DokuWiki

Benutzer-Werkzeuge

Webseiten-Werkzeuge

Zuletzt angesehen: os_upgrade_guide_os6450 os6860_port_mobility ap1101-einstieg cve-2024-6387 aaa_switch-access_mode_enhanced
aaa_switch-access_mode_enhanced

Dies ist eine alte Version des Dokuments!

Wichtige Information zum "aaa switch-access mode enhanced"

Wenn Sie „aaa switch-access mode enhanced“ nutzen möchten, kontaktieren Sie bitte den ALE Support und fordern AOS >= 6.7.1.56.R02 an! Dieses Release beinhaltet eine wichtige Fehlerkorrektur! Referenz: PR 217364

Mit AOS 6.7.1.R02 wurde die Sicherheit beim Zugriff auf den OmniSwitch verbessert. Neben einer Reihe von Passwortvorgaben gibt es eine weitere bisher nicht dokumentierte Sicherheitsfunktion (daher schreibe ich nun diesen Artikel).

Wenn ein Benutzer z.B. „admin“ bereits auf dem System per Console angemeldet ist, wird ein weiterer Zugriffsversuch des Benutzers „admin“ per SSH/SFTP/FTP unterbunden. Der Benutzer hat dabei das Gefühl als hätte er sich beim Passwort vertippt, daher ist es wichtig dieses Verhalten zu kennen.

Auf der Console kann man dies auch sehen. Im folgenden Beispiel ist der Benutzer „admin“ bereits per FTP verbunden, ein Login auf der Console wird zurückgewiesen: 

# Dies ist die bestehende FTP Verbindung von "admin"
+++ Session 16 New Connection, Client Address 192.168.0.137 

# Versuch der Anmeldung des Benutzers "admin" auf der Console
login : admin
password : 
Account already in use.
login : 

# "bye" in der FTP Session
+++ Session 16 Ending

# Anmeldung auf der Console nun möglich
login : admin
password : 
  
Welcome to the Alcatel-Lucent OmniSwitch 6450
Software Version 6.7.1.56.R02 Service Release, June 21, 2016. 

Copyright(c), ALE USA Inc., 2016. All Rights reserved.

OmniSwitch(TM) is a trademark of Alcatel-Lucent Enterprise registered
in the United States Patent and Trademark Office.
  
->

Der „aaa switch-access mode enhanced“ bietet folgende Vorteile:

  • Komplexere Passwortvorgabe (Klein- und Großschreibung, Zahl und Sonderzeichen, Mindestlänge 9 Zeichen)
  • Zeitweise Sperrung/Entsperrung des Accounts bei mehrfacher falscher Eingabe des Passworts
  • IP-Adressen können gebannt werden wenn das Passwort mehrfach falsch eingegeben wird
  • Hinterlegung der Management IP(s) möglich um den Switch gegen unbefugte Administration abzusichern
  • Passwortschutz der „dshell“
  • Passwortschutz für „show log swlog“
  • Lokale Accounts z.B. „admin“ können nur einmal zurzeit verwendet werden

Aktiviert wird der Modus wie folgt: 

-> aaa switch-access mode enhanced

Bei der nächsten Anmeldung des Benutzers „admin“ wird z.B. verlangt dass das Standardpasswort „switch“ geändert wird, da es nicht den Sicherheitsvorgaben entspricht.

Das Passwort für die Anzeige der Logdateien („show log swlog“) wird über folgendes Kommando festgelegt: 

system swlog password <passwort>

Das Password wird dabei gehashed der boot.cfg hinterlegt.

Die weiteren Details finden Sie im AOS 6.7.1.R02 „Switch Management Guide“, Kapitel 10 → „Managing Switch Security“.

aaa_switch-access_mode_enhanced.1469562385.txt.gz · Zuletzt geändert: 2024/06/09 10:29 (Externe Bearbeitung)
Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki