HP Procurve

De OpenWikiBSD
Aller à : navigation, rechercher

Administration

  • Telnet @IP

Au prompt : menu

Durcissement du commutateur

[1]

Suppression des protocoles en texte clair

en
conf t


On n'oublie pas

wr mem

à chaque fois

Out Telnet, In SSH

Attention la première commande va régénérer le trousseau de clé. Pour une première connexion SSH ça ne posera pas de souci, mais si vous avez déja réalisé une cx, vous lèverez une alerte de sécurité:

crypto key generate ssh
ip ssh
no telnet-server


TLS et non texte clair

Pour une clé de 2048 bits d'entropie :

crypto key generate cert 2048
web-management ssl
no web-management plaintext

Tftp remplacé par scp

crypto key generate ssh
ip ssh filetransfer
no tftp server
no tftp client


SNMP

  • v2c passe en v3 avec crypto intégrée
snmpv3 enable
snmpv3 only
  • Si vous devez garder v2, mais alors juste en lecture, pas écriture
snmp-server community <Communauté> restricted


Suppression de la stack de switches

IP stack management permet de gérer la pile avec un unique outil, IP,etc..

show stack
no stack

Réduction du périmètre : Management

On n'autorise le mangement du switche que depuis les VLAN suivants :

management-vlan VLAN_ID

Avec les restrictions suivantes :

  • Un unique VLAN de management par switch
  • L'@IP de ce VLAN doit être assignée manuellemenet (pas de DHCP)
  • On ne connecte pas de client quelconque dessus.. Oui, cette mention ne concerne que les admin idiots !'
  • Pas de routage, pas d'IGMP sur ce VLAN

Les comptes privilégiés

En résumé :

  • Manager a tous les droits
  • Operator peut tout lire, rien écrire


Sécurité physique

Faites comme vous le sentez, mais moi, je n'activerais pas une protection qui interdit à quelqu'un (moi, par ex) de faire un retour àla conf d'usine en cas de souci. A priori mon switch n'est pas accessible au tout-venant.