Schlagwort-Archiv: Security

SFTP Transfer zwischen Alcatel Switchen

Alcatel Switche bieten die Möglichkeit Daten per SFTP zwischen Switchen zu transferieren.

Beispiel:
Switch1 -> sftp 192.168.1.4
login as: adminadmin's password for keyboard-interactive method:

sftp> ls
boot.params boot.slot.cfg
certified command.log installed
network switch swlog1.log
swlog2.log tech_support.log working

sftp > cd working
sftp> ls
K2os.img Kadvrout.img Kbase.img Kencrypt.img Keni.img
Ksecu.img boot.cfg

sftp> get boot.cfg /flash/boo
Fetching /flash/working/boot.cfg to /flash/boo
sftp> exit
Connection to 192.168.1.4 closed.
Switch1 -> ls

Listing Directory /flash:

-rw 312 Oct 1 14:23 boot.params
drw 2048 Oct 1 14:23 certified/
drw 2048 Oct 1 14:23 working/
-rw 64000 Dec 10 10:43 swlog1.log
-rw 64000 May 30 15:34 swlog2.log
drw 2048 May 30 15:32 switch/
-rw 12 Jan 1 2001 boot.slot.cfg
-rw 20 May 30 15:32 installed
-rw 66402 Dec 10 10:53 command.log
drw 2048 Jan 1 2001 network/
-rw 4305 Dec 10 10:53 boo

Anders herum funktioniert das genauso

sftp> put /flash/swlog1.log /flash/sw1.log
Uploading /flash/swlog1.log to /flash/sw1.log
sftp> ls
boot.params boot.slot.cfg
certified command.log installed
network sw1.log switch
swlog1.log swlog2.log tech_support.log
working
sftp> rm sw1.log
Removing /flash/sw1.log
sftp> exit

Beschrieben im Switch Management Guide – Wenn notwendig
scp-sftp enable

Aruba Alcatel WLAN Controller Passwort resetten

Hat man das Kennwort (für admin oder enable) seines WLAN Controllers vergessen gibt es eine Lösung:
Admin Passwort :

Einloggen auf der Konsole (Remote nicht möglich, man braucht glücklicherweise physikalischen Zugang)

  • “password” als Benutzername und “forgetme!” als Passwort
  • “enable” aufrufen, password ist “enable”
  • “conf t” eingeben (globaler Konfigurationsmodus analog Cisco)
  • “mgmt-user admin root” eingeben, um das Admin Passwort zurückzusetzen

Mit dieser Prozedur wurde gleichzeitig das enable-Passwort auf “enable” zurückgesetzt Daher im Anschluß unbedingt als Admin anmelden und folgende Schritte durchführen, um ein sicheres Enable Passwort zu vergeben:

  • als Admin anmelden
  • “enable” aufrufen, password ist “enable”
  • “conf t” eingeben
  • “enable secret” eingeben, es folgt ein Dialog, in dem ein neues Passwort vergeben werden kann
  • Abschließend “write memory” nicht vergessen !

Beispiel

User: password
Password: forgetme!
(aruba) >enable
Password: enable
(aruba) #configure terminal
Enter Configuration commands, one per line. End with CNTL/Z
(aruba) (config) #mgmt-user admin root
Password:
Re-Type password:
(aruba) (config) #exit
(aruba) #exit
(aruba) >exit

User: admin
Password:
(aruba) >enable
Password: enable
(aruba) #configure terminal
Enter Configuration commands, one per line. End with CNTL/Z
(aruba) (config) #enable secret
Password:
Re-Type password:
(aruba) (config) #write memory

Aruba Alcatel WLAN Controller Passwörter sichtbar machen

Immer wieder kommt man in die Zwickmühle, dass man das, vor Jahren eingerichtete, Kennwort für eine VPN Verbindung oder einen Radiusserver an einem WLAN Controller vergessen hat.

Ist das im kleinen Rahmen nicht so schlimm, mag es in großen Installationen eine Änderung doch viel Aufwand machen.

Zumindestens für PSKs (WPA/Radius/LDAP/IPSEC) gibt es eine Lösung:

SSH zum Controller:


Show run
[..]
aaa authentication-server radius "10.10.10.10"
host "10.10.10.10"
key 58cb239c04c10d531bc452398ce84670
nas-identifier "9999"

jetzt kann man die encryption abschalten:

encryption disable

Danach sieht das ganze anders aus:

aaa authentication-server radius "10.10.10.10"
host "10.10.10.10"
key "switch"
nas-identifier "9999"
!

Kennwörter von Usern sind weiterhin verschlüsselt/gehasht.

mit
encryption enable
schaltet man die Encryption wieder an.

Alcatel OmniSwitch 6250/6450 Password Recovery

Man verbindet sich mit der Konsole,

Unterbricht die boot Squence boot sequence indem man „s“ drückt.

Danach löscht man die Datei UserTable5 im Verzeichnis /networks

[Miniboot]->cd "network"
value = 0 = 0x0
[Miniboot]->ls
.
..
userTable5
lockoutSetting
policy.cfg
ssh_host_dsa_key
ssh_host_dsa_key.pub
value = 0 = 0x0
[Miniboot]->xdelete "userTable5"
value = 0 = 0x0
[Miniboot]->reboot
mgi0 Interface Down
mgi0 Interface Stopped
WARNING: "sysResetHardwareFlag" flag is SET, forcing CMM board reset.

Danach gibt es keine User mehr, d.h. mit admin/switch kann man sich einloggen, man muss aber sämtliche user neu anlegen, z.B. für SNMP o.ä.

Cisco SSH aktivieren

Ganz einfach: man braucht ein k9 image (Security).
Andere Vorraussetzuing hostname und domain name
#conf t
(config)#hostname Core1
(config)#ip domain-name local.local
(config)#crypto key generate rsa
Choose the size of the key modulus in the range of 360 to 2048 for your
General Purpose Keys. Choosing a key modulus greater than 512 may take
a few minutes.
How many bits in the modulus [512]: 1024
% Generating 1024 bit RSA keys, keys will be non-exportable...[OK]

Dann aktivieren wir noch die sicherere SSH Version 2
ip ssh version 2