A configuração de uma ACL para o filtro de pacotes em uma interface VLAN em Switches com o Comware 7, mesmo que seja para fins de roteamento, poderá ter o comportamento de uma VACL (VLAN ACL), isto é, mesmo que o pacote não seja roteado entre VLANs (e o tráfego seja entre máquinas internas), o Switch validará o tráfego com a ACL e dependendo da construção das regras, o pacote poderá ser descartado indesejadamente.
Este comportamento poderá ser controlado com o comando “packet-filter filter route” dentro da interface VLAN. Isto permitirá que o administrador decida se o tráfego será filtrado somente para o tráfego roteado (L3) ou se deixará no modo default, que é o filtro do tráfego L2 + L3.
[HP] interface vlan 20
[HP-Vlan-interface20] packet-filter 3003 inbound
! Aplicando a ACL avançada na interface VLAN
[HP-Vlan-interface20] packet-filter filter route
! Configurando a ACL para somente filtrar o tráfego roteado
# Caso queira retornar para o modo routed+switched digite comando abaixo.
[HP-Vlan-interface20] packet-filter filter all
O espelhamento de portas é uma técnica que permite que o Switch efetue a cópia dos pacotes de rede de uma porta para outra em um Switch.
Essa técnica é bastante utilizada quando precisamos analisar o comportamento de algum servidor, como por exemplo, para identificação de vírus, acessos “estranhos”, etc.
No cenário abaixo efetuaremos a cópia do tráfego da porta do Switch que está conectada ao Roteador de Internet (como origem) para o Servidor de Análise ( como destino). A comunicação com a Internet não será afetada pois o Switch direcionará apenas a cópia!
Configuração # mirroring-group 1 local ! Criando o Grupo 1 de portas para o Espelhamento # interface Ethernet1/0/3 stp disable ! desabilitando o Spanning-Tree da porta para não interferir na coleta mirroring-group 1 monitor-port !Configurando a porta para monitorar o tráfego da porta mirroring (no exemplo a porta Ethernet1/0/1) # interface Ethernet1/0/1 mirroring-group 1 mirroring-port both ! Configurando a Porta de origem que terá seu tráfego copiado no sentido inbound (entrada) e outbound (saída); comando both #
Pronto! Configurações efetuadas… No servidor de coleta poderíamos utilizar os Softwares TCPDump, Wireshark, etc para monitorar o tráfego. No exemplo abaixo, “printamos” a tela do software NTOP (freeware) com estatísticas da coleta!
Simples, agora é só atuar no tráfego e/ou comportamento identificados na rede…. Até logo!
A utilização de listas de acesso (ACL) para limitar as redes que poderão efetuar o gerenciamento do Switch e/ou Roteador é uma técnica bastante utilizada para restringir os hosts que terão permissão de acesso o equipamento.
Os equipamentos com a versão 7 do Comware diferem um pouco na configuração de atribuição de uma ACL ao acesso Telnet e SSH.
#
acl basic 2000
rule 0 permit source 192.168.11.1 0
rule 5 permit source 192.168.11.12 0
rule 10 permit source 192.168.11.11 0
! ACL com os hosts com permissão de acesso
#
telnet server enable
telnet server acl 2000
! Habilitando o serviço Telnet e aplicando a ACL 2000
#
Para filtrar o acesso via SSH utilize a mesma lógica.
Existem inúmeras vulnerabilidades nos switches Ethernet e as ferramentas de ataque para explorá-los existem há mais de uma década. Um atacante pode desviar qualquer tráfego para seu próprio PC para quebrar a confidencialidade, privacidade ou a integridade desse tráfego.
A maioria das vulnerabilidades são inerentes aos protocolos da Camada 2 e não somente aos switches. Se a camada 2 estiver comprometida, é mais fácil criar ataques em protocolos das camadas superiores usando técnicas comuns como ataques de man-in-the-middle (MITM) para coleta e manipulação do conteúdo.
Para explorar as vulnerabilidades da camada 2, um invasor geralmente deve estar mesma rede local do alvo. Se o atacante se utilizar de outros meios de exploração, poderá conseguir um acesso remoto ou até mesmo físico ao equipamento. Uma vez dentro da rede, a movimentação lateral do atacante torna-se mais fácil para conseguir acesso aos dispositivos ou tráfego desejado.
No vídeo descrevemos as 8 (oito) principais funcionalidades de segurança para switches que todo administrador de redes deveria saber.
O espelhamento de porta (SPAN – Switch Port Analyzer) é uma técnica que permite que o Switch efetue a cópia dos pacotes de uma porta para uma outra porta do Switch.
Essa técnica é bastante utilizada quando precisamos analisar o comportamento da rede como por exemplo, identificação da comunicação de uma aplicação, troubleshooting, direcionar o tráfego inúmeras atividades de segurança como IDS etc.
Configurando o espelhamento de porta
Crie um “mirror” e adicione a interface a ser usada como porta para captura de pacotes. Neste caso a porta 9 será usada para receber os pacotes duplicados.
mirror 1 port 9 ! Criando o Grupo 1 para o Espelhamento, vinculando a porta 9 para recebimento do tráfego capturado
Selecione a interface que terá o tráfego duplicado e vincule ao processo do mirror. O tráfego dessas portas será copiado para a porta mirror para captura. Neste exemplo, a interface ou porta Ethernet 1 duplicará seu tráfego para o “mirror 1”.
interface 2 monitor all both mirror 1 ! Configurando a Porta de origem (2) que terá seu tráfego copiado no sentido inbound (entrada) e outbound (saída); comando both para o mirror 1
Conecte um notebook à interface 9 no switch e use o wireshark, TCPDUMP ou o cliente PCAP de sua escolha para analisar o tráfego.
Por padrão, nos Switches ArubaOS, as credenciais não são adicionadas ao arquivo de configurações, com o objetivo de proteger a sua visualização.
Caso haja o desejo de visualizá-las no arquivo de configuração, será necessário habilitar o comando include-credentials, permitindo assim visualizar no arquivo de configuração, como também apagá-las na startup-config.
Habilitando o include-credentials será possível visualizar o usuário em texto plano e a senha em hash, como por exemplo em SHA1 (sendo possível descobrir a senha utilizada utilizando ferramentas online).
Para proteger as credenciais após o include-credentials, digite encrypt-credentials para cifrar o password em aes-256-cbc, no arquivo de configuração.
No vídeo compartilhamos como encontrar os documentos oficiais dos fabricantes HP e Aruba para configurações de hardening para as soluções de Switches baseados no Comware, ArubaOS, ArubaOS-CX, solução de controladora (Mobility Controller e Mobility Conductor), IAPs, SD-Branch, ClearPass, etc.
O IEEE 802.1X (também chamado de dot1x) é um padrão IEEE RFC 3748 para controle de acesso à rede. Ele prove um mecanismo de autenticação para hosts que desejam conectar-se a um Switch ou Access Point, por exemplo. A funcionalidade é também bastante poderosa para vínculo de VLANs, VLANs Guest e ACL’s dinâmicas. Essas informações são enviadas durante o processo de autenticação utilizando o RADIUS como servidor. As funcionalidades do 802.1x permitem por exemplo, que caso um computador não autentique na rede, a máquina seja redirecionada para uma rede de visitantes etc.
O padrão 802.1x descreve como as mensagens EAP são encaminhadas entre um suplicante (dispositivo final, como uma máquina de um usuário) e o autenticador (Switch ou Access Point), e entre o autenticador e o servidor de autenticação. O autenticador encaminha as informações EAP para o servidor de autenticação pelo protocolo RADIUS.
Uma das vantagens da arquitetura EAP é a sua flexibilidade. O protocolo EAP é utilizado para selecionar o mecanismo de autenticação. O protocolo 802.1x é chamado de encapsulamento EAP over LAN (EAPOL). Atualmente ele é definido para redes Ethernet, incluindo o padrão 802.11 para LANs sem fios.
Os dispositivos que compõem a topologia para o funcionamento do padrão 802.1x são:
Suplicante (Supplicant): um suplicante pode ser um host com suporte a 802.1x com software cliente para autenticação, um telefone IP com software com suporte a 802.1x etc.
Autenticador (Authenticator): Dispositivo (geralmente o Switch, AP, etc) no meio do caminho que efetua a interface entre o Autenticador e o Suplicante. O autenticador funciona como um proxy para fazer o relay da informação entre o suplicante e o servidor de autenticação. O Switch recebe a informação de identidade do suplicante via frame EAPoL (EAP over LAN) que é então verificado e encapsulado pelo protocolo RADIUS e encaminhado para o servidor de autenticação. Os frames EAP não são modificados ou examinados durante o encapsulamento. Já quando o Switch recebe a mensagem do RADIUS do Servidor de autenticação, o cabeçalho RADIUS é removido, e o frame EAP é encapsulado no formato 802.1x e encaminhado de volta ao cliente.
Servidor de Autenticação (Authentication Server): O Servidor RADIUS é responsável pelas mensagens de permissão ou negação após validação do usuário. Durante o processo de autenticação o Authentication Server continua transparente para o cliente pois o suplicante comunica-se apenas com o authenticator. O protocolo RADIUS com as extensões EAP são somente suportados pelo servidor de autenticação.
O suplicante envia uma mensagem start para o autenticador.
O autenticador envia uma mensagem solicitando um login ao suplicante.
O suplicante responde com o login com as credenciais do usuário ou do equipamento.
O autenticador verifica o quadro EAPoL e encapsula-o no formato RADIUS, encaminhando posteriormente o quadro para o servidor RADIUS.
O servidor verifica as credenciais do cliente e envia uma resposta ao autenticador com a aplicação das políticas.
Baseado ne mensagem da resposta, o autenticador permite ou nega o acesso à rede para a porta do cliente.
Exemplo de Configuração em Switches HP baseados no Comware
Neste, post forneceremos apenas a configuração de um Switch HP com o Comware 5. As configurações do suplicante e do Servidor de autenticação devem ser verificadas na documentação dos seus respectivos SO.
Passo 1: Configure o servidor RADIUS radius scheme <nome do radius scheme> primary authentication <ip do servidor> key <chave> ! Configure o IP do servidor RADIUS e a chave user-name-format without-domain ! o formato do nome de usuário sem o envio do @dominio nas-ip <endereço IP do Switch> ! O NAS-IP permite forçar o IP para as mensagens trocadas entre o Switch e RADIUS quit
Passo 2: Configure o Domínio domain <nome do domain> authentication lan-access radius-scheme <nome do radius scheme> authorization lan-access radius-scheme <nome do radius scheme> ! Configurando a autenticação e a autorização do acesso a LAN quit
Passo 3: Configure o 802.1x globalmente no Switch dot1x dot1x authentication-method eap
Passo 4: Configure o dot1x nas portas do switch interface GigabitEthernet 1/0/x dot1x ! A porta utiliza o modo auto do 802.1x e solicita autenticação
O Paulo Roque nos enviou um procedimento muito bacana para acesso à console de um Switch HP baseado no Comware com o IRF configurado quando não se tem a senha do equipamento, mas a community SNMP ainda é conhecida (o procedimento também funciona em Switches não configurados com o IRF).
Para executar esse procedimento precisaremos de:
um servidor para coleta e configuração do Switch via SNMP
um servidor para transferência de arquivos que utilize o serviço FTP.
máquina para acesso via console.
Para facilitar o exemplo, o nosso cenário incluirá todos os serviços instalados em uma só máquina, conforme desenho abaixo.
A máquina 192.168.1.40 está com o serviço SNMP e FTP instalados , além do cabo console diretamente conectado do notebook ao Switch.
Faça o download da configuração do Switch para o servidor FTP
#snmpset -v 2vc -c pri123 192.168.1.1 \
1.3.6.1.4.1.25506.2.4.1.2.4.1.2.2 i 3 \
1.3.6.1.4.1.25506.2.4.1.2.4.1.3.2 i 1 \
1.3.6.1.4.1.25506.2.4.1.2.4.1.4.2 s aa.cfg \
1.3.6.1.4.1.25506.2.4.1.2.4.1.5.2 a 192.168.1.40 \
1.3.6.1.4.1.25506.2.4.1.2.4.1.6.2 s ftpuser \
1.3.6.1.4.1.25506.2.4.1.2.4.1.7.2 s 123senha \
1.3.6.1.4.1.25506.2.4.1.2.4.1.9.2 i 4
O Sistema irá returnar a seguinte informação:
iso.3.6.1.4.1.25506.2.4.1.2.4.1.2.2 = INTEGER: 3
iso.3.6.1.4.1.25506.2.4.1.2.4.1.3.2 = INTEGER: 1
iso.3.6.1.4.1.25506.2.4.1.2.4.1.4.2 = STRING: "aa.cfg"
iso.3.6.1.4.1.25506.2.4.1.2.4.1.5.2 = IpAddress: 192.168.1.40
iso.3.6.1.4.1.25506.2.4.1.2.4.1.6.2 = STRING: "ftpuser"
iso.3.6.1.4.1.25506.2.4.1.2.4.1.7.2 = STRING: "123senha"
iso.3.6.1.4.1.25506.2.4.1.2.4.1.9.2 = INTEGER: 4
Ao efetuar o download do arquivo, caso o Switch não esteja configurado com a autenticação por TACACS/RADIUS, abra o arquivo de configuração e veja se a senha foi configurada como não-cifrada. Nesse caso, se for possível detectar a senha, descarte todos os processos abaixo e faça a autenticação no Switch com a senha escrita no arquivo de configuração.
Se o procedimento acima não resolver para efetuar a autenticação ao Switch, continue com os passos abaixo para alterar a configuração corrente do Switch via SNMP e assim desabilitar o processo de autenticação da console do equipamento
Crie um arquivo chamado “passreset.cfg” e insira a seguinte configuração:
user-interface aux 0 1
authentication-mode none
obs: o nome do arquivo é apenas sugestivo
Salve o arquivo no servidor FTP
Utilize o servidor FTP para transferência do arquivo para o Switch e via snmpset envie os atributos abaixo via SNMP para o Switch (o equipamento irá solicitar o download da configuração ao servidor ftp pela instruções utilizadas via SNMP).
# snmpset -v 2c -c pri123 192.168.1.1 \
1.3.6.1.4.1.25506.2.4.1.2.4.1.2.3 i 4 \
1.3.6.1.4.1.25506.2.4.1.2.4.1.3.3 i 1 \
1.3.6.1.4.1.25506.2.4.1.2.4.1.4.3 s passreset.cfg \
1.3.6.1.4.1.25506.2.4.1.2.4.1.5.3 a 192.168.1.40 \
1.3.6.1.4.1.25506.2.4.1.2.4.1.6.3 s ftpuser \
1.3.6.1.4.1.25506.2.4.1.2.4.1.7.3 s 123senha \
1.3.6.1.4.1.25506.2.4.1.2.4.1.9.3 i 4
O Sistema irá retornar as seguintes informações:
iso.3.6.1.4.1.25506.2.4.1.2.4.1.2.3 = INTEGER: 4
iso.3.6.1.4.1.25506.2.4.1.2.4.1.3.3 = INTEGER: 1
iso.3.6.1.4.1.25506.2.4.1.2.4.1.4.3 = STRING: "passreset.cfg"
iso.3.6.1.4.1.25506.2.4.1.2.4.1.5.3 = IpAddress: 192.168.1.40
iso.3.6.1.4.1.25506.2.4.1.2.4.1.6.3 = STRING: "ftpuser"
iso.3.6.1.4.1.25506.2.4.1.2.4.1.7.3 = STRING: "123senha"
iso.3.6.1.4.1.25506.2.4.1.2.4.1.9.3 = INTEGER: 4
O comando snmpset permitirá que o Switch faça o download do arquivo passreset.cfg do FTP e assim aplicar as configurações na configuração corrente (memória RAM [current-configuration]) sem alterar as outras configurações do equipamento.
Nesse caso, será removida a autenticação da console, permitindo o acesso como administrador ao Switch.
COMUTADORES 