Mit AOS 6.7.1.R02/R03/R04 wurde die Sicherheit beim Zugriff auf den OmniSwitch verbessert.

Wenn ein Benutzer z.B. „admin“ bereits auf dem System per Console angemeldet ist, wird ein weiterer Zugriffsversuch des Benutzers „admin“ per SSH/SFTP/FTP unterbunden. Der Benutzer hat dabei das Gefühl als hätte er sich beim Passwort vertippt, daher ist es wichtig dieses Verhalten zu kennen.

Auf der Console kann man dies auch sehen. Im folgenden Beispiel ist der Benutzer „admin“ bereits per FTP verbunden, ein Login auf der Console wird zurückgewiesen:

# Dies ist die bestehende FTP Verbindung von "admin"
+++ Session 16 New Connection, Client Address 192.168.0.137 

# Versuch der Anmeldung des Benutzers "admin" auf der Console
login : admin
password : 
Account already in use.
login : 

# "bye" in der FTP Session
+++ Session 16 Ending

# Anmeldung auf der Console nun möglich
login : admin
password : 
  
Welcome to the Alcatel-Lucent OmniSwitch 6450
Software Version 6.7.1.56.R02 Service Release, June 21, 2016. 

Copyright(c), ALE USA Inc., 2016. All Rights reserved.

OmniSwitch(TM) is a trademark of Alcatel-Lucent Enterprise registered
in the United States Patent and Trademark Office.
  
-> 

Der „aaa switch-access mode enhanced“ bietet folgende Vorteile:

• Komplexere Passwortvorgabe (Klein- und Großschreibung, Zahl und Sonderzeichen, Mindestlänge 9 Zeichen)
• Zeitweise Sperrung/Entsperrung des Accounts bei mehrfacher falscher Eingabe des Passworts
• IP-Adressen können gebannt werden wenn das Passwort mehrfach falsch eingegeben wird
• Hinterlegung der Management IP(s) möglich um den Switch gegen unbefugte Administration abzusichern
• Passwortschutz der „dshell“
• Passwortschutz für „show log swlog“
• Lokale Accounts z.B. „admin“ können nur einmal zurzeit verwendet werden
• Ein Reboot ist aus der Ferne nicht mehr möglich (weder per SSH noch per SNMP(v3)). Mit AOS 6.7.1.R04 wird diese etwas sinnbefreite Einschränkung aufgehoben! (Getestet in 6.7.1.71.R04 -benny)
• Unterstützung für DSA 1024 und RSA 2048 public key für SSH (im enhanced-mode!)
• Das RSA 2048 public/private Schlüsselpaar wird in /flash/network erzeugt (wenn nicht bereits vorhanden) wenn der Switch neustartet nachdem man den ASA Enhanced Modus aktiviert hat (daher empfehle ich auch einen Neustart nach dieser Änderung!)
• WebView verwendet im ASA Enhanced Modus TLS 1.2 (nach einem Neustart)

Aktiviert wird der Modus wie folgt:

-> aaa switch-access mode enhanced

Bei der nächsten Anmeldung des Benutzers „admin“ wird z.B. verlangt dass das Standardpasswort „switch“ geändert wird, da es nicht den Sicherheitsvorgaben entspricht.

Das Passwort für die Anzeige der Logdateien („show log swlog“) wird über folgendes Kommando festgelegt:

Bis AOS 6.7.1.R04:

system swlog password <passwort>

Das Password wird dabei gehashed in der boot.cfg hinterlegt.

Ab AOS 6.7.1.R04:

-> system swlog password switch
ERROR: Command no longer supported.

OS6450-P10-> show log swlog

Username : admin

password : ***********

Displaying file contents for '/flash/swlog2.log'
FILEID: fileName[/flash/swlog2.log], endPtr[60],  configSize[64000], mode[2]
Displaying file contents for '/flash/swlog1.log'
FILEID: fileName[/flash/swlog1.log], endPtr[801],  configSize[64000], mode[1]

Ein Reboot des Switches ist aus der Ferne nicht mehr möglich! Zu diesem Thema habe ich aktuell eine interne Anfrage bei unserer Entwicklung laufen da sich der Sinn meinem Verständnis entzieht. (Dies ist ab 6.7.1.R04 korrigiert!)

-> reload working no rollback-timeout
ERROR: Reload can be done only via console. (CLI-mip_create_msg)

Die weiteren Details finden Sie im AOS 6.7.1.R02/R03/R04 „Switch Management Guide“, Kapitel 10 → „Managing Switch Security“.