Para bloquear, desativar ou negar acesso HTTP/Webtools e acesso Telnet a um Brocade série B, por motivos de segurança.
Veja abaixo as etapas usadas para criar uma política com uma regra que negue acesso por qualquer IP usando HTTP porta 80.
Nota: Como não é possível alterar a política padrão, você precisará clonar o conjunto de filtros que quiser usar. Neste exemplo, estamos usando o conjunto "default_ipv4"):
- Faça log-in no switch usando SSH ou o cabo serial.
- Crie uma política, copiando a política de default_ipv4 existente:
ipfilter --clone DenyWebtools -from default_ipv4
- Salve a nova política:
ipfilter --save DenyWebtools
- Verifique se a nova política está correta. A nova política deverá ser exibida:
ipfilter --show
- Adicione uma regra à nova política para negar acesso HTTP:
ipfilter --addrule DenyWebtools -rule 3 -sip any -dp 80 -prot tcp -act deny
Esse comando, discriminado abaixo por subcomandos, faça o seguinte:
- --addrule DenyWebtools: comando que adiciona a regra ao conjunto de regras DenyWebtools.
- -rule 3: comando que adiciona uma regra ao número de índice da regra especificado. O número da regra deve estar entre 1 e o atual número máximo de regra, mais um. Você também pode definir uma regra para um intervalo de portas.
- -sip any: comando que especifica o endereço IP de origem. Neste exemplo, qualquer IP que se conecte a esse switch terá HTTP bloqueado.
- -dp: comando que especifica o número da porta ao qual esta regra será aplicada. Neste exemplo, a porta para HTTP é 80.
- -proto: comando que especifica o tipo de protocolo. Neste exemplo, o protocolo é TCP.
- -act deny: comando que especifica a ação de permissão ou negação associada à regra.
- Localize a regra de permissão correspondente a HTTP (80):
ipfilter --show DenyWentools
O que será gerado:
Nome: DenyWebtools, Type: ipv4, State: defined (modified)
Rule Source IP Protocol Dest Port Action
1 any tcp 22 permit
2 any tcp 23 permit
3 any tcp 80 deny
4 any tcp 80 permit
5 any tcp 443 permit
6 any udp 161 permit
7 any udp 123 permit
8 any tcp 600 - 1023 permit
9 any udp 600 - 1023 permit
- Remova a regra de permissão correspondente a HTTP. Essa remoção é feita para fins de limpeza, pois agora haverá duas regras para HTTP, conforme mostrado acima:
ipfilter --delrule DenyWebtools -rule 4
- Salve-a novamente:
ipfilter --save DenyWebtools
- Verifique a política novamente para conferir se ela está correta:
ipfilter --show DenyWebtools
O que será gerado:
Nome: DenyWebtools, Type: ipv4, State: defined
Rule Source IP Protocol Dest Port Action
1 any tcp 22 permit
2 any tcp 23 permit
3 any tcp 80 deny <<< Regra antiga
4 any tcp 80 permit
5 any tcp 443 permit
6 any udp 161 permit
7 any udp 123 permit
8 any tcp 600 - 1023 permit
9 any udp 600 - 1023 permit
- Ative a nova política:
ipfilter --activate DenyWebtools
- Verifique a política novamente para conferir se ela está correta e que a política "DenyWebtools" está ativa:
ipfilter --show
O que será gerado:
Nome: DenyWebtools, Type: ipv4, State: active <<<<<<<<<<<<<<<<<< New Policy is "Active"
Rule Source IP Protocol Dest Port Action
1 any tcp 22 permit
2 any tcp 23 permit
3 any tcp 80 deny
4 any tcp 80 permit
5 any tcp 443 permit
6 any udp 161 permit
7 any udp 123 permit
8 any tcp 600 - 1023 permit
9 any udp 600 - 1023 permit
- Abra o Wentools usando um navegador compatível e tente acessar a interface do usuário do Webtools referente ao switch com HTTP desativado e que deva ser negado.
- No resultado gerado para "errdump" do switch, deverá ser possível ver que o switch recusou o acesso usando HTTP.
errdump:
2021/10/06-11:19:28, [SEC-3039], 39764, FID 128, INFO, DS6510B_TT38, Event:Security Violation , Status: failed, Info: Unauthorized host with IP address xx.xx.xx.xx tries to establish connection using TCP port 80.
Esta é uma lista de todos os comandos usados acima, na ordem de uso:
ipfilter --clone DenyWebtools -from default_ipv4
ipfilter --save DenyWebtools
ipfilter --show
ipfilter --addrule DenyWebtools -rule 3 -sip any -dp 80 -prot tcp -act deny
ipfilter --delrule DenyWebtools -rule 4
ipfilter --save DenyWebtools
ipfilter --show DenyWebtools
ipfilter --activate DenyWebtools
ipfilter --show
errdump