Ограничение доступа к Dell switch ­ Дневник ­ Максим Боголепов

В нашей организации на раздаче интернета стоит свич Dell Powerconnect 3424. Чтобы иметь хоть какую-то возможность его администрирования, устройству был присвоен ip из интернетовского пула. Естественно, этот switch подвергался десяткам атак ежедневно. Никакого урона они не приносили, но… лучше подстраховаться. Наконец-то дошли руки сделать на данном устройстве хоть какую-то минимальную защиту.

Приведенная ниже информация будет справедливой для всех коммутаторов Dell Powerconnect серии 34xx.

Подключаемся к устройству любым известным способом, входим в режим конфигурирования, включаем логирование (если вы не сделали этого ранее) и задаем его параметры, а затем проверяем, выйдя из режима конфигурирования:

User Name:USER
Password:************
Dell-switch# configure
Dell-switch(config)# loggin on
Dell-switch(config)# loggin buffered size 400
Dell-switch(config)# logging buffered warnings
Dell-switch(config)# exit
Dell-switch# sh logging
Logging is enabled.
Console Logging: Level info. Console Messages: 0 Dropped.
Buffer Logging: Level warning. Buffer Messages: 8 Logged, 5 Displayed, 400 Max.
File Logging: Level error. File Messages: 0 Logged, 69 Dropped.
3 messages were not logged
Application filtering control
Application                 Event                       Status
--------------------        --------------------        ---------
AAA                         Login                       Enabled
File system                 Copy                        Enabled
File system                 Delete-Rename               Enabled
Management ACL              Deny                        Enabled

Заводим в системе пользователя USER, присваиваем ему пароль PASS1, даем ему самый высокий уровень доступа к системе:

Dell-switch(config)# username USER password PASS1 level 15

Следующий параметр на ваше усмотрение, но я отключаю возможность конфигурирования устройства по http (проверить можно, выйдя из режима configure):

Dell-switch(config)# no ip http server
Dell-switch(config)# no ip https server
Dell-switch(config)# exit
Dell-switch# sh ip http
HTTP server disabled. Port: 80
Dell-switch# sh ip https
HTTPS server disabled. Port: 443
Certificate 1 does not exist.
Certificate 2 does not exist.

Далее включаем возможность подключения к устройству по ssh, задаем параметры, генерим ключ RSA и проверяем сделанные изменения:

Dell-switch(config)# ip ssh server
Dell-switch(config)# line ssh
Dell-switch(config-line)# login authentication default
Dell-switch(config-line)# enable authentication default
Dell-switch(config-line)# password PASS2
Dell-switch(config-line)# exit
Dell-switch(config)# crypto certificate 1 generate key-generate
Dell-switch(config)# crypto certificate 2 generate key-generate
Dell-switch(config)# exit
Dell-switch# sh ip https
HTTPS server disabled. Port: 443
Certificate 1 is active.
 Issued by : C=  , ST= , L= , CN=12.34.56.78, O= , OU=
 Valid From: Apr  3 10:11:04 2012 GMT
 Valid to: Apr  3 10:11:04 2013 GMT
 Subject: C=  , ST= , L= , CN=12.34.56.78, O= , OU=
 SHA1 Fingerprint: CADD31A6 8E5EC50C ED3B0378 039A4162 75824C30
Certificate 2 is not active.
 Issued by : C=  , ST= , L= , CN=12.34.56.78, O= , OU=
 Valid From: Apr  3 10:17:38 2012 GMT
 Valid to: Apr  3 10:17:38 2013 GMT
 Subject: C=  , ST= , L= , CN=12.34.56.78, O= , OU=
 SHA1 Fingerprint: 17CCE1AF E88A031E 8C329DEF 328CC0FE D690742D
Dell-switch# sh ip ssh
SSH Server enabled. Port: 22
RSA key was generated.
DSA(DSS) key was not generated.
SSH Public Key Authentication is disabled.
Active incoming sessions:
   IP address      SSH username    Version     Cipher      Auth Code
----------------- -------------- ----------- ----------- --------------

Нам осталось задать access-list с именем login, в котором мы перечислим адреса подсетей, с которых будет осуществляться доступ к необходимым нам сервисам (перечисляйте все сервисы, иначе вы можете потерять доступ к устройству!). В конце списка добавьте deny, это запретит любые другие подключения:

Dell-switch(config)# management access-list login
Dell-switch(config-macl)# permit ip-source 78.56.34.12 mask 255.255.255.240 service telnet
Dell-switch(config-macl)# permit ip-source 78.56.34.12 mask 255.255.255.240 service snmp
Dell-switch(config-macl)# permit ip-source 78.56.34.12 mask 255.255.255.240 service ssh
Dell-switch(config-macl)# permit ip-source 78.56.34.12 mask 255.255.255.240 service http
Dell-switch(config-macl)# deny
Dell-switch(config-macl)# exit

Активируем наш access-list с именем login, и проверим наши изменения:

Dell-switch(config)# management access-class login
Dell-switch(config)# exit
Dell-switch# show management access-list login
login
-----
permit ip-source 78.56.34.12 mask 255.255.255.240 service telnet
permit ip-source 78.56.34.12 mask 255.255.255.240 service http
permit ip-source 78.56.34.12 mask 255.255.255.240 service snmp
permit ip-source 78.56.34.12 mask 255.255.255.240 service ssh
deny
! (Note: all other access implicitly denied)

Сохраним сделанные нами изменения на устройство:

Dell-switch# copy running-config startup-config
Overwrite file [startup-config] ?[Yes/press any key for no]....28-Mar-2012 09:50:26 %COPY-I-FILECPY:
Files Copy - source URL running-config destination URL flash://startup-config
28-Mar-2012 09:50:29 %COPY-W-TRAP: The copy operation was completed successfully
Copy succeeded

Теперь доступ к нашему устройству будет возможен только с указанных нами в access-list с именем login подсетей. Некоторое время спустя в логе мы сможем увидеть записи о безуспешных попытках подключений к нашему свичу из сети интернет:

Dell-switch# sh logging
Logging is enabled.
Console Logging: Level info. Console Messages: 0 Dropped.
Buffer Logging: Level warning. Buffer Messages: 0 Logged, 0 Displayed, 400 Max.
File Logging: Level error. File Messages: 10 Logged, 6940 Dropped.
3 messages were not logged
Application filtering control
Application                 Event                       Status
--------------------        --------------------        ---------
AAA                         Login                       Enabled
File system                 Copy                        Enabled
File system                 Delete-Rename               Enabled
Management ACL              Deny                        Enabled
28-Mar-2012 05:53:12 :%MNGINF-W-ACL: Management ACL drop packet received on interface Vlan Vlan 1 from 85.231.84.102 to 12.34.56.78 protocol 6 service Telnet
28-Mar-2012 05:51:18 :%MNGINF-W-ACL: Management ACL drop packet received on interface Vlan Vlan 1 from 85.105.67.210 to 12.34.56.78 protocol 17 service Snmp
28-Mar-2012 05:02:08 :%MNGINF-W-ACL: Management ACL drop packet received on interface Vlan Vlan 1 from 219.232.242.157 to 12.34.56.78 protocol 6 service Http
01-Apr-2012 23:44:14 :%MNGINF-W-ACL: Management ACL drop packet received on interface Vlan Vlan 1 from 221.207.61.74 to 12.34.56.78 protocol 6 service Https

В заключении скажу, что отредактировать настроенный и активированный access-list у меня никак не получилось. Коммутатор выдавал ошибку:

Cannot modify active list

Не помогала деактивация access-list’а:

Dell-switch(config)# no management access-class

Приходилось полностью удалять access-list, и заново его настраивать:

Dell-switch(config)# no management access-list login

Привожу два полезных документа:

1. Перечень команд CLI Dell Powerconnect серии 3400 (размер – 3.62 МБ, формат – pdf).
2. Инструкция по пользованию коммутаторов Dell Powerconnect серии 3400 (размер – 6.54 МБ, формат – pdf).