Wireless Aruba – Rogue Containment (WIPS)

A configuração de WIPS com Rogue Containment permite ao Access Point atuar diretamente contra o serviço WiFi fornecido indevidamente. Uma vez que a funcionalidade tem como objetivo derrubar o serviço dos AP classificados como rogue, alguns tipos de contenção podem impactar redes vizinhas, protegendo nossa própria rede, mas atacando os SSIDs válidos de nossos vizinhos. Entender todo o processo de mitigação e responsabilidades do administrador são fundamentais para o correto funcionamento e implantação do serviço.

Um Rogue Access Point é um ponto de acesso wireless que foi instalado em uma rede sem autorização do administrador da rede local, podendo ter sido instalado por um usuário legítimo que desconheça as implicações desta conduta ou deliberadamente por alguém com o intuito de atacar a Rede sem Fio. Em qualquer caso, um rogue AP representa uma séria ameaça à segurança da rede.

Wireless Intrusion Protection (WIP)

As técnicas de contenção dos dispositivos wireless da Aruba podem mitigar o acesso aos pontos de acesso rogue no modo wired (cabeada) e wireless (sem fio).

O wired containment é executado através de ARP Poisoning, envenenando o default gateway do Rogue AP na rede cabeada. O ponto de acesso Aruba configurado como AP ou AM irá executar a contenção, mas eles necessitam estar na mesma VLAN que o rogue para sucesso no containment.

A contenção via Wireless pode ser executada de duas maneiras: deauth e tarpitting.

Deauth.

O AP Aruba irá enviar frames deauthentication, para o rogue AP e seus clientes. O cliente poderá iniciar a reconexão, então o AP Aruba enviará uma nova mensagem deauthentication, assim sucessivamente.


Tarpit

O AP Aruba irá enviar frames deauthentication para o rogue AP e seus clientes, quando o cliente tentarem a reconexão, o AP Aruba enviará uma respostacom dados falsos induzindo o cliente (STA) a conectar no AP Aruba, ao invés do rogue, mas sem oferecer os dados para navegação.

Tarpitting é o processo no qual um AP Aruba personifica um AP não autorizado, incentivando o cliente não autorizado se conectar ao AP Aruba (quando antes conectado a um rogue AP) e, em seguida, o Aruba AP ou AM (AP no modo monitor) não responderá aos clientes, o direcionando a um canal não utilizado. O STA indicará que está conectado à rede sem fio, mas não obterá um endereço IP nem será capaz de transmitir tráfego.

O tarpit pode ser configurado como Tarpit-non-valid-sta, para os clientes não válidos, ou tarpit-all-sta para todos clientes.

Radio

Os Radios nos Access Point Aruba, podem ser configurados em diferentes modos: AP mode, Air Monitor (AM) e Spectrum Monitor (SM), para análise de espectro.

Os APs no modo AM são sempre recomendados quando o contaiment é habilitado. Os APs (modo AP mode) podem executar a contenção, mas em casos que os rogue estiverem no mesmo canal que o Aruba. Os APs podem também mudar de canal para contenção do rogue, mas o encaminhamento do tráfego dos cliente sempre será priorizado (a funcionalidade “Rogue AP Aware” deve estar habilitada no ARM profile. Já os AMs alocam seus recursos para contenção de rogues. Existem muitas opções automáticas de contenção que vão além de ‘conter se o dispositivo for classificado como rogue’.

As opções mais seguras e comuns são “Protect Valid Stations” e “Protect SSID“. Qualquer estação (STA) que tenha sido autenticada na infraestrutura Aruba com criptografia será automaticamente classificada como válida. Quando isso acontecer, a rede Aruba não permitirá a estação conectar-se a qualquer outra rede se “Protect Valid Stations” estiver ativado.

O Protect SSID conterá automaticamente quaisquer APs não válidos que estão transmitindo os SSIDs da Controller.

Colocando em produção

Antes de colocar as funcionalidades de contenção em produção, execute os testes em ambiente de laboratório. Inicialmente catalogando, classificando e identificando os SSIDs identificados pelo WIDS.

 Uma vez identificada e classificada as redes, escolha habilitar o WIPS com o modo de contenção em um ambiente isolado e de laboratório. Analise os logs gerados e identifique o comportamento gerado pelos APs durante o envio dos frames de desconexão, clientes, APs e SSIDs listados durante todo esse processo de homologação.

Preocupe-se com os SSIDs anunciados pelos vizinhos e assim evitando não gerar um ataque de negação de serviço (DoS) a rede sem fio deles.

Na Mobility Master Aruba (managed networks), visualize essas informações em:

Dashboard > Security

Clicando em qualquer um dos eventos é possível analisar os logs.

Se possível, utilize use uma ferramenta para analisar os frames 802.11 enviados pela infraestrutura Aruba (com o modo de contenção ativo), como o wireshark e com uma interface usb wireless do notebook em modo monitor, por exemplo.

Filtros no Wireshark para visualizar deauthentication frames wlan.fc.type_subtype==0x0c

Filtros no Wireshark para visualizar disassociation frames wlan.fc.type_subtype==0x0A

Filtros no Wireshark para visualizar um endereço MAC especifico
eth.addr == ff:ff:ff:ff:ff:ff

Referências

https://www.arubanetworks.com/assets/tg/TG_WIP.pdf

https://en.wikipedia.org/wiki/Rogue_access_point

Kolokithas, Andreas. Hacking Wireless Networks – The ultimate hands-on guide,2015

Switches ArubaOS – Configurando Link Aggregation (trunk)

Os switches ArubaOS, em sua função, oferece um grande número de portas para a rede local. Com a utilização de interfaces Ethernet, isolam domínios de Broadcast e permitem uma topologia livre de loops.

Em diversos cenários, as funções básicas não são suficientes para que determinados serviços da rede local funcionem da maneira desejada.

Features, como o Link Aggregation, podem ser utilizadas para aumento de banda entre dois dispositivos ou fornecer alta-disponibilidade.

O “conceito” de agregação de portas permite o agrupamento lógico de diversas portas para incrementar a velocidade do link na comunicação full duplex entre dois dispositivos. Os links são utilizados em paralelo, provendo crescimento, expansão de banda e redundância, sem a necessidade de compra de um hardware adicional.

Por exemplo, podemos utilizar 4 portas de 1Gb em cada dispositivo para formar um link de comunicação entre 2 Switches de 4Gb.

A feature Link-Aggregation também evita os cenários com loop de quadros Ethernet entre dois dispositivos, evitando também os estados de bloqueios do Spanning-Tree para as portas agregadas, tratando-as como uma única interface. Assim para os protocolos STP, coleta SNMP e VLANs, as interfaces são tratadas como um único link lógico.

Configuração

Continue reading

Switches ArubaOS – Configurando VLANs

A utilização de VLANs (Virtual Local Area Network) na rede local permite que uma rede física seja dividida em várias redes lógicas dentro de um Switch.

A partir da utilização de VLANs, uma estação não é capaz de comunicar-se com estações que não pertencem a mesma VLAN (para isto, as boas práticas sugerem a utilização de uma sub-rede por VLAN e que o tráfego passe primeiro por um roteador para chegar a outra rede [ ou utilizando um Switch Multicamada para efetuar o Roteamento]).

Uma vez que há a necessidade de separar o tráfego de cada departamento da sua empresa por VLANs, você deverá atribuir cada porta do switch para a VLAN correspondente. Geralmente a configuração de VLANs em Switches divide as portas Ethernet em 2 grupos: portas de acesso e portas de uplink.

Continue reading

Switches ArubaOS – Guia Rápido de Configuração

Para aqueles que estão começando a gerenciar equipamentos Aruba criamos uma lista de comandos para instalação e configuração de Switches com ArubaOS (parte dos comandos são aceitos na maioria dos modelos); os scripts são simples e bastante úteis!

Algumas funcionalidades podem ser configuradas de diferentes maneiras, mas tentaremos ser o mais abrangente possível nos scripts abaixo:
Continue reading

Smart Rate (Multi-Gigabit Ethernet)

As novas tecnologias de rede sem fio já exigem banda superior a velocidade das portas Gigabit Ethernet para os uplinks. O movimento dos serviços críticos também para o acesso wireless, como ferramentas e aplicações em nuvem, serviços multimídia e colaboração, demandam por velocidade intermediária entre as interfaces Ethernet de 1Gbs e 10Gb para o tráfego de rede quando se utiliza os padrões 802.11ac e 802.11ax (Wi-fi 5 e Wi-fi 6, respectivamente), somando a isso, inclui-se a necessidade de PoE para o tráfego acima de 1Gbs. Estes desafios possibilitaram o desenvolvimento do padrão 802.3bz (Multi-Gigabit Ethernet) e a sua rápida adoção pelo mercado.

 A tecnologia Smart Rate Multi-Gigabit Ethernet possibilita que a infraestrutura de rede atenda às necessidades das novas tecnologias de alta velocidade para interfaces de rede com velocidade de 1GbE, 2.5GbE, 5GbE e 10GbE (incluindo PoE, PoE+ e 802.3bt), utilizando o cabeamento de par trançado já existente.

Por exemplo, o padrão 802.3bz permite que o cabeamento CAT5e alcance a velocidade de 2,5Gb/s e o CAT6 alcance os 5Gbs, sem a substituição do cabeamento em uso. O padrão também fornece energia para Access Points de alta velocidade, demandada pelos novos APs 802.11ac wave 2 e 802.11ax, economizando as despesas para substituição e a complexidade da nova infraestrutura de cabeamento.

O que é o Smart Rate?

A tecnologia Multi-Gigabit Ethernet da HPE/Aruba é nomeada como Smart Rate. Ela é uma interface de rede de par trançado, interoperável com o ecossistema NBASE-T de produtos 2,5/5Gbps, bem como com dispositivos padrão de mercado de 1GbE/10GbE. Ela permite que a maioria das instalações de cabos existentes encontradas em ambientes LAN do campus forneçam conectividade, distribuam energia PoE para dispositivos conectados e protejam a rede cabeada para investimentos de novos APs para rede sem fio.

Para os switches com suporte ao IEEE 802.3bt, as portas do switch com Smart Rate fornecem até 60W de Power over Ethernet, independentemente da velocidade da porta. O mecanismo usado na interface Multi-Gigabit Ethernet para fornecer e receber energia sobre cabeamento estruturado de par trançado é totalmente compatível com as especificações IEEE 802.3bt e IEEE 802.3at PoE.

As portas Smart Rate são auto-negociáveis, o que permite que o link Ethernet se estabeleça na velocidade mais alta em uma determinada configuração de cabo. No exemplo abaixo, alguns parâmetros de configuração da velocidade da porta no ArubaOS.

Validando uma interface Smart Rate de um 335 AP:

AP-01# show interface eth0 is up, line protocol is up
Hardware is 5 Gigabit Ethernet, address is a8:bd:27:12:34:56
Speed 5000Mb/s, duplex full
Received packets                 2541229
Received bytes                   270781542
Receive dropped                  0
Receive errors                   0
Receive missed errors            0
Receive overrun errors           0
Receive frame errors             0
Receive CRC errors               0
Receive length errors            0
Transmitted packets              176421
Transmitted bytes                19895301
Transmitted dropped              0
Transmission errors              0
Lost carrier                     0

Validando a interface smart rate de um Switch 5412r:

HP-Switch-5412Rzl2# show interfaces J24 smartrate
 Status and Counters - Smart Rate information for Port J24
  Model                   : 0x03a1
  Chip                    : 0xb4b3
  Firmware                : 2.b.9
  Provisioning            : 0x0003
  Current SNR Margin (dB) |      Chan1      Chan2      Chan3      Chan4
                                  9.4       10.7        6.9        8.2
  Minimum SNR Margin (dB) |      Chan1      Chan2      Chan3      Chan4
                                  8.5       10.2        6.5        7.4
  Ethernet FCS errors            : 0
  Uncorrected LDPC errors        : 0

  Corrected LDPC erros
  LDPC iteration 1  : 2810815821
  LDPC iteration 2  : 1589277
  LDPC iteration 3  : 0
  LDPC iteration 4  : 0
  LDPC iteration 5  : 0
  LDPC iteration 6  : 0
  LDPC iteration 7  : 0
  LDPC iteration 8  : 0
    0  | Number of RFI Cancellation Events.
    0  | Number of Link Recovery Events.
    0  | Accumulated time (ms) spent in Fast Retrain.

  Established link speed                 : 5G NBASE-T
  Number of attempts to establish link   : 1
  Uptime since link was established      : 2021 seconds
  Local Port advertised capabilities
  1000BASE-T | 2.5G NBASE-T | 5G NBASE-T | 2.5GBASE-T | 5GBASE-T | 10GBASE-T
  Yes        | Yes          | Yes        | Yes        | Yes      | Yes
  Link Partner advertised capabilities
  1000BASE-T | 2.5G NBASE-T | 5G NBASE-T | 2.5GBASE-T | 5GBASE-T | 10GBASE-T
  Yes        | Yes          | Yes        | No         | No       | No

Até o próximo post!

Referências

https://www.arubanetworks.com/assets/so/SO_SmartRate.pdf

https://en.wikipedia.org/wiki/2.5GBASE-T_and_5GBASE-T

https://www.versatek.com/blog/ieee-802-3bz-breaking-1-gbps-barrier-without-recabling/

https://blogs.arubanetworks.com/solutions/go-faster-with-new-aruba-2930m-smart-rate-switches/

https://community.arubanetworks.com/t5/Wireless-Access/AP-335-smart-rates-port-info/td-p/286547

Whitepaper: Turbo Charging Cabling Infrastructures – HPE SMART RATE MULTI-GIGABIT ETHERNET TECHNOLOGY

Guia para comparação de comandos (ArubaOS-Switch/Cisco)

Pessoal, segue o link atualizado da HP Press para o guia de comparação de comandos ArubaOS com Cisco somente  e Cisco + Comware.

 

ArubaOS-Switch, Comware and Cisco IOS CLI Reference Guide
https://hpepress.hpe.com/product/ArubaOS-Switch+Comware+and+Cisco+IOS+CLI+Reference+Guide-PDF-18113

ArubaOS-Switch and Cisco IOS CLI Reference Guide
https://hpepress.hpe.com/product/ArubaOS-Switch+and+Cisco+IOS+CLI+Reference+Guide-PDF-18112

Até logo!

Guia para comparação de comandos (ArubaOS-Switch/Comware/Cisco) v3.3

Galera, a Aruba disponibilizou um guia de comparação de comandos CLI dos switches ArubaOS/Comware/Cisco.

O documento fornece boas referências para aqueles que já dominam a configuração em um determinado fabricante mas precisam administrar um ambiente misto.

Há novos itens adicionados em comparação as versões anterior como:

Capítulo 2: Password Complexity
Capítulo 6: ArubaOS supports NTP
Capítulo17: c: VxLAN
Capítulo17: d: MDNS, IPv6 ND Snooping, BFD
Capítulo17: e: RIPNG
Capítulo17: f: IP-SLA, Portscan Detection
Capítulo 28: ACLs
Capítulo 37: Tunneled Node, Trust QoS and Clear Pass Integration

O documento está disponível para download gratuito no site da HPepress:

https://hpepress.hpe.com/product/ArubaOS-Switch+Comware+and+Cisco+IOS+CLI+Reference+Guide-PDF-18113

comparativo aruba comware ios

Se o link estiver quebrado, deixe um comentário.