Device Hardening DocumentationRelease 0.0.1

Rafael Rivero

Jul 05, 2017

Contents

1 Introducción 3

2 Hardening de controladoras 5

3 Hardening switches MAS 31

4 Hardening de switches HPE 33

5 Mecanismos de hardening Airwave 47

6 Mecanismos de hardening ClearPass 49

7 Índices y tablas 51

i

ii

Device Hardening Documentation, Release 0.0.1

Contenidos:

Contents 1

Device Hardening Documentation, Release 0.0.1

2 Contents

CHAPTER 1

Introducción

Alcance

El objetivo de este documento es:

• Identificar las funcionalidades de los equipos y aplicaciones HPE-Aruba que puedan ser utilizadas para imple-mentar las reglas de una política de hardening de dispositivos.

• Describir cómo configurar cada una de estas funcionalidades en distintos entornos.

• Realizar recomendaciones sobre dichas configuraciones, en los casos que aplique.

• Proporcionar un mecanismo, lo más automatizable posible, para verificar que la configuración de una funcional-idad se ha realizado de acuerdo a la política.

La definición de la política de seguridad concreta no forma parte del alcance del documento.

El conjunto de entornos incluidos en el alcance se resume en la siguiente tabla:

Producto Hardware FirmwareControladoras Master/Local Aruba 3000, 7000, 7200 6.4 / 6.5Controladoras Branch Aruba 7000 6.4 / 6.5Switches Aruba MAS S1500, S2500, S3500 7.4Switches HPE-Aruba 2930, 3810 16.02 / 16.03Software Gestión Airwave Físico o virtual Centos 6.X, Airwave 8.2Software NAC Clearpass Físico o virtual Clearpass 6.6

Referencias

• Controladoras:

– ArubaOS 6.5.X user guide

– ArubaOS 6.5.X CLI reference guide

3

Device Hardening Documentation, Release 0.0.1

– ArubaOS 6.5.X Web Help

– ArubaOS Controllers hardening guide

• Switches Aruba MAS:

– ArubaOS 7.4 user guide

– ArubaOS 7.4 CLI reference guide

• Switches HPE-Aruba:

– ArubaOS switch management and configuration guide

– ArubaOS switch feature and command index

– ArubaOS switch hardening guide

• Airwave:

– Airwave 8.2 Aruba best practices

– Airwave 8.2.3 user guide

• Clearpass:

– Clearpass hardening guide v4

– Clearpass hardening guide v5

– Clearpass policy manager user guide

– Clearpass deployment guide

• Vulnerabilidades:

– Boletines de seguridad Aruba

4 Chapter 1. Introducción

CHAPTER 2

Hardening de controladoras

Arquitectura genérica

Roles

En la solución HPE-Aruba, una controladora (versión 6.4, 6.5) puede desempeñar uno de tres roles posibles: Master,Local o Branch. Desde el punto de vista de configuración,

• Las controladoras Master contienen la configuración del servicio WiFi. Estas controladoras se provisionan yconfiguran manualmente, o a través de una plataforma de gestión como Airwave.

• Las controladoras Local replican la configuración del servicio WiFi desde una controladora máster, pero algunosparámetros básicos de conectividad de la controladora (VLANs, direccionamiento IP, gateway, etc) requierenuna configuración local (manual o mediante plataforma de gestión).

• Las controladoras Branch obtienen toda su configuración desde una controladora máster, incluyendo losparámetros básicos de conectividad. Estas controladoras se provisionan utilizando un mecanismo de autode-scubrimiento Zero Touch Provisioning, basado en servicios cloud de HPE-Aruba.

Tráfico

Cualquiera de los tres roles puede recibir y conmutar tráfico procedente de APs locales o remotos (RAPs). Entre losdistintos tipos de dispositivos hay varios flujos de comunicación1:

1 Por simplicidad, se han omitido en el dibujo los firewalls / NATs perimetrales y entre zonas (DMZs).

5

Device Hardening Documentation, Release 0.0.1

• Entre controladoras (Master-Branch o Master-Local) se establecen túneles cifrados IPSEC, encapsulados enUDP (NAT-T) si se detecta que alguno de los dos extremos está detrás de un firewall o NAT.

Generalmente estos túneles cursan tráfico de control. En el caso de controladoras Branch, el túnel establecidocontra su controladora Master se usa para todo el tráfico entre central y sede remota: control y datos.

– IKE (UDP 500).

– IPSEC ESP (protocolo 50).

– NAT-T (UDP 4500).

• Entre APs locales y controladoras se utilizan varios protocolos:

– PAPI (UDP 8211).

– FTP (TCP 21, 22).

– TFTP (UDP 69).

– SYSLOG (UDP 514).

– GRE (protocolo 47).

– CPSec (UDP 4500).

– NTP (UDP 123)

• Entre APs remotos (RAPs) y controladoras, se establecen túneles IPSEC encapsulados en UDP (NAT-T)

– IKE (UDP 500).

– NAT-T (UDP 4500).

Además de estos flujos, las controladoras pueden establecer las siguientes conexiones entrantes y salientes:

Entrantes:

• Gestión:

6 Chapter 2. Hardening de controladoras

Device Hardening Documentation, Release 0.0.1

– HTTP/HTTPS (TCP 80, 443, 4343). 80 redirige a 443, y 443 redirige inmediatamente a 4343 en el caso de acceso a gestión.

* HTTP/HTTPS (8080. 8081, 8088 TCP). Usado para portal cautivo.

– SSH (TCP 22).

– SNMP (UDP 161).

• Control:

– Radius CoA (UDP 3799).

• Servicios accesibles a usuarios de la LAN / WLAN:

– DHCP (local o Relay) (UDP 68).

– HTTPS (TCP 443, 4343) cuando hay portal cautivo.

• Otros protocolos de conectividad remota:

– L2TP (UDP 1701)

* PPTP (TCP 1723)

Salientes:

• Infraestructura:

– DNS (UDP 53).

– DHCP (UDP 67) - En controladoras Branch se usa IP dinámica para los enlaces WAN / Internet. En elresto de controladoras, típicamente se usa IP estática.

– NTP (UDP 123).

• Clearpass:

– RADIUS (UDP 1812, 1813).

– Relay DHCP (UDP 67).

– HTTPS (TCP 443) (Guest, IF-MAP).

• Airwave, ALE:

– AMON (UDP 8211).

• Monitorización:

– SNMP Trap (UDP 162).

– Syslog (UDP 514, TCP 514).

• Servicios en la nube:

– HTTPS (443) (Aruba Activate, Brightcloud).

Configuraciones

Este documento no es un manual de configuración ni sustituye a las guías de usuario. Su objetivo es servir al equipode seguridad de la empresa como una referencia para:

• Identificar las funcionalidades de hardening que soportan los equipos,

• Expresar las políticas de seguridad en forma de parámetros de configuración para esas funcionalidades,

• Verificar de forma automática que esas configuraciones están aplicadas.

2.1. Arquitectura genérica 7

Device Hardening Documentation, Release 0.0.1

Los diferentes entornos de una empresa pueden varias en arquitectura (standalone, master / branch) y en herramientasde gestión (CLI, Airwave, interfaz web smart branch), y eso afecta a:

• Dónde se realizan las configuraciones: en la propia controladora, en su controladora Master, o en Airwave.

• Qué interfaz de administración se usa: CLI, Airwave, interfaz Web.

Pero en todos los casos se cumple que la configuración aplicada se convierte en un fichero de comandos CLI que sealmacena localmente en cada controladora, sea master, local o branch.

Desde este punto de vista, la herramienta más útil para expresar y validar automáticamente una política de configu-ración en las controladoras es la línea de comandos. El procedimiento sugerido es:

• Definir plantillas de CLI que reflejen cada aspecto de la política de seguridad.

• Permitir que los administradores de acceso utilicen la herramienta que consideren más adecuada (CLI, Airwave,Web) para desplegar la política, tomando las plantillas como referencia.

• Obtener copias periódicas de la configuración de las controladoras, incluyendo opcionalmente la salida de al-gunos comandos enumerados en este documento.

• Validar la aplicación de las políticas contrastando la copia de configuración con las plantillas de seguridad.

Acceso a la CLI

Para tener acceso a la CLI de la controladora, es necesario utilizar un cliente SSH v2. La CLI tiene diferentes modos deacceso; generalmente el acceso inicial a la controladora se realiza en modo usuario, en oposición al modo privilegiado.Para pasar a modo privilegiado y poder realizar una copia de la configuración, se debe introducir la contraseña deenable:

# Acceso inicial en modo user: El prompt del sistema utiliza el carácter ">"$>

# Habilitar el modo privilegiado con el comando "enable".# Solicita interactivamente la clave de enable$> enable

# Modo privilegiado activo: El prompt del sistema utiliza "#"$#

Copia de configuración

La configuración local de las controladoras puede enviarse a un servidor FTP o SCP externo, mediante el comandocopy:

# Copia de configuración activa a servidor FTP.# Este comando solicita el password del usuario FTP interactivamente.$# copy running-config ftp: <ftphost> <user> <filename> <remote dir>

# Si se prefiere usar SCP en lugar de FTP, es necesario copiar# primero la configuración a la flash local.$# copy running-config flash: current.cfg$# copy flash: current.cfg scp: <scphost> <username> <destfilename>

8 Chapter 2. Hardening de controladoras

Device Hardening Documentation, Release 0.0.1

Redirección de comandos

Los parámetros de algunas de las funcionalidades no aparecen en la configuración si están en sus valores por defecto,lo que puede dificultar validar la política. En ese caso, se puede decidir ampliar la información recopilada utilizandocomandos show adicionales.

La salida de cualquier comando se puede redirigir a un fichero local usando el filtro | redirect-output:

$# show web-server profile | redirect-output'show web-server profile ' is written into redirect-output.log ...

La salida de los comandos se acumula en el fichero redirect-output.log de la flash. El fichero puede borrarse al iniciarla sesión con delete filename redirect-output.log, y enviarse por ftp/scp al finalizar la sesión con copy:

$# delete filename redirect-output.log$# show web-server profile | redirect-output'show web-server profile ' is written into redirect-output.log ...

$# copy flash: redirect-output.log scp: <scphost> <username> <destfilename>

Mecanismos de hardening

Acceso administrativo

Las controladoras tienen tres interfaces de gestión: consola local, consola remota sobre SSH, e interfaz web sobreHTTPS. HTTP no está disponible para la gestión, y telnet está deshabilitado por defecto, aunque puede activarse conel comando telnet cli:

# La inclusión del comando "telnet cli" en la configuración activa# indica que telnet está habilitado.$# show running-config | include "telnet cli"Building Configuration...telnet cli

# Puede comprobarse explícitamente el estado del protocolo con "show telnet"$# show telnet

telnet cli is enabledtelnet soe is disabled

En cualquiera de las interfaces de gestión, las controladoras Aruba reconocen distintos roles de usuario administrador:

rol Privilegiosroot Acceso totalread-only Solo lecturaguest-provisioning Alta de usuarios invitados (portal cautivo)location-api-mgmt Acceso a API de localizaciónnetwork-operations Rol solo lectura más restringido que read-only (ver roles de usuario administrador)

Los roles pueden asociarse tanto a usuarios locales como remotos.

2.2. Mecanismos de hardening 9

Device Hardening Documentation, Release 0.0.1

Credenciales locales

En el caso de usuario locales, el rol se configura al crear el usuario con el comando de configuración mgmt-user<usuario> <rol>:

# Lista de usuarios de gestión en la configuración activa$# show running-config | include mgmt-userBuilding Configuration...mgmt-user admin root d0d5231601a3*******************mgmt-user operator root 8bcc837e019d7**********************

# Comando para enumerar explícitamente los usuarios configurados.$# show mgmt-user

Management User Table---------------------USER PASSWD ROLE STATUS---- ------ ---- ------admin ***** root ACTIVEoperator ***** root ACTIVE

Es habitual tener un usuario local administrador con el rol root para casos de fallo de los servidores de autenticaciónremotos. El resto de usuarios locales podría eliminarse.

El failover de autenticación remota a local (en caso de no respuesta desde ninguno de los servidores de autenticaciónremotos) está activo por defecto. Se puede desactivar con mgmt-user localauth-disable:

# La ausencia del comando indica configuración por defecto# (en este caso, failover a autenticación local activo)$# show running-config | include "mgmt-user localauth-disable"Building Configuration...

# El estado del failover puede consultarse explícitamente con:$# show mgmt-user local-authentication-modeLocal Authentication Mode: Enabled

Política de contraseñas

Las controladoras permiten definir múltiples parámetros para la política de contraseñas de usuarios locales:

10 Chapter 2. Hardening de controladoras

Device Hardening Documentation, Release 0.0.1

Parámetro Descripción Valor pordefecto

password-lock-out Número de intentos fallidos (en 3 minutos) que bloquean lacuenta.

0(deshabilitado)

password-lock-out-time Tiempo durante el que la cuenta permanece bloqueada. 3password-max-character-repeat Máximo número de caracteres repetidos. 0

(deshabilitado)password-min-digit Mínimo número de dígitos. 0

(deshabilitado)assword-min-length Longitud mínima. 6password-min-lowercase-characters

Mínimo número de letras minúsculas. 0(deshabilitado)

password-min-special-character

Mínimo número de caracteres especiales. 0(deshabilitado)

password-min-uppercase-characters

Mínimo número de letras mayúsculas. 0(deshabilitado)

password-not-username El password no puede contener el nombre de usuario. deshabilitado

Estos parámetros se configuran dentro del bloque aaa password-policy mgmt:

$# show running-config | begin "aaa password-policy mgmt"Building Configuration...aaa password-policy mgmt

enablepassword-not-usernamepassword-lock-out <reintentos antes de bloquear>password-lock-out-time <minutos bloqueado>

!

El valor de todos los modificadores (y no sólo de los que no están en su valor por defecto) se puede obtener con laorden show aaa password-policy mgmt:

$# show aaa password-policy mgmt

Mgmt Password Policy--------------------Parameter→˓ Value---------→˓ -----Enable password policy→˓ YesMinimum password length required→˓ 6 charactersMinimum number of Upper Case characters→˓ 0 charactersMinimum number of Lower Case characters→˓ 0 charactersMinimum number of Digits→˓ 0 digitsMinimum number of Special characters (!, @, #, $, %, ^, &, *, <, >, {, }, [, ], :, .,→˓comma, |, +, ~, `) 0 charactersUsername or Reverse of username NOT in Password→˓ YesMaximum consecutive character repeats→˓ 0 charactersMaximum number of failed attempts in 3 minute window to lockout certificate based→˓user 0 attempts

2.2. Mecanismos de hardening 11

Device Hardening Documentation, Release 0.0.1

Maximum Number of failed attempts in 3 minute window to lockout password based user→˓ 5 attemptsTime duration to lockout the certificate based user upon crossing the "lock-out"→˓threshold 3 minutesTime duration to lockout the password based user upon crossing the "lock-out"→˓threshold 10 minutes

Autenticación remota

La autenticación remota puede realizarse contra RADIUS o TACACS. En ambos casos el procedimiento es muysimilar, utilizando grupos ordenados de servidores de autenticación.

La creación de los server groups está fuera del alcnce de este documento. El server-group creado se asigna al accesode gestión dentro del bloque de configuración aaa authentication mgmt:

# Bloque de configuración que activa la autenticación por servidor remoto.$# show run | begin "aaa authentication mgmt"aaa authentication mgmt

default-role "<rol por defecto, si Radius/Tacacs no asigna ninguno>"server-group "<grupo de servidores Radius>"enable

!

# El estado de la autenticación remota se puede consultar explícitamente con:$# show aaa authentication mgmt

Management Authentication Profile---------------------------------Parameter Value--------- -----Default Role no-accessServer Group RADIUS_srvgrpEnable YesMSCHAPv2 Disabled

El servidor remoto debe asignar el rol del usuario administrador mediante una VSA reconocida (Aruba-Admin-Role).En caso contrario, el usuario adquiere el rol configurado con la opción default-role. Es aconsejable que ese rol pordefecto sea no-access.

Si el repositorio de autenticación lo admite, es posible utilizar MsCHAPv2 para la autenticación remota, de forma quelas credenciales de usuario no vayan en claro (PAP) en el mensaje RADIUS. Esta medida no es necesaria si se utilizaTACACS para la autenticación.

Para activar mchapv2, se utiliza la opción mchapv2 del bloque de configuración aaa authentication mgmt:

$# show run | begin "aaa authentication mgmt"aaa authentication mgmt

# (Lineas omitidas ...)mchapv2

!

# El estado de la autenticación remota se puede consultar explícitamente con:$# show aaa authentication mgmt

Management Authentication Profile---------------------------------Parameter Value

12 Chapter 2. Hardening de controladoras

Device Hardening Documentation, Release 0.0.1

--------- -----# (Lineas omitidas...)MSCHAPv2 Enabled

Credenciales de enable

Tras iniciar sesión, el paso de modo usuario a modo privilegiado en la CLI requiere la introducción de la contraseñade enable. La autenticación del modo enable:

• No se puede hacer contra un servidor externo.

• No admite política de complejidad de contraseña.

Por este motivo, es habitual desactivar el requerimiento de proporcionar la contraseña de enable y dejar que sea el rolasignado por RADIUS al usuario el que fije los privilegios del operador.

Para desactivar la autenticación enable, se utiliza el comando enable bypass:

$# show run | include "enable bypass"Building configuration...enable bypass

Password recovery

Las controladoras Aruba tienen un mecanismo de password recovery que permite a cualquier usuario con acceso aconsola restablecer las contraseñas de gestión local del equipo.

Para utilizar el mecanismo, es necesario forzar a que el equipo realice autenticación local, por ejemplo desconec-tándolo de la red para que no alcance los servidores Radius. Usando por consola las credenciales conocidas pass-word/forgetme!, el usuario entra en un modo restringido que le permite reemplazar las contraseñas de administrador.

Para evitar este riesgo, puede desactivarse el acceso a la consola física del equipo con la orden mgmt-user console-block:

# La ausencia del comando en la configuración indicaría que está en su valor por→˓defecto (deshabilitado)$# show run | include "mgmt-user console-block"Building Configuration...mgmt-user console-block

# El estado de la funcionalidad puede comprobarse también con:$# show mgmt-user console

Serial Console Access: Blocked

Tiempo de inactividad

La controladora admite dos configuraciones de tiempo máximo de sesión web: inactividad y absoluto2. Son parámetrosglobales que se configuran dentro del web-server profile general:

$# show run | begin "web-server profile"Building Configuration...web-server profile

2 El comando user-absolute-session-timeout está disponible desde la versión de ArubaOS 6.4.4.0.

2.2. Mecanismos de hardening 13

Device Hardening Documentation, Release 0.0.1

# (lineas omitidas...)session-timeout <timeout inactividad - segundos>absolute-session-timeout <timeout absoluto - segundos>

Las lineas no aparecen en la configuración si están en sus valores por defecto:

• Session-timeout: 900

• Absolute session timeout: deshabilitado

En ese caso, la configuración puede validarse mediante la orden show web-server profile:

$# show web-server profile

Web Server Configuration------------------------Parameter Value--------- -----Cipher Suite Strength high# (lineas omitidas...)User absolute session timeout <30-3600> (seconds) 0User session timeout <30-3600> (seconds) 900

Para las sesiones de gestión por consola, se utiliza un único timer de inactividad configurable con el comando logins-ession timeout <minutos>:

$# show run | include loginsessionloginsession timeout <minutos>

Si el comando está ausente, la caducidad de la sesión tiene su valor por defecto (15 minutos). Si el comando estápresente y el valor del timeout es 0, la funcionalidad está deshabilitada.

Suites de cifrado

Por defecto, el acceso a la interfaz web admite tanto TLS v1, como v1.1 o v1.2. En cualquiera de los protocolos,la suite de cifrado negociada sólo incluye por defecto algoritmos con tamaño de clave superior a 128 bits. Ambosparámetros, versiones del protocolo y suite de cifrado, se pueden modificar dentro de la sección web-server profile dela configuración del dispositivo, con las opciones:

Opcion Descripcion Valor pordefecto

ciphers Suite de cifrado a usar: high (claves de más de 128 bits), medium (claves de 128 bits)o low (claves de 56 o 64 bits).

high

ssl-protocol

Versiones de TLS admitidas: tlsv1, tlsv1.1, tlsv1.2 tlsv1 tlsv1.1tlsv1.2

Como siempre, si un parámetro tiene su valor por defecto, no aparece reflejado en el volcado de configuración y esnecesario usar explícitamente el comando show web-server profile para ver su valor:

$# show run | begin "web-server profile"web-server profileciphers mediumssl-protocol tlsv1.1 tlsv1.2

!

$# show web-server profile(ArubaMadrid) # show web-server profile

14 Chapter 2. Hardening de controladoras

Device Hardening Documentation, Release 0.0.1

Web Server Configuration------------------------Parameter Value--------- -----Cipher Suite Strength mediumSSL/TLS Protocol Config tlsv1.1 tlsv1.2

Protocolos de cifrado - conexión RAP

La conexión de APs remotos a las controladoras se realiza a través de IPSEC, utilizando el crypto-map dinámiconúmero 10000 por defecto. Los parámetros de estas conexiones se pueden personalizar para por ejemplo sustituir elgrupo Diffie-Hellman 2, vulnerable a ataques de pre-computación4, por otro con un tamaño de clave mayor, como elgrupo 14:

# Configuración de una política IKE con un número de grupo bajo (como el 10),# inferior a 10.000, para que tenga preferencia sobre las políticas por defecto.(config) $# crypto isakmp policy 10(config-isakmp)$# version v2(config-isakmp)$# group 14(config-isakmp)$# authentication RSA-sig(config-isakmp)$# exit

# Asignación del grupo 14 a PFS.(config) $# crypto dynamic-map default-ikev2-dynamicmap 10000(config-dynamic-map) $# set pfs-group 14

Protección del plano de control (rate-limit)

La función de firewall integrada en las controladoras incluye varios mecanismos para limitar la tasa de tráfico quepuede llegar al plano de control, a través de cualquiera de las interfaces, utilizando el comando firewall cp-bandwidth-contract:

4 Ver https://weakdh.org/imperfect-forward-secrecy-ccs15.pdf.

2.2. Mecanismos de hardening 15

Device Hardening Documentation, Release 0.0.1

Orden Aplicación Valor pordefecto

firewall cp-bandwidth-contractauth <pps>

Tasa de tráfico permitida hacia el proceso de autenticación 976 pps

firewall cp-bandwidth-contractroute <pps>

Tasa permitida de paquetes que requieren generar un ARP. 976 pps

firewall cp-bandwidth-contractarp-traffic <pps>

Tasa de tráfico ARP (procesado por el control plane). 3906 pps

firewall cp-bandwidth-contractvrrp <pps>

Tase de tráfico VRRP (procesado por el control plane). 512 pps

firewall cp-bandwidth-contractl2-other <pps>

Tasa de tráfico de protocolos de nivel 2 (STP, LACP,LLDP...) (procesado por el control plane).

1953 pps

firewall cp-bandwidth-contractuntrusted-ucast <pps>

Tasa de unicast destinado a la controladora desde VLANsuntrusted.

9765 pps

firewall cp-bandwidth-contractsessmirr <pps>

Limita el tráfico de la funcionalidad session mirror. 976 pps

firewall cp-bandwidth-contracttrusted-mcast <pps>

Tasa de multicast destinado a la controladora desde VLANstrusted.

1953 pps

firewall cp-bandwidth-contracttrusted-ucast <pps>

Tasa de unicast destinado a la controladora desde VLANstrusted.

65535 pps

firewall cp-bandwidth-contractuntrusted-mcast <pps>

Tasa de multicast destinado a la controladora desde VLANsuntrusted.

1953 pps

firewall cp-bandwidth-contractuntrusted-ucast <pps>

Tasa de unicast destinado a la controladora desde VLANsuntrusted.

9765 pps

Nota: la descripción de interfaces trusted y untrusted se introduce más adelante en el apartado Propósito.

También pueden mitigarse varios ataques de flooding habituales (ARP, SYN, ICMP...) con el comando firewall attack-rate [arp|cp|grat-arp|ping|session|tcp-syn]. Ambas configuraciones, rate-limit y protección ante flooding, puedenconsultarse con el comando show firewall:

$# show running-config | include firewallBuilding Configuration...# ... lineas omitidasfirewall attack-rate cp 16384firewall attack-rate grat-arp 50 drop

# Los parámetros que tienen el valor por defecto no salen# en la configuración. Se pueden consultar explícitamente con "show firewall"$# show firewall

Global firewall policies------------------------Policy Action→˓ Rate Port------ ------→˓ ---- ----Monitor ping attack DisabledMonitor TCP SYN attack DisabledMonitor IP sessions attack DisabledMonitor ARP attack DisabledMonitor Gratuitous ARP attack Enabled→˓ 50/30secMonitor/police CP attacks Enabled→˓ 16384/30secRate limit CP untrusted ucast traffic Enabled→˓ 9765 pps

16 Chapter 2. Hardening de controladoras

Device Hardening Documentation, Release 0.0.1

Rate limit CP untrusted mcast traffic Enabled→˓ 3906 ppsRate limit CP trusted ucast traffic Enabled→˓ 65535 ppsRate limit CP trusted mcast traffic Enabled→˓ 3906 ppsRate limit CP route traffic Enabled→˓ 976 ppsRate limit CP session mirror traffic Enabled→˓ 976 ppsRate limit CP auth process traffic Enabled→˓ 976 ppsRate limit CP vrrp traffic Enabled→˓ 512 ppsRate limit CP ARP traffic Enabled→˓ 3906 ppsRate limit CP L2 protocol/other traffic Enabled→˓ 1953 pps

Protección del plano de control (ACL)

Además de limitar la tasa de paquetes de distintos protocolos al plano de control, se puede configurar una lista blancade acceso a diferentes protocolos en función de IP origen, con el comando firewall cp [ipv4|ipv6] [permit|deny][any|<ip> <mascara>] proto [ftp|http|https|icmp|snmp|ssh|telnet|tftp|<numero de protocolo> ports <puerto inicial>- <puerto final>].

Por ejemplo, denegar el acceso al servicio NTP de la controladora (UDP 123, número de protocolo IP de UDP: 17),se podría hacer con la regla:

(config) $# firewall cp(config-fw-cp) $# ipv4 deny any proto 17 ports 123 123

A cada una de las reglas puede asociarse también un contrato de ancho de banda que limite el caudal disponiblepara ese protocolo y origen de tráfico en particular. Los contratos de ancho de banda se definen con el comando cp-bandwidth-contract <nombre> pps <pps>, y se asocian al protocolo en la regla de firewall cp descrita anteriormente.

Los contratos de ancho de banda y las reglas configuradas pueden consultarse con los comandos show cp-bwcontractsy show firewall-cp:

$# show cp-bwcontracts

CP bw contracts---------------Contract Id Rate (packets/second)-------- -- ---------------------cpbwc-ipv4-syslog 15785 2016cpbwc-ipv6-ike 15799 2016cpbwc-ipv6-file-transfer 15797 8000cpbwc-ipv4-radius-ldap 15788 1024cpbwc-ipv6-dns 15802 128cpbwc-ipv6-dhcp 15803 1024

$# show firewall-cp

CP firewall policies--------------------IP Version Source IP Source Mask Protocol Start Port End Port Action→˓hits contract

2.2. Mecanismos de hardening 17

Device Hardening Documentation, Release 0.0.1

---------- --------- ----------- -------- ---------- -------- -------------- -→˓--- --------ipv6 any 17 49170 49200 Permit 0ipv4 any 17 1900 1900 Permit 0ipv4 any 17 5999 5999 Permit 0

El comando anterior no muestra todas las reglas aplicadas en la controladora, sino sólo las configuradas explícitamente.La controladora tiene una alrga lista de reglas por defecto que pueden enumerarse con show firewall-cp internal:

CP firewall policies--------------------IP Version Source IP Source Mask Protocol Start Port End Port Action→˓hits contract---------- --------- ----------- -------- ---------- -------- -------------- --→˓-- --------ipv4 any 6 1723 1723 Permit 0ipv4 any 17 1701 1701 Permit 0ipv4 any 6 23 23 Deny 0→˓ cpbwc-ipv4-telnetipv4 any 6 8084 8084 Deny 0ipv4 any 6 3306 3306 Deny 0# ... sigue

Control de acceso por interfaz

En ocasiones, se quiere realizar un control de acceso a la gestión diferente en función no sólo del origen del tráfico,sino de la interfaz / VLAN por la que llega. Por ejemplo, denegando cualquier tráfico de gestión que venga de unainterfaz conectada a Internet, sea cual sea su IP origen.

Para estos casos se pueden usar ACLs de interfaz. Generalmente se limitará el acceso a los puertos siguientes:

• 22 (SSH)

• 23 (telnet)

• 4343 (HTTPS)

El puerto 443 no se recomienda restringirlo, porque es el que usa el servicio de portal cautivo. En cualquier caso,para gestión, cualquier acceso al puerto 443 es inmediatamente redirigido al puerto 4343, así que no es necesariobloquearlo.

Nomenclatura de servicios

Típicamente, a cada puerto UDP/TCP se le asigna un nombre de servicio que se puede usar como un alias en lasACLs. Los puertos TCP 22 y 23 tienen nombres de servicio predefinidos en las controladoras (svc-ssh y svc-telnetrespectivamente), al puerto 4343 se recomienda asignarle también un nombre descriptivo, como svc-https-4343, conel comando netservice:

(config)$# netservice <servicio tcp 4343> tcp 4343

# Comprobacion en running-configshow run | include <servicio tcp 4343>Building configuration...netservice <servicio> tcp 4343

# Comprobacion con comando "show"$# show netservice <servicio tcp 4343>

18 Chapter 2. Hardening de controladoras

Device Hardening Documentation, Release 0.0.1

Services--------Name Protocol Ports ALG Type---- -------- ----- --- ----<servicio tcp 4343> tcp 4343

Subredes de gestión

Para facilitar la construcción de ACLs, se recomienda agrupar las subredes de gestión bajo un alias, con el comandonetdestination:

(config)$# netdestination <alias para el grupo de redes de gestion>(config-dest)$# network <subred> <mascara>

# ... repetir por cada subred de gestión

# Por ejemplo:(config)$# netdestination <alias gestion>(config-dest)$# network 10.0.100.0/26(config-dest)$# network 10.0.200.64/26

# ...

# Comprobación en running-config$# show run | begin "netdestination <alias gestion>"netdestination <alias gestion>network 10.0.100.0/26network 10.0.200.64/26

!

# Comprobacion con comando "show"$# show netdestination <alias gestion>

Name: <alias gestion>

Position Type IP addr Mask-Len/Range-------- ---- ------- --------------1 network 10.0.100.0 255.255.255.1922 network 10.0.200.64 255.255.255.192

ACL para bloque gestión

Las ACLs para limitar el acceso a la gestión pueden construirse con el comando ip access-list session <nombre deacl>*. El comando entra en un submodo donde se configura cada regla.

La sintaxis de las reglas es muy extensa y para más detalle se remite a la documentación. En este apartado simplementedaremos un ejemplo que autoriza el acceso a los puertos de gestión desde las redes incluidas en el alias creado antes,y deniega el resto. El alias localip identifica las direcciones IP locales:

(config) $# ip access-list session <nombre acl># Permitir SSH y HTTPS únicamente desde redes de gestión.# Origen Destino Servicio Accion# ----------------------- ------------- ------------------- ------(config-acl)$# alias <alias gestion> alias localip <servicio tcp 4343> permit(config-acl)$# alias <alias gestion> alias localip svc-ssh permit(config-acl)$# any alias localip <servicio tcp 4343> deny(config-acl)$# any alias localip svc-ssh deny(config-acl)$# any alias localip svc-telnet deny(config-acl)$# any any any permit

# comprobación de la ACL en running-config:

2.2. Mecanismos de hardening 19

Device Hardening Documentation, Release 0.0.1

$# show running-config | begin "ip access-list session <nombre-acl>"alias <alias gestion> alias localip <servicio tcp 4343> permitalias <alias gestion> alias localip svc-ssh permitany alias localip <servicio tcp 4343> denyany alias localip svc-ssh denyany alias localip svc-telnet deny

any any any permit

# Comprobación con comando "show"$# show ip access-list <nombre acl>

ip access-list session <nombre acl>NAT-GUEST---------Priority Source Destination Service Application Action-------- ------ ----------- ------- ----------- ------1 <alias gestion> localip tcp 4343 permit2 <alias gestion> localip tcp 22 permit3 any localip tcp 4343 permit4 any localip tcp 22 permit5 any localip tcp 23 permit6 any any any permit

Aplicación de ACL

Las controladoras tienen dos tipos de interfaces, trusted y untrusted, que se introducen en el apartado Propósito. Lalista de control de acceso anterior debe aplicarse a todas las interfaces trusted, en todas las VLANs trusted definidasen esa interfaz, con el comando ip access-group <nombre de acl> session vlan <numero de vlan>3:

(config) $# interface Gigabit <slot>/<modulo>/<puerto>(config-if) $# ip access-group <nombre de la ACL> session vlan <numero de vlan># Repetir para todas las VLANs trusted del puerto

ACL Para bloque de gestión (caso branch)

En el caso de las controladoras en modo branch, es posible ser más estricto con las ACLs:

• Las únicas interfaces trusted deben ser las correspondientes a los uplinks (WAN, ADSL).

• Los uplinks típicamente tendrán una única VLAN, y estarán en modo acceso.

• El único tráfico entrante que tiene que acceder a las controladoras a través de esas VLANS es el tráfico del túnelIPSEC.

Para el caso branch, la lista de control de acceso de interfaz puede hacerse más restrictiva, permitiendo sólo:

• DHCP (el direccionamiento de uplink de las Branches suele ser dinámico)

• ESP (IPSEC)

• UDP 500 y 4500 (IKE v2 / NAT-T)

• UDP 123 (NTP)

• UDP 53 (DNS) y TCP 80, 443 (HTTP/HTTPS) para la autoprovisión con Aruba Activate.

3 Esta funcionalidad requiere de la licencia PEFNG.

20 Chapter 2. Hardening de controladoras

Device Hardening Documentation, Release 0.0.1

Control de acceso a gestión (Clearpass)

Una alternativa complementaria para limitar el acceso remoto a gestión sólo a unas redes particulares, tanto paraentornos Master / Local como Branch, es el uso de Clearpass. Los intentos de autenticación de las controladorasincluyen el atributo Calling-Station-ID, con la dirección IP del dispositivo que intenta conectar:

El servicio de autenticación de Clearpass puede configurarse para que sólo autorice el acceso cuando esa direcciónpertenezca a los rangos de gestión autorizados.

• Dicha configuración conseguiría el efecto de bloquear el acceso a gestión utilizando cualquier protocolo e in-terfaz desde redes no autorizadas, independientemente del rol del usuario, en interfaces trusted y untrusted,siempre que la autenticación remota funcione.

• No sería efectiva si se pierde contacto con Clearpass, y no se ha deshabilitado el failover a autenticación localcon el comando mgmt-user localauth-disable.

Esta alternativa no requiere configuración particular en la controladora. La verificación de la configuración enClearpass pertenece a otro documento.

Banners

El banner de inicio de sesión se configura con la orden banner motd <delimitador> <texto>. El delimitador permitedefinir banners con múltiples líneas, por ejemplo:

(config)#$ banner motd %Este banner tiene multiples lineas.Al haber usado el simbolo de porcentaje como delimitador,el banner continua hasta que lo encuentre.%

$# show run | begin "banner motd"

2.2. Mecanismos de hardening 21

Device Hardening Documentation, Release 0.0.1

banner motd %"Sistema privado.""Prohibido el acceso."%!

$# show banner

Sistema privado.Prohibido el acceso.

Servicios de red

Resolución DNS

Las controladoras utilizan DNS para distintos propósitos:

• Resolver direcciones de servicios de infraestructura (Radius, syslog, airwave etc).

• Resolver nombres de host o dominio configurados en alias (netdestination), que se utilizan en listas de controlde acceso.

• Conectar a servicios cloud (Aruba Activate, BrightCloud, etc).

DNS se habilita o inhabilita a nivel global con el comando ip domain lookup:

# Si el comando no aparece en la configuración, está en su valor por defecto:→˓habilitado.$# show run | include "ip domain lookup"Building configuration...

# Se puede comprobar explícitamente con "show ip domain-name"$# show ip domain-name

IP domain lookup: EnabledIP Host.Domain name: <dominio local>

La lista de servidores DNS usados por la controladora se configuran con el comando ip name-server. El comandopuede repetirse varias veces para configurar múltiples servidores de nombres:

$# show run | include "ip name-server"Building configuration...ip name-server 8.8.8.8ip name-server 8.8.4.4

Sincronización NTP

La zona horaria se configura con clock timezone <nombre zona horaria> <offset respecto a UTC>:

$# Si no está configurada, la zona horaria por defecto es UTC +0$# show run | include "clock timezone"Building configuration...clock timezone CET +1

$# show clock timezone

22 Chapter 2. Hardening de controladoras

Device Hardening Documentation, Release 0.0.1

clock timezone CET +1

El ajuste automático de horario de verano se habilita con clock summer-time <nombre zona> recurring <fechacomienzo cambio> <fecha fin cambio> <offset utc>. Las fechas de comienzo y fin del cambio se pueden especificarcomo [first|last] <dia de la semana> <mes> <hora>, por ejemplo last sunday april 02:00, o last sunday october02:00:

$# Si no está configurado, no hay horario de verano.$# show run | include "clock summer-time"Building configuration...clock summer-time CEST last sunday april 02:00 last sunday october 02:00 02

$# show clock summer-time

clock summer-time CEST last sunday april 02:00 last sunday october 02:00 02

La lista de servidores NTP con los que la controladora se sincronizará se configura con el comando ntp server <direc-cion IP> [iburst] [key <key-id>] (puede repetirse varias veces para incluir más de un servidor):

$# show run | include "ntp server"Building configuration...ntp server <IP o FQDN del servidor NTP>

Si el servidor NTP requiere autenticación, es necesario:

• Activar autenticación NTP con la orden ntp authentication.

• Definir una clave de autenticación asociada a un key-ID, con el comando ntp authentication-key <key-ID> md5<hash MD5 de la clave>.

• Habilitar la clave como confiable con el parámetro ntp trusted-key <ID de la clave>

• Incluir el parámetro <key-ID> al configurar el servidor con la orden ntp server key <key-ID>

El estado actual de la configuración de autenticación puede comprobarse con show ntp status, y las claves NTPdefinidas, con show ntp authentication-keys:

$# show ntp authentication-keys

Key Id md5 secret-------- ----------<key-ID> ********

$# show ntp status

Authentication: enabled

No se puede marcar un servidor como preferente; la controladora elige el más adecuado en función del stratum y elretardo. La lista de servidores con los que ha sincronizado se puede obtener con el comando show ntp servers [brief].El servidor seleccionado estará marcado con un “*”:

$# show ntp servers

NTP Server Table Entries------------------------

Flags: * Selected for synchronization+ Included in the final selection set

2.2. Mecanismos de hardening 23

Device Hardening Documentation, Release 0.0.1

# Selected for synchronization but distance exceeds maximum- Discarded by the clustering algorithmn= mode is client

remote local st→˓ poll reach delay offset disp=========================================================================================================================================

*hora.rediris.es <ip de la controladora> 1→˓ 64 367 0.00371 -0.000063 0.07468

El tiempo durante el cual la controladora mantiene en caché la resolución DNS para el nombre de los servidoresRADIUS configurados con su FQDN es ajustable mediante la orden aaa dns-query-interval <minutos>:

# Si no está configurado, el intervalo por defecto es 15 minutos$# show run | include "aaa dns-query-interval"Building configuration...

# Se puede consultar el valor de este parametro con "show aaa dns-query-interval"$# show aaa dns-query-internal

DNS Query Interval 15 minutes

La controladora puede proporcionar a su vez servicio NTP a dispositivos conectados a algunas de sus VLANs. Elservicio NTP puede habilitarse o deshabilitarse con la orden [no] ntp standalone vlan-range <lista de vlans>:

#$ Si no está configurado, la controladora no actua de servidor NTPshow run | include "ntp standalone"Building configuration...ntp standalone vlan-range <lista de vlans>

Logging

Las controladoras permiten enviar el log a un servidor syslog externo utilizando el puerto UDP 514. Los servidores alos que la controladora enviará el log se configuran con el comando logging <ip address>.

Los logs que genera la controladora se agrupan en categorías, y estos a su vez en subcategorías y procesos. Por cadacategoría / subcategoría / proceso, es posible especificar el nivel de severidad mínimo.

Los mensajes sólo se enviarán al servidor si igualan o superan el nivel de severidad. La lista completa de severidades,categorías y subcategorías puede consultarse en la documentación del comando logging level.

• La facility que usará la controladora se puede configurar a nivel global con el comando logging facility <lo-cal0|local1|...|local7>.

• Las categorías y subcategorías se habilitan a nivel global con el comando logging level <nivel> <categoria>[subcat <subcategoria>] [process <proceso>]

La facility y niveles configurados a nivel global se listan con los comandos show logging facility y show logging levelverbose:

$# show logging facility

Remote Logging Facility is local7

$# show logging level verbose

LOGGING LEVELS

24 Chapter 2. Hardening de controladoras

Device Hardening Documentation, Release 0.0.1

--------------Facility Level Sub Category Process-------- ----- ------------ -------arm warnings N/A N/Anetwork warnings N/A N/Asecurity warnings N/A N/Asecurity debugging N/A authmgrsecurity debugging N/A cryptosecurity warnings ids N/Asecurity warnings ids-ap N/Asecurity debugging ike cryptosystem warnings N/A N/Asystem debugging N/A bocmgruser debugging N/A N/Auser informational radius aaawireless warnings N/A N/A

Los servidores de logging se configuran con el comando logging <servidor de syslog>, que permite los siguientesparámetros para cada servidor:

Opcion Propósito Valor por defectofacility <lo-cal0|...|local7>

Facility para este servidor particular. Valor global establecidopor logging facility.

level <nivel> Nivel mínimo de severidad para este servidor. Valor global establecidopor logging level.

type<categoria>

Categoría de eventos a enviar a este servidor. Puede repetirse laorden varias veces, para incluir varias categorias distintas.

Todas las categoríasactivas.

format [cef] Activar formato de log CEF ArcSight No habilitado.bsd-standard Usar formato BSD (RFC 3164) No habilitado.

Los servidores de logging configurados, y sus parámetros, pueden listarse con show logging server:

# La lista de servidores de logging se puede recuperar con "show logging server"$# show run | include loggingBuilding configuration...# ... lineas omitidaslogging 10.100.1.30 facility local2 type user

$# show logging server

Remote Server: 10.100.10.30

FACILITY MAPPING TABLE----------------------local-facility severity remote-facility CEF Format BSD RFC 3164 Compliance-------------- -------- --------------- ---------- -----------------------user All local2 Disabled Disabled

SNMP

Las controladoras soportan SNMP v1, v2c y v3. La versión de SNMP no es configurable. Por defecto, la contro-ladora responde a peticiones en cualquier versión. Sólo está disponible acceso SNMP de lectura (no escritura). Lasconfiguraciones relacionadas con SNMP que soporta la controladora son:

2.2. Mecanismos de hardening 25

Device Hardening Documentation, Release 0.0.1

Configuración Propósito Comando“show”

hostname <nombre de host> Hostname SNMP show hostnamesyscontact <contacto> Contacto SNMP show

syscontactsyslocation <ubicacion> Ubicación SNMP show

syslocationsnmp-server community <community v2c> Community SNMP (v2c) show snmp

communitysnmp-server engine-id <engine SNMPv3> Engine ID SNMPv3 show snmp

enginesnmp-server enable trap Habilitar o deshabilitar el envío

de traps.N/A

snmp-server trap [enable|disable] <trap> Activar o desactivar el envío deun trap particular.

show snmptrap-list

snmp-server host ipaddr version [1|2c|3] <direccion IP>[udp-port <puerto UDP>]

Dirección y puerto receptor traps N/A

snmp-server trap source <dirección IP> IP origen para el envío de lostraps

N/A

snmp-server user name <password> [auth-prot {md5|sha}priv-prot DES <password>]

Credenciales de usuario(SNMPv3)

show snmpuser-table

La lista completa de traps disponibles debe obtenerse desde la controladora, ya que depende de la versión particularde software y sus MIBs. El comando para enumerar los traps disponibles es show snmp trap-list.

Los parámetros no tienen valores por defecto, si no aparecen en la configuración entonces la funcionalidad correspon-diente no está habilitada. Puede comprobarse la configuración de los parámetros relacionados con SNMP mediantelos comandos show snmp community, show snmp trap-host, show snmp user-table:

$# show hostname

Hostname is ArubaMadrid

$# show sycontact

Syscontact is not configured

$# show syslocation

Location is not configured

$# show snmp community

SNMP COMMUNITIES----------------COMMUNITY ACCESS VERSION--------- ------ -------

**** READ_ONLY V1, V2c

**** READ_ONLY V1, V2c

$# show snmp engine-id

SNMP engine ID: 000039e7000000a1c34db92d (Factory Default)

$# show snmp trap-host

SNMP TRAP HOSTS

26 Chapter 2. Hardening de controladoras

Device Hardening Documentation, Release 0.0.1

---------------HOST VERSION SECURITY NAME PORT TYPE TIMEOUT RETRY---- ------- ------------- ---- ---- ------- -----10.1.2.3 v2c ***** 161

$# show snmp trap-list

SNMP TRAP LIST--------------TRAP-NAME CONFIGURABLE ENABLE-STATE--------- ------------ ------------authenticationFailure Yes EnabledcoldStart Yes EnabledlinkDown Yes EnabledlinkUp Yes Enabled# ... lineas omitidas

$# show snmp user-table

SNMP USER TABLE---------------USER AUTHPROTOCOL PRIVACYPROTOCOL FLAGS---- ------------ --------------- -----AirWave SHA DES

Interfaces

Propósito

Las interfaces físicas de la controladora, a efectos de seguridad, se clasifican en dos tipos:

• untrusted: Típicamente son las interfaces de acceso. A todos los dispositivos conectados a estas interfaces (atodas las MACs aprendidas) se les asigna un rol.

El modo de asignar el rol al usuario es flexible: pueden usarse reglas de derivación por algunos atributos delendpoint (VLAN , IP, MAC), o puede usarse autenticación (por MAC, 802.1X, portal cautivo...).

En cualquier caso, el rol es lo que determina las reglas de firewall que aplican al dispositivo. La naturalezadel rol es la de una lista blanca: Todo lo que no esté explícitamente permitido por el rol, está implícitamentedenegado.

• trusted: Típicamente son las interfaces de infraestructura, que conectan al datacenter, la WAN o Internet. A losdispositivos conectados a estas interfaces no se les asignan roles. Las reglas de firewall que se les aplican eneste caso son las configuradas en la ACL de la interfaz, si existe.

A su vez, una interfaz trusted puede tener una o varias VLANs trusted, si está en modo 802.1Q. Si no hay unaACL configurada en la interfaz o en la VLAN, todo el tráfico está autorizado.

Como se introduce en el apartado de Control de acceso por interfaz, las reglas de hardening se aplican a las interfacestrusted. En las interfaces untrusted aplican los roles que se hayan definido para cada tipo de usuario o dispositivo.

Para enumerar las interfaces activas y sus propiedades, se usan los comandos show port y show interface gigabit<slot>/<modulo>/<puerto>:

# Enumeración de las interfaces de la controladora.# Los puertos "PC" son PortChannels$# show port status

2.2. Mecanismos de hardening 27

Device Hardening Documentation, Release 0.0.1

Port Status-----------Slot-Port PortType AdminState OperState PoE Trusted SpanningTree PortMode→˓Speed Duplex SecurityError--------- -------- ---------- --------- --- ------- ------------ -------- ----→˓- ------ -------------0/0/0 GE Enabled Up N/A Yes Disabled Trunk 1→˓Gbps Full No0/0/1 GE Enabled Up N/A Yes Disabled Access 100→˓Mbps Full No0/0/2 GE Enabled Down N/A Yes Disabled Access→˓Auto Auto No0/0/3 GE Enabled Down N/A Yes Disabled Access→˓Auto Auto No0/0/4 GE Enabled Down N/A N/A N/A PC7→˓Auto Auto No0/0/5 GE Enabled Down N/A N/A N/A PC7→˓Auto Auto NoPC7 PC Enabled Down N/A Yes Disabled Access N/A→˓ N/A No

# Para averiguar los puertos trusted:$# show port trusted

GE <slot>/<modulo>/<puerto1>GE <slot>/<modulo>/<puerto2>...

# Para enumerar las VLANs trusted en esos puertos$# show interface gigabit <slot>/<modulo>/<puerto1> trusted-vlan

Name: GE<slot>/<modulo>/<puerto1>Trusted Vlan(s)1-4094

# Para averiguar cuales de las trusted VLANs estan activas en el puerto:# show interfaces gigabit <slot>/<modulo>/<puerto> switchport## Ejemplo puerto en "Operational Mode: Access": Una sola VLAN# La VLAN a proteger es la identifica en "Access Mode VLAN:"$# show interfaces gigabit 0/0/13 switchport

Name: GE0/0/1Switchport: EnabledAdministrative mode: static accessOperational mode: static accessAdministrative Trunking Encapsulation: dot1qOperational Trunking Encapsulation: dot1qAccess Mode VLAN: 30 (VLAN0030)Trunking Native Mode VLAN: 1 (Default)Trunking Vlans Enabled: NONETrunking Vlans Active: NONE

# Ejemplo puerto en "Operational mode: trunk" (802.1Q)# Varias VLANs a proteger: Todas las de "Trunking VLANs Active:"$# show interfaces gigabit 0/0/0 switchport

Name: GE0/0/0

28 Chapter 2. Hardening de controladoras

Device Hardening Documentation, Release 0.0.1

Switchport: EnabledAdministrative mode: trunkOperational mode: trunkAdministrative Trunking Encapsulation: dot1qOperational Trunking Encapsulation: dot1qAccess Mode VLAN: 0 ((Inactive))Trunking Native Mode VLAN: 255 (VLAN0255)Trunking Vlans Enabled: 1-998,1000-4094Trunking Vlans Active: 1-12,99-103,211,254-255

Desactivación

Las interfaces que no estén en uso pueden desactivarse con un shutdown estándar dentro de la configuración de lainterfaz:

# Comprobacion de estado de interfaz en show running$# show running | begin "<slot>/<modulo>/<puerto>"Building configuration...interface gigabitethernet <slot>/<modulo>/<puerto>

description "GE0/0/3"shutdowntrustedtrusted vlan 1-4094

!

# Comprobacion mediante show port status: admin state = Disabled$# show port status

Port Status-----------Slot-Port PortType AdminState OperState PoE Trusted SpanningTree PortMode→˓Speed Duplex SecurityError--------- -------- ---------- --------- --- ------- ------------ -------- ----→˓- ------ -------------# ... lineas omitidas0/0/3 GE Disabled Down N/A Yes Disabled Access→˓Auto Auto No# ... lineas omitida

Etiquetado

A cada interfaz puede asignársele un nombre descriptivo con el parámetro description dentro de la configuración de lainterfaz:

# Comprobacion de descripción de interfaz en show running$# show running | begin "<slot>/<modulo>/<puerto>"Building configuration...interface gigabitethernet <slot>/<modulo>/<puerto>

description "pruebas shutdown"shutdowntrustedtrusted vlan 1-4094

!

# Comprobacion mediante show interface

2.2. Mecanismos de hardening 29

Device Hardening Documentation, Release 0.0.1

$# show interface gigabit <slot>/<mod>/<puerto># ... lineas omitidasDescription: pruebas shutdown (Fiber Connector)# ... lineas omitidas

30 Chapter 2. Hardening de controladoras

31

Device Hardening Documentation, Release 0.0.1

CHAPTER 3

Hardening switches MAS

Nombre del dispositivo y resolución DNS

Autentificación remota de administradores

Robustez de las contraseñas de usuarios administradores locales

Restricción usuario administrador por defecto

Intentos fallidos de inicio de sesión de un administrador

Tiempo de inactividad de sesiones de administración

Banners de acceso a la administración del dispositivo

Sincronización de reloj con una fuente externa confiable

Registro de actividades y eventos (logging)

Deshabilitar los interfaces no utilizados

Descripción en los interfaces utilizados

Protocolos de gestión accesibles en cada interface

Protección del acceso SNMP

Acceso a la gestión del dispositivo limitado utilizando ACLs

Acceso al dispositivo desde el exterior limitado utilizando ACLs

Cifrados débiles en los protocolos de gestión (TLS < 1.2, SSH < v2)

32 Chapter 3. Hardening switches MAS

CHAPTER 4

Hardening de switches HPE

Configuraciones

Introducción

Este documento no es un manual de configuración ni sustituye a las guías de usuario. Su objetivo es servir al equipode seguridad de la empresa como una referencia para:

• Identificar las funcionalidades de hardening que soportan los equipos,

• Expresar las políticas de seguridad en forma de parámetros de configuración para esas funcionalidades,

• Verificar de forma automática que esas configuraciones están aplicadas.

Acceso a la CLI

Para tener acceso remoto a la CLI del switch, es necesario utilizar un cliente telnet o SSH v2. Por defecto, la CLIsoporta dos roles de usuario, manager y operator, asociados al usuario que inicia sesión.

• El rol manager es el equivalente al modo enable en otros equipos. Proporciona acceso completo de lectura /escritura y es el rol por defecto.

• El rol operator es el rol de sólo lectura / acceso limitado, que permite acceder únicamente a comandos show,contadores, y herramientas sencillas de troubleshooting (ping, traceroute, etc).

El switch incluye dos usuarios predefinidos, manager y operator, asociados a los respectivos roles anteriores, y sincontraseña. Los nombres de usuario y passwords predefinidos se pueden cambiar, así como añadir nuevos usuarios ynuevos roles. Estas funcionalidades se detallan en el apartado Acceso administrativo.

Copia de configuración

La configuración local del switch puede enviarse a un servidor SFTP o TFTP externo, mediante el comando copy:

33

Device Hardening Documentation, Release 0.0.1

# Copia de configuración activa a servidor SFTP.# Este comando solicita el password del usuario SFTP interactivamente.$# copy running-config sftp: user <usuario> <host> <filename>

Credenciales en la configuración

Las credenciales almacenadas en el switch (passwords de usuario, secretos radius, communities SNMP, etc) puedenincluirse o no al hacer un volcado de la configuración. Si se incluyen, pueden listarse en texto plano o cifradas. Elcompartimiento es configurable mediante dos comandos.

Comando Efectoinclude-credentials Incluye las credenciales al mostrar la configuración, exportarla o copiarla.encrypt-credentials Cifra las credenciales mostradas en la configuración

A su vez, include-credentials puede estar activo pero no habilitado, porque haya estado habilitado antes y se hayadesactivado sin haber grabado la configuración o sobreescrito las credenciales.

En función del estado de estos comandos, el comportamiento del switch es distinto y se resume en la siguiente tabla:

encrypt-credentials utiliza una clave secreta que por defecto es igual para todos los switches, para facilitar el backupy el copy-paste de configuración. La clave puede cambiarse, pero en ese caso debería cambiarse en todos los switchessusceptibles de ser gestionados por las mismas herramientas.

El estado de include-credentials y encrypt-credentials puede comprobarse con los comandos:

$# show include-credentials

Stored in Configuration : YesEnabled in Active Configuration : Yes

34 Chapter 4. Hardening de switches HPE

Device Hardening Documentation, Release 0.0.1

$# show encrypt-credentials

Encryption : DisabledPre-shared Key: none

Mecanismos de hardening

Acceso administrativo

Los switches tienen tres interfaces de gestión: consola local, consola remota sobre telnet/SSH, e interfaz web sobreHTTP/HTTPS. Por defecto, están habilitados los protocolos inseguros (telnet, http). Los protocolos inseguros puedenreemplazarse por sus versiones seguras (SSH, HTTPS) (access_security_guide):

# La presencia de este comando indica que se ha desactivado telnet$# show running-config | include telnet-serverno telnet-server

# SSH está inhabilitado por defecto con el comando "no ip ssh".# Cuando se activa ssh, dicho comando desaparece de la configuración.# Para comprobar el estado de SSH, puede usarse "show ip ssh":$# show ip ssh

SSH Enabled : Yes Secure Copy Enabled : NoTCP Port Number : 22 Timeout (sec) : 120Host Key Type : RSA Host Key/Curve Size : 2048

Ciphers : aes256-ctr,aes256-cbc,rijndael-cbc@lysator.liu.se,aes192-ctr,aes192-cbc,aes128-ctr,aes128-cbc,3des-cbc

MACs : hmac-sha1-96,hmac-md5,hmac-sha1,hmac-md5-96

Ses Type | Source IP Port--- -------- + ---------------------------------------------- -----1 console |2 inactive |3 inactive |4 inactive |5 inactive |6 inactive |7 inactive |

# La presencia de este comando indica que se ha desactivado HTTP (puerto 80)$# show running-config | include web-managementno web-management

# La presencia de estos comandos indica que se ha habilitado la# interfaz web HTTPS (puerto 443)$# show running-config | include web-managementno web-managementweb-management ssl

# El estado de la interfaz web puede consultarse con "show web-management"$# show web-management

Web Management - Server Configuration

4.2. Mecanismos de hardening 35

Device Hardening Documentation, Release 0.0.1

HTTP Access : DisabledHTTPS Access : EnabledSSL Port : 443Idle Timeout : 600 secondsManagement URL : http://h17007.www1.hpe.com/device_helpSupport URL : https://www.hpe.com/us/en/networking.htmlUser Interface : Improved

Roles y grupos

En cualquiera de las interfaces de gestión, los switches reconocen dos roles por defecto:

rol Privilegiosman-ager

Acceso total. Rol por defecto.

opera-tor

Acceso limitado (estado del equipo, contadores, comandos sencillos de troubleshooting como ping,tracert, etc)

Los dos roles por defecto existen en todos los switches y no necesitan ni admiten configuración de permisos (no sepueden modificar los permisos asociados a cada rol).

Además de estos roles predefinidos, el switch soporta hasta 64 grupos configurables. Los grupos son la base delmecanismo de RBAC (Role Based Access Control) soportado por estos switches, que permite limitar los comandos alos que tiene acceso un usuario.

Cada grupo permite definir una lista de reglas que controlan el acceso a diferentes apartados de la configuración delswitch:

Alcance Ejemplos de reglas del grupoComandos particulares command:ping command:configure command:interface;shutdownCualquier acción sobre VLANs policy:vlan:100 policy:vlan:101-103Cualquier acción sobre interfaces policy:interface:5 policy:interface:5-6,9-11Bloques completos de funcionalidades feature:rwx:ospf feature:r:radius

Cuando RBAC está activo, cada usuario (excepto los predefinidos) tiene asociado uno de estos grupos, que determinaqué está autorizado a hacer en el switch. La información detallada sobre las políticas posibles debe consultarse en elmanual access_security_guide, en el capítulo dedicado a RBAC.

El switch incluye 16 grupos preconfigurados para usar con RBAC, Level-0 hasta Level-15. Los permisos asociados acada grupo son modificables, y pueden listarse con el comando show authorization group:

$# show authorization group

Local Management Groups - Authorization Information

Group Name : default-security-groupGroup Privilege Level : 19

Users----------------

Seq. Num. | Permission Rule Expression Log---------- + ---------- ------------------------------------------ -------1 | Permit security-log Disable

Group Name : Level-0Group Privilege Level : 20

36 Chapter 4. Hardening de switches HPE

Device Hardening Documentation, Release 0.0.1

Users----------------

Seq. Num. | Permission Rule Expression Log---------- + ---------- ------------------------------------------ -------999 | Permit command:ping * Disable1000 | Permit command:ping6 * Disable1001 | Permit command:traceroute * Disable1002 | Permit command:traceroute6 * Disable1003 | Permit command:ssh * Disable1004 | Permit command:telnet * Disable1005 | Deny .* Disable

Group Name : Level-1Group Privilege Level : 21

# Resto de salida omitido...

Sin embargo, RBAC no está activo por defecto. Estará activo si existe el siguiente comando en la configuración(access_security_guide):

# El comando "aaa authorization commands" indica que RBAC está activo en el switch.# Lo habitual es que esté configurado como "auto", para que use el mismo# mecanismo de autorización que se haya usado para la autenticación:## - Autenticación local: grupos locales.# - Autenticación por Radius: grupo asignado por Radius.# - Autenticación por TACACS: comandos autorizados por TACACS.#$# show running-config | include "authorization commands"aaa authorization commands auto

# Puede comprobarse el estado de RBAC con$# show authorization

Status and Counters - Authorization Information

Access Level Requiring Authorization : All

Type | Method-------- + ------Commands | Auto

Cuando un usuario inicia sesión, se le asigna un rol y, si RBAC está activo, un grupo. Tanto el estado de RBAC comoel rol y el grupo al que pertenece el usuario determinan sus permisos:

• Si el usuario es uno de los Usuarios predefinidos,

– Puede acceder por línea de comandos o web.

– Tiene el nivel de acceso que corresponda a su rol predefinido, manager u operator.

– No tiene grupo, no está limitado por RBAC.

• Si el usuario es uno de los Usuarios locales,

– Puede acceder por línea de comandos - no por web.

– Tiene el rol manager.

4.2. Mecanismos de hardening 37

Device Hardening Documentation, Release 0.0.1

– Si RBAC está activo, tiene un grupo asignado al usuario en la configuración, que limita los comandos quepuede utilizar (a pesar de tener rol de manager).

• En el caso de Usuarios remotos, son los atributos RADIUS los que determinan el rol y el grupo.

– Si RBAC no está activo, las decisiones de acceso se basan sólo en el rol (operator / manager).

– Si RBAC está activo, las decisiones se basan en rol y grupo, igual que para los usuarios locales.

– Si el rol asignado es operator, el grupo no aplica.

Usuarios predefinidos

Por cada uno de los roles predefinidos, operator y manager, existe en el switch un único usuario predefinido. Estosusuarios predefinidos tienen acceso tanto a la línea de comandos como a la interfaz web. Por defecto, son:

• usuario manager, asociado al rol manager y sin contraseña inicial.

• usuario operator, asociado al rol operator y sin contraseña inicial.

El nombre del usuario asociado a cada rol predefinido, y su contraseña, se modifican con el comando de configuraciónpassword:

# Lista de usuarios de gestión en la configuración activa$# show running-config | include passwordpassword operator user-name "operator" sha1 "ca5f9f6e41b239d8a99b700f**************"password manager user-name "manager" sha1 "ca5f9f6e41b239d8a99b700f8**************""

Si está activo el hash de contraseñas SHA-256, el formato del comando cambia ligeramente:

$# show running-config | include passwordpassword operator user-name "operator" sha256→˓"d847a0a3e56ed1f2badea6afc81f024b5c76954057dbfd3684************"password manager user-name "admin" sha256→˓"d847a0a3e56ed1f2badea6afc81f024b5c76954057dbfd36842dcd************"password non-plaintext-sha256

El hash de contraseñas SHA256 *no es compatible con las Políticas de complejidad, ni tampoco se soporta en switchescon versiones de software anteriores a 16.02.0018.

Los roles y usuarios predefinidos no pueden borrarse. Si se borra el password de uno de estos usuarios, equivale apermitir acceso sin credenciales desde la consola a ese usuario.

Por este motivo se aconseja:

• Cambiar los nombres de usuario por defecto

• Asignar un password a ambos usuarios / roles.

Usuarios locales

Además de los usuarios predefinidos para los roles manager y operator, el switch admite crear usuarios locales. Estosusuarios sólo tienen acceso a la línea de comandos.

Cada usuario local puede tener varios atributos:

Atributo Descripcióngroup Grupo al que pertenece el usuario.min-pwd-length Longitud minima del password, particular para este usuario.aging-period Caducidad de la cuenta, particular para este usuario.

38 Chapter 4. Hardening de switches HPE

Device Hardening Documentation, Release 0.0.1

Los usuarios locales siempre tienen asignado un grupo (ver Roles y grupos), aunque las restricciones asociadas elgrupo sólo aplican si RBAC está activo. En otro caso, lo que aplica es el rol del usuario, que siempre es manager.

Las políticas de complejidad y expiración de passwords configuradas en el usuario complementan a las Políticas decomplejidad globales.

Los usuarios locales configurados en el switch, y sus políticas, se pueden extraer de la configuración:

show running-config | include "authentication local-user"aaa authentication local-user "test" group "Level-1" password sha256→˓"d847a0a3e56ed1f2badea6afc81f024b5c76954057dbfd36842dcd**********"aaa authentication local-user "priv" group "Level-15" password sha256→˓"d847a0a3e56ed1f2badea6afc81f024b5c76954057dbfd36842dc**********"

Políticas de complejidad

El switch permite definir múltiples parámetros para la política de contraseñas de usuarios locales:

Parámetro Descripciónpasswordconfiguration-control

Habilita el uso de medidas de password-complexity y composition. Debe estar activopara que el resto de comandos funcione.

password complexityrepeat-char-check

Prohibe más de tres caracteres repetidos.

password complexityrepeat-password-check

Prohibe passwords repetidos.

password complexityuser-name-check

Prohibe la inclusión del nombre de usuario o su inverso.

password complexity all Habilita todos los checks anteriores.password compositionlowercase

Número mínimo de minúsuculas, 2 - 15.

password compositionuppercase

Número mínimo de mayúsculas, 2 - 15.

password compositionspecialcharacter

Número mínimo de caracteres especiales, 2 - 15.

password compositionnumber

Número mínimo de dígitos, 2 - 15.

passwordminimum-length

Longitud mínima del password. 15 - 64 cuando complexity está habilitado, 0-64 enotro caso.

password configuration Habilita el uso de medidas de password aging, logon y history. Debe estar activo paraque el resto de comandos funcione.

password configurationaging

Habilita la comprobación de caducidad de passwords.

password configurationaging-period

Caducidad aplicada a los passwords, 90 días por defecto.

password configurationhistory

Habilita almacenar un histórico de passwords anteriores.

password configurationhistory-record

Tamaño del histórico de passwords anteriores

password configurationupdate-interval-time

Tiempo mínimo entre cambios de password.

password configurationalert-before-expiry

Configura un periodo de preaviso al usuario antes de que caduque su contraseña.

password configurationexpired-user-login

Configura un periodo de gracia después de la caducidad de la contraseña, y unnúmero máximo de intentos de autenticación durante ese periodo de gracia.

4.2. Mecanismos de hardening 39

Device Hardening Documentation, Release 0.0.1

La referencia completa de estos comandos puede consultarse en la Access Security Guide de la versión correspondiente(access_security_guide). El estado de la configuración puede obtenerse con el comando show password-configuration:

$# show password-configurationGlobal password control configuration

Password control : DisabledPassword history : DisabledNumber of history records : 8Password aging : DisabledAging time : 90 daysEarly notice on password expiration : 7 daysMinimum password update interval : 24 hoursExpired user login : 3 login attempts in 30 daysPassword minimum length : 0User login details checking : EnabledPassword composition

Lower case : 2 charactersUpper case : 2 charactersSpecial character : 2 charactersNumber : 2 characters

Repeat password checking : DisabledUsername checking : DisabledRepeat characters checking : Disabled

Usuarios remotos

La autenticación remota puede realizarse contra RADIUS, utilizando grupos ordenados de servidores de autenticación.Los switches soportan dos mecanismos de validación de credenciales por Radius:

• PAP: Las credenciales del usuario van en texto plano dentro del paquete Radius.

• EAP-MsCHAPv2: Se usa EAP-MsCHAPv2 para validar las credenciales del usuario sin necesidad de enviarlasen texto plano.

En caso de pérdida de conectividad con los servidores radius, se puede establecer un método secundario de autenti-cación:

• local: autenticación contra Usuarios locales

• none: sin método secundario de autenticación

• authorized: acceso permitido sin nombre de usuario ni contraseña.

Pueden asignarse distintos mecanismos de autenticación primario y secundario en función de:

• El protocolo de acceso: consola, telnet, ssh y web.

• El nivel de acceso: login (shell no privilegiado) o enable (shell privilegiado)

La creación de los server groups está fuera del alcance de este documento. Los server-groups se asignan a cadaprotocolo y tipo en los comandos aaa authentication [console|telnet|ssh|web] [login|enable] [radius|peap-mschapv2]server-group <nombre del server-group> [local|none|authorized]:

$# show running-config | include "aaa authentication"aaa authentication telnet login radius server-group "rad-group" localaaa authentication telnet enable radius server-group "rad-group" localaaa authentication web login peap-mschapv2 server-group "rad-group"aaa authentication web enable peap-mschapv2 server-group "rad-group"

40 Chapter 4. Hardening de switches HPE

Device Hardening Documentation, Release 0.0.1

# La configuración de autenticación de los protocolos "Console",# "Telnet", "Webui" y "SSH" pueden consultarse con el comando:$# show authentication

Status and Counters - Authentication Information

Login Attempts : 3Lockout Delay : 0Respect Privilege : DisabledBypass Username For Operator and Manager Access : Disabled

| Login Login LoginAccess Task | Primary Server Group Secondary-------------- + ----------- ------------ ----------Console | Local NoneTelnet | Radius rad-group LocalPort-Access | Local NoneWebui | PeapRadius rad-group NoneSSH | Local NoneWeb-Auth | ChapRadius radius NoneMAC-Auth | ChapRadius radius NoneSNMP | Local NoneLocal-MAC-Auth | Local None

| Enable Enable EnableAccess Task | Primary Server Group Secondary-------------- + ----------- ------------ ----------Console | Local NoneTelnet | Radius rad-group LocalWebui | PeapRadius rad-group NoneSSH | Local None

El proceso de control de acceso es:

• Las intentos de inicio de sesión se autentican contra el grupo de servidores definido para el protocolo correspon-diente (consola, telnet, ssh, web) y el tipo de autenticación login. Radius devuelve un rol y, opcionalmente, ungrupo.

• Si está configurado “Respect Privilege” en el switch, y el usuario tiene rol manager, accede directamente al shellde manager. En otro caso, accede al shell de operador.

• Desde el shell de operador, el usuario puede ejecutar enable para acceder al shell de manager.

• Las credenciales de enable se autentican contra el grupo de servidores definidos para el protocolo correspondi-ente (consola, telnet, ssh, web) y tipo de autenticación enable

• Si el usuario tiene rol manager, accede al shell de manager. En otro caso, se rechaza el acceso.

• Si está habilitado RBAC (ver ref:roles_grupos), aunque el usuario tenga rol de manager y esté en la shell demanager, las acciones que puede ejecutar están limitadas por el grupo asignado por el Radius.

# Bloque de configuración que activa la autenticación por servidor remoto.$# show run | begin "aaa authentication mgmt"aaa authentication mgmt

default-role "<rol por defecto, si Radius/Tacacs no asigna ninguno>"server-group "<grupo de servidores Radius>"enable

!

# El estado de la autenticación remota se puede consultar explícitamente con:

4.2. Mecanismos de hardening 41

Device Hardening Documentation, Release 0.0.1

$# show aaa authentication mgmt

Management Authentication Profile---------------------------------Parameter Value--------- -----Default Role no-accessServer Group RADIUS_srvgrpEnable YesMSCHAPv2 Disabled

aaa authentication login privilege-mode

El servidor remoto debe asignar el rol del usuario administrador mediante una VSA reconocida (Aruba-Admin-Role).En caso contrario, el usuario adquiere el rol configurado con la opción default-role. Es aconsejable que ese rol pordefecto sea no-access.

Si el repositorio de autenticación lo admite, es posible utilizar MsCHAPv2 para la autenticación remota, de forma quelas credenciales de usuario no vayan en claro (PAP) en el mensaje RADIUS. Esta medida no es necesaria si se utilizaTACACS para la autenticación.

Para activar mchapv2, se utiliza la opción mchapv2 del bloque de configuración aaa authentication mgmt:

$# show run | begin "aaa authentication mgmt"aaa authentication mgmt

# (Lineas omitidas ...)mchapv2

!

# El estado de la autenticación remota se puede consultar explícitamente con:$# show aaa authentication mgmt

Management Authentication Profile---------------------------------Parameter Value--------- -----# (Lineas omitidas...)MSCHAPv2 Enabled

Password recovery

Los switches HPE-Aruba tienen dos mecanismos de password recovery:

• Mediante el botón “Clear” en el frontal (Clear Password). Este botón restablece las cuentas de los usuariospredefinidos (manager, operator) y les borra el password, lo que permite acceder a la consola sin contraseña, ymanteniendo el resto de la configuración del equipo intacta.

• Mediante contraseñas de un sólo uso generadas por el TAC, a partir de la MAC del equipo (Password Recovery).

El estado de los mecanismos puede consultarse con show front-panel security:

$# show front-panel-securityClear Password - Enabled

Reset-on-clear - DisabledFactory Reset - EnabledPassword Recovery - Enabled

42 Chapter 4. Hardening de switches HPE

Device Hardening Documentation, Release 0.0.1

La capacidad de restablecer las contraseñas de administrador tan sólo con el botón de Clear puede desactivarse con elcomando:

$(config)# no front-panel-security password-clear

Reintentos de login

El switch permite definir un tiempo de bloquea durante el cual no se permite al usuario reintentar el login, después dehaber fallado un número de veces consecutivas.

El número máximo de reintentos, y el tiempo de lockout, se definen a nivel global con los comandos aaa authenticationnum-attempts [intentos] y aaa authentication lockout-delay [segundos]:

$# show run | include "aaa authentication"aaa authentication num-attempts 5aaa authentication lockout-delay 30# Resto de salida omitido...

$# show authentication

Login Attempts : 5Lockout Delay : 30# Resto de salida omitido...

Tiempo de inactividad

El tiempo de inactividad de sesiones se establece globalmente con la orden console idle-timeout [0-7200 segundos].Adicionalmente, es posible especificar un segundo tiempo de inactividad específico para la consola, con console idle-timeout serial-usb [0-7200 segundos]:

$# show run | include "idle-timeout"

console idle-timeout 900console idle-timeout serial-usb 1200

En ese caso, la configuración puede validarse mediante la orden show console:

$# show console

#... texto omitidoGlobal Session Idle Timeout (sec) [0] : 900Serial/USB Console Idle Timeout (sec) [not set/900] : 1200

La interfaz web utiliza un tiempo de inactividad distinto configurable mediante la orden web-management idle-timeout[120-7200 segundos], que tiene un valor por defecto de 600 segundos. Puede validarse con la orden show web-management:

$# show web-management

Web Management - Server Configuration

HTTP Access : EnabledHTTPS Access : DisabledIdle Timeout : 600 secondsManagement URL : http://h17007.www1.hpe.com/device_helpSupport URL : http://www.arubanetworks.com/products/networking/

4.2. Mecanismos de hardening 43

Device Hardening Documentation, Release 0.0.1

User Interface : ImprovedListen Mode : data

Suites de cifrado

El acceso por gestión a SSH admite diversas suites de cifrado y algoritmos de MAC. Las suites y MACs habiltadaspueden validarse con el comando show ip ssh:

$# show ip ssh

SSH Enabled : Yes Secure Copy Enabled : NoTCP Port Number : 22 Timeout (sec) : 120Host Key Type : RSA Host Key/Curve Size : 2048

Ciphers : aes256-ctr,aes256-cbc,rijndael-cbc@lysator.liu.se,aes192-ctr,aes192-cbc,aes128-ctr,aes128-cbc,3des-cbc

MACs : hmac-sha1-96,hmac-md5,hmac-sha1,hmac-md5-96

# Resto de salida omitida...

Los ciphers y MACs particulares pueden deshabilitarse con los comandos no ip ssh cipher [aes256-ctr|aes256-cbc|...]y no ip mac [hmac-sha1-96|hmac-md5|...]. Por defecto, todos están habilitados.

Restricción de acceso a gestión

Es posible limitar los rangos de direcciones IP desde los que se podrá acceder a los diferentes servicios de gestión delswitch (ssh, web, snmp...). La restricción es granular, y para cada rango de IP se puede especificar:

• El nivel de privilegio (manager u operador) a que se autoriza a dicho rango de IPs.

• El servicio o servicios a los que aplica: ssh, telnet, web, snmp, tftp o todos.

Los rangos autorizados aparecerán en la configuración activa, y pueden también consultarse explícitamente con laorden show ip access-manager:

$# show run | inc authorized-managersip authorized-managers 10.0.0.0 255.0.0.0 access managerip authorized-managers 192.168.0.0 255.255.0.0 access managerip authorized-managers 172.16.0.0 255.240.0.0 access manager

$# show ip authorized-manager

IPV4 Authorized Managers------------------------

Address : 10.0.0.0Mask : 255.0.0.0Access : ManagerAccess Method : all

Address : 192.168.0.0Mask : 255.255.0.0Access : ManagerAccess Method : all

44 Chapter 4. Hardening de switches HPE

Device Hardening Documentation, Release 0.0.1

Address : 172.16.0.0Mask : 255.240.0.0Access : ManagerAccess Method : all

Banners

El banner de inicio de sesión se configura con la orden banner motd *<delimitador> <texto>. El delimitador permitedefinir banners con múltiples líneas, por ejemplo:

(config)#$ banner motd %Este banner tiene multiples lineas.Al haber usado el simbolo de porcentaje como delimitador,el banner continua hasta que lo encuentre.%

$# show run | begin "banner motd"banner motd "Este banner tiene multiples lineas.\nAl haber usado el simbolo de→˓porcentaje como delimitador,\nel banner continua hasta que lo encuentre.\n"

!

$# show banner motd

Este banner tiene multiples lineas.Al haber usado el simbolo de porcentaje como delimitador,el banner continua hasta que lo encuentre.

Servicios de red

Resolución DNS

Los switches utilizan DNS para distintos propósitos:

• Resolver direcciones de servicios de infraestructura (Radius, syslog, airwave etc).

• Conectar a Aruba Activate.

La lista de servidores DNS usados por el switch se configura con el comando ip dns server-address priority [1|2][direccion IP]. El comando puede repetirse con dos prioridades distintas, el switch soporta hasta 2 servidores DNS:

$# show run | include "ip dns server-address"ip dns server-address priority 1 8.8.8.8ip dns server-address priority 2 8.8.4.4

Sincronización NTP

La zona horaria se configura con time timezone <offset respecto a UTC, minutos>:

$# Si no está configurada, la zona horaria por defecto es UTC +0$# show run | include "time timezone"time timezone 60

4.2. Mecanismos de hardening 45

Device Hardening Documentation, Release 0.0.1

El ajuste automático de horario de verano se habilita con time daylight-time-rule [zona], donde la zona es una de:

• Alaska

• continental-us-and-canada

• middle-europe-and-portugal

• southern-hemisphere

• western-europe

• user-defined

$# Si no está configurado, no hay horario de verano. $# show run | include “time daylight” time daylight-time-rule western-europe

Para permitir la sincronización a través de NTP, en primer lugar es necesario habilitarla con timesync ntp:

$# show run | inc timesynctimesync ntp

La lista de servidores NTP con los que el switch se sincronizará se configura con el comando ntp server <direccionIP> [iburst] (puede repetirse varias veces para incluir más de un servidor):

$# show run | include "ntp server"Building configuration...ntp server 158.227.98.15 iburstntp server 193.145.15.15 iburst

No se puede marcar un servidor como preferente; el switch elige el más adecuado en función del stratum y el retardo.El servidor con el que se ha sincronizado se puede obtener con el comando show ntp status:

$# show ntp status

NTP Status Information

NTP Status : Enabled NTP Mode : UnicastSynchronization Status : Synchronized Peer Dispersion : 0.00000 secStratum Number : 2 Leap Direction : 0Reference Assoc ID : 0 Clock Offset : 0.00815 secReference ID : 158.227.98.15 Root Delay : 0.01519 secPrecision : 2**-18 Root Dispersion : 0.53080 secNTP Up Time : 20d 4h 2m Time Resolution : 400 nsecDrift : 0.00000 sec/sec

System Time : Wed Jul 5 16:48:13 2017Reference Time : Wed Jul 5 16:31:28 2017

46 Chapter 4. Hardening de switches HPE

47

Device Hardening Documentation, Release 0.0.1

CHAPTER 5

Mecanismos de hardening Airwave

Nombre del dispositivo y resolución DNS

Autentificación remota de administradores

Robustez de las contraseñas de usuarios administradores locales

Restricción usuario administrador por defecto

Intentos fallidos de inicio de sesión de un administrador

Tiempo de inactividad de sesiones de administración

Banners de acceso a la administración del dispositivo

Sincronización de reloj con una fuente externa confiable

Registro de actividades y eventos (logging)

Deshabilitar los interfaces no utilizados

Descripción en los interfaces utilizados

Protocolos de gestión accesibles en cada interface

Protección del acceso SNMP

Acceso a la gestión del dispositivo limitado utilizando ACLs

Acceso al dispositivo desde el exterior limitado utilizando ACLs

Cifrados débiles en los protocolos de gestión (TLS < 1.2, SSH < v2)

48 Chapter 5. Mecanismos de hardening Airwave

49

Device Hardening Documentation, Release 0.0.1

CHAPTER 6

Mecanismos de hardening ClearPass

Nombre del dispositivo y resolución DNS

Autentificación remota de administradores

Robustez de las contraseñas de usuarios administradores locales

Restricción usuario administrador por defecto

Intentos fallidos de inicio de sesión de un administrador

Tiempo de inactividad de sesiones de administración

Banners de acceso a la administración del dispositivo

Sincronización de reloj con una fuente externa confiable

Registro de actividades y eventos (logging)

Deshabilitar los interfaces no utilizados

Descripción en los interfaces utilizados

Protocolos de gestión accesibles en cada interface

Protección del acceso SNMP

Acceso a la gestión del dispositivo limitado utilizando ACLs

Acceso al dispositivo desde el exterior limitado utilizando ACLs

Cifrados débiles en los protocolos de gestión (TLS < 1.2, SSH < v2)

50 Chapter 6. Mecanismos de hardening ClearPass

CHAPTER 7

Índices y tablas

• genindex

• modindex

• search

51