Настройка D-link DES3200-26, rev.A1, rev.C1 + RADIUS Windows NPS
В данной статье опишу реализацию доменной авторизации на коммутаторах D-link, с разграничением прав для техника (чтение) и (чтение+запись) для системного администратора. Этим мы решаем задачу по смене пароля каждые 90 дней, согласно моей групповой политике в домене. А так же при увольнения сотрудника у вас пропадёт надобность менять пароли на коммутаторах, заблокируем в домене этим мы исключаем компрометацию логина и пароля на наше сетевое устройство.
Прошивка и настройка D-link DES3200-26 С1
Начнём с описания ревизии C1. Прошивку для ревизии С1 можно скачать тут (в том числе и для других, в одной папке все прошивки, каждая подписана).
Скачиваем прошивку и складываем к себе на TFTP, можно использовать tftp64.exe под Windows, если других вариантов нет.
Для DES-3200 rev.C1 обновление до прошивок ветки 4.38 и выше следует производить через промежуточную прошивку 4.38.000
Обновление до 4.38:
sh switch save download firmware_fromTFTP 10.200.0.106 src_file DES3200R_4.38.B000.had dest_file DES3200R_4.38.B000.had config firmware image DES3200R_4.38.B000.had boot_up dir del c:/runtime.had reboot
Где 10.200.0.106 мой адрес tftp.
Обновление до 4.38:
download firmware_fromTFTP 10.200.0.106 src_file DES3200-26-C1_Run_4_51_B007.had dest_file DES3200-26-C1_Run_4_51_B007.had config firmware image DES3200-26-C1_Run_4_51_B007.had boot_up dir del c:/DES3200R_4.38.B000.had reboot
Прошивка D-link DES3200-26 A1
Обновление до 1.91:
sh switch config firmware image_id 2 delete download firmware_fromTFTP 10.200.0.106 DES-3200R_1.91.B07.had image_id 2 config firmware image_id 2 boot_up save all reboot
Прошивка D-link DGS3100-24tg
show switch download firmware 10.200.0.106 DGS-3100-xx-3.60.45.ros
Бонус
Прошивка D-link DGS3024:
download firmware 10.200.0.106 DGS-3024_A4_v4.01B01.had
Прошивка коммутаторов d-link 3200-26
Сброс настроек:
reset config reset system
Настройка учётной записи:
create account admin admilink vS!b!r!-H0l0dn0 vS!b!r!-H0l0dn0 enable password encryption
Конфигурируем сети:
config vlan vlanid 1 delete 1-28 create vlan management tag 100 config vlan vlanid 100 add tagged 28 create vlan vlanid 50 config vlan vlanid 50 add tagged 28 config vlan vlanid 50 add untagged 1-24 config ipif System ipaddress 10.10.0.221/24 state enable vlan management create iproute default 10.10.0.1
Где ip коммутатора 10.10.0.221, а 10.10.0.1 основной шлюз.
Указываем сервер времени и часовой пояс, разрешаем восстановление пароля, если забыли.
config sntp primary 10.200.0.2 config sntp secondary 83.172.56.202 enable sntp config time_zone operator + hour 7 min 0 enable command logging enable password_recovery enable clipaging enable web 80 enable ssh enable telnet 23
Настраиваем snmp на наш community “tokb-v2”, отключая дефолтные, stp в моём случае не используется, ставлю защиту на портах, отключаю lldp.
delete snmp community public delete snmp community private delete snmp user initial delete snmp group initial delete snmp view restricted all delete snmp view CommunityView all delete snmp group ReadGroup delete snmp group WriteGroup enable snmp create snmp view CommunityView 1 view_type included create snmp group Readers v1 read_view CommunityView notify_view CommunityView create snmp group Readers v2c read_view CommunityView notify_view CommunityView create snmp community tokb-v2 view CommunityView read_only disable stp enable loopdetect config loopdetect ports 1-24 state enable enable bpdu_protection config bpdu_protection ports 1-24 mode shutdown state enable disable lldp
Запрещаем DHCP snooping
config filter dhcp_server ports 1 - 24 state enable config filter dhcp_server add permit server_ip 10.10.0.1 ports 26 config filter dhcp_server add permit server_ip 10.200.0.1 ports 26
Указываем настройки RADIUS:
create authen server_host 10.10.0.2 protocol radius port 1812 key "HawAiRules%7334" timeout 3 retransmit 1
где 10.10.0.2 первый radius сервер, 1812 порт проверки подлинности, HawAiRules%7334 наш пароль
create authen server_host 172.31.200.2 protocol radius port 1812 key "HawAiRules%7334" timeout 5 retransmit 2
172.31.200.2 radius сервер, 1812 порт проверки подлинности, HawAiRules%7334 наш пароль. удаляем дефолтный сервер с ip 0.0.0.0
config authen server_group radius delete server_host 0.0.0.0 protocol radius
указываем в группe аутентификации с именем radius ip сервера и протокола проверки подлинности
config authen server_group radius add server_host 10.10.0.2 protocol radius config authen server_group radius add server_host 172.31.200.2 protocol radius
Конфигурируем default'ый метод входа, указываем аутентификацию по локальному логину и паролю
config authen_login default method local
Создаём новый метод входа rad_ext , указываем аутентификацию через протокол проверки подлинности RADIUS
create authen_login method_list_name rad_ext config authen_login method_list_name rad_ext method radius
Настраиваем варианты аутентификации согласно данному изображению, подключение по консоли и Web оставлю без RADIUS, на случай перемещения оборудования в сегмент вне нашего домена.
config authen_enable default method local_enable create authen_enable method_list_name rad_ext_ena config authen_enable method_list_name rad_ext_ena method radius config authen application console login default config authen application console enable default config authen application telnet login method_list_name rad_ext config authen application telnet enable method_list_name rad_ext_ena config authen application ssh login method_list_name rad_ext config authen application ssh enable method_list_name rad_ext_ena config authen application http login default config authen application http enable default config authen parameter response_timeout 0 config authen parameter attempt 3 enable authen_policy
Считаем что telnet и web уязвимы поэтому их отключаем,а оставляем только SSH.
disable web disable telnet save all
❯ Настройка RADIUS (NPS на Windows Server 2016)
Считаем, что роль сервера политик сети уже установлена.
Запускаем сервер политик сети -> Политики -> Сетевые политики-> Новый документ.
Создаём по аналогии:
Как видно из скриншота, у нас создана отдельная группа в AD, Switches-Write - пользователи, входящие в эту группу, получают права администратора на коммутаторах и могут вносить изменения в конфигурацию.
Так как коммутаторов у нас много и вендоры разные, мы создаём RADIUS клиентов с наименование вендора, в нашем случае D-link*, по имени и будут применяться правила.
Исходя из официального мануала, получаем код поставщика оборудования. И узнаём о существующих четырех уровнях прав доступа, создадим соответственно четырех пользователей user, puser, oper, admin.
user Cleartext-Password := "user_password" dlink-Privelege-Level = 3
puser Cleartext-Password := “puser_password” dlink-Privelege-Level = 6
oper Cleartext-Password := “oper_password” dlink-Privelege-Level = 4
admin Cleartext-Password := “admin_password” dlink-Privelege-Level = 5
enable Cleartext-Password := “enable_password” dlink-Privelege-Level = 5
Формируем атрибуты “Зависящие от поставщика”, указываем код поставщика “171”, и права доступа цифра “5”.
Для группы чтения конфигурации указываем права доступа цифра "4" и создана отдельная группа в AD, Switches-Read.
Создаём общий секрет для каждого вида коммутаторов,HawAiRules%7334 наш пароль из конфигурации.
Далее создаём RADIUS клиента, с указанием правильного имени, указываем IP-адрес коммутатора, выбираем общий секрет из выпадающего меню.
Имя поставщика оставляем "RADIUS стандарт".
В домене обязательно создаём учётку с логином “enable”, ставим галочку “Срок действия пароля не ограничен”.
Добавляем пользователя в группу “Switches-Write”.
Добавляем пользователя в группу запрета входа на ПК “Deny-logon”, об этом я напишу в статье по безопасности в Windows.
P. S. Доменный логин не может быть более 15 символов, я с эти столкнулся! Увидел по логам, что на радиус сервер отправляется только первые 15 символов.
Список используемых источников:
Полезные ссылки:
Читайте также:
Новости, обзоры продуктов и конкурсы от команды Timeweb.Cloud - в нашем Telegram-канале ↩
