Teil 2 – SAN Switch Setup

2. Sicherheit Setup

2.1 Authentifikation

2.1.1 Locale User

Es gibt auf dem Brocade Switch bis zur FOS 8.0.x / 4 x vordefinierte Benutzer.  (root, factory, admin, user)

switch:admin> userconfig --show -a

Account name: root
Description: root
Enabled: Yes
Password Last Change Date: Wed Oct  9 2013 (UTC)
Password Expiration Date: Not Applicable (UTC)
Locked: No
Role: root
AD membership: 0-255
Home AD: 0

Account name: factory
Description: Diagnostics
Enabled: Yes
Password Last Change Date: Wed Oct  9 2013 (UTC)
Password Expiration Date: Not Applicable (UTC)
Locked: No
Role: factory
AD membership: 0-255
Home AD: 0

Account name: admin
Description: Administrator
Enabled: Yes
Password Last Change Date: Mon Oct 17 2016 (UTC)
Password Expiration Date: Tue Oct 17 2017 (UTC)
Locked: No
Role: admin
AD membership: 0-255
Home AD: 0

Account name: user
Description: User
Enabled: Yes
Password Last Change Date: Mon Oct 17 2016 (UTC)
Password Expiration Date: Tue Oct 17 2017 (UTC)
Locked: No
Role: user
AD membership: 0
Home AD: 0

2.1.2 Password Regeln

Anzeige der Konfiguration

switch:admin> passwdcfg --showall

passwdcfg.minlength: 8
passwdcfg.lowercase: 0
passwdcfg.uppercase: 1
passwdcfg.digits: 0
passwdcfg.punctuation: 1
passwdcfg.history: 1
passwdcfg.minpasswordage: 0
passwdcfg.maxpasswordage: 365
passwdcfg.warning: 0
passwdcfg.lockoutthreshold: 0
passwdcfg.lockoutduration: 30
passwdcfg.adminlockout: 0
passwdcfg.repeat: 1
passwdcfg.sequence: 1
passwdcfg.status: 1
passwdcfg.reverse: 0
passwdcfg.oldpasswd: 0

Setzen von Password Regeln:

  passwdcfg --set options value

  passwdcfg --set -maxpasswordage 365 

Dieser Wert ist bei uns gesetzt d.h. nach 365 Tagen müssen die Passwörtergeändert werden.

Das Verteilen der Password Konfiguration vom Principal Switch erfolgt mitnachfolgendem Befehl. Damit können auch die mit passwd veränderten Passwörter der lokalen user verteilt werden.

distribute –p PWD –d „*“      

-> siehe auch im Kapitel Sicherheitsregeln (fddcfg)

2.1.3     LDAB Anbindung

:

2.1.4     PKI Schlüssel

:

2.2.2     Sicherheit Regeln

Es gibt bei Brocade Switchen verschiedene Sicherheitselement. Die ACL-Policies (Access Control Lists) beschreiben die Regeln für die Kommunikation der Switches in der SAN-Fabric. Wie bereits im Basic Setup aufgezeigt gibt es Regeln für die Vergabe von Passwörtern für die lokalen User. Das Verhalten des Management Interfaces für das Verwenden von verschiedenen IP Dienste kann ebenfalls über IP Filter konfiguriert werden. Die Konfiguration der Elemente wird nachfolgend beschrieben.

Die Elemente können lokale konfigurieren und in der ganzen Fabric verteilt werden. Dieses Verhalten wird über die Fabric Data Distribution (FDD) bestimmt.

2.2.2.1 FDD

Anzeige FDD

switch:admin> fddCfg –showall

 Local Switch Configuration for all Databases:-

     DATABASE  -  Accept/Reject
    ---------------------------------
          SCC  -         accept
          DCC  -         accept
          PWD  -         accept
          FCS  -         accept
         AUTH  -         accept
     IPFILTER  -         accept

Fabric Wide Consistency Policy:- ""

Setzen FDD verhalten

 fddcfg --localaccept  policy_list

 fddcfg --localreject policy_list

 fddcfg --fabwideset policy_list

   SCC = Switch Connection Control       
   DCC = Device Connection Control      
   PWD = Password Policy                                
   FCS = Fabric Configuration Server Policy       
   AUTH
   IPFILTER = IP Filter Policy

2.2.2.2 SCC

Anzeige SCC
switch:admin> secpolicyshow
____________________________________________________

                ACTIVE POLICY SET
SCC_POLICY
   WWN                     DId swName
   --------------------------------------------------
   10:00:00:05:33:00:00:03 103 sanb103
   10:00:00:05:33:00:00:01 101 sanb101
   10:00:00:05:33:00:00:08 108 sanb108
   10:00:00:05:33:aa:00:00   - Unknown
   10:00:00:05:33:aa:00:05 105 sanb105
   10:00:00:05:33:aa:00:04 104 sanb104
   10:00:00:05:33:00:00:02 102 sanb102
   10:00:00:27:f8:00:00:10 110 sanb110
   10:00:00:27:f8:00:00:07 107 sanb107
____________________________________________________

                DEFINED POLICY SET

SCC_POLICY
   WWN                     DId swName
   --------------------------------------------------
   10:00:00:05:33:00:00:03 103 sanb103
   10:00:00:05:33:00:00:01 101 sanb101
   10:00:00:05:33:00:00:08 108 sanb108
   10:00:00:05:33:aa:00:00   - Unknown
   10:00:00:05:33:aa:00:05 105 sanb105
   10:00:00:05:33:aa:00:04 104 sanb104
   10:00:00:05:33:00:00:02 102 sanb102
   10:00:00:27:f8:00:00:10 110 sanb110
   10:00:00:27:f8:00:00:07 107 sanb107

Konfiguration SCC

Bei der Konfiguration in einer Policy arbeitetn man in der defined Policy, analog Zoning.

switch:admin> secpolicyadd "name","member[;member...]" 

switch:admin> secpolicyremove "name","member[;member...]"


Speichern der defined Konfiguration

            switch:admin> secpolicysave

Aktiviren der Policys.

            switch:admin> secpolicyactivate

Verteilen der Konfiguration

           switch:admin> distribute –p SCC –d „*“

2.2.2.3 IP Filter

Mit Hilfe der IP Filter kann z.B. Telnet deaktiviert werden. Es gibt einedefinierte und eine aktive Konfiguration für IP v4 und v6. Dazu haben wirdie Konfigurationen zuerst geklont und dann verändert.  

Anzeige IP Filter

           switch:admin> ipfilter --show

Name: default_ipv6, Type: ipv6, State: defined

Rule    Source IP                      Protocol   Dest Port   Action
1     any                                  tcp       22     permit
2     any                                  tcp       23     permit
3     any                                  tcp       80     permit
4     any                                  tcp      443     permit
5     any                                  udp      161     permit
6     any                                  udp      123     permit
7     any                                  tcp      600 - 1023     permit
8     any                                  udp      600 - 1023     permit

 Name: angepasste_ipv4, Type: ipv4, State: active

Rule    Source IP                     Protocol   Dest Port   Action
1     any                                  tcp       22     permit
2     any                                  tcp       23       deny
3     any                                  tcp       80       deny
4     any                                  tcp      443     permit
5     any                                  udp      161     permit
6     any                                  udp      123     permit
7     any                                  tcp      600 - 1023     permit
8     any                                  udp      600 - 1023     permit

 Name: angepasste_ipv6, Type: ipv6, State: active

Rule    Source IP                     Protocol   Dest Port   Action
1     any                                  tcp       22     permit
2     any                                  tcp       23       deny
3     any                                  tcp       80       deny
4     any                                  tcp      443     permit
5     any                                  udp      161     permit
6     any                                  udp      123     permit
7     any                                  tcp      600 - 1023     permit
8     any                                  udp      600 - 1023     permit


Konfiguration IP Filter

1. Clone erstellen

    switch:admin> ipfilter --clone policyname -from src_policyname

2. Ändern einer Rule

Es besteht die Möglichkeit eine Rule zu löschen.

   switch:admin> ipfilter --delrule policyname -rule rule-number

Es besteht aber auch die Möglichkeit eine Rule auf deny zu setzen. (am einfachsten über GUI)

  switch:admin> ipfilter --addrule policyname -rule rule_number -dp deist  nation_port -proto protocol -act deny

Sichern IP Filter

  switch:admin> ipfilter --save [policyname]

Aktivieren IP Filter

  switch:admin> ipfilter --activate policyname

Verteilen der Konfiguration

  switch:admin> chassisDistribute –db ipfilter –domain „*“

Die Verteilung der IP Filter kann nicht mit dem distribute Befehl verteilt werden.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.