Archiwum kategorii: HP Procurve

Hardening przełączników HP Procurve cz.1

Niezabezpieczony dostęp do do urządzeń sieciowych lub protokoły przesyłające informacje otwartym tekstem są jedną z przyczyn nieuprawnionego dostępu do sieci i w konsekwencji utraty cennych danych. Chciałbym w tym wpisie przedstawić kilka sposobów na poprawienie bezpieczeństwa przełączników HP Procurve. Zaczniemy do bezpieczeństwa fizycznego.

Czytaj dalej

HP Procurve STP – hardening i port-fast

Protokół STP ma na celu zapobieganie powstawania pętli w sieci, która posiada połączenia redundantne. Nie posiada on żadnych mechanizmów autoryzacyjnych, co niestety umożliwia atak na sieć LAN za pomocą sfałszowanych pakietów BPDU i zmianę switcha root na inny, do którego ma dostęp atakujący. Ponieważ przez switch root przechodzi większość ruchu, umożliwia to np. przechwycenie i monitorowanie ruchu przez atakującego. Innym ubocznym i niechcianym efektem jest to, że podłączony switch, nawet jeśli nie jest on specjalnie podstawiony, to z uwagi na ilość ruchu może być on zbyt słaby i powodować duże opóźnienia w sieci (np. mamy sieć LAN ze switchami z portami 1Gbps, a użytkownik podłączył sobie switch 1 portami 100Mbps).

Czytaj dalej

Konfiguracja MAB (Mac-address Authentication Bypass) na switchach HP Procurve

W realnym świecie nie wszystkie urządzenia pozwalają na dowolną konfigurację zabezpieczeń. W sieci, gdzie mamy uruchomione i skonfigurowane zabezpieczenie 802.1x i dynamiczne przydzielanie VLAN-ów mogą, a wręcz na pewno zaistnieją urządzenia, które nie wspierają protokołu 802.1x, jak np. drukarki. Porty przydzielone do drukarek pozostaną niezabezpieczone i będą stanowił potencjalne źródło zagrożenia. W takim wypadku mamy dwie możliwości. Albo decydujemy się na statyczne przypisanie mac-addresów drukarek do portów (port-security) albo można wykorzystać Mac-address Authentication Bypass.

Czytaj dalej

Konfiguracja dynamicznego przydzielania VLANu na switchach HP Procurve

Dynamiczne przydzielanie VLANu na switchach HP Procurve konfiguruje się prawie identycznie jak dla statycznej konfiguracji 802.1x opisanej w tym poście. Zaletą dynamicznego przypisywania VLANów jest to, że w zależności do jakiej grupy przypiszemy użytkownika, może on podłączyć się do innego VLANu i pracować z innymi uprawnieniami niż jego kolega.

Czytaj dalej

Konfiguracja autoryzacji 802.1x na switchach HP Procurve

802.1x jest otwartym standardem kontroli dostępu w sieciach przewodowych i bezprzedowych. Jest oparty na protokole EAP, który został zdefiniowany w RFC2284 i późniejszym RFC3784. Umożliwia uwierzytelnianie użytkownika i urządzenia przy połaczeniu do przewodowego lub bezprzewodowego portu dostępu do sieci. Zastosowanie uwierzytelniania 802.1x pozwala na wyeliminowanie nieautoryzowanego dostępu do sieci już na poziomie warstwy dostępu do sieci.

Czytaj dalej

Rancid – SVN i Websvn

W poprzednim blogu opisałem jak zainstalować Rancida wraz z webowym interfejsem CvsWeb. jest to jednak dość stary interfejs działający w oparciu o niezbyt lubiane CGI.

W tym wpisie pokażę jak skonfigurować Rancida do pracy z innym systemem kontroli wersji SVN i nowszym WebSvn. SVN powstał jako następca CVSa i jest wolnym i otwartym oprogramowaniem na licencji Apacha. Więcej informacji na temat SVN można znaleźć na Wikipedii i stronie projektu.

Czytaj dalej

Rancid – narzędzie do monitorowania zmian i backupu konfiguracji

codziennej pracy z sieciami prędzej czy później natkniemy się na problem archiwizacji konfiguracji urządzeń sieciowych – routerów, switchy, firewalli itp. Na rynku jest dostępne wiele różnych płatnych narzędzi takich jak Kiwi CatTools czy kombajn Cisco LMS . Co jednak w sytuacji, gdy np. budżet IT niedużej firmy nie pozwala na zakup komercyjnego rozwiązania? Przy małej ilości urządzeń można sobie pozwolić na ręczne backupy konfiguracji urządzeń, ale gdy ilość urządzeń rośnie nakład czasu potrzebny do wykonania backupów rośnie. Oczywiście można się posiłkować skryptami automatyzującymi pracę, lecz może być to dość karkołomne dla mniej doświadczonych adminów.

Czytaj dalej