Téchne Digitus InfoSec Artigos

<índice "[ Hacking ]-[ Redes de Comunicação ]-[ DeepWeb ]-[ Anonimato ]-[ Criptomoedas ]-[ Programação ]-[ InfoSec em Geral ]-[ Off-Topic but Important ]-[ Redes Sociais ]" />

Mostrando postagens com marcador Comware. Mostrar todas as postagens
Mostrando postagens com marcador Comware. Mostrar todas as postagens
Logo Téchne Digitus InfoSec

Configurando HWTACACS no COMWARE (Switches HP)

Configurando HWTACACS no COMWARE (Switches HP)

Introdução ao TACACS

TACACS é a sigla de Terminal Access Controller Access-Control System. É um protocolo com função de autenticação. Ou seja, podemos ter um servidor com uma aplicação que rode este protocolo e tenha uma base de usuários e senhas. Setamos um dispositivo, um switch por exemplo, que quando tentem logar nele, o switch consulte esse servidor de autenticação com TACACS para validar se o usuário possui ou não acesso àquele switch.

tacacs

Introdução ao HWTACACS

Assim como a Cisco desenvolveu uma melhoria do protocolo TACACS, criando o TACACS+, a Huawei desenvolveu o HWTACACS. Principais características: roda sob TCP, encripta todos os pacotes exceto os cabeçalhos (headers), separa a autenticação da autorização, desta forma podemos ter outros servidor dedicado e integrado trabalhando junto, suporta definição de comandos autorizados ou não para determinado usuário ou grupo de usuários.

hwtacacs

Procedimento: Configurando HWTACACS no Comware

Criando o escopo (scheme):

> system-view

] hwtacacs scheme [nome do escopo]

Indicando os servidores hwtacacs (pode ser o mesmo ou podemos dividir as funções entre vários servers):

] primary authentication [ip do server hwtacacs]

] primary authorization [idem]

] primary accounting [idem]

Setando a chave de criptografia a ser utilizada:
(Vale lembrar de usar uma chave (senha) com mais de 8 caracteres, contendo letras maiúsculas, minúsculas, números e carácteres especiais.)

] key authentication simple [senha, chave para criptografar as comunicações]

] key authorization simple [idem]

Fomato do nome de usuário:

] user-name-format [opção] //ex.: "] user-name-format without-domain"

] quit

Setando as configurações de domínio do sistema para usar o HWTACACS:

] domain system

] authentication login hwtacacs-scheme [nome do escopo] local

] authorization login hwtacacs-scheme [idem] local

] accounting login hwtacacs-scheme [idem] local

] quit

Setando IP de saída do switch para o servidor HWTACACS:

] hwtacacs nas-ip [ip]

Configurar o vty para usar o HWTACACS:

] user-interface vty 0 15

] authentication-mode scheme
Logo Téchne Digitus InfoSec

Configurando Export de SFLOW no COMWARE (Switches HP)

Configurando Export de SFLOW no COMWARE (Switches HP)

Introdução ao sFlow

sFlow é um padrão de captura de pacotes com base em amostragens. Geralmente, configuramos o equipamento para coletar pacotes que estejam passando por determinada interface e exportá-lo para um servidor com uma aplicação que faria a análise desses dados e geraria o que chamamos de Análise de Tráfego de Rede. Com informações e estatística de origem, destino e portas.

Existem alguns bons softwares que fazem análise de flow. Como por exemplo o HP IMC ou o ManageEngine Netflow Analyzer.

sflow-topologia


O procedimento abaixo descreve como configurar passo a passo um switch com sistema COMWARE para exportar os dados de flow para análise.

Procedimento: COMWARE - Exportando sFlow

> system-view
] sflow agent ip [ip] //ip do sw conectado a uma rede que acesse o IMC
] sflow collector [ID] ip [ip] description "[desc]"
] sflow source ip [ip] no pacote ip de export de flow, esse será o ip de origem de onde o flow está sendo exportado

Nas interfaces a exportarem o flow:

] sflow flow collector [id]
] sflow counter collector [id]
] sflow counter interval [tempo em segundos]
] sflow sampling-rate [nr. de pacotes em cada amostragem]

Para diagnóstico:
] dis sflow

Segue abaixo alguns parâmetros utilizados no mercado (pelo menos, utilizei-os em meu último projeto):

] sflow sampling-rate 5000
] sflow counter interval 60

Logo Téchne Digitus InfoSec

Configurando Bridge-Aggregation no COMWARE (Switches HP)

Configurando Bridge-Aggregation no COMWARE (Switches HP)

Introdução à Bridge-Aggregation

Um Bridge-Aggregation em uma topologia de redes, significa configurar portas agregadas entre dois switches, por exemplo, unindo duas interfaces de cada equipamento. Dessa forma, a banda seria a soma da banda das duas interfaces e, caso tenhamos um problema em um cabeamento de um dos sub-elances, o outro estaria como redundância. A redundância poderia ser ainda maior pensando em dois pares de switches em IRF e com um agregation com portas de unidades diferentes da mesma pilha.

ba-bet-irf-sws
Topologia e Exemplo de Bridge Aggregation

Procedimento: Configurando o Bridge-Aggregation

Para ativar o Brigde-Aggregation (fazer igual, respectivamente, nas duas pontas):
] interface Bridge-Aggregation 1
] description [desc]
] link-aggregation mode dynamic

Nas interfaces que participaração:
] port link-aggregation group 1

Definir o que passará pelo Bridge-Aggregation:
] port access vlan XYZ
ou
] port link-type trunk
] port trunk permit vlan XYZ ZHY

Comandos de análise:
- display link-aggregation summary
- display link-aggregation verbose
- display link-aggregation member-port
- display vlan [nr-da-vlan-que-passa-pela-agregação]
bridge-aggregation

Logo Téchne Digitus InfoSec

Configurando IRF no COMWARE (Switches HP)

Configurando IRF no COMWARE (Switches HP)

Introdução à IRF

IRF (Intelligent Resilient Framework), é uma tecnologia criada pela H3C (antiga 3Com) que agrupa dois ou mais equipamentos como se fossem um só. No mundo Cisco, conhecido por Stack (ou Pilha) de Switches.

Conectamos os equipamentos entre si e configuramos o IRF. Seus arquivos de configuração viram um só e toda gerência deles é realizada como se estivéssemos configurando um só switch.

irf01


Recurso muito usado para fins de alta disponibilidade.

Segue abaixo o procedimento para configurar o IRF em Switches HP utilizando o sistema operacional Comware.

Procedimento: Montando IRF


1) Via console, verifique se todos os switches estão com o mesmo firmware:

> display version

2) Resete as configurações dos switches:

> reset saved-configuration
> reboot

3) Atribuir o número às unidades:


 - No primeiro (que será master)
> sys
] irf member 1 renumber 1
(Y)
 - No segundo (e nos outros que houverem, com a respectiva numeração)
> sys
] irf member 1 renumber 2
(Y)

4) Salve as configurações e reinicie o switch:

] save
(Y)
Enter
(Y)
] reboot

5) Sete a prioridade no master (unidade 1):

> sys
] irf member 1 priority 32

6) Dê um shutdown nas interfaces que se conectarão entre si.


7) Coloque as interfaces 10Gbps no grupo de IRF:

(exemplo)
 - Na unidade 1:
] irf-port 1/1
irf-port] port group interface ten 1/0/25
irf-port] port group interface ten 1/0/26
 - Na unidade 2:
] irf-port 2/2
irf-port] port group interface ten 2/0/25
irf-port] port group interface ten 2/0/26

8) Suba (undo shut) as interfaces e ative o IRF (em cada switch):

] irf-port-configuration active
E salve as confs
] save
(Y)
Enter
(Y)

9) Se os cabos estiverem conectados (ou assim que o forem), a unidade secundária recém adicionada irá rebootar automaticamente.


10) Comandos de verificação:

> dis irf
> dis irf conf
> dis irf topo
> dis devices


11) Finalizada a configuração, configure os descriptions nas interfaces.


irf02