Im selben Atemzug noch die Bereinigung der Management Security. In diesen Überwachungsschweren- Zeiten ist das Thema Security ja ein bisschen mehr im Focus. Auch aktive Komponenten sind da nicht unbeteiligt und bevor man zur Hackerfahrschule verkommt wenigstens die grundlegende Absicherung der Netzwerk- Infrastruktur.
Im Falle HP networking ehemals ProCurve heisst das zunächst mal Keys und Zertifikat bauen:
crypto key generate ssh rsa
crypto key generate cert rsa 1024
crypto host-cert generate self-signed 05/01/2014 05/01/2018 192.168.11.12 ITINFRA MEINVEREIN SIMMERN RHINELANDPALATINATE DE
…
Die Schlüssel sind handelsübliche SSL und SSH Schlüssel. Das Zertifikat ist eben ein privates mit einer hier fünfjährigen Geltungsdauer ab dem 1. Mai 2014 auf die IP Adresse des Gerätes ausgestellt. Ergänzt wird das Ganze mit der einschlägigen OU Information, insbesondere bezüglich des Standortes.
Man kann sich sowohl Keys als auch Zertifikat auch gleich auf dem Switch anschauen.
show crypto host-public-key
liefert dann z.B.:
SSH host public key:
ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAIEApj5jLoEuRLfS+rUVCoyrlzbzu7DPZyho9mLObG2Eugv3
E8jkub7bMoOBnyfzJATgFayWejh20YDXaIZN6+rW6GL5NV2m9mPZ35uhVc+9G01/7ihvTwMjdCnpusTj
zcxS6QUv+dUQx3m94wj4LYbqHybPd0C2lAX6hGOcnf3OSVE=
den man dann gegebenenfalls seinem KeyRing hinzfügen kann um von der bevorzugten Management Station präauthentifiziert auf das jeweilige System zuzugreifen.
Danach müssen noch die Dienste angepasst werden.
Mit:
no web-management
web-management ssl
deaktiviert man zunächst den regulären Web-Service (http) und aktiviert den SSL verschlüsselten sicheren Web-Service (https). Es findet hier auch insbesondere keine Weiterleitung statt, so dass man wirklich https
auch im Browser eingeben muss.
Zuletzt noch die remote Login Dienste von telnet auf SSH umstellen.
ip ssh
no telnet-server
Voila, fertig. Schön ist, dass sollte man per telnet angemeldet sein, die Session nicht weg fliegt und man in derselben noch brav die Konfiguration mit write memory
sichern kann um sich danach ordentlich aus zu loggen.
Paranoid wie ich bin – lange Fuß- und Anfahrts- Wege lehren hier Vorsicht – erst ip ssh
ausprobieren mit einer paralellen Session und danach telnet abschalten.
Basic mgmt. Security set.
Kyp.F.