martes, 18 de diciembre de 2012

Configuración gestión web segura en switches HP Procurve

En una entrada anterior vimos la idoneidad de sustituir los accesos vía telnet por el protocolo cifrado ssh.
En esta entrada veremos como permitir la gestión de un switch con la interfaz web pero activando el protocolo cifrado https.

Nuevamente primero activaremos el acceso vía https y sólo una vez confirmado el funcionamiento desactivaremos el acceso en claro.

1. Generar la clave de cifrado
crypto key generate cert 1024
2. Activamos el acceso web cifrado
web-management ssl
3. Desactivamos el acceso en claro
no web-management plaintext
Tras estos cambios ya no podremos acceder a nuestro equipo con http por lo que estaremos obligados a usar el protocolo cifrado https.
Publicado por en No hay comentarios:
Etiquetas: , ,

domingo, 16 de diciembre de 2012

Definir zona horaria en switches HP Procurve

Vimos en una entrada anterior como sincronizar la hora de todos nuestros equipos de red usando un servidor horario común.

Dependiendo de la configuración de dicho servidor podemos encontrarnos con los equipos estén configurados en horario UTC o en nuestra zona horaria. En caso de usar relojes UTC, lo más habitual, puede ser interesante configurar los switches para que tengan en cuenta las variaciones horarias debido a los horarios de verano-invierno existentes en las distintas zonas.

Los equipos HP Procurve llevan una serie de zonas preconfiguradas que tienen en cuenta estas modificaciones y adaptan la hora del equipo a la hora oficial de nuestra zona.

Las opciones predefinidas en los equipos HP Procurve son:
  • none
  • alaska
  • continental-us-and-canada
  • middle-europe-and-portugal
  • southern-hemisphere
  • western-europe
  • user-defined

La configuración de la zona horaria de Europa occidental (España, Portural, francias, etc.) sería:
Switch_HP(config)#time daylight-time-rule western-europe


Publicado por en No hay comentarios:
Etiquetas: , ,

lunes, 10 de diciembre de 2012

Redirigir tráfico DHCP a servidores remotos


El protocolo DHCP permite la configuración remota de la configuración de dirección IP y algunas opciones extras a los equipos de nuestra red. Para ello cuando un equipo necesita conectarse a la red simplemente manda un paquete broadcast a todos los equipos de su red. Si dicho paquete llega a un servidor DHCP le responde directamente al equipo con la información necesaria para conectarse y empezar a trabajar en la red.

La principal limitación de este procedimiento es que supone una visibilidad directa entre el equipo solicitante y el servidor DHCP. Este requerimiento obligaría a disponer de un servidor DHCP en todos y cada uno de los segmentos de nuestra red. Si nuestra red dispone de 5 VLAN necesitaríamos tener definidos 5 servidores. Si hablamos de una red con oficinas remotas deberíamos, al menos, tener 1 servidor en cada base con la multiplicación de problemas y trabajos de gestión.

Para los administradores de red es preferible tener un único servidor DHCP por base, o incluso centralizar toda la gestión en un único servicio para toda la compañía.

Para permitir que un equipo dentro de una VLAN determinada, donde no hay servidor DHCP propio, pueda recibir la información necesaria simplemente deberemos indicar a qué servidor DHCP hay que redireccionar las peticiones dentro de la configuración de la VLAN correspondiente. Obviamente el switch deberá tener la configuración de enrutamiento necesaria para poder alcanzar dicho servidor.

Si bien esta configuración puede realizarse en cualquier equipo que tenga la VLAN definida para simplificar la configuración y facilitar la resolución de problemas es aconsejable realizar esta configuración únicamente en los equipos CORE de nuestra red.

Switch_HP(config)#vlan 55
Switch_HP(config-vlan)#ip helper-address 10.11.12.13

Publicado por en No hay comentarios:
Etiquetas: , ,

domingo, 4 de noviembre de 2012

Password Recovery en switch HP

Podemos encontrarnos en la situación de tener que realizar un cambio de configuración en un switch al cual no podemos conectarnos en remoto ni por consola.

Existe un procedimiento para reiniciar el equipo HP Procurve de tal forma que el equipo arranque con la configuración actual pero sin estar protegido por contraseña. Este procedimiento implica acceso físico al equipo y el reinicio del mismo por lo que se deberá tener en cuenta en caso de tratarse de un equipo productivo.
Frontal de switch HP Procurve 3500yl-24G

1. Accederemos físicamente al equipo y buscaremos el botón "Clear".

2. Pulsamos el botón "Clear" durante 10 segundos. Es posible que debamos pulsar el botón con un clip o similar. En este momento se reinicia el equipo por lo que habrá una pérdida de servicio.

3. Una vez el equipo se haya reiniciado podremos acceder normalmente (vía consola, telnet o ssh, según la configuración que tenga el equipo). Una vez dentro del equipo podremos cambiar las contraseñas locales o revisar la configuración de autenticación remota.
Publicado por en No hay comentarios:
Etiquetas: , , , ,

sábado, 13 de octubre de 2012

Securizar los protocolos de acceso remoto a switches HP

En la configuración de fábrica de los switches HP viene activado el acceso a los equipos vía telnet que es un protocolo de acceso no cifrado, es decir que toda la información que viaja entre nuestro ordenador y el switch va en texto plano (incluyendo las contraseñas) y por lo tanto es susceptible de ser interceptada.Existe un protocolo con las mismas funcionalidades que telnet pero con una conexión cifrada: ssh.

Obviamente si realizamos esta configuración en remoto primero activaremos el protocolo ssh antes de desactivar los de acceso en telnet.

1. Activar protocolo ssh
Para activarlo deberemos crear una clave de cifrado en el switch y posteriormente activar el protocolo.
crypto key generate ssh
ip ssh
2. Desactivar la opción del protocolo telnet
Una vez confirmado que tenemos acceso al equipo usando el nuevo protocolo procederemos a desactivar la opción de telnet.
no telnet-server





Publicado por en No hay comentarios:
Etiquetas: , , , ,

jueves, 11 de octubre de 2012

Configuración básica SNMP en switches HP Procurve

El protocolo SNMP nos permite monitorizar remotamente muchos parámetros de nuestros equipos, desde el consumo de CPU o memoria, al ancho de banda consumido en una interfaz. Con esa monitorización remota podremos conocer el estado de nuestra red de forma fácil y centralizada.

La configuración del protocolo SNMP en switches HP Procurve se basa en definir diferentes comunidades SNMP y la definición de los servidores desde los que aceptar las peticiones. Si hemos securizado el acceso a los equipos con el comando ip authorized-managers hay que añadir la dirección de los servidores SNMP dentro de los rangos permitidos.

El stándar SNMP, RFC1157, indica cómo estándar la comunidad de sólo lectura public. La primera medida de seguridad es no utilizar dicha comunidad sino una creada específicamente para nuestro entorno. Si se desea se puede generar una comunidad de sólo lectura para los entornos de monitorización y una que sí permita el envío de parámetros al equipo desde un entorno más cerrado.

Existe una versión mejorada del protocolo, SNMPv3, que mejora en gran medida la seguridad e integridad del protocolo base ya que permite la encriptación del tráfico y una autenticación de los equipos basada en sistemas de claves, etc. Si bien con el protocolo sencillo se cumplen la mayoría de las funciones en casi todos los entornos, pero que en casos especiales (banca, seguridad, etc.) debería usarse el más moderno y seguro.

En el siguiente ejemplo, la empresa NewSwitchingTech, quiere monitorizar todos los switches de su red desde un servidor central.

1. Desactivamos la comunidad public
no snmp-server community public
2. Definimos nuestras comunidades SNMP (sólo lectura, acceso total)
snmp-server community NST-sl manager restricted
snmp-server community NST-at manager unrestricted
3. Definimos desde qué servidor esperar peticiones SNMP y con qué comunidad. 
snmp-server host 10.10.10.5 community "NTS-sl"
4. Nos aseguramos que este servidor esté dentro de la lista de accesos permitidos
ip authorized-managers 10.10.10.5 255.255.255.255
Publicado por en No hay comentarios:
Etiquetas: , ,

Logs remotos en HP Procurve

En una entrada anterior vimos cómo configurar el envío de los logs a un servidor remoto en equipos CISCO.  En esta entrada veremos la misma configuración para equipos HP Procurve.

La configuración básica en estos equipos es tan sencilla como identificar los servidores donde queremos enviar los loggs:

logging 10.10.10.3
Publicado por en 1 comentario:
Etiquetas: , ,

miércoles, 10 de octubre de 2012

Sincronizar hora en switches

Si hemos centralizado los logs en un único servidor es conveniente que todos los equipos tenga la misma hora. Para ello haremos uso de un servidor NTP accesible en la red.

CISCO:
La configuración del protocolo NTP en CISCO es sencilla. Simplemente hay que indicarle al equipo cuáles son los servidores que queremos usar:
ntp server 10.10.10.3
ntp server 192.168.10.23
HP Procurve:
En estos equipos hay que configurar el protocolo y posteriormente aplicarlo:

1. Configurar el protocolo consiste en indicarle el servidor al que queremos solicitar la hora y el modo de uso:
sntp server 10.10.10.3
sntp server 192.168.10.23
sntp unicast

2. Aplicar la configuración del protocolo al sistema de hora del equipo:
timesync sntp

Publicado por en 1 comentario:
Etiquetas: , , ,

martes, 9 de octubre de 2012

Logs remotos en CISCO

Cuando el número de equipos se incrementa se hace necesario centralizar los registros de eventos en un único punto. Es conveniente pues montar un servidor de syslog

Una vez tengamos el servidor configurado hay que configurar los equipos para que envíen los registros de logs al servidor remoto.

1. Definimos el servidor al que enviar los logs:
logging 10.10.10.10
2. Definimos el nivel de logs que queremos enviar al servidor. Puede que sólo queramos enviar los eventos críticos o todos.
La tabla de niveles de logs es la siguiente:
0—emergencies
1—alerts
2—critical
3—errors
4—warnings
5—notification
6—informational
7—debugging

El comando sería:
logging facility local5
3. A continuación configuramos el equipo para que envíe los logs al servidor con origen una de las direcciones IP del equipo. Esto es importante por si hay que gestionar permisos en firewalls. En el ejemplo usaremos como origen la IP definida en la interface vlan2:
logging source-interface Vlan2

4. Al ser un servidor centralizado de logs en dicho servidor habrá registros de todos los los equipos por lo que para poder discriminar qué logs son de qué equipo se puede usar dos parámetros: la IP del equipo o el hostname. Los comandos serían:

logging origin-id ip
logging origin-id hostname
Publicado por en 2 comentarios:
Etiquetas: , ,

domingo, 7 de octubre de 2012

Securizar acceso por consola a un switch CISCO



En una entrada anterior configuramos los switches para controlar el acceso remoto. También hemos visto como securizar el acceso por consola física a un switch HP. En esta entrada veremos como securizar este mismo acceso a la consola física en un switch CISCO. Nuevamente esta configuración debería aplicarse en todos aquellos switches que no estén directamente controlados por el personal del departamento de redes.


Si el equipo sólo dispone de usuarios locales la configuración sería:

1. Definir el modelo de autenticación
SW_CISCO(config)#aaa new-model
2. Definimos dos roles de autenticación: el general y el de acceso por consola. Es aconsejable que la consola física tenga un rol propio ya que nos permitirá que en caso de configurar TACACS+ en un futuro no perdamos el acceso por consola a un switch fuera de red.
SW_CISCO(config)#aaa authentication login default local
SW_CISCO(config)#aaa authentication login CONSOLE local
3. Aplicamos el rol creado a la consola:
SW_CISCO(config)#line con 0
SW_CISCO(config-line)#login authentication CONSOLE

Si en un futuro configuramos tacacs+ simplemente habría que cambiar el rol por defecto sin afectar al acceso por consola:
SW_CISCO(config)#aaa authentication login default tacacs+ local
Publicado por en No hay comentarios:
Etiquetas: , ,

sábado, 6 de octubre de 2012

Securizar acceso por consola a un switch HP


En una entrada anterior configuramos los switches para controlar el acceso remoto. En esta entrada veremos cómo conseguir que aunque alguien se conecte físicamente por la consola del equipo se le pida contraseña. Esta configuración debería ser aplicada en todos los switches de una ubicación no controlada por los administradores de red (sedes remotas, habitación con acceso de personal externos). Cabe indicar que es un requisito de la normativa PCI DSS.

Si tan sólo hemos definido las contraseñas locales la configuración sería:
SwitchHP(config)# aaa authentication console login local
SwitchHP(config)# aaa authentication console enable local
Si nuestro equipo tiene configurado un sistema de autenticación externo (RADIUS, TACACS+), la configuración indica en qué orden debe buscar el acceso. En el siguiente ejemplo buscaría primero en el servidor RADIUS externo y si no existiera allí revisaría la configuración local.

SwitchHP(config)# aaa authentication console login radius local
SwitchHP(config)# aaa authentication console enable radius local
Publicado por en No hay comentarios:
Etiquetas: , ,

sábado, 29 de septiembre de 2012

Limitar el acceso a switches

Una regla básica para mantener una red segura es limitar el acceso a los equipos. 

La seguridad de acceso incluiría dos grandes accesos:

Seguridad física

La opción más simple es tener los equipos en salas cerradas con llave donde los usuarios no tengan acceso. Lamentablemente esto no es siempre posible.

Seguridad lógica

Los equipos están en la misma red física que los usuarios y por ello debemos asegurarnos de que no puedan acceder. Una buena estrategia es usar una VLAN específica para la gestión siempre diferente a la de usuarios.

Aún dificultando el acceso al tener diferentes VLAN hay que asegurarse que las conexiones remotas a los equipos (ssh, https), además de requerir usuario y contraseña, estén limitadas a aquellas con origen el departamento de redes de nuestra empresa.

HP:
El fabricante HP utiliza una estrategia sencilla para asegurar que las conexiones entrantes sean del departamento que nos interesa. Definimos las direcciones IP de aquellos que están autorizados a acceder. Esta limitación general aplica a todos los métodos de acceso (telnet, ssh, http, https):

ip authorized-managers 10.10.10.0 255.255.255.192
ip authorized-managers 10.20.10.0 255.255.255.192

CISCO:
El fabricante CISCO recurre a las access-list de tal forma que definimos una lista con aquellas direcciones que queremos permitir para posteriormente aplicar dicha ACL a la confiugración de accesos.

access-list 19 permit 10.10.10.0 0.0.0.64
access-list 19 permit 10.10.20.0 0.0.0.64
line vty 0 4
 access-class 19 in
 transport input ssh
Con esta configuración forzamos que el acceso sea únicamente vía ssh con 5 sesiones máximo y limitamos los rangos de acceso.

Publicado por en No hay comentarios:
Etiquetas: , ,

jueves, 27 de septiembre de 2012

Inventariar en CISCO

A todos nos toca periódicamente hacer inventario de nuestros equipos. Si tenemos que confrontarlos con las facturas de compra la tarea se convierte en un suplicio, sobre todo si necesitamos comprobar que nos han facturado el número de módulos y accesorios correcto.

Si alguna vez tenéis que hacer un inventario de los equipos, módulos y accesorios CISCO de vuestra red hay varios comando imprescindibles.

Si tenéis acceso físico a los equipos lo más fácil será ir a verlos con un bloc de notas y un bolígrafo, pero en caso de no tener acceso físico por estar en otras ubicaciones estos son las instrucciones básicas:

1. Para sacar los números de serie y versiones de firmware de los equipos el comando básico es "show version"

2. Si tienes un equipo modular y quieres saber modelos y números de serie de las diferentes tarjetas: "show module"

Ejemplo de tarjetas de un 6500:
Core_1#sh module 

 Mod Ports Card Type                              Model              Serial No.
--- ----- -------------------------------------- ------------------ -----------
  1   48  CEF720 48 port 10/100/1000mb Ethernet  WS-X6748-GE-TX     SAL114XXXXX
  ....
  5    2  Supervisor Engine 720 (Active)         WS-SUP720-3B       SAL114XXXXX

 Mod MAC addresses                       Hw    Fw           Sw           Status
--- ---------------------------------- ------ ------------ ------------ -------
  1  001e.4a9e.ac40 to 001e.4xxx.xxx   2.6   12.2(14r)S5  12.2(33)SXI8 Ok
  ....
  5  0019.e7d4.1a9c to 0019.4xxx.xxx   5.4   8.4(2)       12.2(33)SXI8 Ok

 Mod  Sub-Module                  Model              Serial       Hw     Status 
---- --------------------------- ------------------ ----------- ------- -------
  1  Centralized Forwarding Card WS-F6700-CFC       SAL114XXXXX  4.0    Ok
 .... 
  5  MSFC3 Daughterboard         WS-SUP720          SAL114XXXXX  3.0    Ok

 Mod  Online Diag Status 
---- -------------------
  1  Pass
  ....
  5  Pass
Core_1#


3. Para conocer los GBICs que hay conectados en los switches: "show inventory raw":

Ejemplo en un equipo no modular (Cisco3750):
Cisco 3750#sh inventory raw 
NAME: "1", DESCR: "WS-C3560G-48TS"
PID: WS-C3560G-48TS-S  , VID: V03  , SN: FOC141XXXXX

 NAME: "WS-C3560G-48TS - Power Supply 0", DESCR: "WS-C3560G-48TS - Power Supply 0"
PID:                   , VID:      , SN: AZS140XXXXX

 ....

 NAME: "GigabitEthernet0/51 Container", DESCR: "GigabitEthernet Container"
PID:                   , VID:      , SN:            

 NAME: "GigabitEthernet0/51", DESCR: "1000BaseSX SFP"
PID: Unspecified       , VID:      , SN: FNS143XXXXX    

 NAME: "GigabitEthernet0/52 Container", DESCR: "GigabitEthernet Container"
PID:                   , VID:      , SN:            

 NAME: "GigabitEthernet0/52", DESCR: "1000BaseSX SFP"
PID: Unspecified       , VID:      , SN: FNS143XXXXX    

 Espero que sea de utilidad
Publicado por en No hay comentarios:
Etiquetas:
Suscribirse a: Entradas (Atom)