, mas a comunicação com a Internet está liberada para acesso pela porta GigabitEthernet 1/0/25. ..”

 

Configuração

<Switch>system-view
[Switch]interface ethernet1/0/19
[Switch-Ethernet1/0/19]port isolate
[Switch-Ethernet1/0/19]quit
[Switch]interface ethernet1/0/20
[Switch-Ethernet1/0/20]port isolate
[Switch-Ethernet1/0/20]quit
  • A comunicação entre as máquinas 192.168.1.20 e 192.168.1.25 não será permitida.
  • A comunicação dos hosts com a Internet não será bloqueado.
  • Alguns Switches da linha H3C podem ter a variação do comando para port-isolate enable

Se conectarmos mais uma máquina ao Switch e não configurarmos a porta do Switch com o port isolate, a comunicação com todas os dispositivos da rede ocorrerá normalmente!

Observações:

A feature port isolate funciona localmente no Switch em Camada 2 e Camada 3.

 

 

 

Protegendo o Spanning-Tree

O Protocolo Spanning-Tree possui algumas vulnerabilidades pela simplicidade de sua arquitetura, falta de mecanismos de autenticação, etc.

Imaginando que você configurou o Switch Core da Rede como Root com a prioridade 0 (zero) e outros Switches com prioridades inferiores ( vence a eleição o Switch com a prioridade com o menor valor) para estabilidade da rede, não impede que um novo Switch colocado na camada de acesso configurado erradamente com a prioridade 0 (zero) possa tomar o lugar do Switch Root, ocasionando toda a convergência da LAN para a topologia a partir do novo Switch Root.

Lembrando que em situações de empate na eleição do Switch Root, vence quem tiver o menor endereço MAC inserido no BPDU. Além do que, a eleição do Root para o Spanning-Tree está sujeita a substituição do Switch Raiz – por situações que envolvem desde falhas do Root até um equipamento com menor prioridade.

Programas como o Yersinia permitem a criação de “tráfego sintético” para ataques ao protocolo.

Há também cenários que envolvem a inserção de Switches não gerenciados e hubs por usuários que desejam prover mais pontos de rede em ambientes que deveriam ser controlados …

Segue abaixo alguns comandos que são bastante uteis em cenários para proteção do STP.

Hardening STP

Root Guard: A configuração da porta como Root Guard permite à uma porta Designada na prevenção de recebimento de BPDU’s superiores, que indicariam outro Switch com melhor prioridade para tornar-se Root, forçando a porta a cessar comunicação, isolando assim o segmento. Após encerrar o recebimento desses BPDU’s a interface voltará à comunicação normalmente

Interface GigabitEthernet 1/0/1
stp root-protection

Loop Guard: A configuração da porta como Loop Guard possibilita aos Switches não-Root, com caminhos redundantes ao Switch Raiz, evitar situações de Loop na falha de recebimentos de BPDU’s em portas com caminhos redundantes. Quando uma porta alternativa parar de receber BPDU ela identificará o caminho como livre de Loop e entrará em modo de encaminhamento ( imaginando que a porta Root – melhor caminho para o Switch Raiz – continue recebendo BPDU’s) criando assim um Loop lógico em toda a LAN. Nesse caso a feature deixará a porta alternativa sem comunicação até voltar a receber BPDU’s do Switch Root

Interface GigabitEthernet 1/0/1
stp loop-protection

BPDU Guard + Edged-Port: A instalação de Switches em portas configuradas para hosts (edged-port) podem ocasionar pequenos Loops na rede devido a característica da interface. A configuração global do stp bpdu-protection permite o bloqueio da porta “edged” ao receber um BPDU (sendo mandatória a intervenção manual com o comando shutdown e undo shutdown para retorno da porta – após cessar o recebimento de BPDU’s). Caso queira o recovery automático configure o valor do shutdown-interval.

stp bpdu-protection
shutdown-interval 300

Interface GigabitEthernet 1/0/1
stp edged-port enable

Loopback Detection: Detecta se uma interface recebeu pacotes que ela mesma gerou, ocasionado provavelmente por Loop em hubs. Se o loop for detectado em uma interface a comunicação será bloqueada.

loopback-detection enable
loopback-detection interval-time 30

DLDP: Detecta falhas unidirecionais em links de fibra e/ou UTP cessando a comunicação da interface. Após a normalização do enlace o trafego a interface voltará a comunicar automaticamente.

dldp enable
Interface GigabitEthernet 1/0/1
dldp enable