Switches HP A5800 – Configurando o SNMPv3

Desculpe-nos, o conteúdo foi migrado para o domínio comutadores.com.br, para acessar clique no link

http://www.comutadores.com.br/switches-hp-a5800-configurando-o-snmpv3/

Obrigado

Protegendo o Spanning-tree

Desculpe-nos, o conteúdo foi migrado para o domínio comutadores.com.br, para acessar clique no link

http://www.comutadores.com.br/protegendo-o-spanning-tree/

Obrigado

Tradutor de ACL Cisco para 3Com / H3C / HP Serie A

O Fernando Quintino criou um Shell Script para traduzir ACLs utilizadas em Switches Multicamada e Roteadores Cisco em migração de configuração para dispositivos 3Com/H3C/HP Serie A e/ou CCNA's com dificuldades na sintaxe do Comware.

O Script foi muito útil em migrações que era necessário traduzir centenas de listas de acesso.

Para quem não está acostumado a usar Shell Script:

1. Crie o arquivo no Linux com o script abaixo com o nome ACL_Ciscox3com.v0.1.beta
2.Salve também a ACL modelo Cisco no mesmo diretório.
3. Altere as permissões para poder executar o arquivo com o comando chmod+x ACL_Ciscox3com.v0.1.beta‎.
4. Para executar use ./ACL_Ciscox3com.v0.1.beta‎.
5.Depois siga as instruções na tela.

#!/bin/bash
#
#Este script tem como objetivo, coverter ACL de equipamentos Cisco para equipamentos
#3com, H3C, Huawei e HP Serie A, de forma rápida, prática e automatizada.
#
#Após a conversao, verifique as regras para garantir que tudo ocorreu de forma correta.
#
#Criado por Fernando Quintino
#
RULE=-2
END="!"
S_HOST="host0"
#Solicita ao usuario digitar o arquivo de origem
echo Digite o nome do arquivo origem:
read SOURCEFILE
echo
#Solicita ao usuario digitar o arquivo de destino
echo Digite o nome do arquivo destino:
read DESTFILE
echo
echo
echo Arquivo Origem: $SOURCEFILE 
echo Arquivo Destino: $PWD/$DESTFILE
echo
#Alteracoes na sintaxe das regras
cat $SOURCEFILE | sed -e 's/ /,/g' | sed -e 's/p,any,/p,source,0.0.0.0,255.255.255.255,/g' | sed -e 's/p,host,/p,source,host0,/g' | sed -e 's/,any,/,destination,0.0.0.0,255.255.255.255,/g' | sed -e 's/,host,/,destination,/g' | sed -e 's/,eq,/,destination-port,eq,/g' | sed -e 's/,0.0.0.0,255.255.255.255,/,any,/g' | sed -e 's/,/ /g' | sed -e 's/permit/%permit/g' | sed -e 's/deny/%block/g' | tr "%" "\n" > tempfile1
#Remover itens duplicados
awk '!a[$0]++' tempfile1  > tempfile2
#Adicionar ! entre as ACLs
cat tempfile2 | sed 's/access-list/!%access-list/g' | tr "%" "\n" > tempfile3
#Adicionar numero das rules
while read ACL; do
 VERIF_S_HOST=$(echo $RULE $ACL | sed 's/ /,/g' | cut -f5 -d,)
 if [ $ACL ==  $END ]; then
  RULE=-2
 elif [ $VERIF_S_HOST == $S_HOST ]; then
  RULE=$(($RULE+1))
  echo "$RULE $ACL" | sed 's/host0 //' | sed 's/destination/0 destination/' >> tempfile4
 else
  RULE=$(($RULE+1))
  echo "$RULE $ACL" >> tempfile4
 fi
done < tempfile3
#Adiciona rule ao inicio das linhas e altera "access-list" para "acl number"
cat tempfile4 | sed -e 's/^/rule /g' | sed -e 's/rule -1 access-list/acl number/g' > $DESTFILE
#Remove os arquivos temporarios
rm tempfile1
rm tempfile2
rm tempfile3
rm tempfile4

Caso algum leitor queira traduzir o script para Windows ou colaborar, sugerir ou atualizar o mesmo para Linux, sinta-se a vontade e compartilhe com a comunidade!

Até a próxima

Switches 3Com 4800G - Autenticação de MAC via RADIUS

Desculpe-nos, o conteúdo foi migrado para o domínio comutadores.com.br, para acessar clique no link:

http://www.comutadores.com.br/switches-3com-4800g-autenticacao-de-mac-via-radius/

Obrigado

Switches 3Com 4800G - Ataques ao protocolo ARP

Desculpe-nos, o conteúdo foi migrado para o domínio comutadores.com.br, para acessar clique no link:

 http://www.comutadores.com.br/switches-3com-4800g-ataques-ao-protocolo-arp/

 Obrigado

Switches HP A7500 – Configurando Autenticação para o OSPF na Área 0

Desculpe-nos, o conteúdo foi migrado para o domínio comutadores.com.br, para acessar clique no link:

http://www.comutadores.com.br/switches-hp-a7500-configurando-autenticacao-para-o-ospf-na-area-0/

Obrigado!

Switches 3Com 7900 - Configurando acesso HTTPS com Servidor CA (Windows Server 2003)

O post de hoje foi encaminhado pelo Douglas Jefferson com um "How to" para configuração de acesso HTTPS no Switch 3Com 7900 utilizando um Servidor CA com o Windows Server 2003.

Aproveitem as dicas....

Durante a instalação do CA verifique se o Windows será um MemberServer ou se estará fora do Domínio. No exemplo listado nesse tutorial, o Servidor estará fora do domínio, pois nos passos a frente na instalação da CA(Certificate Authority) há diferenças em qual CA criar(Enterprise, StandAlone , SubAuthority Root CA) e quais grupos devem ter permissões.

OBS.: Certifique-se de instalar na sequencia do tutorial. Se porventura for instalado primeiro a CA e em seguinda IIS você terá que saber colocar os códigos da aplicação da CA no diretório "Home Directory" do IIS, normalmente em "%windir%\inetpub\wwwroot".

Instalar Componente do Windows como Web Server Microsoft IIS (NNF)

1. Certificar de que o CD/ISO de instalação está disponível, porque será solicitado.
2.  Clique em “Iniciar >Painel de Controle>Instalar e Remover Programas”, do lado esquerdo, terceira opção, de cima para baixo “Componentes do Windows”, assinale somente a opção do IIS (Internet Information Service) e clique em Detalhes, para certificar de que todas as opções estão assinaladas.
3. Verificar se o serviço está escutando a porta 80 padrão.
4. Testar pelo CMD com “netstat” e Web Browser local “http://IP_do_IIS/”.

Instalar Componente do Windows como CA (NNF)

5. Repita Passo 2B mas no lugar de IIS assinale “Certificate Authority” e para este Windows 2003 Server Standard Edition fora do domínio (não Member Server) somente aparecerá "StandAlone Root CA" (NNF), com usuário Administrador local.

Fontes:
http://www.petri.co.il/install_windows_server_2003_ca.htm
http://technet.microsoft.com/en-us/library/cc875810.aspx

6. Verificar se o serviço está em pleno funcionamento, averiguando se há possibilidade de gerar certificados via interfaceWeb. Link: http://192.168.100.40/certsrv/

Se esse link mostrar a interface Web da administração da CA, OK!

Se  NÃO verificar instalação, passos anteriores.

7. O Windows 2003 Servers não tem suporte ao protocolo SCEP por padrão (Simple Certificate Enrollment Protocol, created by Cisco System), assim precisamos instala-lo (NNF).

 http://www.microsoft.com/downloads/en/details.aspx?familyid=9f306763-d036-41d8-8860-1636411b2d01&displaylang=en

OBS.: Será solicitado informações sobre a RA (switch 3Com 7900) no final da instalação do programa, como Hostname, Cidade, Estado , Tipo de Cifra e Certificado. Se a CA estiver instalada, o que aparecer Negritado é o que ele reconheceu como padrão da CA em uso, se tiver dúvidas mantenha o que ele identificou.

8. Após instala-lo estará disponível a interface via Web para solicitações de certificados, assim nos possibilitando configurar os equipamentos da rede.

Interface Enrollment para equipamentos de rede Link: http://192.168.100.40/certsrv/mscep/mscep.dll

9. Na instalação do programa que foi baixado no site da Microsoft (protocolo SCEP) a CA cria 2 certificados para a entidade RA (switch), então vamos verificar se está tudo OK. Navegue em “Iniciar > Painel de Controle > Ferramentas Administrativas > Certificate Authority” Expandir em “Certificate Authority  > CA > Issued Certificates”, verificar se existem 2 certificados devidamente criados, se “OK” siga em frete. Se “NÃO” verifique passos anteriores.
10. Ainda dentro da seção "Certificate Authority", clique com o botão direto na "CA > Properties" Em seguida na aba "Policy Module > Properties", novamente, e selecione a opção "Follow de settings in the certificate template, if........." Será solicitado que você reinicie o serviço da CA (Apply/OK), faça-o.
11. Agora vá em “Iniciar-->Painel de Controle-->Ferramentas Administrativas-->IIS” Expandir em “Server(Local)-->Web Sites-->Default Web Site”, verifique se os serviços "Certsrv","CertControl" e "CertEnroll" estão disponíveis. Se quiser trocar o caminho padrão sinta-se avontade (clique com o botão direito do mouse em "Default Web Site-->Home Directory-->LocalPath").

Configurando o Switch

Configurando o equipamento da rede (switch 3Com 7900 CORE, ou qualquer que suporte PKI/SSL) para solicitações de certificados a CA.
 pki entity AAA
common-name SW_CORE
quit
#
pki domain CLIENTEX
ca identifier SERVIDOR
#
certificate request url http://192.168.100.4/certsrv/mscep/mscep.dll
certificate request from ra
certificate request entity AAA
crl url http://192.168.100.4/CertEnroll/IMC.crl
quit
#
pki retrieval-certificate ca domain CLIENTEX

(Y/N):y
#
pki retrieval-crl domain CLIENTEX
#

OBS.: Para saber a senha do desafio (Challenge Password), abra seu navegador com o link http://IP_do_IIS/certsrv/mscep/ , será solicitado um usuário e senha para autenticação, esse usuário é o que instalou o programa que da suporte ao protocolo SCEP (no meu caso Administrator), após autenticado você será redirecionado para a tela que conterá o "Ca Certificate ThumbPrint" e "Challenge Password"(port 60 minutos)

Faz a requisição do certificado e o armazena.

#
pki request-certificate domain CLIENTEX Challenge_Password
#
pki request-certificate domain CLIENTEX 7F4C5A740C78B06D

Lista o certificado importado.
#
display pki certificate local domain CLIENTEX

Cria o dominio SSL com as especificações dessa seção. CLIENTEX-SSL
#
ssl server-policy CLIENTEX-SSL
pki-domain CLIENTEX
client-verify enable
quit
#
Associa o dominio SSL ao servidor HTTPS
#
ip https ssl-server-policy CLIENTEX-SSL

Habilita o Servidor HTTPS
#
ip https enable

Restringe o acesso às Redes contidas na ACL de número 2000
#
ip https acl 2000

Feito todos os passos acima com sucesso, precisaremos solicitar um certificado para o navegador da máquina que vamos utilizar para acessar a interface Web do Switch CORE, seguindo os passos abaixo:

Abra o navegador e digite o seguinte link http://192.168.100.40/certsrv/

Clique em "Request a Certificate"

Clique em "Web Browser Certificate"
 

Preencha os campos em clique em "Submit"


Aparecerá uma mensagem "This Web site is requesting a new certificate.........", clique em "YES".

Em seguida clique no link "Install This Certificate".

Será instalado no seu navegador, assim você estará apto a acessar com seu navegador a página de administração do switch de forma segura (SSL).

Agora basta acessar o IP do Switch em seu Browser de preferência....

Se desejar verificar o handshake/transações PKI e/ou SSL, habilite o debug


a. Debug ssl
b. Debug pki

Espero que tenham gostado, abraços a todos!!!

Switches 3Com 4400 - Reset de Senha

Desculpe-nos, o post foi migrado para o dominio comutadores.com.br. Para acessar clique no link:

http://www.comutadores.com.br/switches-3com-4400-reset-de-senha/

Obrigado

Switches 3Com 4800G - Port Security

Desculpe-nos, o conteúdo foi migrado para o domínio comutadores.com.br, para acessar clique no link:

 http://www.comutadores.com.br/switches-3com-4800g-port-security/

Obrigado

Switches 3Com 5500 - SSH, gerando as chaves pelo Switch

Desculpe-nos,

o domínio foi migrado para o endereço comutadores.com.br, para acessar clique no link: http://www.comutadores.com.br/switches-3com-5500-ssh-gerando-as-chaves-pelo-switch/

Obrigado

Switches 3Com 7900 - Aplicando ACLs em VLANs

Desculpe-nos,

 o conteúdo foi migrado para o domínio comutadores.com.br. Para acessar o post clique no link:  http://www.comutadores.com.br/switches-3com-7900-aplicando-acls-em-vlans/

Obrigado

Switches 3Com 7900 - Criação de Usuário para gerenciamento remoto e vínculo com endereço IP!

Desculpe-nos, o conteúdo foi migrado para o domínio comutadores.com.br, para acessar clique no link:

http://www.comutadores.com.br/switches-3com-7900-criacao-de-usuario-para-gerenciamento-remoto-e-vinculo-com-endereco-ip/

Obrigado!

Switches 3Com 4500 - Configurando o Espelhamento de Porta ( Port Mirroring)

Desculpe-nos, o conteúdo foi migrado para o endereço http://www.comutadores.com.br/switches-3com-4500-configurando-o-espelhamento-de-porta-port-mirroring/

Abraços

Switches 3Com 4800G - SSH, autenticação por troca de Chaves

O post de hoje surgiu da necessidade de um projeto na UNESP onde o cliente gerava as próprias chaves pública e privada e importava para o Switch. A autenticação para conexão ao Switch para fins de gerenciamento ocorrerá através de certificados. O cliente SSH irá autenticar-se utilizando certificados ao invés de senhas. Se não houver um certificado válido o usuário não conseguirá conectar-se ao Switch.

Mostraremos passo-a-passo como gerar as chaves pública e privada utilizando o Software Putty para Windows e configuraremos o Switch para permitir o acesso do host via SSH por troca de chaves.

Para efetuar download do Putty e do Puttygen clique em http://www.chiark.greenend.org.uk/~sgtatham/putty/download.html

Gerando as chaves

Gere as chaves pelo puttygen. Abra o software e clique no botão Generate. Depois, fique movendo o mouse no espaço abaixo da barra de progresso até que o processo esteja finalizado (isso é feito para gerar dados aleatórios para criar o certificado).


Após concluir o processo, será exibida a tela abaixo:

Salve a chave pública e privada. No exemplo salvaremos a chave privada como comutadores.ppk e chave pública como comutadores.pub.
Configurando o Switch
Criaremos um diretório chamado chave no Switch e copiaremos a chave pública na memória Flash no modo user-view:
mkdir chave
...
%Created dir flash:/chave.

tftp 1.1.1.2 get comutadores.pub flash:/chave/comutadores.pub
Importando a chave pública para o Switch e ativando o SSH no Switch
[4800G]ssh server enable
[4800G]public-key peer comutadores.pub import sshkeyflash:/chave/comutadores.pub
Criando o usuário diego e permitindo acesso por SSH com nível 3 de permissão
#
local-user diego
authorization-attribute level 3
service-type ssh
#
user-interface vty 0 4
authentication-mode scheme
user privilege level 3
protocol inbound ssh
#
Associando o usuário diego a chave comutadores.pub
[4800G] ssh user diego service-type all authentication-type publickey assign publickey comutadores.pub work-directory flash:/chave/comutadores.pub

Utilizando a chave pública geradas pelo computador para acesso ao Switch

Utilizando o software putty digite o endeço IP do Switch e marque a opção SSH


Agora, você terá que acessar as opções oferecidas no menu à esquerda da janela do PuTTy. Neste menu, encontraremos uma opção chamada “Connection” e, logo abaixo dela, uma opção chamada “Data”, clique nela. Em “Auto-login username” digite o nome do usuário que você quer utilizar para se conectar ao Switch.

Agora, vamos dizer ao PuTTy onde está localizada a chave privada para que ele possa utilizá-la durante a conexão. Para isso, no menu à esquerda, vá em “Connection”, expanda “SSH” e clique em “Auth”. Clique no botão “Browse” e selecione o arquivo com a chave privada.

Agora, volte para “Session” (a primeira opção, no topo do menu à esquerda) e clique no botão “Save”. Pronto, se tudo correu bem, basta você dar dois cliques no nome do perfil que você salvou, clique em Open e você irá conseguir logar automaticamente no Switch.

Configuração final

ssh server enable
#
public-key peer comutadores.pub
public-key-code begin
AAAAAB3Nza00D06092A864886F70D010101050003818A003081860281806522B8CDE0A37D42A5
98ABCA897D7BEBBC9A7C6C9E0411CC43094076904639F090EFCC5844CD688AC3E25867E29D
C618B50CE435A5E0BEA497C6411A6C32E8DDAC4D9DD123418BD91F9D60EEDC3D4C96911E07
56621E8017F196AE8FBC39BB99794296A88A58C3BF9B0C13FC36DF9B67B186103B233F67E4
7AD1BE9E6B502A9B020125
public-key-code end
peer-public-key end
#
local-user diego
authorization-attribute level 3
service-type ssh
#
ssh user diego service-type all authentication-type publickey assign publickey comutadores.pub work-directory flash:/chave/comutadores.pub
#
user-interface vty 0 4
authentication-mode scheme
user privilege level 3
#
Script enviado por Douglas Jefferson.

Sites de referência:
http://www.pedropereira.net/ssh-sem-senha-autenticacao-atraves-de-certificados-rsa/
http://urucubaca.com/putty-o-poder-do-ssh-no-windows/2008/01/31/
Dúvidas? Deixem comentários...

Switches 3Com 4800G - Como incluir novas regras em uma ACL?

Desculpe-nos, o conteúdo foi migrado para o domínio comutadores.com.br, para acessar clique no link:

http://www.comutadores.com.br/switches-3com-4800g-como-incluir-novas-regras-em-uma-acl/

Obrigado!

Switches 3Com 4800G - Edged-port + BPDU Protection

Desculpe-nos, o conteúdo foi migrado para o novo domínio, no endereço:

 http://www.comutadores.com.br/switches-3com-4800g-edged-port-bpdu-protection/

Obrigado

Switches 3Com 4800G - DHCP Snooping - Como proteger a rede de falsos servidores DHCP?

Desculpe-nos, o conteúdo foi migrado para o domínio comutadores.com.br, para acessar clique no link: 

http://www.comutadores.com.br/switches-3com-4800g-dhcp-snooping-como-proteger-a-rede-de-falsos-servidores-dhcp/

Obrigado!

Switches 3Com 5500 - Port Isolate - Como isolar os hosts de um Switch (na mesma VLAN)? Sem ACL!!!

Desculpe-nos, o conteúdo foi migrado para o domínio comutadores.com.br, para acessar clique no link:

http://www.comutadores.com.br/switches-3com-5500-port-isolate-como-isolar-os-hosts-de-um-switch-na-mesma-vlan-sem-acl/

Obrigado!