Switches ArubaOS: Segurança nos botões frontais

Os switches Aruba usam botões Reset e Clear no painel frontal para permitir que os usuários reiniciem (reset) a configuração do switch para o padrão de fábrica ou para redefinir a senha do console (clear). Esses recursos criam um risco de segurança e para ambientes não controlados ao switch. Recomenda-se que os administradores desabilitem esses recursos.

É importante entender que desativar esses recursos restringe severamente as opções da equipe de TI para recuperar um switch em cenários que não se possui as credenciais de acesso.

Esses botões permitem que um simples clip de papel possa limpar as senhas (clear). O botão clear não apaga a configuração e não desliga o switch, apenas apaga as senhas.

switch(config)# no front-panel-security password-clear
switch(config)# no front-panel-security factory-reset

Observações

– Pressionar o botão Clear por um segundo redefine a(s) senha(s) configurada(s) no switch.

– Pressionar o botão Reset sozinho por um segundo faz com que o switch seja reinicializado.

– Você também pode usar o botão Reset junto com o botão Clear (Reset + Clear) para restaurar o padrão de fábrica configuração do switch.

– Para validar utilize show front-panel-security

Referências

ArubaOS-Switch Hardening Guide for 16.06

Aruba 2930F / 2930M Access Security Guide for ArubaOS-Switch

Swiches ArubaOS-CX 6300 e 6200: Configurando VSF

A feature VSF é a tecnologia responsável pelo empilhamento dos Switches ArubaOS-CX família 6200 e 6300 . Uma vez que a pilha VSF é formada, todos os switches interconectados operam como um único switch virtual, com um único plano de controle. Todas as interfaces e serviços de todos os switches da pilha VSF estarão disponíveis para configuração e gerenciamento.

A funcionalidade também permite a configuração do link-aggregation distribuído, abrangendo as interfaces de vários switches individuais dentro da pilha para a formação da agregação de portas.

A configuração do VSF é bem simples e está disponível no ArubaOS-CX na versão 10.04 ou superior. Todos os membros devem rodar a mesma versão do OS-CX.

Os switches 6200 e 6300 não podem formar o VSF entre si, mas diferente modelos de switches 6300 podem formar o stack VSF.

Para a formação de um link VSF deverão ser utilizadas as interfaces de 10Gbps , 25Gbps ou 50Gbps.

Configurando o VSF

Validando a formação do VSF

SW-Access1# show vsf
MAC Address              : 64:e8:81:d8:ed:40
Secondary                :   
Topology                 : Chain
Status                   : No Split
Split Detection Method   : None
Mbr Mac Address         type           Status  
ID
--- ------------------- -------------- ---------------
1   64:e8:81:d8:ed:40   JL666A         Master
2   64:e8:81:d9:b1:00   JL666A         Member


SW-Access1# show vsf topology
          Mstr     
 +---+    +---+   
 | 2 |1==1| 1 |
 +---+    +---+   

Configurando o  secondary member

A pilha não terá um membro secundário por padrão. Um membro secundário pode ser configurado a partir de membros disponíveis e será atribuído  a função de “master standy” na pilha. A funcionalidade permitirá definir qual switch assumirá a função de master, na falha do equipamento principal (o master).

Quando for configurado como secundário, um membro do stacking que já está presente na pilha será reinicializado e reintegrado à pilha como o standby.

Um membro já provisionado como standby pode ser configurado como um membro secundário. Quando o membro entrar no stacking, ele será inicializado na função de standby, sem nenhuma reinicialização adicional.

Se um membro secundário já estiver configurado e fisicamente presente na pilha e outro switch for iniciado já configurado como standby, a remoção do membro secundário anterior fará com que o ‘switch membro secundário anterior’ reinicie e entre como member.

Caso o master apresente problemas, o standby assumirá a função do master.

Abaixo, mostramos a continuidade da configuração acima, adicionando o switch 2 para a função de standby (com o stacking já formado e sem configuração de switch standby previamente) .

SW-AccessVSF(config)# show vsf
MAC Address              : 64:e8:81:d8:ed:40
Secondary                : 2
Topology                 : Chain
Status                   : No Split
Split Detection Method   : None
Mbr Mac Address         type           Status  
ID
--- ------------------- -------------- ---------------
1   64:e8:81:d8:ed:40   JL666A         Master
2   64:e8:81:d9:b1:00   JL666A         Standby


SW-AccessVSF(config)# show vsf topology
 Stdby    Mstr     
 +---+    +---+   
 | 2 |1==1| 1 |
 +---+    +---+   

Caso adicionemos mais switches a pilha, o Switch 1 continuará como master e o Switch 2 como standby na pilha VSF.

Referência

ArubaOS-CX Virtual Switching Framework (VSF) Guide 6200, 6300 Switch Series

ArubaOS-CX: Entendendo o Checkpoint

A funcionalidade checkpoint nos Switches ArubaOS-CX é um registro da configuração em execução (running-config) do switch e seus metadados referentes ao tempo.

O checkpoint pode ser utilizado pelo administrador para aplicar a configuração armazenada em um ponto de verificação (checkpoint) escolhido quando necessário, como por exemplo, para reverter para uma configuração anterior.

Os switches ArubaOS-CX são capazes de armazenar vários pontos de verificação.

Um checkpoint da configuração pode ser gerado após 5 minutos de inatividade automaticamente (após uma mudança de configuração) ou então gerado pelo usuário administrador.

Para cada alteração de configuração, o contador de tempo limite é reiniciado.

O checkpoint gerado pelo sistema possuirá o formato CP<YYYYMMDDHHMMSS>.

Já o checkpoint gerado pelo usuário poderá utilizar um nome customizado para a configuração.

Para validar a os checkpoint gerados digite:

 SW-Access1# show checkpoint list
CPC20210223231221
CPC20210224020931
startup-config

Para gerar um checkpoint digite:

SW-Access1# copy running-config checkpoint TESTE1
Configuration changes will take time to process, please be patient.
! Gerando uma checkpoint chamado TESTE1

Após mudança na configuração e o desejo de mudança para a configuração anterior do checkpoint TESTE1, digite:

SW-Access1# copy checkpoint TESTE1 running-config 
Configuration changes will take time to process, please be patient.
! Copiando o checkpoint TESTE1 para a running-config

Para validar todos os checkpoint digite:

SW-Access1#  show checkpoint list all
|NAME                                              |TYPE                |WRITER              |DATE(UTC)                     |HARDWARE  
          |IMAGE VERSION       |
|CPC20210223231221                                 |checkpoint          |System              |2021-02-23T23:12:21Z          |6300      
          |FL.10.04.3031       |
|CPC20210224020931                                 |checkpoint          |System              |2021-02-24T02:09:31Z          |6300      
          |FL.10.04.3031       |
|startup-config                                    |startup             |User                |2021-02-24T02:14:40Z          |6300      
          |FL.10.04.3031       |
|TESTE1                                            |latest              |User                |2021-02-24T02:15:24Z          |6300      
          |FL.10.04.3031       |
		  

Todos os checkpoints gerados pelo usuário incluem um carimbo de data/hora para identificar quando um ponto de verificação foi criado.

No máximo 32 checkpoints podem ser gerados pelo usuário.

No máximo 32 checkpoint de sistema podem ser criados. Além desse limite, o checkpoint do sistema mais recente substitui o mais antigo.

Checkpoints e auto-rollback

Um recurso adicional é a reversão automática da configuração. Se antes de iniciar uma alteração na configuração, você inserir: checkpoint auto <número de minutos> e após expirar o tempo configurado, você será solicitado a confirmar as alterações. Caso contrário, ao final do período, a configuração voltará ao estado anterior ao que você configurou o checkpoint auto. Para este propósito, um ponto de verificação oculto é usado.

O principal objetivo desta opção é recuperar de um erro de configuração que desconectou você do dispositivo (especialmente se acessá-lo remotamente).

GUI

Para gerenciar o checkpoint no modo GUI:

Referências

https://community.arubanetworks.com/community-home/digestviewer/viewthread?MID=22966

https://techhub.hpe.com/eginfolib/Aruba/OS-CX_10.04/5200-6701/index.html#GUID-B43F99C4-8ADA-4934-9A6B-5DE0B20391FE.html

Comware 7: Configuração de VXLAN com BGP EVPN

O Ethernet Virtual Private Network (EVPN) é uma tecnologia VPN de Camada 2 VPN que fornece conectividade entre dispositivos tanto em Camada 2 como para Camada 3 através de uma rede IP. A tecnologia EVPN utiliza o MP-BGP como plano de controle (control plane) e o VXLAN como plano de dados/encaminhamento (data plane) de um switch/roteador. A tecnologia é geralmente utilizada em data centers em ambiente multitenant ( com múltiplos clientes e serviços) com grande tráfego leste-oeste.

A configuração do EVPN permite ao MP-BGP automatizar a descoberta de VTEPs, assim como o estabelecimento de tuneis VXLAN de forma dinâmica, a utilização de IRB (Integrated Routing and Bridging) anuncia tanto as informações  de Camada 2 e 3 para acesso ao host, fornecendo a utilização do melhor caminho através do ECMP e minimizando flood do trafego multidestination (BUM: broadcast,unicast unknown e multicast)  .

Em resumo o EVPN possui um address Family que permite que as informações de MAC, IP, VRF e VTEP sejam transportadas sobre o MP-BGP, que assim permitem aos VTEPs aprender informações sobre os hosts (via ARP/ND/DHCP etc.).

O BGP EVPN distribui e fornece essa informação para todos os outros pares BGP-EVPN dentro da rede.

Relembrando o VXLAN

O VXLAN prove uma rede de camada 2 sobreposta (overlay) em uma rede de camada 3 (underlay). Cada rede sobreposta é chamada de segmento VXLAN e é identificada por um ID único de 24 bits chamado VNI – VXLAN Network Identifier ou VXLAN ID.

A identificação de um host vem da combinação do endereço MAC e o VNI.  Os hosts situados em VXLANs diferentes não podem comunicar entre si (sem a utilização de um roteador). O pacote original enviado por um host na camada 2 é encapsulado em um cabeçalho VXLAN que inclui o VNI associado ao segmento VXLAN que aquele host pertence.

Os equipamentos que transportam os tuneis VXLAN são chamados de VTEP (VXLAN tunnel endpoints).

Quando um VXLAN VTEP ou tunnel endpoint comunica-se com outros VXLAN VTEP, um túnel VXLAN é estabelecido. Um túnel é meramente um mecanismo de transporte através de uma rede IP.

Todo o processamento VXLAN é executado nos VTEPs. O VTEP de entrada encapsula o tráfego com cabeçalho VXLAN, mais um cabeçalho UDP externo , mais um cabeçalhos IP externo, e então encaminha o tráfego por meio de túneis VXLAN. O VTEP do destino remove o encapsulamento VXLAN e encaminha o tráfego para o destino.

Os dispositivos da rede IP de transporte encaminham o tráfego VXLAN apenas com base no cabeçalho IP externo dos pacotes VXLAN (eles não precisam ter suporte à tecnologia VXLAN).

Uma imagem contendo screenshot, texto

Descrição gerada automaticamente

Um outro ponto importante é que a tecnologia VXLAN supera as limitações de apenas 4 mil domínios de broadcast fornecido por VLANs para até 16 milhões de domínios de broadcast com VNIs. Já para as limitações do Spanning-Tree que coloca os caminhos redundantes em estado de bloqueio, a tecnologia VXLAN permite a construção de todos os uplinks como parte de um backbone IP (rede underlay), utilizando protocolos de roteamento dinâmico para escolha do melhor caminho ao destino, assim fazendo uso do ECMP (Equal Cost Multipath) em uma topologia Spine-Leaf, por exemplo.

BGP EVPN

O BGP EVPN difere do comportamento “Flood and Learn” executado por tuneis VXLANs em diversas maneiras. Enquanto o tráfego multidestination (BUM: broadcast,unicast unknown e multicast) encaminhado pelo VXLAN sem o BGP EVPN necessita de utilizar grupos multicast, o EVPN permite a replicação da identificação dos dispositivos finais com o MP-BGP , assim como as informações do VTEP que ele está associado. As comunicações ARP para IPv4 também pode ser suprimida, aprimorando assim a eficiência do transporte dos dados.

LAB

No laboratório abaixo utilizamos os roteadores HP VSR no release R0621P18-X64, no EVE-NG.

Ambos os Spines estão configurados como VTEP e encaminharão o tráfego do VXLAN VNI 10. A instancia criada para esse cliente, chamamos de ‘clientea’.

O Spine está configurado como BGP Router Reflector fechando peerring com ambos Leafs. Nenhum Leaf fecha peering BGP entre si, somente como Spine.

Texto preto sobre fundo branco

Descrição gerada automaticamente

Configuração SPINE 1

#
 sysname Spine-01
#
interface LoopBack0
description OSPF_UNDERLAY
 ip address 192.168.0.1 255.255.255.255
#
interface LoopBack1
description BGP_EVPN_UNDERLAY
 ip address 192.168.0.11 255.255.255.255
#
interface GigabitEthernet1/0
description CONEXAO_LEAF3
 ip address 192.168.13.1  255.255.255.0
#
interface GigabitEthernet2/0
description CONEXAO_LEAF4
 ip address 192.168.14.1 255.255.255.0
#
ospf 1 router-id 192.168.0.1
 description UNDERLAY_OSPF
 area 0.0.0.0
  network 192.168.0.1 0.0.0.0
  network 192.168.0.11 0.0.0.0
  network 192.168.14.0 0.0.0.255
  network 192.168.13.0 0.0.0.255
#
bgp 65001
 group evpn internal
 peer evpn connect-interface LoopBack1
 peer 192.168.0.33 group evpn
 peer 192.168.0.44 group evpn
 #
 address-family l2vpn evpn
  undo policy vpn-target
  peer evpn enable
  peer evpn reflect-client
#

Configuração LEAF 3

#
 sysname Leaf-03
#
interface LoopBack0
description OSPF_UNDERLAY
 ip address 192.168.0.3 255.255.255.255
#
interface LoopBack1
description BGP_EVPN_UNDERLAY
 ip address 192.168.0.33 255.255.255.255
#
interface GigabitEthernet1/0
description CONEXAO_SPINE1
 ip address 192.168.13.3 255.255.255.0
 ospf network-type p2p
#
ospf 1 router-id 192.168.0.3
 description UNDERLAY_OSPF
 area 0.0.0.0
  network 192.168.0.3 0.0.0.0
  network 192.168.0.33 0.0.0.0
  network 192.168.13.0 0.0.0.255
#
bgp 65001
 peer 192.168.0.11 as-number 65001
 peer 192.168.0.11 connect-interface LoopBack1
 #
 address-family l2vpn evpn
  peer 192.168.0.11 enable
#
 vxlan tunnel mac-learning disable
#
 l2vpn enable
#
vsi clientea
 arp suppression enable
 vxlan 10
 evpn encapsulation vxlan
  route-distinguisher auto
  vpn-target auto export-extcommunity
  vpn-target auto import-extcommunity
  quit
#
interface GigabitEthernet3/0
 xconnect vsi clientea
#

Configuração LEAF 4

#
 sysname Leaf-04
#
interface LoopBack0
description OSPF_UNDERLAY
 ip address 192.168.0.4 255.255.255.255
#
interface LoopBack1
description BGP_EVPN_UNDERLAY
 ip address 192.168.0.44 255.255.255.255
#
interface GigabitEthernet2/0
description CONEXAO_SPINE2
 ip address 192.168.14.4 255.255.255.0
  ospf network-type p2p
#
ospf 1 router-id 192.168.0.4
 area 0.0.0.0
  network 192.168.0.4 0.0.0.0
  network 192.168.0.44 0.0.0.0
  network 192.168.14.0 0.0.0.255
#
bgp 65001
 peer 192.168.0.11 as-number 65001
 peer 192.168.0.11 connect-interface LoopBack1
 #
 address-family l2vpn evpn
  peer 192.168.0.11 enable
#
 vxlan tunnel mac-learning disable
#
 l2vpn enable
#
vsi clientea
 arp suppression enable
 evpn encapsulation vxlan
  route-distinguisher auto
  vpn-target auto export-extcommunity
  vpn-target auto import-extcommunity
  quit
  vxlan 10
  quit
#
interface GigabitEthernet3/0
 xconnect vsi clientea
#

Comandos Display bgp l2vpn evpn

Tela de computador com texto preto sobre fundo branco

Descrição gerada automaticamente

Comando display vxlan tunnel

Uma imagem contendo desenho

Descrição gerada automaticamente

Referências

R2702-HPE FlexFabric 5940 & 5930 Switch Series EVPN Configuration Guide

KRATTIGER, Lukas; KAPADIA, Shyam; JANSEN, David; Building Data Centers with VXLAN BGP EVPN – A Cisco NX-OS Perspective – 2017 CiscoPress

Aruba InstantOn – Configurando PPPoE

Em uma rede que oferece DHCP ao AP InstantOn o provisionamento é bem intuitivo e basicamente você necessita apenas utilizar o app ou efetuar o provisionamento através do portal web: http://www.comutadores.com.br/aruba-instant-on-configuracao-atraves-do-app/

Para a configuração do AP para estabelecer a conexão com o provedor atraves do PPPoE é necessário efetuar um procedimento diferente com alguns pontos de atenção:

1. A configuração do PPPoE deverá ser executada antes da integração do AP com a nuvem. Caso o AP já esteja integrado com a nuvem, a configuração do PPPoE não estará mais disponivel para modificações.

2. No entanto, se o AP perder a conectividade com a nuvem e forem detectadas falhas de PPPoE, você poderá acessar a WebUI local e atualizar as configurações novamente.

Configurando InstantOn com PPPoE

Siga as etapas abaixo para configurar o PPPoE na sua rede:

1. O Instant On AP deve estar conectado ao modem fornecido pelo provedor, mas não possui um endereço IP fornecido pelo servidor DHCP.

2. Quando o LED do AP ficar laranja sólido, o AP transmitirá um SSID InstantOn-AB:CD:EF aberto, após aproximadamente um minuto – em que AD: CD: EF corresponderá aos três últimos octetos do endereço MAC do AP.

3. Conecte seu notebook ou celular ao SSID e acesse o servidor da Web local em https://connect.arubainstanton.com. A página de configuração local da WebUI é exibida.

4. Em Endereçamento IP, selecione o botão de opção PPPoE.

5. Digite o nome de usuário e a senha do PPPoE fornecidos pelo seu provedor, nos respectivos campos.

6. Clique em Aplicar. O AP será reiniciado assim que a configuração do PPPoE for aplicada.

7. Aguarde as luzes LED piscarem em verde e laranja. Isso indica que o link PPPoE está ativo e estável. Você verá o status de integração do dispositivo agora com a mensagem ” Waiting to be onboarded.. “. Esta etapa pode levar mais cinco minutos, se o AP atualizar seu firmware durante o processo de reinicialização.

Referências

https://www.arubainstanton.com/techdocs/en/content/get-started/pppoe.htm

Aruba Instant On – Configuração através do app

A Aruba lançou uma linha de Access Point para pequenas empresas chamada de Instant On, oferecendo visibilidade e estabilidade no acesso . O hardware utilizado é tão robusto quanto o dos IAP (ou atualmente chamados UAP), mas possui um firmware próprio dedicado para a serie. É muito importante não confundir os APs Aruba Instant On com os APs Aruba Instant. O Aruba Instant é uma solução corporativa com muitas opções e recursos avançados,  além de licenças adicionais necessárias para gerenciamento através da nuvem com o Aruba Central ou Controladora on-premises, enquanto o serviço do portal para gerenciamento do Aruba Instant On é um recurso incluso, sem custo adicional.

O Aruba Instant On é destinado a organizações menores, com menos de 100 usuários. Como o Aruba Instant On foi desenvolvido para simplificar a implementação da rede sem fio as configurações complexas para WLAN não estão disponíveis. As documentações da Aruba indicam o Instant On como ideal  para o varejo,  pequenos hotéis, hostels e escritórios.

A configuração dos APs é bem intuitiva e o administrador só precisa fornecer os nomes da rede, os números da VLAN (se houver) e as chaves pré-compartilhadas (PSK). Para os cenários com autenticação 802.1X , os APs Instant On também oferecem suporte à funcionalidade.

Um grande atrativo é a facilidade para implementação e gerenciamento – além do custo dos APs. Todo o gerenciamento é executado em nuvem através de um app ou um portal, sem licenciamento ou necessidade de controller externa (mesmo para um grupo de access points).

Entre as principais funcionalidades temos, o controle de RF (largura de canal, seleção de canal e banda 2.4Ghz e/ou 5Ghz), visibilidade/controle sobre os apps, suporte a PPPoE, Guest, Captive portal, suporte a alta disponibilidade e RADIUS proxy.

Configurando o Instant On através do App

  1. Conecte o AP Instant On, a rede com permissão de acesso à internet;
  2. Espere até as luzes do AP, estarem verde e âmbar;
Uma imagem contendo colar

Descrição gerada automaticamente

3 . Baixe o app na Apple Store ou Google Play;

Tela de celular com texto preto sobre fundo branco

Descrição gerada automaticamente

4. Abra o app e siga as instruções de instalação;

5. Para adicionar mais equipamentos conectados a rede cabeada ou via wireless clique no sinal de +;

Uma imagem contendo comida

Descrição gerada automaticamente

Pronto! Já é possível gerenciar e administrar os APs através do app ou portal web https://portal.arubainstanton.com/

Tela de celular com publicação numa rede social

Descrição gerada automaticamente

Referências

https://www.arubainstanton.com/products/indoor/

https://community.arubainstanton.com/t5/Blogs/Instant-On-version-1-4-is-here-and-it-is-all-about-flexibility/ba-p/1539

https://www.arubainstanton.com/files/SO_AIO.pdf

Wireless Aruba – Modo de encaminhamento para os Access Points

Quando uma estação encaminha seus quadros para um Ponto de Acesso, existem diversas maneiras para o AP processar e encaminhar os dados, tudo dependendo de como o Access Point é configurado. 

Um Access Point configurado como IAP não necessita de uma Controller, pois todos os AP que estão na mesma sub rede irão formar um Cluster Virtual e operam independente da Controladora física.

Já os Pontos de acesso gerenciado por uma Controladora, devem ter seu tráfego permitido na rede (caso haja restrições de tráfego na rede).

O modo de encaminhamento (forwarding mode) define como os dados enviados pelo usuário são encaminhados pelo AP e podem ser classificados como:

  • GRE/tunnel
  • Bridge
  • Decrypt-tunnel
  • Split-Tunnel

Alguns termos nesse texto são utilizados com o mesmo significado:

Controladora = Controller = Mobility Controller

Quadros = Frames

Access Point = AP = Ponto de Acesso

GRE/Tunnel

Esse modo utiliza um Tunnel GRE para encaminhar os dados do Access Point para a Mobility Controller. Quando um cliente envia um dado para um SSID (em um AP) que é configurado para utilizar o forwarding mode como tunnel mode, o AP encapsula o quadro 802.11 dentro de um frame 802.3 e encaminha o quadro para a Controladora Aruba.

Nesse processo nem todos os frames são tunelados e encaminhados a controladora, os quadros 802.11 para autenticação e resposta de associação são gerados diretamente no AP.

Para o tráfego que é encapsulado e enviado a controladora, a Mobility Controller removerá o encapsulamento no recebimento, aplicará regras de firewall ao tráfego do usuário e encaminhará o tráfego como solicitado.

Um Access Point Aruba configurado como Campus (CAP), todo tráfego de controle é comunicado com a controladora utilizando o protocolo PAPI, que não é criptografado. Caso haja a necessidade de criptografar a comunicação PAPI é sugerido a utilização juntamente com o CPsec (Control Plane Security) que criptografa a comunicação PAPI com IPsec.

Já os APs configurados como Remote (RAP), a comunicação deverá utilizar um túnel VPN L2TP/IPsec.

Com o modo túnel, todo tráfego é enviado para a Controller que é responsável por prover a visibilidade das configurações e trafego dos usuários de forma centralizada, facilitando a configuração das redes WLAN.

Bridge

O mode bridge permite ao Access Point (não a Controladora) processar os quadros, de forma similar aos APs individuais processam as informações. O AP irá responder qualquer requisição de autenticação e associação com as respostas referentes ao processo, removendo a criptografia dos frames recebidos  e criptografando os quadros de saída para a estação.

 O modo bridge também pode ser configurado em APs configurados como CAP e RAP, mas a sua comunicação com a Mobility Controller deverá ser criptografada com CPsec (CAP) e túnel L2TP/IPsec para RAP.

A Aruba não recomenda esse modo em razão do firewall stateful não ser aplicado.

Decrypt-Tunnel

Este método possui similaridade com o modo tunnel, entretanto os quadros enviados pelo cliente têm a sua criptografia removida e encaminhada dessa forma para a Controladora, encapsulando apenas o quadro 802.11 em um quadro 802.3.

Uma imagem contendo captura de tela

Descrição gerada automaticamente

Esse cenário pode ser utilizado para propósitos de segurança para inspeção e monitoração do tráfego por outras ferramentas ou diminuir o processamento ocorrido no processo de criptografia.

O modo decrypt só pode ser utilizado com RAP e CAP. Todo trafego de sinalização entre a controladora e o ponto de acesso deve ser criptografada com CPsec(CAP) ou L2TP/IPsec (RAP).

O modo decrypt deve ter uma atenção especial em cenários com RAP, pois o tráfego do usuário não é criptografado pelo RAP, criando um risco de segurança para o tráfego sobre a rede pública (Internet).

Split Tunnel

O modo split tunnel é disponível nos RAPs, e é também conhecido com policy-based forwarding.  Quando um RAP constrói um tunnel L2TP/IPsec com a Controladora, não é recomendável encaminhar todo tráfego de usuário pela Internet para a Mobility Controller, por isso é possível criar regras de encaminhamento de firewall para processar o tráfego wireless diretamente no RAP. Essas regras podem permitir o tráfego dos usuários serem encaminhado localmente ou para a Controladora, de acordo com as necessidades, como por exemplo, o trafego HTTP/HTTPS sair diretamente para a Internet.

Referências

Aruba Certified Design Professional_ Official Certification Study Guide ( HPE6-A47)

Westcott, David. – Understanding ArubaOS

Wireless Aruba – Tipos de implementações para os Access Points

Uma das grandes vantagens dos Access Point Aruba é a utilização do mesmo equipamento em diversos cenários, como os APs trabalhando de modo independente, ou em cluster, gerenciado por uma Controladora física, Controladora virtual ou mesmo em nuvem. Agora os Access Point podem também serem chamados de UAP (Unified Access Point) e configurados de diversas maneiras e com funções especificas dentro da arquitetura WLAN, como por exemplo:

– Campus AP (CAP): também chamado de CAP, é um típico Access Point que será conectado a uma controladora, que fará o seu gerenciamento.

– Mesh APs: São APs para Campus que usam a interface de rádio como uplink. O Mesh Portal (AP) tem uma conexão física para rede corporativa. O Mesh Point (AP) utiliza seu rádio para acesso à rede corporativa.

– Air monitors (AMs): Efetuam a varredura da rede Wifi para coletar informações de RF e IDS

– Spectrum APs (SA): São Access Points configurados (de forma temporária ou permanente) para capturar sinais de rádio para análise, como por exemplo em cenários de interferência, documentação e/ou mapeamento.

– Remote AP (RAP): Atuam de forma similar ao Campus AP, mas normalmente acessam a Internet para comunicação com a controller através de um túnel VPN. Um RAP pode também ser configurado como um Remote Mesh portal, que é basicamente um RAP com funções de Mesh portal.

– Instant APs (IAPs): não necessitam de uma controladora. Todos os IAPs na mesma sub rede irão comunicar-se e formar uma Virtual Controller (VC) então eles podem operar de forma independente de uma controladora física. 

Um ponto de atenção: tome cuidado ao converter seu Access Point em ambiente de produção. Pesquise, faça testes e alterações em ambientes de laboratório, antes de coloca-lo na rede operacional.

Referências

Aruba Certified Design Professional_ Official Certification Study Guide ( HPE6-A47)

https://blogs.arubanetworks.com/solutions/aruba-unified-ap-platform/

Wireless Aruba – Rogue Containment (WIPS)

A configuração de WIPS com Rogue Containment permite ao Access Point atuar diretamente contra o serviço WiFi fornecido indevidamente. Uma vez que a funcionalidade tem como objetivo derrubar o serviço dos AP classificados como rogue, alguns tipos de contenção podem impactar redes vizinhas, protegendo nossa própria rede, mas atacando os SSIDs válidos de nossos vizinhos. Entender todo o processo de mitigação e responsabilidades do administrador são fundamentais para o correto funcionamento e implantação do serviço.

Um Rogue Access Point é um ponto de acesso wireless que foi instalado em uma rede sem autorização do administrador da rede local, podendo ter sido instalado por um usuário legítimo que desconheça as implicações desta conduta ou deliberadamente por alguém com o intuito de atacar a Rede sem Fio. Em qualquer caso, um rogue AP representa uma séria ameaça à segurança da rede.

Wireless Intrusion Protection (WIP)

As técnicas de contenção dos dispositivos wireless da Aruba podem mitigar o acesso aos pontos de acesso rogue no modo wired (cabeada) e wireless (sem fio).

O wired containment é executado através de ARP Poisoning, envenenando o default gateway do Rogue AP na rede cabeada. O ponto de acesso Aruba configurado como AP ou AM irá executar a contenção, mas eles necessitam estar na mesma VLAN que o rogue para sucesso no containment.

A contenção via Wireless pode ser executada de duas maneiras: deauth e tarpitting.

Deauth.

O AP Aruba irá enviar frames deauthentication, para o rogue AP e seus clientes. O cliente poderá iniciar a reconexão, então o AP Aruba enviará uma nova mensagem deauthentication, assim sucessivamente.


Tarpit

O AP Aruba irá enviar frames deauthentication para o rogue AP e seus clientes, quando o cliente tentarem a reconexão, o AP Aruba enviará uma respostacom dados falsos induzindo o cliente (STA) a conectar no AP Aruba, ao invés do rogue, mas sem oferecer os dados para navegação.

Tarpitting é o processo no qual um AP Aruba personifica um AP não autorizado, incentivando o cliente não autorizado se conectar ao AP Aruba (quando antes conectado a um rogue AP) e, em seguida, o Aruba AP ou AM (AP no modo monitor) não responderá aos clientes, o direcionando a um canal não utilizado. O STA indicará que está conectado à rede sem fio, mas não obterá um endereço IP nem será capaz de transmitir tráfego.

O tarpit pode ser configurado como Tarpit-non-valid-sta, para os clientes não válidos, ou tarpit-all-sta para todos clientes.

Radio

Os Radios nos Access Point Aruba, podem ser configurados em diferentes modos: AP mode, Air Monitor (AM) e Spectrum Monitor (SM), para análise de espectro.

Os APs no modo AM são sempre recomendados quando o contaiment é habilitado. Os APs (modo AP mode) podem executar a contenção, mas em casos que os rogue estiverem no mesmo canal que o Aruba. Os APs podem também mudar de canal para contenção do rogue, mas o encaminhamento do tráfego dos cliente sempre será priorizado (a funcionalidade “Rogue AP Aware” deve estar habilitada no ARM profile. Já os AMs alocam seus recursos para contenção de rogues. Existem muitas opções automáticas de contenção que vão além de ‘conter se o dispositivo for classificado como rogue’.

As opções mais seguras e comuns são “Protect Valid Stations” e “Protect SSID“. Qualquer estação (STA) que tenha sido autenticada na infraestrutura Aruba com criptografia será automaticamente classificada como válida. Quando isso acontecer, a rede Aruba não permitirá a estação conectar-se a qualquer outra rede se “Protect Valid Stations” estiver ativado.

O Protect SSID conterá automaticamente quaisquer APs não válidos que estão transmitindo os SSIDs da Controller.

Colocando em produção

Antes de colocar as funcionalidades de contenção em produção, execute os testes em ambiente de laboratório. Inicialmente catalogando, classificando e identificando os SSIDs identificados pelo WIDS.

 Uma vez identificada e classificada as redes, escolha habilitar o WIPS com o modo de contenção em um ambiente isolado e de laboratório. Analise os logs gerados e identifique o comportamento gerado pelos APs durante o envio dos frames de desconexão, clientes, APs e SSIDs listados durante todo esse processo de homologação.

Preocupe-se com os SSIDs anunciados pelos vizinhos e assim evitando não gerar um ataque de negação de serviço (DoS) a rede sem fio deles.

Na Mobility Master Aruba (managed networks), visualize essas informações em:

Dashboard > Security

Clicando em qualquer um dos eventos é possível analisar os logs.

Se possível, utilize use uma ferramenta para analisar os frames 802.11 enviados pela infraestrutura Aruba (com o modo de contenção ativo), como o wireshark e com uma interface usb wireless do notebook em modo monitor, por exemplo.

Filtros no Wireshark para visualizar deauthentication frames wlan.fc.type_subtype==0x0c

Filtros no Wireshark para visualizar disassociation frames wlan.fc.type_subtype==0x0A

Filtros no Wireshark para visualizar um endereço MAC especifico
eth.addr == ff:ff:ff:ff:ff:ff

Referências

https://www.arubanetworks.com/assets/tg/TG_WIP.pdf

https://en.wikipedia.org/wiki/Rogue_access_point

Kolokithas, Andreas. Hacking Wireless Networks – The ultimate hands-on guide,2015