Archiwum kategorii: switching

Hardening przełączników HP Procurve cz.1

Niezabezpieczony dostęp do do urządzeń sieciowych lub protokoły przesyłające informacje otwartym tekstem są jedną z przyczyn nieuprawnionego dostępu do sieci i w konsekwencji utraty cennych danych. Chciałbym w tym wpisie przedstawić kilka sposobów na poprawienie bezpieczeństwa przełączników HP Procurve. Zaczniemy do bezpieczeństwa fizycznego.

Czytaj dalej

HP Procurve STP – hardening i port-fast

Protokół STP ma na celu zapobieganie powstawania pętli w sieci, która posiada połączenia redundantne. Nie posiada on żadnych mechanizmów autoryzacyjnych, co niestety umożliwia atak na sieć LAN za pomocą sfałszowanych pakietów BPDU i zmianę switcha root na inny, do którego ma dostęp atakujący. Ponieważ przez switch root przechodzi większość ruchu, umożliwia to np. przechwycenie i monitorowanie ruchu przez atakującego. Innym ubocznym i niechcianym efektem jest to, że podłączony switch, nawet jeśli nie jest on specjalnie podstawiony, to z uwagi na ilość ruchu może być on zbyt słaby i powodować duże opóźnienia w sieci (np. mamy sieć LAN ze switchami z portami 1Gbps, a użytkownik podłączył sobie switch 1 portami 100Mbps).

Czytaj dalej

Konfiguracja MAB (Mac-address Authentication Bypass) na switchach HP Procurve

W realnym świecie nie wszystkie urządzenia pozwalają na dowolną konfigurację zabezpieczeń. W sieci, gdzie mamy uruchomione i skonfigurowane zabezpieczenie 802.1x i dynamiczne przydzielanie VLAN-ów mogą, a wręcz na pewno zaistnieją urządzenia, które nie wspierają protokołu 802.1x, jak np. drukarki. Porty przydzielone do drukarek pozostaną niezabezpieczone i będą stanowił potencjalne źródło zagrożenia. W takim wypadku mamy dwie możliwości. Albo decydujemy się na statyczne przypisanie mac-addresów drukarek do portów (port-security) albo można wykorzystać Mac-address Authentication Bypass.

Czytaj dalej

Konfiguracja dynamicznego przydzielania VLANu na switchach HP Procurve

Dynamiczne przydzielanie VLANu na switchach HP Procurve konfiguruje się prawie identycznie jak dla statycznej konfiguracji 802.1x opisanej w tym poście. Zaletą dynamicznego przypisywania VLANów jest to, że w zależności do jakiej grupy przypiszemy użytkownika, może on podłączyć się do innego VLANu i pracować z innymi uprawnieniami niż jego kolega.

Czytaj dalej

Cisco – testowanie okablowania za pomocą TDR

Niektóre switche Cisco mają bardzo użyteczną opcje testowania okablowania przez wbudowany tester TDR (ang. Time Domain Reflector). Lista modeli i dokładny opis  tej funkcjonalności jest na stronie Cisco Support Community. Tu w skrócie napiszę jak tę funkcjonalność wykorzystać.

Najpierw uruchamiamy test:

Czytaj dalej

Konfiguracja etherchannel pomiędzy switchami Cisco i HP Procurve

Konfiguracja połączenia typu etherchannel pomiędzy switchami Cisco Catalyst i HP Procurve jest bardzo prosta i nie powinna przysporzyć trudności. Krótkiego wyjaśnienia wymaga różna terminologia używana przez obie firmy. I tak:

Cisco:
trunk – połączenie w standardzie 802.1q pozwalające na znakowanie ramek ethernet
etherchannel – połaczenie dwóch lub więcej (do 8) interfejsów switcha w jeden port logiczny; w zależności od potrzeb (i modelu switcha) etherchannel może być portem warstwy 2 (L2) lub trzeciej (L3), a także może działać jako port typu access (zwykłe ramki) lub trunk (ramki tagowane)

Czytaj dalej