Segurança

Wireless Aruba – Rogue Containment (WIPS)

Diego DiasLeave a comment

A configuração do WIPS com o recurso de contenção de rogue APs capacita os pontos de acesso (APs) a atuarem ativamente contra serviços Wi-Fi não autorizados dentro do perímetro da empresa, como redes Wi-Fi paralelas ou não gerenciadas. O objetivo principal dessa funcionalidade é neutralizar a operação de APs classificados como rogue, ou seja, aqueles que representam uma ameaça à segurança da rede. No entanto, é crucial compreender que os mecanismos de contenção, ao interferirem na comunicação sem fio para interromper o serviço do AP rogue, podem potencialmente afetar redes Wi-Fi vizinhas. Embora essa ação proteja a rede interna, existe o risco de impactar inadvertidamente SSIDs legítimos de redes adjacentes. Portanto, o entendimento completo dos métodos de mitigação disponíveis e das responsabilidades do administrador de rede é essencial para a implementação e operação eficaz e responsável do WIPS com contenção de rogue APs, minimizando o risco de efeitos colaterais indesejados.

Um Rogue Access Point (AP) é um ponto de acesso sem fio instalado em uma rede sem a devida autorização do administrador responsável. Essa instalação pode ocorrer de duas maneiras: inadvertidamente, por um usuário legítimo que desconhece os riscos envolvidos, ou intencionalmente, por um invasor malicioso com o objetivo de comprometer a segurança da rede. Independentemente da motivação, um Rogue AP representa uma grave ameaça à segurança da rede, expondo-a a diversas vulnerabilidades.

Wireless Intrusion Protection (WIP)

As técnicas de contenção dos dispositivos wireless da Aruba podem mitigar o acesso aos pontos de acesso rogue no modo wired (cabeada) e wireless (sem fio).

wired containment é executado através de ARP Poisoning, envenenando o default gateway do Rogue AP na rede cabeada. O ponto de acesso Aruba configurado como AP ou AM irá executar a contenção, mas eles necessitam estar na mesma VLAN que o rogue para sucesso no containment.

A contenção via Wireless pode ser executada de duas maneiras: deauth e tarpitting.

Deauth.

O AP Aruba irá enviar frames deauthentication, para o rogue AP e seus clientes. O cliente poderá iniciar a reconexão, então o AP Aruba enviará uma nova mensagem deauthentication, assim sucessivamente.

Tarpit

O AP Aruba irá enviar frames deauthentication para o rogue AP e seus clientes, quando o cliente tentarem a reconexão, o AP Aruba enviará uma respostacom dados falsos induzindo o cliente (STA) a conectar no AP Aruba, ao invés do rogue, mas sem oferecer os dados para navegação.

Tarpitting é o processo no qual um AP Aruba personifica um AP não autorizado, incentivando o cliente não autorizado se conectar ao AP Aruba (quando antes conectado a um rogue AP) e, em seguida, o Aruba AP ou AM (AP no modo monitor) não responderá aos clientes, o direcionando a um canal não utilizado. O STA indicará que está conectado à rede sem fio, mas não obterá um endereço IP nem será capaz de transmitir tráfego.

tarpit pode ser configurado como Tarpit-non-valid-sta, para os clientes não válidos, ou tarpit-all-sta para todos clientes.

Radio

Os Radios nos Access Point Aruba, podem ser configurados em diferentes modos: AP mode, Air Monitor (AM) e Spectrum Monitor (SM), para análise de espectro.

Os APs no modo AM são sempre recomendados quando o contaiment é habilitado. Os APs (modo AP mode) podem executar a contenção, mas em casos que os rogue estiverem no mesmo canal que o Aruba. Os APs podem também mudar de canal para contenção do rogue, mas o encaminhamento do tráfego dos cliente sempre será priorizado (a funcionalidade “Rogue AP Aware” deve estar habilitada no ARM profile. Já os AMs alocam seus recursos para contenção de rogues. Existem muitas opções automáticas de contenção que vão além de ‘conter se o dispositivo for classificado como rogue’.

As opções mais seguras e comuns são “Protect Valid Stations” e “Protect SSID“. Qualquer estação (STA) que tenha sido autenticada na infraestrutura Aruba com criptografia será automaticamente classificada como válida. Quando isso acontecer, a rede Aruba não permitirá a estação conectar-se a qualquer outra rede se “Protect Valid Stations” estiver ativado.

Protect SSID conterá automaticamente quaisquer APs não válidos que estão transmitindo os SSIDs da Controller.

Colocando em produção

Antes de colocar as funcionalidades de contenção em produção, execute os testes em ambiente de laboratório. Inicialmente catalogando, classificando e identificando os SSIDs identificados pelo WIDS.

 Uma vez identificada e classificada as redes, escolha habilitar o WIPS com o modo de contenção em um ambiente isolado e de laboratório. Analise os logs gerados e identifique o comportamento gerado pelos APs durante o envio dos frames de desconexão, clientes, APs e SSIDs listados durante todo esse processo de homologação.

Preocupe-se com os SSIDs anunciados pelos vizinhos e assim evitando não gerar um ataque de negação de serviço (DoS) a rede sem fio deles.

Clicando em qualquer um dos eventos é possível analisar os logs.

Se possível, utilize use uma ferramenta para analisar os frames 802.11 enviados pela infraestrutura Aruba (com o modo de contenção ativo), como o wireshark e com uma interface usb wireless do notebook em modo monitor, por exemplo.

Filtros no Wireshark para visualizar deauthentication frames wlan.fc.type_subtype==0x0c

Filtros no Wireshark para visualizar disassociation frames wlan.fc.type_subtype==0x0A

Filtros no Wireshark para visualizar um endereço MAC especifico
eth.addr == ff:ff:ff:ff:ff:ff

Referências

Click to access TG_WIP.pdf

https://en.wikipedia.org/wiki/Rogue_access_point

Kolokithas, Andreas. Hacking Wireless Networks – The ultimate hands-on guide,2015

Comware7: uRPF

Diego DiasLeave a comment

A funcionalidade uRPF (Unicast Reverse Path Forwarding) protege a rede contra ataques do tipo spoofing. A técnica de spoofing é utilizada por atacantes que falsificam o endereço IP de origem do pacote para os mais diversos fins.

O uRPF pode impedir esses ataques de spoofing com o endereço de origem. Ele verifica se a interface que recebeu um pacote é a interface de saída na FIB, que corresponde ao endereço de origem do pacote. Caso contrário, a uRPF considera um ataque de falsificação e descarta o pacote.

Lembrando que por padrão, para o encaminhamento de pacotes, o roteador valida apenas o endereço de destino de um pacote IP.

Exemplo

Em um exemplo simples, é como se um roteador com uma interface com o endereço de LAN 192.168.1.0/24 receber um pacote com o endereço de origem 172.16.1.20. Esse endereço não faz parte da rede local.

Modos uRPF

O uRPF possui 2 modos distintos (strict e loose) que podem potencialmente ajudar a reduzir ataques com endereços IP falsificados.

[R2-GigabitEthernet1/0] ip urpf ?
  loose   Don't check interface
  strict  Check interface
  • Strict uRPF – Para passar a verificação estrita do uRPF, o endereço de origem de um pacote deve ser correspondente ao endereço de destino da interface de saída da FIB. Em alguns cenários (por exemplo, roteamento assimétrico), o Strict uRPF estrito pode descartar pacotes válidos. O Strict uRPF estrito é frequentemente implantado entre um PE e um CE.
[R2-GigabitEthernet1/0] ip urpf strict
  • Loose uRPF – Para passar a verificação Loose uRPF, o endereço de origem de um pacote deve corresponder o endereço de destino de uma entrada qualquer da FIB. O Loose uRPF pode evitar descartar pacotes válidos, mas pode deixar passar pacotes de um atacante. O Loose uRPF é frequentemente implementado entre ISPs, especialmente em roteamento assimétrico.
 [R2-GigabitEthernet1/0] ip urpf loose

Rota Default

Caso o endereço seja apenas conhecido via rota default, o uRPF continuará bloqueando os endereços. Para permitir os endereços a partir da rota default use o comando “allow-default-route” após a configuração do modo strict ou do loose:

[R2-GigabitEthernet1/0]ip urpf strict allow-default-route

É possível validar o descarte de pacotes através do debug ip urpf

<R2> debug ip urpf
*Jan  2 12:21:11:074 2019 R2 URPF/7/debug_info:
uRPF  URPF-Discard: Packet from 10.12.0.27 via GigabitEthernet2/0
*Jan  2 12:21:11:074 2019 R2 URPF/7/debug_info:
uRPF  URPF-Discard: Packet from 10.12.0.27 via GigabitEthernet2/0

Até logo!

Comware 7: Utilizando o “RBAC – Role Based Access Control”

Diego DiasLeave a comment

A feature RBAC – Role Based Access Control permite administrarmos a forma como os outros usuários locais poderão interagir com a configuração do Switch/Roteador (com o Comware 7) para os seguintes parametros:

  • VLANs
  • Interfaces (físicas e lógicas)
  • features : read/write/execute
  • comandos CLI
  • Processo da VRF (VPN instances)

Por exemplo, vamos imaginar que você queira permitir para um usuário apenas o acesso para leitura das configurações.

role name usuarioX
 rule 1 permit read feature
! A regra permitirá apenas a leitura do arquivo de configuração
quit
#
 local-user usuarioX 
 password simple 123
 service-type ssh telnet terminal
 authorization-attribute user-role usuarioX
! Vinculando a regra usuarioX 
undo authorization-attribute user-role network-operator
! removendo a regra padrão de novos usuários
 quit  
#

Caso não tenha configurado a interface VTY aplique os comandos abaixo

#
 line vty 0 63
 authentication-mode scheme
 quit
#

Durante o teste é possível acessar o modo system-view e visualizar os comandos “display”. Mas para alterar as configurações o usuário terá a permissão negada.

<pre> system
[Sw1] inter?
permission denied.
[Sw1]

O site http://abouthpnetworking.com/2014/04/03/rbac-protecting-the-bfd-mad-vlan/ nos dá um exemplo bem bacana para a criação de regras para proteger a VLAN e as interfaces do MAD BFD para o IRF.

role name sysadmin
 rule 1 permit read write execute feature
! permitindo todas as features RWX 
 vlan policy deny
  permit vlan 1 to 4000
  permit vlan 4002 to 4094
! Controlando a configuração de VLANs, permitindo todas exceto a vlan 4001
 interface policy deny
  permit interface GigabitEthernet1/0/1 to GigabitEthernet1/0/23
  permit interface GigabitEthernet2/0/1 to GigabitEthernet2/0/23
! Controlando a config. de interfaces, permitindo todas exceto as do MAD BFD.
! que são as interfaces Giga 1/0/24 e 2/0/24. 

quit
quit
#
local-user sysadmin 
 password simple hp
 service-type ssh telnet terminal
 authorization-attribute user-role sysadmin
 undo authorization-attribute user-role network-operator
#

Testes

[HP]
# Acesso restrito para as interfaces BFD MAD 
[HP]int g1/0/24
Permission denied.
# Acesso permitido para outras interfaces
interface GigabitEthernet1/0/1
 port link-mode bridge
 shutdown
# Qualquer configuração pode ser aplicada as outras interfaces
[HP-GigabitEthernet1/0/1]undo shut
[HP-GigabitEthernet1/0/1]port link-type trunk

# ...mas o 'permit vlan all' falhará (tentativa para adicionar a vlan 4001)
[HP-GigabitEthernet1/0/1]port trunk permit vlan all
Permission denied.

# A permissão para todas as outras VLANs funcionará normalmente:
[HP-GigabitEthernet1/0/1]port trunk permit vlan 1 to 4000
[HP-GigabitEthernet1/0/1]port trunk permit vlan 4002 to 4094

Até logo.

Comware 7: Captura de pacotes

Diego DiasLeave a comment

 Roque nos enviou mais uma dica interessante para os Switches HP 5800. O modelo permite a captura de pacotes no formato .pcap salvando o arquivo na memória Flash, de forma que depois copiado via TFTP para um servidor  como o  Wireshark por exemplo, o tráfego coletado poderá ser analisado.

Conforme o comando display abaixo é possível validar algumas possibilidades  (comandos de um HP 5800AF-48G com a versão do Comware 5.20.106)

<Switch>packet capture ?
acl          Specify the ACL
buffer       Packet capture buffer
buffer-size  Specify the capture buffer size
length       Specify the maximum size of entry in the buffer
mode         Specify capture mode
schedule     Schedule the capture at a specific time
start        Start to capture immediately
stop         Pause capture

Abaixo, fiz uma tradução livre do procedimento de configuração do “Configure Guide” do Switch HP 5800 em uma rede IPv4.

1. Ativando a função de captura de pacotes no Switch:
Crie a ACL 2000 permitindo pacotes com a origem 192.168.1.0/24

<Switch> system-view
[Switch] acl number 2000
[Switch-acl-basic-2000] rule permit source 192.168.1.0 0.0.0.255
[Switch-acl-basic-2000] quit
[Switch] quit

Configure o Switch para capturar pacotes baseando-sw na ACL 2000 e então inicie a captura dos pacotes.

<Switch> packet capture start acl 2000

Vizualize o status da captura dos pacotes

<Switch> display packet capture status
Current status : In process
Mode : Linear
Buffer size : 2097152 (bytes)
Buffer used : 1880 (bytes)
Max capture length : 68 (bytes)
ACL information : Basic or advanced IPv4 ACL 2000
Schedule datetime: Unspecified
Upper limit of duration : Unspecified (seconds)
Duration : 13 (seconds)
Upper limit of packets : Unspecified
Packets count : 10
The output shows that packet capture is ongoing.

2. Salvando o resultado da captura de pacotes:
Pare a captura de pacotes.

<Switch> packet capture stop
Salvando o conteúdo do buffer na memoria flash com o nome test.pcap
<Switch> packet capture buffer save test.pcap
Visualize os arquivos da memória Flash.
<Switch> dir
Directory of flash:/
0 -rw- 1860 Sep 21 2012 12:52:58 test.pcap
1 drw- - Apr 26 2012 12:00:38 seclog
2 -rw- 10479398 Apr 26 2012 12:26:39 logfile.log

Libere os recursos do sistema após finalizar a captura de pacotes

<Switch> undo packet capture

Copie o arquivo test.pcap via servidor FTP ou TFTP e analise os pacotes através de softwares como o Wireshark.

Comware: Comando “logging synchronous”

Diego DiasLeave a comment

Para aqueles que estão acostumados com o comando “logging synchronous” no IOS existe a opção “info-center synchronous” para o Comware

 [4800G]info-center synchronous
% Info-center synchronous output is on

Segue o output com o comando habilitado:

[4800G]interface GigabitEthernet 1/0/
%Apr 26 09:25:32:201 2000 4800G IFNET/4/LINK UPDOWN:
GigabitEthernet1/0/2: link status is DOWN
[4800G]interface GigabitEthernet 1/0/

Segue o output com o commando desabiiltado (percebam o comando “em digitação” fica oculto e assim comprometendo a configuração, tornando suceptível a erros:

[4800G]interface GigabitEthernet 1/0/
%Apr 26 10:42:36:371 2000 4800G IFNET/4/LINK UPDOWN:
GigabitEthernet1/0/2: link status is UP

Abraços a todos

Comware: Port-security

Diego DiasLeave a comment

O port security é uma funcionalidade de camada 2 que impõe limites para o número de endereços MAC permitidos (aprendidos) por uma determinada porta do switch e faz o registro dos endereços MAC válidos para aquela interface, de maneira estática ou dinâmica.

A feature port security permite o aprendizado dinâmico de endereços MAC vinculados a uma determinada interface Ethernet de um host para fins de segurança, não permitindo que outros dispositivos funcionem naquela interface; ou que aquele endereço MAC registrado funcione em outra porta. Se a condição não for satisfeita (a utilização do MAC correto), a porta entrará em estado de violação e não trafegará dados. A endereço MAC fica registrado na configuração da porta junto com o comando port security.

Protegendo o Spanning-Tree (STP)

Diego DiasLeave a comment

Os ataques ao protocolo STP geralmente têm como objetivo assumir a identidade do switch root da rede, ocasionando assim cenários de indisponibilidade na rede. Programas como o Yersinia permitem gerar esse tipo de ataque. Há também cenários em que usuários adicionam switches não gerenciados e hubs (propositadamente ou não) com o intuito de fornecer mais pontos de rede em ambientes que deveriam ser controlados.

Funcionalidades comentadas no video para mitigar os ataques ao STP, são: Root Protection (Root Guard), BPDU Protection (BPDU guard) com STP edged-port (portfast) e loop protection (loop guard).

Comware 5: Envie mensagens de teste de SYSLOG e traps SNMP

Diego DiasLeave a comment

Galera, o post abaixo foi originalmente escrito no blog http://abouthpnetworking.com/2014/12/16/comware5-send-test-snmp-traps-and-syslog-messages/ e eu fiz uma versão livre do artigo em português sobre a configuração para gerar logs de testes para servidores NMS.

Em cenários que Switches que são gerenciados por ferramentas de monitoração (como o HP IMC ou qualquer NMS), as vezes é necessário testar as mensagens de traps SNMP e SYSLOG para validar as configurações do equipamento e a rede entre os dispositivos.

Com os comandos abaixo é possível gerar traps e logs de teste em alguns Switches HP, que rodam o Comware5.

Teste de traps SNMP

Digite o comando ‘hidden’ no modo system-view e execute o comando _test

Obs: tenha bastante cautela ao executar os comandos liberados com o ‘_hidecmd’. Após digitar o comando é gerado um warning avisando que o uso incorreto poderá afetar a operação dos serviços no equipamento. Use em equipamentos fora de produção.

<HP>system-view
 System View: return to User View with Ctrl+Z.
 [HP] _hidecmd
 Now you enter a hidden command view for developer's testing, some commands may
 affect operation by wrong use, please carefully use it with our engineer's
 direction.
 [HP-hidecmd] _test trap
Test trap have Sended!
 #Nov  9 22:34:29:593 2014 HP DEVM/1/BOARD INSERTED:
 Trap 1.3.6.1.4.1.11.2.14.11.15.8.35.12.1.9: chassisIndex is 0, slotIndex 0.4
 #Nov  9 22:34:29:613 2014 HP DEVM/1/BOARD REMOVED:
 Trap 1.3.6.1.4.1.11.2.14.11.15.8.35.12.1.8: chassisIndex is 0, slotIndex 0.
#Nov  9 22:34:29:633 2014 HP DEVM/1/BOARD STATE CHANGES TO NORMAL:
 Trap 1.3.6.1.4.1.11.2.14.11.15.8.35.12.1.11: chassisIndex is 0, slotIndex 0.4
#Nov  9 22:34:29:653 2014 HP DEVM/1/BOARD STATE CHANGES TO FAILURE:
 Trap 1.3.6.1.4.1.11.2.14.11.15.8.35.12.1.10: chassisIndex is 0, slotIndex 0.4
#Nov  9 22:34:29:674 2014 HP DEVM/1/BOARD TEMPERATURE NORMAL:
 Trap 1.3.6.1.4.1.11.2.14.11.15.8.35.12.1.15: chassisIndex is 0, slotIndex 0.4
#Nov  9 22:34:29:694 2014 HP DEVM/1/BOARD TEMPERATURE LOWER:
 Trap 1.3.6.1.4.1.11.2.14.11.15.8.35.12.1.14: chassisIndex is 0, slotIndex 0.4
#Nov  9 22:34:29:714 2014 HP DEVM/1/BOARD TEMPERATURE UPPER:
 Trap 1.3.6.1.4.1.11.2.14.11.15.8.35.12.1.16: chassisIndex is 0, slotIndex 0.4
#Nov  9 22:34:29:735 2014 HP DEVM/1/BOARD REQUEST LOADING:
 Trap 1.3.6.1.4.1.11.2.14.11.15.8.35.12.1.18: chassisIndex is 0, slotIndex 0.4
#Nov  9 22:34:29:755 2014 HP DEVM/1/LOAD FAILURE:
 Trap 1.3.6.1.4.1.11.2.14.11.15.8.35.12.1.19: chassisIndex is 0, slotIndex 0.4
#Nov  9 22:34:29:775 2014 HP DEVM/1/LOAD FINISHED:
 Trap 1.3.6.1.4.1.11.2.14.11.15.8.35.12.1.20: chassisIndex is 0, slotIndex 0.4
#Nov  9 22:34:29:796 2014 HP DEVM/1/SUB CARD INSERTED:
 Trap 1.3.6.1.4.1.11.2.14.11.15.8.35.12.1.13: chassisIndex is 0, slotIndex 0.0, subslotIndex 0.0.1
#Nov  9 22:34:29:816 2014 HP DEVM/1/SUB CARD REMOVED:
 Trap 1.3.6.1.4.1.11.2.14.11.15.8.35.12.1.12: chassisIndex is 0, slotIndex 0.0, subslotIndex 0.0.1
#Nov  9 22:34:29:836 2014 HP DEVM/1/FAN STATE CHANGES TO FAILURE:
 Trap 1.3.6.1.4.1.11.2.14.11.15.8.35.12.1.6: fan ID is 1
#Nov  9 22:34:29:856 2014 HP DEVM/1/FAN STATE CHANGES TO NORMAL:
 Trap 1.3.6.1.4.1.11.2.14.11.15.8.35.12.1.7: fan ID is 1
#Nov  9 22:34:29:877 2014 HP DEVM/1/POWER STATE CHANGES TO FAILURE:
 Trap 1.3.6.1.4.1.11.2.14.11.15.8.35.12.1.1: power ID is 1
#Nov  9 22:34:29:897 2014 HP DEVM/1/POWER STATE CHANGES TO NORMAL:
 Trap 1.3.6.1.4.1.11.2.14.11.15.8.35.12.1.2: power ID is 1
#Nov  9 22:34:29:917 2014 HP DEVM/1/MASTER POWER CHANGES TO NORMAL:
 Trap 1.3.6.1.4.1.11.2.14.11.15.8.35.12.1.3: power ID is 1
#Nov  9 22:34:29:937 2014 HP DEVM/1/SLAVE POWER CHANGES TO NORMAL:
 Trap 1.3.6.1.4.1.11.2.14.11.15.8.35.12.1.4: power ID is 1
#Nov  9 22:34:29:958 2014 HP DEVM/1/POWER INSERT:
 Trap 1.3.6.1.4.1.11.2.14.11.15.8.35.12.1.23: power ID is 1
#Nov  9 22:34:29:978 2014 HP DEVM/1/POWER REMOVED:
 Trap 1.3.6.1.4.1.11.2.14.11.15.8.35.12.1.5: power ID is 1
#Nov  9 22:34:29:999 2014 HP DEVM/1/BOARD TEMPERATURE NORMAL:
 Trap 1.3.6.1.4.1.11.2.14.11.15.8.35.12.1.17: chassisIndex is 4294967295, slotIndex 4294967295.429496729
#Nov  9 22:34:30:019 2014 HP DEVM/4/SYSTEM COLD START:
 Trap 1.3.6.1.4.1.11.2.14.11.15.6.8.4: system cold start.
#Nov  9 22:34:30:039 2014 HP DEVM/4/SYSTEM WARM START:
 Trap 1.3.6.1.4.1.11.2.14.11.15.6.8.5: system warm start.
#Nov  9 22:34:30:059 2014 HP DEVM/1/REBOOT:
 Reboot device by command.

Testando as mensagens de syslog

[HP-hidecmd]_test log
[HP-hidecmd]
%Nov  9 22:34:37:632 2014 HP DEVM/5/SYSTEM_REBOOT: System is rebooting now.
%Nov  9 22:34:37:642 2014 HP DEVM/5/BOARD_REBOOT: Board is rebooting on Chassis 0 Slot 1.
%Nov  9 22:34:37:652 2014 HP DEVM/5/SUBCARD_REBOOT: SubCard is rebooting on Chassis 0 Slot 1 SubSlot 1.
%Nov  9 22:34:37:662 2014 HP DEVM/5/BOARD_STATE_NORMAL: Board state changes to NORMAL on Chassis 0 Slot 1, type is OnlyTest.
%Nov  9 22:34:37:683 2014 HP DEVM/2/BOARD_STATE_FAULT: Board state changes to FAULT on Chassis 0 Slot 1, type is OnlyTest.
%Nov  9 22:34:37:703 2014 HP DEVM/3/BOARD_REMOVED: Board is removed from Chassis 0 Slot 1, type is OnlyTest.
%Nov  9 22:34:37:723 2014 HP DEVM/4/SUBCARD_INSERTED: SubCard is inserted in Chassis 0 Slot 1 SubSlot 1, type is OnlyTest.
%Nov  9 22:34:37:743 2014 HP DEVM/3/SUBCARD_REMOVED: SubCard is removed from Chassis 0 Slot 1 SubSlot 1, type is OnlyTest.
%Nov  9 22:34:37:764 2014 HP DEVM/2/SUBCARD_FAULT: SubCard state changes to FAULT on Chassis 0 slot 1 SubSlot 1, type is OnlyTest.
%Nov  9 22:34:37:784 2014 HP DEVM/5/FAN_RECOVERED: Fan 1 recovered.
%Nov  9 22:34:37:794 2014 HP DEVM/2/FAN_FAILED: Fan 1 failed.
%Nov  9 22:34:37:804 2014 HP DEVM/3/FAN_ABSENT: Fan 1 is absent.
%Nov  9 22:34:37:814 2014 HP DEVM/5/POWER_RECOVERED: Power OnlyTest recovered.
%Nov  9 22:34:37:825 2014 HP DEVM/5/MPOWER_RECOVERED: Master power recovered.
%Nov  9 22:34:37:835 2014 HP DEVM/5/SPOWER_RECOVERED: Slave power recovered.
%Nov  9 22:34:37:845 2014 HP DEVM/2/POWER_FAILED: Power OnlyTest failed.
%Nov  9 22:34:37:855 2014 HP DEVM/3/POWER_ABSENT: Power OnlyTest is absent.
%Nov  9 22:34:37:866 2014 HP DEVM/5/BOARD_TEMP_NORMAL: Board temperature changes to normal on Chassis 0 Slot 1, type is OnlyTest.
%Nov  9 22:34:37:886 2014 HP DEVM/4/BOARD_TEMP_TOOLOW: Board temperature is too low on Chassis 0 Slot 1, type is OnlyTest.
%Nov  9 22:34:37:906 2014 HP DEVM/4/BOARD_TEMP_TOOHIGH: Board temperature is too high on Chassis 0 Slot 1, type is OnlyTest.
%Nov  9 22:34:37:926 2014 HP DEVM/5/RPS_NORMAL: RPS 1 is normal.
%Nov  9 22:34:37:937 2014 HP DEVM/3/RPS_ABSENT: RPS 1 is absent.
%Nov  9 22:34:37:947 2014 HP DEVM/4/CFCARD_INSERTED: Compact Flash Card is inserted in Chassis 0 Slot 1 Compact Flash Slot 1.
%Nov  9 22:34:37:967 2014 HP DEVM/3/CFCARD_REMOVED: Compact Flash Card is removed from Chassis 0 Slot 1 Compact Flash Slot 1.
%Nov  9 22:34:37:987 2014 HP DEVM/5/BOARD_CURRENT_NORMAL: Board current changes to normal on Chassis 0 Slot 1, type is OnlyTest.
%Nov  9 22:34:38:008 2014 HP DEVM/4/BOARD_CURRENT_TOOSMALL: Board current is too small on Chassis 0 Slot 1, type is OnlyTest.
%Nov  9 22:34:38:028 2014 HP DEVM/4/BOARD_CURRENT_TOOBIG: Board current is too big on Chassis 0 Slot 1, type is OnlyTest.
%Nov  9 22:34:38:048 2014 HP DEVM/5/BOARD_VOLTAGE_NORMAL: Board voltage changes to normal on Chassis 0 Slot 1, type is OnlyTest.
%Nov  9 22:34:38:068 2014 HP DEVM/4/BOARD_VOLTAGE_TOOLOW: Board voltage is too low on Chassis 0 Slot 1, type is OnlyTest.
%Nov  9 22:34:38:089 2014 HP DEVM/4/BOARD_VOLTAGE_TOOHIGH: Board voltage is too high on Chassis 0 Slot 1, type is OnlyTest.
%Nov  9 22:34:38:109 2014 HP DEVM/3/LOAD_NOMEMORY: Chassis 0 Slot 1 has not enough memory to load file.
%Nov  9 22:34:38:119 2014 HP DEVM/3/LOAD_REQUEST_ILLEGAL: The loading request of Chassis 0 Slot 1 is invalid, please check the bootrom version.
%Nov  9 22:34:38:139 2014 HP DEVM/4/BOARD_LOADING: Board is loading file on Chassis 0 Slot 1.
%Nov  9 22:34:38:150 2014 HP DEVM/3/LOAD_FAILED: Board failed to load file on Chassis 0 Slot 1.
%Nov  9 22:34:38:160 2014 HP DEVM/5/LOAD_FINISHED: Board has finished loading file on Chassis 0 Slot 1.
%Nov  9 22:34:38:170 2014 HP DEVM/3/LOAD_READ_FILE_FAILED: Driver failed to read file.
%Nov  9 22:34:38:180 2014 HP DEVM/4/BOARD_START_FROM_SELF_SYSTEM: Chassis 0 Slot 1 starts from self file system.
%Nov  9 22:34:38:200 2014 HP DEVM/3/LOAD_OPEN_FILE_FAILED: Cannot open the file, Chassis 0 Slot 1 will request load again!
%Nov  9 22:34:38:221 2014 HP DEVM/4/LOAD_TOO_MANY_RESEND: Too many resent frames, Chassis 0 Slot 1 will request load again.
%Nov  9 22:34:38:241 2014 HP DEVM/4/LOAD_TOO_MANY_INVALID: Too many invalid frames, Chassis 0 Slot 1 will request load again.
%Nov  9 22:34:38:261 2014 HP DEVM/4/LOAD_CHECKSUM_ERROR: Checksum error, Chassis 0 Slot 1 will request load again.
%Nov  9 22:34:38:281 2014 HP DEVM/5/CHASSIS_REBOOT: Chassis 0 is reboot now.
[HP-hidecmd]
[HP-hidecmd]
[HP-hidecmd]quit
[HP]


Até logo

Comware 5: Trocando o endereço MAC de uma porta com Port-security habilitado

Diego DiasLeave a comment

Galera, quando configuramos o port-security em uma interface Ethernet de um Switch, aquela porta aprenderá o endereço MAC da máquina conectada e não permitirá que outra máquina funcione naquela porta (caso você tenha configurado o aprendizado de apenas um endereço MAC).

Uma vez aprendido o endereço MAC de um host, este não poderá conectar-se em outra porta caso o port-security esteja habilitado.

Logo abaixo segue o exemplo de configuração de um Switch HP 1910 com a porta configurada com port-security:

< HP\v1910_SW04> display current interface giga1/0/8
#
interface GigabitEthernet1/0/8
port-security max-mac-count 1
port-security port-mode autolearn
port-security mac-address security 0040-63c0-aaaa vlan 1
#

Mas há cenários que é preciso trocar uma máquina queimada ou por qualquer outro motivo. Nesse caso ao conectarmos a nova placa de rede ao Switch aparecerá a seguinte mensagem gerada de log, alertando sobre a impossibilidade de comunicação do novo host:

[HP\v1910_SW04]
#Apr 27 07:14:21:820 2000 HP\v1910_SW04 IFNET/4/INTERFACE UPDOWN:
 Trap 1.3.6.1.6.3.1.1.5.4: Interface 9437191 is Up, ifAdminStatus is 1, ifOperStatus is 1
#Apr 27 07:14:22:025 2000 HP\v1910_SW04 MSTP/1/PFWD:
 Trap 1.3.6.1.4.1.25506.8.35.14.0.1: Instance 0's Port 0.9437191 has been set to forwarding state!
%Apr 27 07:14:22:225 2000 HP\v1910_SW04 IFNET/3/LINK_UPDOWN: GigabitEthernet1/0/8 link status is UP.
%Apr 27 07:14:22:355 2000 HP\v1910_SW04 MSTP/6/MSTP_FORWARDING: Instance 0's port GigabitEthernet1/0/8 has been set to forwarding state.
%Apr 27 07:14:22:535 2000 HP\v1910_SW04 PORTSEC/5/PORTSEC_VIOLATION: -IfName=GigabitEthernet1/0/8-MACAddr=00:90:DC:05:E9:4F-VlanId=-1-IfStatus=Up; Intrusion detected.
%Apr 27 07:14:23:270 2000 HP\v1910_SW04 PORTSEC/5/PORTSEC_VIOLATION: -IfName=GigabitEthernet1/0/8-MACAddr=00:90:DC:05:E9:4F-VlanId=-1-IfStatus=Up; Intrusion detected.

Trocando o endereço MAC

Para resolver essa questão, desconecte o novo host do Switch para cessar a mensagem de log. Já para remoção do endereço basta copiar a linha que contem o endereço MAC.

[HP\v1910_SW04-GigabitEthernet1/0/8]undo  port-security mac-address security 0040-63c0-aaaa vlan 1
         --- 1 security MAC address(es) deleted. ---

Conecte a nova máquina e espere o Switch aprender o novo endereço MAC (após este iniciar a primeira comunicação com a rede) …

[HP\v1910_SW04]
#Apr 27 07:16:01:290 2000 HP\v1910_SW04 IFNET/4/INTERFACE UPDOWN:
 Trap 1.3.6.1.6.3.1.1.5.4: Interface 9437191 is Up, ifAdminStatus is 1, ifOperStatus is 1
#Apr 27 07:16:01:495 2000 HP\v1910_SW04 MSTP/1/PFWD:
 Trap 1.3.6.1.4.1.25506.8.35.14.0.1: Instance 0's Port 0.9437191 has been set to forwarding state!
%Apr 27 07:16:01:705 2000 HP\v1910_SW04 IFNET/3/LINK_UPDOWN: GigabitEthernet1/0/8 link status is UP.
%Apr 27 07:16:01:835 2000 HP\v1910_SW04 MSTP/6/MSTP_FORWARDING: Instance 0's port GigabitEthernet1/0/8 has been set to forwarding state.
%Apr 27 07:16:02:016 2000 HP\v1910_SW04 PORTSEC/6/PORTSEC_LEARNED_MACADDR: -IfName=GigabitEthernet1/0/8-MACAddr=00:90:DC:05:E9:4F-VlanId=1; A new MAC address learned.
#
[HP\v1910_SW04]disp current-configuration interface giga1/0/8
#
interface GigabitEthernet1/0/8
 port-security max-mac-count 1
 port-security port-mode autolearn
 port-security mac-address security 0090-dc05-e94f vlan 1
#

Pronto, a porta está configurada com port-security e vinculará as restrições de endereço MAC como anteriormente.

Até logo.

Comware: Configurando BPDU Protection

Diego DiasLeave a comment

Nesse vídeo mostramos a configuração e logs dos Switches com a utilização do comando ‘BPDU-Protection’.

A feature edged-port (portfast) permite a interface saltar os estados Listening e Learning do Spanning-Tree Protocol (STP), colocando as portas imediatamente em estado Forwarding (Encaminhamento). A configuração do ‘stp edged-port enable’ força a interface a ignorar os estados de convergência do STP, incluindo as mensagens de notificação de mudança na topologia (mensagens TCN ).

A utilização da feature ‘edged-port’ com a configuração do comando ‘stp bpdu-protection’, protege as portas configuradas como edged-port de receberem BPDUs. Ao receber um BPDU a porta entrará em shutdown.