Los switches Brocade tienen activado por defecto para su administración los protocolos inseguros HTTP (TCP 80) y TELNET (TCP 23). Al disponer de un cortafuegos local – IPFILTER – que actúa sobre el interfaz de administración es posible denegar aquellas solicitudes de servicio en éstos puertos. La configuración del firewall se puede realizar de forma individual en cada switch, o realizar la configuración en sólo un elemento de fabric y después distribuirla en el resto. A continuación se muestra un procedimiento de configuración a través de FabricOS para la configuración de su firewall:
Con la utilidad ipfilter se configura el firewall local del switch, siendo las posibilidades del comando:
core1:angel> ipfilter help
Usage: ipfilter
–help: display the ipfilter synopsis
–create <policyname> -type <ipv4 | ipv6>:
create an IP filter policy
–clone <policyname> -from <src_policyname>:
create an IP filter policy as a copy of existing policy
–show [policyname]:
display one or all IP filter policy
–save [policyname]:
save one or all IP filter policy
–activate <policyname>:
activate an IP filter policy
–delete <policyname>:
delete an IP filter policy
–addrule <policyname> -rule <rule_number> -sip <source_IP> -dp <dest_port> -proto <protocol> -act <permit | deny>:
add a rule to an IP filter policy
–delrule <policyname> -rule <rule_number>:
delete a rule from an IP filter policy
–transabort: aborts an open IP filter transaction
Por defecto trae configuradas dos políticas que se pueden visualizar con el argumento –show:
Name: default_ipv4, Type: ipv4, State: defined
Rule Source IP Protocol Dest Port Action
1 any tcp 22 permit
2 any tcp 23 permit
3 any tcp 897 permit
4 any tcp 898 permit
5 any tcp 111 permit
6 any tcp 80 permit
7 any tcp 443 permit
8 any udp 161 permit
9 any udp 111 permit
10 any udp 123 permit
11 any tcp 600 – 1023 permit
12 any udp 600 – 1023 permit
Name: default_ipv6, Type: ipv6, State: defined
Rule Source IP Protocol Dest Port Action
1 any tcp 22 permit
2 any tcp 23 permit
3 any tcp 897 permit
4 any tcp 898 permit
5 any tcp 111 permit
6 any tcp 80 permit
7 any tcp 443 permit
8 any udp 161 permit
9 any udp 111 permit
10 any udp 123 permit
11 any tcp 600 – 1023 permit
Como se puede observar, tanto para ip4 como ipv6, el acceso a los puertos de telnet (TCP 23) y HTTP (TCP 80) están en estado permit. Para evitar el acceso se pueden eliminar éstas reglas de las políticas con el argumento –delrule y la siguiente sintáxis:
ipfilter –delrule <policyname> -rule <rule_number>
El resultado de eliminar las reglas para TELNET y HTTP:
Name: noinsecure_v4, Type: ipv4, State: active
Rule Source IP Protocol Dest Port Action
1 any tcp 22 permit
2 any tcp 897 permit
3 any tcp 898 permit
4 any tcp 111 permit
5 any tcp 443 permit
6 any udp 161 permit
7 any udp 111 permit
8 any udp 123 permit
9 any tcp 600 – 1023 permit
10 any udp 600 – 1023 permit
Name: noinsecure_v6, Type: ipv6, State: active
Rule Source IP Protocol Dest Port Action
1 any tcp 22 permit
2 any tcp 897 permit
3 any tcp 898 permit
4 any tcp 111 permit
5 any tcp 443 permit
6 any udp 161 permit
7 any udp 111 permit
8 any udp 123 permit
9 any tcp 600 – 1023 permit
10 any udp 600 – 1023 permit
En éste caso, al denegarse el acceso por HTTP no se dispondrá de la interfaz de administración WEB TOOLS, para activar su acceso por HTTPS ver post Seguridad en una SAN Brocade III – Activar administración por HTTPS.
Si se desea que todos los switches de la misma fabric tengan la misma configuración de firewall se puede usar el comando distribute. Ver post Administración centralizada de políticas de seguridad en una Fabric de tecnología Brocade.
[…] el post Seguridad en una SAN Brocade II – Protocolos inseguros de administración se vió como denegar el acceso a los switches Brocade a través del interfaz […]