Aufgrund einer Reihe von Fehlerkorrekturen, empfehle ich für den Einsatz von „ASA Enhanced“ mindestens das AOS 6.7.1.76.R04.
Mit AOS 6.7.1.R02/R03/R04 wurde die Sicherheit beim Zugriff auf den OmniSwitch verbessert.
Wenn ein Benutzer z.B. „admin“ bereits auf dem System per Console angemeldet ist, wird ein weiterer Zugriffsversuch des Benutzers „admin“ per SSH/SFTP/FTP unterbunden. Der Benutzer hat dabei das Gefühl als hätte er sich beim Passwort vertippt, daher ist es wichtig dieses Verhalten zu kennen.
Auf der Console kann man dies auch sehen. Im folgenden Beispiel ist der Benutzer „admin“ bereits per FTP verbunden, ein Login auf der Console wird zurückgewiesen:
# Dies ist die bestehende FTP Verbindung von "admin" +++ Session 16 New Connection, Client Address 192.168.0.137 # Versuch der Anmeldung des Benutzers "admin" auf der Console login : admin password : Account already in use. login : # "bye" in der FTP Session +++ Session 16 Ending # Anmeldung auf der Console nun möglich login : admin password : Welcome to the Alcatel-Lucent OmniSwitch 6450 Software Version 6.7.1.56.R02 Service Release, June 21, 2016. Copyright(c), ALE USA Inc., 2016. All Rights reserved. OmniSwitch(TM) is a trademark of Alcatel-Lucent Enterprise registered in the United States Patent and Trademark Office. ->
Der „aaa switch-access mode enhanced“ bietet folgende Vorteile:
Aktiviert wird der Modus wie folgt:
-> aaa switch-access mode enhanced
Ich empfehle einen Neustart damit der SSH-Daemon und WebView die besseren Verschlüsselungsverfahren nutzen!
Bei der nächsten Anmeldung des Benutzers „admin“ wird z.B. verlangt dass das Standardpasswort „switch“ geändert wird, da es nicht den Sicherheitsvorgaben entspricht.
Das Passwort für die Anzeige der Logdateien („show log swlog“) wird über folgendes Kommando festgelegt:
Bis AOS 6.7.1.R04:
system swlog password <passwort>
Das Password wird dabei gehashed in der boot.cfg hinterlegt.
Ab AOS 6.7.1.R04:
-> system swlog password switch ERROR: Command no longer supported. OS6450-P10-> show log swlog Username : admin password : *********** Displaying file contents for '/flash/swlog2.log' FILEID: fileName[/flash/swlog2.log], endPtr[60], configSize[64000], mode[2] Displaying file contents for '/flash/swlog1.log' FILEID: fileName[/flash/swlog1.log], endPtr[801], configSize[64000], mode[1]
Ein Reboot des Switches ist aus der Ferne nicht mehr möglich! Zu diesem Thema habe ich aktuell eine interne Anfrage bei unserer Entwicklung laufen da sich der Sinn meinem Verständnis entzieht. (Dies ist ab 6.7.1.R04 korrigiert!)
-> reload working no rollback-timeout ERROR: Reload can be done only via console. (CLI-mip_create_msg)
Die weiteren Details finden Sie im AOS 6.7.1.R02/R03/R04 „Switch Management Guide“, Kapitel 10 → „Managing Switch Security“.