Not only is the Internet dead, it's starting to smell really bad.:2021年05月11日分

2021/05/11(Tue)

[自宅ネットワーク管理者] HPE OfficeConnect 1820セットアップ完了

ようやっとやる気出して設定したよ、設定自体は数分もかからず終わる作業だけど設置場所の確保と配線がね…しばらく前に16Uラック処分しちゃったのでな。

家に16Uラックあったとかいうと自宅をデータセンターと勘違いしたいわゆる誤家庭と思われそうだが、音楽やってた頃のラックマウントタイプの音源やらエフェクターやら格納用に買ったものでそっちの趣味は無い。 というか誤家庭って48Uラックが最低一本無いと名乗れないはずだよね、あと電源工事。

まず外見だけど、ProcurveブランドからOfficeConnectブランドに変わってグレー一色のクッソ地味なデザインになったのでマジで新しい玩具買ったワクワク感ゼロすね。

そんで起動時のテストパターンも安物スイッチにありがちなステータス表示のLEDが各ポートのRJ45コネクタでなく一か所に並んでるタイプでとても地味、なのでテストパターン見たさに何度も再起動する気すら起きないマジで実用品。 やっぱLEDが各ポート直付けでないスイッチって直感的じゃないから一瞬戸惑うね、まぁコストダウンの為だから嫌ならもっと上位機種買えってなんだろうけど、そうするとファンレスじゃないからな。

それとやっぱしシリアルコンソールやssh経由でのCLI設定ができない機種は使い勝手いまいちね、安全のためにWebUIを無効にする事ができない(そら設定手段がそれ唯一だし)ので、ネットワーク管理者以外からアクセスできないようにするにはVLAN切って隔離する必要があるのがもったいない。 とはいえこの手のファイアウォールも無いL2スイッチを直接外部ネットワークに晒す阿呆もおらんだろうからWebUI無効にする需要もあまり無いのだろう、つーかしたけりゃやっぱり上位機種買えってこった。

まぁセキュリティ面からCLI onlyにしたいという理由でなければ、ProcurveのCLIと同じ操作性でWebUIをPython Scriptで操作する hp1820-cliというツールを書いた人がいるようなのでそれ使えばいいんじゃないかな、ワイはセキュリティ面でWebUI無効にしたいだけなのでこれ使う意味は無いから動作確認はしていない。

そんでWebUIはHTTPを無効にはできない上にHTTPSはデフォルト無効、HTTPSを有効にするとHTTPは非特権モードで特権モードはHTTPS接続にのみ許可される、パラノイアなら有効にしといた方がいいかな。 オレオレ証明書でよければSecure HTTP Configuration->Certificate Statusの横にある歯車ボタン押すだけでsha256RSA(2048bit)というまぁ今でも実用に耐える強度の証明書を生成して配備してくれるもよう。

しかし困ったことに接続がいまどきTLS1.0 onlyなのよな、TLS1.2以降を使うようにする設定項目も無いっぽいので今時のブラウザだと警告でて表示できんのだ、この問題はリリースノートにもそれらしき事書いてあるな。

Version 02.11
WebUI
CR_254616
Symptom/Scenario: When using the Chrome browser, the browser reports the SSL certificate is invalid.
Workaround: Use the Internet Explorer or Firefox web browsers.

いや…もうとっくの昔にFirefoxもアウトやでESR版使え(それでもオレオレ証明書の警告出るけど)って書かんと…このドキュメントは今年の1月リリースのものなんだけどこの杜撰さはさすがHPE製品という感じでインフラ屋時代の怒りが再燃してきた、藁人形に五寸釘打っちゃお。

これTLS1.2以降に対応できん理由があるとしたら組込のlighttpd/OpenSSLのバージョンが古いけど人手なのかファームウェアサイズなのか判らんが余裕が足りねえってとこかなぁ、今後も対応は期待薄やね。

まぁHTTP onlyにしたとこでどーせ閉じた自宅ネットワークなので平文パスワード盗聴してくるのは天井と壁のシミに限られるからな、あいつら5Gで俺の脳に直接電話してくるレベルだからHTTPSにしたとこで盗聴くらい余裕だろう、俺のスマホがいまだに4Gだからって脳内に語り掛けてくるのやめてくだち!

ちなみにWebUIはちょいと古めのjQuery UIベースで実装されてる、旧Procurve製品のように今や廃止となり動かすのにも一苦労のJava Appletではないので、これが唯一の設定方法でもこのHTTPS問題を気にしないなら当面は問題無さげ。 認証はパスワード認証のみでクライアント証明書認証や複数要素認証といった方式は無し。セッション管理はCookie必須でログイン/ログアウトでセッションIDは変わるし操作無しで一定時間でタイムアウトして破棄されるので最低限の固定化攻撃対策はしてある感じ。

パスワード認証の初期値は

なのでWebUIからパスワード変更とユーザー名の変更をしておく、最新版のファームウェア(PT.02.11)だと初回ログインでパスワード設定必須になってる。

よって中古購入とか前任者がドキュメント残さずに失踪したなんてチャメシインシデントの場合にユーザー/パスワード不明でログインできないなんて問題が起きうるけど、フロントパネルのresetスイッチをゼムクリップで長押しし工場出荷状態に戻せばいいだけなのでまぁええか。 ファクトリーリセットにより失われた設定内容については精神のステータスを上げて宇宙の過去現在未来が記録されたアカシックレコードにアクセスして復元すればヨシ、簡単ですね額の裏にある松果体に意識を集中して第三の眼を開けばすぐに見えるようになる。

管理用IPアドレスはIPv4のみでIPv6は使えない、初期値は192.168.1.1。うちでは全部無線ルーターにMACアドレス登録してDHCPで管理してるので、Setup Network->Get Connected->Network DetailのProtocol TypeをStatic->DHCPに変更しておく。 どうもApplyボタン押しただけではDHCPクライアント走らないっぽく、設定変更して無線ルーターと繋げたらIPアドレス競合して以下略。Save Configurationした上で更に再起動が必要っぽい。

死活監視はSNMPv2に対応してるので、お好きな監視ツールを使えばよろし。

$ snmpwalk.exe -v2c -c public 192.168.1.2 .1.3.6.1.2.1.1
SNMPv2-MIB::sysDescr.0 = STRING: HPE OfficeConnect Switch 1820 24G J9980A, PT.02.11, Linux 3.6.5-58b5074c, U-Boot 2012.10-00116-g3ab515c (Jul 30 2014 - 10:52:01)
SNMPv2-MIB::sysObjectID.0 = OID: SNMPv2-SMI::enterprises.11.2.3.7.11.168
DISMAN-EVENT-MIB::sysUpTimeInstance = Timeticks: (11301500) 1 day, 7:23:35.00
SNMPv2-MIB::sysContact.0 = STRING:
SNMPv2-MIB::sysName.0 = STRING: hpswitch01
SNMPv2-MIB::sysLocation.0 = STRING:
...

時刻合わせはSNTPが利用できるけどサーバー指定はIPv4かつIPアドレス指定のみ、中継サーバーにもならんので別途ローカルにNTPサーバー建ててそっち向けるんですかね。

ジャンボフレームはHP Microserverに載ってる古いBroadcomのNICがそもそも未対応ちゅー悲しい有様なのでテストせず、スパニングツリープロコルもうちのネットワーク構成では無用なので以下同文。

そんで今回無い金振り絞ってL2スイッチ買った最大の目的であるLACP(IEEE 802.3ad)なのだけど、設定方法が微妙に判りにくいのがアレ。 他のProcurve/Aruba製品だとPort ConfigurationからLACPの設定に入ったと記憶してるのだが、この機種はTrunk Configurationの方から入って

でおこなう。Static ModeでないすなわちDynamic ModeがイコールLACPなのは他にサポートしてるプロトコルが無いからまあそらそうだと納得はできるのだが、LACPのネゴシエーション方法にpaasive/activeの選択が無いってのはどうなんすかねこれactiveのみってことかな。

そんでLoad Balanceモードもぱっとみ判りづらい。

  1. Source MAC, VLAN, Ethertype, Incoming Port
  2. Destination MAC, VLAN, Ethertype, Incoming Port
  3. Source/Destination MAC, VLAN, Ethertype, Incoming Port
  4. Source IP and Source TCP/UDP Port Field
  5. Destination IP and Source TCP/UDP Port Field
  6. Source/Destination IP and Source TCP/UDP Port Field

上からCISCOのsrc-mac, dst-mac, src-dst-mac, src-ip(port), dst-ip(port), src-dst-ip(port)相当って事でええんですかね、ネットワーク屋じゃねえのでわからない俺は雰囲気でスイッチを設定している。 ふつーシスコといったら ロックシティと決まっとる。 とりあえずデフォルトの3.のままにしておく事にしといてそのうちちゃんと真面目に勉強するわ来世で。

そしてセキュリティ機能、1810-24Gの頃から存在したAuto DoSという機能だけどもこいつを有効にすると

というNFSやNTPといったごく普通に使われるサービスが即死するというDoS対策というかお前がDoSそのものだろうという謎仕様は健在なんやなこれ、 被害者 その1。ただし1810はデフォルト有効だったのだけれど1820はデフォルト無効なので、設定㌧でも勝手に有効になることはないので少しはマシになった感。

しっかしこの同一ポート間の通信を遮断することでDoS対策したぜってワイ的には 過去記事でも書いたがLoopback DoS(Land Attack)対策には成功したが患者は死亡したのパターンかなぁと想像してたんだが、この機種だとAuto DoSの詳細設定に

があり、こいつら全てを一括で有効にするのがAuto DoSのチェックボックスとなってる。 そんで ここの投稿によると同一ポート間の通信を全て遮断するのはPrevent TCP/UDP Blat Attackってやつだそうで。

んでBlat攻撃とか知らんかったのでちょいと検索してみたんだが

とLand Attackの一種でそういうのがあるのだね。うんそういう攻撃があるとは理解したがでもなぁL2スイッチが無条件で同一ポート間の通信を勝手にドロップするとか普通思わねえし再起動で勝手に初期化されてしかもデフォルトでこいつがONになるとか知るかよというお話。 つーか他のベンダの製品でもこう無条件にドロップするんだろうか…

そもそもが保守チームに一切の連絡ないまま震災対応!節電!でサーバールームの冷房を切って、サーマルエラーで電源断させた運用チームが戦犯なんだが、なぜ俺が焼き土下座せんとならんかったのかほんと理不尽な話であった。