Wireless Aruba – Rogue Containment (WIPS)

A configuração de WIPS com Rogue Containment permite ao Access Point atuar diretamente contra o serviço WiFi fornecido indevidamente. Uma vez que a funcionalidade tem como objetivo derrubar o serviço dos AP classificados como rogue, alguns tipos de contenção podem impactar redes vizinhas, protegendo nossa própria rede, mas atacando os SSIDs válidos de nossos vizinhos. Entender todo o processo de mitigação e responsabilidades do administrador são fundamentais para o correto funcionamento e implantação do serviço.

Um Rogue Access Point é um ponto de acesso wireless que foi instalado em uma rede sem autorização do administrador da rede local, podendo ter sido instalado por um usuário legítimo que desconheça as implicações desta conduta ou deliberadamente por alguém com o intuito de atacar a Rede sem Fio. Em qualquer caso, um rogue AP representa uma séria ameaça à segurança da rede.

Wireless Intrusion Protection (WIP)

As técnicas de contenção dos dispositivos wireless da Aruba podem mitigar o acesso aos pontos de acesso rogue no modo wired (cabeada) e wireless (sem fio).

O wired containment é executado através de ARP Poisoning, envenenando o default gateway do Rogue AP na rede cabeada. O ponto de acesso Aruba configurado como AP ou AM irá executar a contenção, mas eles necessitam estar na mesma VLAN que o rogue para sucesso no containment.

A contenção via Wireless pode ser executada de duas maneiras: deauth e tarpitting.

Deauth.

O AP Aruba irá enviar frames deauthentication, para o rogue AP e seus clientes. O cliente poderá iniciar a reconexão, então o AP Aruba enviará uma nova mensagem deauthentication, assim sucessivamente.


Tarpit

O AP Aruba irá enviar frames deauthentication para o rogue AP e seus clientes, quando o cliente tentarem a reconexão, o AP Aruba enviará uma respostacom dados falsos induzindo o cliente (STA) a conectar no AP Aruba, ao invés do rogue, mas sem oferecer os dados para navegação.

Tarpitting é o processo no qual um AP Aruba personifica um AP não autorizado, incentivando o cliente não autorizado se conectar ao AP Aruba (quando antes conectado a um rogue AP) e, em seguida, o Aruba AP ou AM (AP no modo monitor) não responderá aos clientes, o direcionando a um canal não utilizado. O STA indicará que está conectado à rede sem fio, mas não obterá um endereço IP nem será capaz de transmitir tráfego.

O tarpit pode ser configurado como Tarpit-non-valid-sta, para os clientes não válidos, ou tarpit-all-sta para todos clientes.

Radio

Os Radios nos Access Point Aruba, podem ser configurados em diferentes modos: AP mode, Air Monitor (AM) e Spectrum Monitor (SM), para análise de espectro.

Os APs no modo AM são sempre recomendados quando o contaiment é habilitado. Os APs (modo AP mode) podem executar a contenção, mas em casos que os rogue estiverem no mesmo canal que o Aruba. Os APs podem também mudar de canal para contenção do rogue, mas o encaminhamento do tráfego dos cliente sempre será priorizado (a funcionalidade “Rogue AP Aware” deve estar habilitada no ARM profile. Já os AMs alocam seus recursos para contenção de rogues. Existem muitas opções automáticas de contenção que vão além de ‘conter se o dispositivo for classificado como rogue’.

As opções mais seguras e comuns são “Protect Valid Stations” e “Protect SSID“. Qualquer estação (STA) que tenha sido autenticada na infraestrutura Aruba com criptografia será automaticamente classificada como válida. Quando isso acontecer, a rede Aruba não permitirá a estação conectar-se a qualquer outra rede se “Protect Valid Stations” estiver ativado.

O Protect SSID conterá automaticamente quaisquer APs não válidos que estão transmitindo os SSIDs da Controller.

Colocando em produção

Antes de colocar as funcionalidades de contenção em produção, execute os testes em ambiente de laboratório. Inicialmente catalogando, classificando e identificando os SSIDs identificados pelo WIDS.

 Uma vez identificada e classificada as redes, escolha habilitar o WIPS com o modo de contenção em um ambiente isolado e de laboratório. Analise os logs gerados e identifique o comportamento gerado pelos APs durante o envio dos frames de desconexão, clientes, APs e SSIDs listados durante todo esse processo de homologação.

Preocupe-se com os SSIDs anunciados pelos vizinhos e assim evitando não gerar um ataque de negação de serviço (DoS) a rede sem fio deles.

Na Mobility Master Aruba (managed networks), visualize essas informações em:

Dashboard > Security

Clicando em qualquer um dos eventos é possível analisar os logs.

Se possível, utilize use uma ferramenta para analisar os frames 802.11 enviados pela infraestrutura Aruba (com o modo de contenção ativo), como o wireshark e com uma interface usb wireless do notebook em modo monitor, por exemplo.

Filtros no Wireshark para visualizar deauthentication frames wlan.fc.type_subtype==0x0c

Filtros no Wireshark para visualizar disassociation frames wlan.fc.type_subtype==0x0A

Filtros no Wireshark para visualizar um endereço MAC especifico
eth.addr == ff:ff:ff:ff:ff:ff

Referências

https://www.arubanetworks.com/assets/tg/TG_WIP.pdf

https://en.wikipedia.org/wiki/Rogue_access_point

Kolokithas, Andreas. Hacking Wireless Networks – The ultimate hands-on guide,2015

802.3bt – Power Over Ethernet

O crescimento do mercado de dispositivos IoT e as mais recentes tecnologias de rede sem fio como Wifi 5 Wifi 6 (802.11ax) tem demandando uma atenção especial à escolha dos Switches com capacidade Power over Ethernet, tecnologia que combina envio de dados e energia elétrica sobre um único cabo Ethernet.

Ao eliminar a necessidade para cabos separados de dados e energia, o PoE fornece vantagens da simplicidade e economia de custos, além de adicionar novos recursos de controle de dispositivo inteligente.

Impulsionado pela necessidade dos novos dispositivos “Internet das coisas”, a tecnologia PoE evoluiu com o introdução do padrão IEEE 802.3bt. Esse novo padrão permite que Switches e dispositivos energizados operem acima de 30 Watts por porta, suportando agora de 60 até 90 Watts de PoE.

Padrões para Power Over Ethernet

Em 2003, o IEEE publicou o padrão 802.3af, que descreveu as características do Power over Ethernet (PoE) em até 15,4 W de energia, executando 10BASE-T e 100BASE-T. A energia é fornecida em dois dos quatro pares trançados nos cabos Cat 3 ou acima.

Em 2009, o IEEE introduziu o 802.3at, também conhecido como padrão PoE+. Esta atualização permitiu a entrega de até 30 W em 1000BASE-T suportado em CAT 5 ou 6. Enquanto o PoE + alterna suporte a dispositivos que requerem maior potência, o padrão também pode detectar dispositivos que exigem 13 watts ou menos para fornecer o nível de energia necessário.

Em 2013, o IEEE anunciou o grupo de estudo para a criação de 802.3bt, que definiu o PoE em quatro pares e inclui suporte para 10GBASE-T, 5GBASE-T e 2.5GBASE-T em CAT5e ou superior. Essa nova tecnologia usa todos os 4 pares em um cabo Ethernet para fornecer energia e dados no mesmo meio. O padrão IEEE 802.3bt foi finalizado em setembro de 2018 e define dois tipos de PoE:

• Tipo 3 que suporta até 60 Watts
• Tipo 4 que suporta até 90 Watts

Embora novos recursos tenham sido adicionados, a ideia é que o padrão funcione com dispositivos legados Tipo 1 e Tipo 2. Desde que o PSE seja capaz (em termos de potência) de suportar o PD e ambos sejam compatíveis com o padrão.

Dentre os novos dispositivos alimentados pelo padrão podemos destacar:

  • Edifícios inteligentes com IoT corporativa (iluminação LED conectada);
  • Cidades seguras (câmeras PTZ);
  • Quiosques;
  • Terminais de ponto de venda (POS)
  • Thin clientes
  • Access Points
  • Etc;

Referências

https://www.arubanetworks.com/assets/tg/TB_High-Power-PoE.pdf

https://en.wikipedia.org/wiki/Power_over_Ethernet

Vídeo: Como escolher um Switch PoE?

O crescimento do mercado de dispositivos IoT e as mais recentes tecnologias de rede sem fio como Wifi 6 (802.11ax) tem demandando uma atenção especial à escolha dos Switches com capacidade Power over Ethernet, tecnologia que combina envio de dados e energia elétrica sobre um único cabo Ethernet.

Ao eliminar a necessidade para cabos separados de dados e energia, o PoE fornece vantagens da simplicidade e economia de custos, além de adicionar novos recursos de controle de dispositivo inteligente. Nesse vídeo explicamos a diferença entre os padrões e damos dicas na hora de escolher qual switch PoE atenderá as suas demandas .

Até logo!

Vídeo: VRRP com Track de Interface

O VRRP (Virtual Router Redundancy Protocol) permite a utilização de um endereço IP virtual em diferentes Switches/Roteadores. O funcionamento do VRRP é bem simples, dois ou mais dispositivos são configurados com o protocolo para troca de mensagens e então, o processo elege um equipamento MASTER e um ou mais como BACKUP.

Em caso de falha do Roteador VRRP Master o Roteador VRRP Backup assumirá rapidamente a função e o processo ocorrerá transparente para os usuários da rede.

Há também cenários que o roteador Master do VRRP continua ativo, mas não consegue encaminhar os pacotes devido a interface saída (como para a Internet por exemplo) cair. Podemos então fazer o track para o processo VRRP monitorar algum objeto, que pode ser o estado da interface( UP ou down), pingar determinado site, teste de conexão telnet e etc; e dessa forma reduzir a prioridade VRRP baseando-se em uma condição.

Até logo.

Comware7: Convertendo uma interface 40G para 4 interfaces 10G (40 QSFP+ para 4x 10G SFP+)

É possível utilizar uma interface de 40G QSFP para fornecer quatro conexões de 10 GbE utilizando um cabo DAC breakout, como por exemplo, em switches HP/Aruba da linha 5700, 5900, Chassis com módulos de 40Gb, etc..

Isto é possível pois uma fibra de 10 Gb usa um tipo de transmissão serial onde os dados são enviados sequencialmente, um bit por vez. Uma fibra de transmissão dedicada e uma de recepção dedicada, conhecidas como um par de fibras duplex, criam o canal de 10 Gb usado para completar o circuito de dados. Velocidades de 40 Gb e mais exigem uma alternativa chamada de transmissão óptica paralela, que emprega vários pares de fibra duplex para transportar mais dados e obter velocidades mais altas. Por exemplo, a transmissão óptica paralela alcança a velocidade de 40 Gb combinando quatro pares de fibra duplex de 10 Gb para criar um canal de 40 Gb.

Por padrão ao inserir apenas o cabo 10-GE breakout a interface não será dividida automaticamente e continuará a operar como uma única interfaces. Para isso, precisamos aplicar o comando “using tengige” dentro da interface 40G e então reiniciar o módulo (ou o Switch), após esse procedimento a interface será numerada de forma diferenciada, mais ou menos como uma sub-interface, cada uma delas dedicada aos cabos 1, 2, 3 e 4.

Por exemplo, você pode dividir uma interface de 40-Gb, FortyGigE 1/1/49, em quatro interfaces Ten-GigabitEthernet 1/1/49:1 a Ten-GigabitEthernet 1/1/49:4.

Configuração

[Switch-FortyGigE1/0/49]using tengige
The interface FortyGigE1/0/49 will be deleted. Continue? [Y/N]:y
Reboot the member device to make the configuration take effect. [Switch-FortyGigE1/0/49]save force Validating file. Please wait… Saved the current configuration to mainboard device successfully. [Switch-FortyGigE1/0/49]quit
[Switch]quit
<Switch>reboot

A configuração da interface ficará assim:

 interface Ten-GigabitEthernet1/0/49:1
 #
 interface Ten-GigabitEthernet1/0/49:2
 #
 interface Ten-GigabitEthernet1/0/49:3
 #
 interface Ten-GigabitEthernet1/0/49:4
 #

[Switch]display interface brief
XGE1/0/49:1 DOWN auto A A 1
XGE1/0/49:2 DOWN auto A A 1
XGE1/0/49:3 DOWN auto A A 1
XGE1/0/49:4 DOWN auto A A 1

Para retornar a interface para o modo 40G…

[Switch]interface FortyGigE 1/0/49
[Switch-FortyGigE1/0/49]using tengige

The interface FortyGigE1/0/49 will be deleted. Continue? [Y/N]:y

Reboot the member device to make the configuration take effect.

[Switch-FortyGigE1/0/49]

Referências

https://community.arubanetworks.com/t5/Wired-Intelligent-Edge-Campus/40G-QSFP-to-Four-10G-Fibre-5412R-with-J9992A/td-p/311807


http://www.h3c.com.hk/Technical_Support___Documents/Technical_Documents/Switches/H3C_S7500E_X/H3C_S7500E-X_Series_Switches/Configure/Configuration_Guide/H3C_S7500E-X_CG-Release7178-6W100/03/201602/914666_1285_0.htm

Vídeo: LLDP – Link Layer Discovery Protocol

O protocolo LLDP(802.1AB) permite que dispositivos de rede como Servidores, Switches e Roteadores, descubram uns aos outros. Ele opera na camada de enlace do modelo OSI (camada 2) permitindo que informações básicas como hostname, versão do Sistema Operacional , endereço da interface, entre outros, sejam aprendidas dinâmicamente por equipamentos diretamente conectados.

O mais bacana do Link Layer Discovery Protocol (LLDP) é a integração entre equipamentos de diversos fabricantes.

Obrigado.

Vídeo: TACACS+

O TACACS+ (Terminal Access Controller Access Control System) é um protocolo que provê autenticação centralizada para usuários que desejam acesso a equipamentos de rede. O protocolo fornece serviço modular para o AAA separando esses serviços (autenticação, autorização e contabilidade) de forma independente.

Os dispositivos baseados no Comware trabalham com o HWTACACS (HW Terminal Access Controller Access Control System) que é uma versão baseada na RFC 1492 do TACACS+ com interoperabilidade com todos os serviços que operam com TACACS+.

Nesse vídeo descrevemos a configuração do serviço HWTACACS

Se inscreva no canal para receber a notificação dos próximos vídeos.