Securizar los protocolos de acceso remoto a switches HP

En la configuración de fábrica de los switches HP viene activado el acceso a los equipos vía telnet que es un protocolo de acceso no cifrado, es decir que toda la información que viaja entre nuestro ordenador y el switch va en texto plano (incluyendo las contraseñas) y por lo tanto es susceptible de ser interceptada.Existe un protocolo con las mismas funcionalidades que telnet pero con una conexión cifrada: ssh.

Obviamente si realizamos esta configuración en remoto primero activaremos el protocolo ssh antes de desactivar los de acceso en telnet.

1. Activar protocolo ssh

Para activarlo deberemos crear una clave de cifrado en el switch y posteriormente activar el protocolo.

crypto key generate ssh
ip ssh

2. Desactivar la opción del protocolo telnet

Una vez confirmado que tenemos acceso al equipo usando el nuevo protocolo procederemos a desactivar la opción de telnet.

no telnet-server

Configuración básica SNMP en switches HP Procurve

El protocolo SNMP nos permite monitorizar remotamente muchos parámetros de nuestros equipos, desde el consumo de CPU o memoria, al ancho de banda consumido en una interfaz. Con esa monitorización remota podremos conocer el estado de nuestra red de forma fácil y centralizada.

La configuración del protocolo SNMP en switches HP Procurve se basa en definir diferentes comunidades SNMP y la definición de los servidores desde los que aceptar las peticiones. Si hemos securizado el acceso a los equipos con el comando ip authorized-managers hay que añadir la dirección de los servidores SNMP dentro de los rangos permitidos.

El stándar SNMP, RFC1157, indica cómo estándar la comunidad de sólo lectura public. La primera medida de seguridad es no utilizar dicha comunidad sino una creada específicamente para nuestro entorno. Si se desea se puede generar una comunidad de sólo lectura para los entornos de monitorización y una que sí permita el envío de parámetros al equipo desde un entorno más cerrado.

Existe una versión mejorada del protocolo, SNMPv3, que mejora en gran medida la seguridad e integridad del protocolo base ya que permite la encriptación del tráfico y una autenticación de los equipos basada en sistemas de claves, etc. Si bien con el protocolo sencillo se cumplen la mayoría de las funciones en casi todos los entornos, pero que en casos especiales (banca, seguridad, etc.) debería usarse el más moderno y seguro.

En el siguiente ejemplo, la empresa NewSwitchingTech, quiere monitorizar todos los switches de su red desde un servidor central.

1. Desactivamos la comunidad public

no snmp-server community public

2. Definimos nuestras comunidades SNMP (sólo lectura, acceso total)

snmp-server community NST-sl manager restricted
snmp-server community NST-at manager unrestricted

3. Definimos desde qué servidor esperar peticiones SNMP y con qué comunidad. 

snmp-server host 10.10.10.5 community "NTS-sl"

4. Nos aseguramos que este servidor esté dentro de la lista de accesos permitidos

ip authorized-managers 10.10.10.5 255.255.255.255

Logs remotos en HP Procurve

En una entrada anterior vimos cómo configurar el envío de los logs a un servidor remoto en equipos CISCO.  En esta entrada veremos la misma configuración para equipos HP Procurve.

La configuración básica en estos equipos es tan sencilla como identificar los servidores donde queremos enviar los loggs:

logging 10.10.10.3

Sincronizar hora en switches

Si hemos centralizado los logs en un único servidor es conveniente que todos los equipos tenga la misma hora. Para ello haremos uso de un servidor NTP accesible en la red.

CISCO:

La configuración del protocolo NTP en CISCO es sencilla. Simplemente hay que indicarle al equipo cuáles son los servidores que queremos usar:

ntp server 10.10.10.3
ntp server 192.168.10.23

HP Procurve:

En estos equipos hay que configurar el protocolo y posteriormente aplicarlo:

1. Configurar el protocolo consiste en indicarle el servidor al que queremos solicitar la hora y el modo de uso:

sntp server 10.10.10.3
sntp server 192.168.10.23
sntp unicast

2. Aplicar la configuración del protocolo al sistema de hora del equipo:

timesync sntp

Logs remotos en CISCO

Cuando el número de equipos se incrementa se hace necesario centralizar los registros de eventos en un único punto. Es conveniente pues montar un servidor de syslog. 

Una vez tengamos el servidor configurado hay que configurar los equipos para que envíen los registros de logs al servidor remoto.

1. Definimos el servidor al que enviar los logs:

logging 10.10.10.10

2. Definimos el nivel de logs que queremos enviar al servidor. Puede que sólo queramos enviar los eventos críticos o todos.

La tabla de niveles de logs es la siguiente:

0—emergencies

1—alerts

2—critical

3—errors

4—warnings

5—notification

6—informational

7—debugging

El comando sería:

logging facility local5

3. A continuación configuramos el equipo para que envíe los logs al servidor con origen una de las direcciones IP del equipo. Esto es importante por si hay que gestionar permisos en firewalls. En el ejemplo usaremos como origen la IP definida en la interface vlan2:

logging source-interface Vlan2

4. Al ser un servidor centralizado de logs en dicho servidor habrá registros de todos los los equipos por lo que para poder discriminar qué logs son de qué equipo se puede usar dos parámetros: la IP del equipo o el hostname. Los comandos serían:

logging origin-id ip
logging origin-id hostname

Securizar acceso por consola a un switch CISCO

En una entrada anterior configuramos los switches para controlar el acceso remoto. También hemos visto como securizar el acceso por consola física a un switch HP. En esta entrada veremos como securizar este mismo acceso a la consola física en un switch CISCO. Nuevamente esta configuración debería aplicarse en todos aquellos switches que no estén directamente controlados por el personal del departamento de redes.

Si el equipo sólo dispone de usuarios locales la configuración sería:

1. Definir el modelo de autenticación

SW_CISCO(config)#aaa new-model

2. Definimos dos roles de autenticación: el general y el de acceso por consola. Es aconsejable que la consola física tenga un rol propio ya que nos permitirá que en caso de configurar TACACS+ en un futuro no perdamos el acceso por consola a un switch fuera de red.

SW_CISCO(config)#aaa authentication login default local
SW_CISCO(config)#aaa authentication login CONSOLE local

3. Aplicamos el rol creado a la consola:

SW_CISCO(config)#line con 0
SW_CISCO(config-line)#login authentication CONSOLE

Si en un futuro configuramos tacacs+ simplemente habría que cambiar el rol por defecto sin afectar al acceso por consola:

SW_CISCO(config)#aaa authentication login default tacacs+ local

Securizar acceso por consola a un switch HP

En una entrada anterior configuramos los switches para controlar el acceso remoto. En esta entrada veremos cómo conseguir que aunque alguien se conecte físicamente por la consola del equipo se le pida contraseña. Esta configuración debería ser aplicada en todos los switches de una ubicación no controlada por los administradores de red (sedes remotas, habitación con acceso de personal externos). Cabe indicar que es un requisito de la normativa PCI DSS.

Si tan sólo hemos definido las contraseñas locales la configuración sería:

SwitchHP(config)# aaa authentication console login local
SwitchHP(config)# aaa authentication console enable local

Si nuestro equipo tiene configurado un sistema de autenticación externo (RADIUS, TACACS+), la configuración indica en qué orden debe buscar el acceso. En el siguiente ejemplo buscaría primero en el servidor RADIUS externo y si no existiera allí revisaría la configuración local.

SwitchHP(config)# aaa authentication console login radius local
SwitchHP(config)# aaa authentication console enable radius local