Segurança

Vídeo: Comware – Configurando RADIUS

Diego DiasLeave a comment

Autenticação Segura para Switches e Roteadores 3Com/HP com Comware: Domine o Script e Proteja Sua Rede!

Gerenciar seus switches e roteadores 3Com/HP com Comware de forma segura e eficiente é crucial para garantir a integridade e a confidencialidade da sua rede. Neste vídeo, apresentamos um guia para autenticação de usuários via Telnet, SSH e outros protocolos, permitindo que você controle o acesso à sua infraestrutura de rede com total precisão.

Aprenda a:

  • Implementar autenticação centralizada: Crie um ambiente seguro para administração de seus dispositivos, restringindo o acesso apenas a usuários autorizados.
  • Gerenciar diferentes protocolos: O script oferece suporte a diversos protocolos de autenticação, como Telnet, SSH, VTY e console, adaptando-se às suas necessidades específicas.
  • Configurar níveis de acesso personalizados: Defina diferentes níveis de acesso para diferentes usuários, garantindo que cada um tenha apenas as permissões necessárias para realizar suas tarefas.
  • Auditar e monitorar acessos: Mantenha um registro completo das tentativas de autenticação, identificando atividades suspeitas e protegendo sua rede contra invasores.

RADIUS Change of Authorization (CoA)

Diego DiasLeave a comment

Em uma implantação tradicional com AAA utilizando RADIUS, após a autenticação, o Servidor RADIUS apenas assina a autorização como resultado de uma requisição de autenticação.

No entanto, existem muitos casos em que é desejável que haja alterações sem a exigência do NAS para iniciar a troca de mensagens. Por exemplo, pode haver a necessidade de um administrador da rede ser capaz de encerrar a ‘sessão’ de uma porta autenticada com 802.1x.

Alternativamente, se o usuário alterar o nível de autorização, isto pode exigir que novos atributos de autorização sejam adicionados ou excluídos para o usuário.

Outro exemplo, é a limitação da banda disponível a um usuário após exceder a banda liberada em uma rede wifi, por exemplo.

Para superar essas limitações, vários fabricantes implementaram comandos RADIUS adicionais a fim de permitir que mensagens ‘não solicitadas’ sejam enviadas para o NAS. Estes comandos estendidos fornecem suporte para desconectar (disconnect) e mudar de autorização (CoA – Change-of-Authorization).

CoA

Com o avanço da tecnologia e o surgimento de novas demandas, o padrão RADIUS CoA (Change of Authorization) permite ao Servidor iniciar a conversação com o equipamento de rede aplicando comandos:  shut/ no shut, alterar a VLAN, ACL, banda ou então apenas re-autenticar o usuário. As vezes um endpoint pode ser roubado, infectado, ter o anti-virus desabilitado, ultrapassar do limite dos dados disponíveis para navegação ou então ocorrer outros fatores que possam afetar a postura. Nesse caso a rede deve ser capaz de interagir à essas mudanças e atualizar o nível de acesso e autorização para esse dispositivo.

Exemplo

No cenário acima, o cliente (suplicante) inicia a autenticação; após a troca de certificados e credenciais, o servidor autoriza o usuário enviando uma mensagem RADIUS Access-Accept ao NAD. Uma vez o usuário autenticado, o NAD enviará atualizações de accouting RADIUS para o servidor para atualizá-lo com informações da sessão do usuário: como largura de banda, tempo da sessão etc.

Usando as mensagens de Accounting, o servidor de autenticação  pode correlacionar o MAC e o endereço IP de um usuário com o tempo da conexão.

Se pensarmos em uma rede sem fio, podemos habilitar a desconexão com uma mensagem RADIUS Coa Disconnect-Request para a Controller quando um cliente atingir o limite de 100Mb de trafego.

Referências

https://tools.ietf.org/html/rfc5176

https://tools.ietf.org/html/rfc3576

ClearPass Essentials Student Guide – HP Education Services

Vídeo: Switches ArubaOS-CX – Configurando STP Root-Guard e Loop-Guard no EVE-NG

Diego DiasLeave a comment

Nesse video, montamos um laboratório no EVE-NG com Switches ArubaOS-CX demonstrando a configuração do Spanning-Tree e das funcionalidades Root-Guard e Loop-Guard.

Root Guard: A configuração da porta como Root Guard permite à uma porta Designada a prevenção do recebimento de BPDU’s superiores, que indicariam outro Switch com melhor prioridade para tornar-se Root, forçando a porta a cessar comunicação, isolando assim o segmento. Após encerrar o recebimento desses BPDU’s a interface voltará à comunicação normalmente.

Loop Guard: A configuração da porta como Loop Guard possibilita aos Switches não-Root, com caminhos redundantes ao Switch Raiz, evitar situações de Loop na falha de recebimentos de BPDU’s em portas com caminhos redundantes. Em um cenátio atípico, quando uma porta alternativa parar de receber BPDU (mas ainda UP) ela identificará o caminho como livre de Loop e entrará em modo de encaminhamento criando assim um Loop lógico em toda a LAN. Nesse caso a funcionalidade deixará a porta alternativa sem comunicação (como blocking em loop-inconsistent) até voltar a receber BPDU’s do Switch Root.

Comware 7: Autenticação com FreeRADIUS

Diego DiasLeave a comment

A autenticação em Switches e Roteadores para fins de administração dos dispositivos pode ser efetuada com uma base de usuários configurados localmente ou em uma base de usuários remota que pode utilizar servidores RADIUS ou TACACS.

No exemplo abaixo montamos um ‘How to’ com o auxílio do Derlei Dias, utilizando o FreeRADIUS no Slackware para autenticação em um roteador HP VSR1000 que possui como base o Comware 7.

Instalando Freeradius no Slackware

1 – Baixe os pacotes do slackbuilds.org e instale normalmente;

2 – Após instalação vá na pasta /etc/raddb/certs e execute o bootstrap;

3 – Usando de forma simples sem base de dados, abra o arquivo /etc/raddb/users;

4 – Adicione na primeira linha: student1   Cleartext-Password := “labhp”
! Usaremos como exemplo o usuário ‘student1’ com a senha ‘labhp’

5 – Depois use o comando a seguir para testar: radtest student1 labhp localhost 0 testing123
! O ‘testing123’ servirá como chave para autenticação entre o Switch/Roteador e o Radius

6 – A resposta deverá ser essa, se a autenticação ocorrer com sucesso:

Sending Access-Request of id 118 to 127.0.0.1 port 1812
User-Name = "student1"
User-Password = "labhp"
NAS-IP-Address = 10.12.0.102
NAS-Port = 0
Message-Authenticator = 0x00000000000000000000000000000000
rad_recv: Access-Accept packet from host 127.0.0.1 port 1812, id=118, length=20

7 – Lembre-se que ao inserir usuários no arquivo você deverá reiniciar o RADIUS.

8 – Editar o arquivo clients.conf e permitir a rede que fará acesso ao servidor.

10 – Alguns dispositivos requerem uma configuração especial no clients.conf e no users:

Configuração no RADIUS para Switches/Roteadores HP baseados no Comware7

Arquivo Clients.conf

client ip_do_device/máscara {
        secret          = testing123
}

ou

client vr1000 {
       ipaddr = ip_do_roteador
       secret          = testing123
}

Arquivo users

nome_usuario    Cleartext-Password := "senha"
                Service-Type = NAS-Prompt-User,
                Cisco-AVPair = "shell:roles=\"network-admin\"",

nome_usuario    Cleartext-Password := "senha"
                Service-Type = NAS-Prompt-User,
                Cisco-AVPair = "shell:roles=\"network-operator\""

Após ocorrer a autenticação do usuário com sucesso, o servidor RADIUS irá retornar uma das CiscoAVPairs para a autorização da ‘role’ que o usuário deve obter quando autentica no dispositivo. Você pode usar o network-admin, ou o network-operator, ou alguma role criada para RBAC.

Configurando o Comware7

#
interface GigabitEthernet1/0
 ip address 10.12.0.102 255.255.255.0
#
radius scheme rad
 primary authentication 10.12.0.100 key cipher $c$3$5mQHlUeQbVhRKAq3QxxN0NiB0Sc8jbyZFKyc3F0=
 primary accounting 10.12.0.100 key cipher $c$3$Q12zYBjRIkRGeQQL6gYm4wofbMfjDl/Cqalc17M=
 accounting-on enable
 user-name-format without-domain
! É possível enviar o usuário com ou sem o formato @dominio 
nas-ip 10.12.0.102
#
domain bbb
 authentication login radius-scheme rad
 authorization login radius-scheme rad
 accounting login radius-scheme rad
#
 domain default enable bbb
#
user-vty 0 63
authentication-mode scheme

Referências e observações

Após quebrar bastante a cabeça com diversos parâmetros e alguns dias de teste, usamos o documento http://h30499.www3.hp.com/hpeb/attachments/hpeb/switching-a-series-forum/5993/1/Freeradius%20AAA%20Comware%207.pdf como referência que cita a conexão do simulador HCL com FreeRADIUS no Ubuntu.

Treinamento Comware – Aula 7 – AAA, RADIUS, TACACS+

Diego DiasLeave a comment

Aula 7 do Treinamento Comware para Switches HP. ​O acrônimo AAA é uma referência aos protocolos relacionados com os procedimentos de autenticação, autorização e contabilidade. Vários métodos, tecnologias e protocolos podem ser usados ​​para implementar o controle de identidade e acesso, fornecendo informações sobre a validade das credenciais, direitos de acesso e auditoria. Como continuidade demonstramos a configuração do RADIUS e TACACS+ para gerenciamento dos Switches e Roteadores.

Vídeo: Comware TACACS+

Diego DiasLeave a comment

O TACACS+ (Terminal Access Controller Access Control System) é um protocolo que provê autenticação centralizada para usuários que desejam acesso a equipamentos de rede. O protocolo fornece serviço modular para o AAA separando esses serviços (autenticação, autorização e contabilidade) de forma independente.

Os dispositivos baseados no Comware trabalham com o HWTACACS (HW Terminal Access Controller Access Control System) que é uma versão baseada na RFC 1492 do TACACS+ com interoperabilidade com todos os serviços que operam com TACACS+.

Nesse vídeo descrevemos a configuração do serviço HWTACACS:

Switches ArubaOS-CX – Guia Rápido de Configuração

Diego DiasLeave a comment

Para aqueles que estão começando a gerenciar equipamentos ArubaOS-CX criamos uma lista de comandos para instalação e configuração; os scripts são simples e bastante úteis!

Algumas funcionalidades podem ser configuradas de diferentes maneiras, mas tentaremos ser o mais abrangente possível nos scripts abaixo:

Acessando o modo de Configuração Global

ArubaOS-CX# configure terminal
ArubaOS-CX(config)#

Auto confirmação

ArubaOS-CX#   auto-confirm      
! Desabilita a confirmação de usuário e executa a operação sem exibir “confirmação” de yes ou no no prompt”

Configurando o nome do Switch

ArubaOS-CX(config)# hostname Switch
Switch(config)#

Configuração de VLANs

Switch(config)# vlan 2
Switch(config-vlan-2)# name estudantes

Mostrando quais as VLANs que existem no switch

show vlan

Definindo o IP para a VLAN 1

Switch(config)# interface vlan 1
Switch (config-if-vlan)# ip address 10.0.11.254/24
Switch (config-if-vlan)# no shutdown
Switch (config-if-vlan)# exit

Definindo IP para uma porta

Switch(config)# Interface 1/1/10
Switch(config)# no shutdown
Switch(config)# routing
Switch(config)# ip address 192.168.20.1/24

Configurando o default gateway

Switch(config)# ip route 0.0.0.0/0 192.168.0.254

Configurações de portas como acesso

Switch1(config)# interface 1/1/1
Switch1(config-if)# no shut 
Switch1(config-if)# no routing

Colocando uma descrição na porta

Switch1(config)# interface 1/1/1
Switch1(config-if)# description Uplink_Aggregation
Switch1(config-if)#exit

VLAN
Adicionando uma VLAN em uma porta de acesso

Switch(config)# interface 1/1/2
Switch(config-if)# vlan access 2

Adicionando VLANs em uma porta de uplink (as VLANs necessitam estar previamente configuradas)

Switch(config-if)# vlan trunk  allowed all

ou

Switch (config-if)# vlan trunk  allowed 1-2

!Utilizando uma lista de VLANs

Configurando usuário e senha

Switch(config)# username admin password

Interface de gerenciamento

Switch(config)# interface mgmt
Switch(config)# ip static 192.168.1.254/24
Switch(config)# no shutdown
Switch(config)# default-gateway 192.168.1.1
Switch(config)# exit
Switch# show interface mgmt
Switch# ping 192.168.50.1 vrf mgmt

Configurando o acesso HTTP / HTTPS / SSH ao switch Aruba CX

Switch(config)# http vrf mgmt
Switch(config)# https vrf mgmt
Switch(config)# ssh vrf mgmt

Habilitando o spanning tree protocol

Switch(config)# spanning-tree

Configurando prioridade no STP

Configurando o switch como root bridge do STP. 

Switch (config)# spanning-tree priority 0

Criando um LINK AGGREGATION

interface lag 20
    no shutdown
    no routing
    vlan trunk allowed all
    lacp mode active
interface 1/1/23
    no shutdown
    lag 20
interface 1/1/24
    no shutdown
    lag 20

Syslog

Switch (config)# logging 10.1.1.1

NTP Client

Switch(config)# ntp server 192.168.50.100 vrf mgmt
Switch(config)# ntp enable

Salvando as configurações do Switch

Switch # write memory

Apagando todas as configurações do Switch

erase startup-config

Comandos show

show interface brief
show ip interface brief
! Mostrando um resumo de TODAS as interfaces
show interface transceivers
! Exibe o tipo de transceiver conectado, part number e número serial
show running-config
! Mostrando a configuração do Switch atual
show spanning-tree

! Mostrando informações do STP, quais portas estão BLOQUEADAS
e FORWARDING
show mac-address-table
show arp
! Mostrando a tabela MAC e tabela ARP
show logging
! Visualizando os logs no Switch
sh ntp associations
show clock
! Visualizando NTP/hora

E vocês, possuem mais alguma sugestão de comando para os Switches ArubaOS-CX?
Sintam-se à vontade…

Comware – Password-control

Diego DiasLeave a comment

A funcionalidade password-control (controle de senha) refere-se a um conjunto de funções fornecidas pelo Switch para controlar senhas de login com base em políticas predefinidas, para a base local de usuários.

Com o password control, o administrador pode configurar o comprimento mínimo da senha, a verificação da composição da senha, a verificação da complexidade da senha, o intervalo da atualização da senha, o prazo para a senha expirar, aviso prévio na expiração da senha pendente, login com uma senha expirada, histórico de senhas, limite de tentativa de login, exibição de senha, gerenciamento de tempo limite de autenticação, tempo de inatividade, etc.

O comando display password-control permit visualizar quais configurações estão ativas:.

[Switch]display password-control
 Global password control configurations:
 Password control:                    Disabled
 Password aging:                      Enabled (90 days)
 Password length:                     Enabled (10 characters)
 Password composition:                Enabled (1 types, 1 characters per type)
 Password history:                    Enabled (max history records:4)
 Early notice on password expiration: 7 days
 Maximum login attempts:              3
 Action for exceeding login attempts: Lock user for 1 minutes
 Minimum interval between two updates:24 hours
 User account idle time:              90 days
 Logins with aged password:           3 times in 30 days
 Password complexity:                 Disabled (username checking)
                                      Disabled (repeated characters checking)
[Switch]

A configuração abaixo permite o controle de senha para switches configurados com autenticação local:

# Habilitando o password-control globalmente.
[Switch] password-control enable

# Proibe que o usuário faça login após duas falhas consecutivas.
[Switch] password-control login-attempt 2 exceed lock

# Defina o tempo de 30 dias para todas as senhas.
[Switch] password-control aging 30

# Defina o intervalo mínimo de atualização de senha para 36 horas.
[Switch] password-control password update interval 36

# Especifique que um usuário pode fazer o login cinco vezes no prazo de 60 dias após a expiração da senha.
[Switch] password-control expired-user-login delay 60 times 5

# Defina o tempo de inatividade máximo da conta para 30 dias.
[Switch] password-control login idle-time 30

# Recuse qualquer senha que contenha o nome de usuário ou o nome de usuário inverso.
[Switch] password-control complexity user-name check

Para verificar usuários bloqueados digite display password-control  blacklist:

[Switch]display password-control  blacklist
 Blacklist items matched: 1.
 Username: jose
    IP: 192.168.0.4    Login failures: 3    Lock flag: lock

Para resetar o usuário bloqueado digite:

<Switch>reset password-control blacklist user-name jose

Até mais!

Referências

Vídeo: Switches ArubaOS – Protegendo o Spanning-Tree

Diego DiasLeave a comment

O protocolo Spanning-Tree é bastante vulnerável a ataques pela simplicidade de sua arquitetura e falta de mecanismos de autenticação. O protocolo STP não impede em sua arquitetura que um novo switch adicionado à rede seja configurado erradamente com a prioridade 0 (zero) e que dessa forma possa tomar o lugar do switch root, ocasionando uma nova convergência da LAN para a topologia a partir do novo Switch Root.

Os ataques ao protocolo STP geralmente têm como objetivo assumir a identidade do switch root da rede, ocasionando assim cenários de indisponibilidade na rede. Programas como o Yersinia permitem gerar esse tipo de ataque. Há também cenários em que usuários adicionam switches não gerenciados e hubs (propositadamente ou não) com o intuito de fornecer mais pontos de rede em ambientes que deveriam ser controlados.

Funcionalidades comentadas no video para mitigar os ataques ao STP, são: Root Guard, BPDU Protection (BPDU guard) com STP admin-edged-port (portfast) e loop guard.