Segurança

Comware 7 – Configurando a autenticação com TACACS

Diego DiasLeave a comment

Compartilho abaixo o script comentado para a autenticação no acesso em Switches Comware utilizando AAA, com o protocolo TACACS. A autenticação para o super usuário em nosso exemplo, está como local.

Configuração

#
super password level 3 simple S3nha
! Criando a senha do super usuário como "S3nha"
#
hwtacacs scheme comutadores
! Criando o esquema TACACS com o nome Comutadores
primary authentication 192.168.1.10
!Configurando o IP do Servidor ACS para autenticação
primary authorization 192.168.1.10
!Configurando o IP do Servidor ACS para autorização
primary accounting 192.168.1.10
!Configurando o IP do Servidor ACS para contabilidade
nas-ip 148.91.219.56
!Endereço de IP do Switch cadastrado no ACS
key authentication s3nhacom
! Chave para autenticação com o servidor ACS  com a senha"s3nhacom"

key authorization s3nhacom
key accounting s3nhacom
user-name-format without-domain
! Encaminhamento do usuário sem o formato @dominio
#
domain comutadores.com.br
authentication login hwtacacs-scheme comutadores local
!Configurando a autenticação com TACACS e em caso de falha, a autenticação será local.
authorization login hwtacacs-scheme comutadores local
accounting login hwtacacs-scheme comutadores local
#
domain default enable comutadores.com.br
! Habilitando o dominio comutadores.com.br como default para auetnticação
#
user-interface vty 0 4
authentication-mode scheme
#

obs: Sugerimos que durante os testes, não configure o authentication-mode scheme no acesso via Console, para em caso de falha nos testes, você não fique trancado do lado de fora do Switch.

Switches ArubaOS –  Comando encrypt-credentials

Diego DiasLeave a comment

O comando encrypt-credentials disponível em switches ArubaOS é utilizado para criptografar credenciais armazenadas na configuração do dispositivo. Isso melhora a segurança, pois evita que senhas e chaves de autenticação sejam expostas em texto plano.

Funcionamento:

O comando encrypt-credentials ativa a criptografia para credenciais armazenadas em arquivos de configuração. Quando esse recurso está habilitado, as credenciais (como senhas de usuários locais, TACACS+ ou RADIUS) são criptografadas usando um algoritmo seguro (como AES-256).

Switch(config)# encrypt-credentials

**** CAUTION ****

This will encrypt all passwords and authentication keys.

The encrypted credentials will not be understood by older software versions. The resulting config file cannot be used by older software versions. It may also break some of your existing user scripts.

Before proceeding, please save a copy of your current config file, and associate the current config file with the older software version saved in flash memory. See “Best Practices for Software Updates” in the Release Notes.

A config file with ‘encrypt-credentials’ may prevent previous software versions from booting. It may be necessary to reset the switch to factory defaults. To prevent this, remove the encrypt-credentials command or use an older config file.

Save config and continue [y/n]? y

O comando aceita um argumento opcional para definir uma chave secreta pré- compartilhada usada para criptografia. No entanto, a maioria das implementações usa uma chave interna fixa.

Switch(config)# encrypt-credentials pre-shared-key plaintext ChaveSecreta1

Save config and continue [y/n]? y

A funcionalidade aumenta a segurança do switch, pois as credenciais ficam ilegíveis no arquivo de configuração, mesmo se alguém obtiver acesso não autorizado.

Ajuda na conformidade com regulamentações de segurança que exigem a proteção de dados confidenciais.

A habilitação do encrypt-credentials tem seus desafios em processos de troubleshooting pois pode tornar a solução de problemas mais complexa, pois as credenciais ficam ocultas.

Se você esquecer a chave secreta pré-compartilhada (caso a utilize), pode ser necessário redefinir a configuração do switch para recuperar o acesso.

Pontos de atenção

O comando encrypt-credentials criptografa apenas credenciais armazenadas na configuração do switch. Não criptografa dados em trânsito pela rede.

É importante implementar outras medidas de segurança, como senhas fortes e restrições de acesso, para proteger o switch.

Comandos relacionados:

show encrypt-credentials: Exibe o status da criptografia de credenciais (ativado ou desativado).

no encrypt-credentials: Desabilita a criptografia de credenciais (as credenciais voltam a ser exibidas em texto plano).

Referência

Aruba 2930F / 2930M Access Security Guide for ArubaOS-Switch

Até logo!

Protegendo o Spanning-Tree

Diego DiasLeave a comment

O Protocolo Spanning-Tree possui algumas vulnerabilidades pela simplicidade de sua arquitetura, falta de mecanismos de autenticação, etc.

Imaginando que você configurou o Switch Core da Rede como Root com a prioridade 0 (zero) e outros Switches com prioridades inferiores ( vence a eleição o Switch com a prioridade com o menor valor) para estabilidade da rede, não impede que um novo Switch colocado na camada de acesso configurado erradamente com a prioridade 0 (zero) possa tomar o lugar do Switch Root, ocasionando toda a convergência da LAN para a topologia a partir do novo Switch Root.

Lembrando que em situações de empate na eleição do Switch Root, vence quem tiver o menor endereço MAC inserido no BPDU. Além do que, a eleição do Root para o Spanning-Tree está sujeita a substituição do Switch Raiz – por situações que envolvem desde falhas do Root até um equipamento com menor prioridade.

Programas como o Yersinia permitem a criação de “tráfego sintético” para ataques ao protocolo.

Há também cenários que envolvem a inserção de Switches não gerenciados e hubs por usuários que desejam prover mais pontos de rede em ambientes que deveriam ser controlados …

Segue abaixo alguns comandos que são bastante uteis em cenários para proteção do STP.

Hardening STP

Root Guard: A configuração da porta como Root Guard permite à uma porta Designada na prevenção de recebimento de BPDU’s superiores, que indicariam outro Switch com melhor prioridade para tornar-se Root, forçando a porta a cessar comunicação, isolando assim o segmento. Após encerrar o recebimento desses BPDU’s a interface voltará à comunicação normalmente

Interface GigabitEthernet 1/0/1
stp root-protection

Loop Guard: A configuração da porta como Loop Guard possibilita aos Switches não-Root, com caminhos redundantes ao Switch Raiz, evitar situações de Loop na falha de recebimentos de BPDU’s em portas com caminhos redundantes. Quando uma porta alternativa parar de receber BPDU ela identificará o caminho como livre de Loop e entrará em modo de encaminhamento ( imaginando que a porta Root – melhor caminho para o Switch Raiz – continue recebendo BPDU’s) criando assim um Loop lógico em toda a LAN. Nesse caso a feature deixará a porta alternativa sem comunicação até voltar a receber BPDU’s do Switch Root

Interface GigabitEthernet 1/0/1
stp loop-protection

BPDU Guard + Edged-Port: A instalação de Switches em portas configuradas para hosts (edged-port) podem ocasionar pequenos Loops na rede devido a característica da interface. A configuração global do stp bpdu-protection permite o bloqueio da porta “edged” ao receber um BPDU (sendo mandatória a intervenção manual com o comando shutdown e undo shutdown para retorno da porta – após cessar o recebimento de BPDU’s). Caso queira o recovery automático configure o valor do shutdown-interval.

stp bpdu-protection
shutdown-interval 300

Interface GigabitEthernet 1/0/1
stp edged-port enable

Loopback Detection: Detecta se uma interface recebeu pacotes que ela mesma gerou, ocasionado provavelmente por Loop em hubs. Se o loop for detectado em uma interface a comunicação será bloqueada.

loopback-detection enable
loopback-detection interval-time 30

DLDP: Detecta falhas unidirecionais em links de fibra e/ou UTP cessando a comunicação da interface. Após a normalização do enlace o trafego a interface voltará a comunicar automaticamente.

dldp enable
Interface GigabitEthernet 1/0/1
dldp enable