Para a configuração do AP para estabelecer a conexão com o
provedor atraves do PPPoE é necessário efetuar um procedimento diferente com alguns
pontos de atenção:
1. A configuração do PPPoE deverá ser executada antes da
integração do AP com a nuvem. Caso o AP já esteja integrado com a nuvem, a
configuração do PPPoE não estará mais disponivel para modificações.
2. No entanto, se o AP perder a conectividade com a nuvem e
forem detectadas falhas de PPPoE, você poderá acessar a WebUI local e atualizar
as configurações novamente.
Configurando InstantOn com PPPoE
Siga as etapas abaixo para configurar o PPPoE na sua rede:
1. O Instant On AP deve estar conectado ao modem fornecido pelo
provedor, mas não possui um endereço IP fornecido pelo servidor DHCP.
2. Quando o LED do AP ficar laranja sólido, o AP transmitirá um SSID InstantOn-AB:CD:EF aberto, após aproximadamente um minuto – em que AD: CD: EF corresponderá aos três últimos octetos do endereço MAC do AP.
3. Conecte seu notebook ou celular ao SSID e acesse o servidor da Web local em https://connect.arubainstanton.com. A página de configuração local da WebUI é exibida.
4. Em Endereçamento IP, selecione o botão de opção PPPoE.
5. Digite o nome de usuário e a senha do PPPoE fornecidos pelo seu provedor, nos respectivos campos.
6. Clique em Aplicar. O AP será reiniciado assim que a
configuração do PPPoE for aplicada.
7. Aguarde as luzes LED piscarem em verde e laranja. Isso indica que o link PPPoE está ativo e estável. Você verá o status de integração do dispositivo agora com a mensagem ” Waiting to be onboarded.. “. Esta etapa pode levar mais cinco minutos, se o AP atualizar seu firmware durante o processo de reinicialização.
A Aruba lançou uma linha de Access Point para pequenas empresas chamada de Instant On, oferecendo visibilidade e estabilidade no acesso . O hardware utilizado é tão robusto quanto o dos IAP (ou atualmente chamados UAP), mas possui um firmware próprio dedicado para a serie. É muito importante não confundir os APs Aruba Instant On com os APs Aruba Instant. O Aruba Instant é uma solução corporativa com muitas opções e recursos avançados, além de licenças adicionais necessárias para gerenciamento através da nuvem com o Aruba Central ou Controladora on-premises, enquanto o serviço do portal para gerenciamento do Aruba Instant On é um recurso incluso, sem custo adicional.
O Aruba Instant On é destinado a organizações menores, com menos de 100 usuários. Como o Aruba Instant On foi desenvolvido para simplificar a implementação da rede sem fio as configurações complexas para WLAN não estão disponíveis. As documentações da Aruba indicam o Instant On como ideal para o varejo, pequenos hotéis, hostels e escritórios.
A configuração dos APs é bem intuitiva e o administrador só
precisa fornecer os nomes da rede, os números da VLAN (se houver) e as chaves
pré-compartilhadas (PSK). Para os cenários com autenticação 802.1X , os APs
Instant On também oferecem suporte à funcionalidade.
Um grande atrativo é a facilidade para implementação e
gerenciamento – além do custo dos APs. Todo o gerenciamento é executado em
nuvem através de um app ou um portal, sem licenciamento ou necessidade de controller
externa (mesmo para um grupo de access points).
Entre as principais funcionalidades temos, o controle de RF
(largura de canal, seleção de canal e banda 2.4Ghz e/ou 5Ghz), visibilidade/controle
sobre os apps, suporte a PPPoE, Guest, Captive portal, suporte a
alta disponibilidade e RADIUS proxy.
Configurando o Instant On através do App
Conecte o AP Instant On, a rede com permissão de acesso à internet;
Espere até as luzes do AP, estarem verde e âmbar;
3 . Baixe o app na Apple Store ou Google Play;
4. Abra o app e siga as instruções de instalação;
5. Para adicionar mais equipamentos conectados a rede cabeada ou via wireless clique no sinal de +;
Quando uma estação encaminha seus quadros para um Ponto de
Acesso, existem diversas maneiras para o AP processar e encaminhar os dados,
tudo dependendo de como o Access Point é configurado.
Um Access Point configurado como IAP não necessita de uma Controller,
pois todos os AP que estão na mesma sub rede irão formar um Cluster Virtual e
operam independente da Controladora física.
Já os Pontos de acesso gerenciado por uma Controladora, devem ter seu tráfego permitido na rede (caso haja restrições de tráfego na rede).
O modo de encaminhamento (forwarding mode) define
como os dados enviados pelo usuário são encaminhados pelo AP e podem ser
classificados como:
GRE/tunnel
Bridge
Decrypt-tunnel
Split-Tunnel
Alguns termos nesse texto são utilizados com o mesmo
significado:
Controladora = Controller = Mobility Controller
Quadros = Frames
Access Point = AP = Ponto de Acesso
GRE/Tunnel
Esse modo utiliza um Tunnel GRE para encaminhar os
dados do Access Point para a MobilityController. Quando
um cliente envia um dado para um SSID (em um AP) que é configurado para
utilizar o forwarding mode como tunnel mode, o AP encapsula o
quadro 802.11 dentro de um frame 802.3 e encaminha o quadro para a Controladora
Aruba.
Nesse processo nem todos os frames são tunelados e
encaminhados a controladora, os quadros 802.11 para autenticação e resposta de
associação são gerados diretamente no AP.
Para o tráfego que é encapsulado e enviado a controladora, a
Mobility Controller removerá o encapsulamento no recebimento, aplicará
regras de firewall ao tráfego do usuário e encaminhará o tráfego como
solicitado.
Um Access Point Aruba configurado como Campus (CAP),
todo tráfego de controle é comunicado com a controladora utilizando o protocolo
PAPI, que não é criptografado. Caso haja a necessidade de criptografar a
comunicação PAPI é sugerido a utilização juntamente com o CPsec (Control
Plane Security) que criptografa a comunicação PAPI com IPsec.
Já os APs configurados como Remote (RAP), a comunicação
deverá utilizar um túnel VPN L2TP/IPsec.
Com o modo túnel, todo tráfego é enviado para a Controller
que é responsável por prover a visibilidade das configurações e trafego dos usuários
de forma centralizada, facilitando a configuração das redes WLAN.
Bridge
O mode bridge permite ao Access Point (não a Controladora)
processar os quadros, de forma similar aos APs individuais processam as
informações. O AP irá responder qualquer requisição de autenticação e
associação com as respostas referentes ao processo, removendo a criptografia dos
frames recebidos e criptografando os
quadros de saída para a estação.
O modo bridge também
pode ser configurado em APs configurados como CAP e RAP, mas a sua comunicação
com a MobilityController deverá ser criptografada com CPsec
(CAP) e túnel L2TP/IPsec para RAP.
A Aruba não recomenda esse modo em razão do firewall
stateful não ser aplicado.
Decrypt-Tunnel
Este método possui similaridade com o modo tunnel,
entretanto os quadros enviados pelo cliente têm a sua criptografia removida e encaminhada
dessa forma para a Controladora, encapsulando apenas o quadro 802.11 em um
quadro 802.3.
Esse cenário pode ser utilizado para propósitos de segurança
para inspeção e monitoração do tráfego por outras ferramentas ou diminuir o
processamento ocorrido no processo de criptografia.
O modo decrypt só pode ser utilizado com RAP e CAP.
Todo trafego de sinalização entre a controladora e o ponto de acesso deve ser
criptografada com CPsec(CAP) ou L2TP/IPsec (RAP).
O modo decrypt deve ter uma atenção especial em
cenários com RAP, pois o tráfego do usuário não é criptografado pelo RAP,
criando um risco de segurança para o tráfego sobre a rede pública (Internet).
Split Tunnel
O modo split tunnel é disponível nos RAPs, e é também
conhecido com policy-based forwarding. Quando um RAP constrói um tunnel
L2TP/IPsec com a Controladora, não é recomendável encaminhar todo tráfego de
usuário pela Internet para a Mobility Controller, por isso é possível
criar regras de encaminhamento de firewall para processar o tráfego wireless
diretamente no RAP. Essas regras podem permitir o tráfego dos usuários serem
encaminhado localmente ou para a Controladora, de acordo com as necessidades,
como por exemplo, o trafego HTTP/HTTPS sair diretamente para a Internet.
Referências
Aruba Certified Design Professional_ Official Certification
Study Guide ( HPE6-A47)
Uma das grandes vantagens dos Access Point Aruba é a utilização do mesmo equipamento em diversos cenários, como os APs trabalhando de modo independente, ou em cluster, gerenciado por uma Controladora física, Controladora virtual ou mesmo em nuvem. Agora os Access Point podem também serem chamados de UAP (Unified Access Point) e configurados de diversas maneiras e com funções especificas dentro da arquitetura WLAN, como por exemplo:
– Campus AP (CAP): também chamado de CAP, é um típico Access Point que será conectado a uma controladora, que fará o seu gerenciamento.
– Mesh APs: São APs para Campus que usam a interface
de rádio como uplink. O Mesh Portal (AP) tem uma conexão física
para rede corporativa. O Mesh Point (AP) utiliza seu rádio para acesso à
rede corporativa.
– Air monitors (AMs): Efetuam a varredura da rede
Wifi para coletar informações de RF e IDS
– Spectrum APs (SA): São Access Points configurados (de forma temporária ou permanente) para capturar sinais de rádio para análise, como por exemplo em cenários de interferência, documentação e/ou mapeamento.
– Remote AP (RAP): Atuam de forma similar ao Campus AP, mas normalmente acessam a Internet para comunicação com a controller através de um túnel VPN. Um RAP pode também ser configurado como um Remote Mesh portal, que é basicamente um RAP com funções de Mesh portal.
– Instant APs (IAPs): não necessitam de uma
controladora. Todos os IAPs na mesma sub rede irão comunicar-se e formar uma Virtual
Controller (VC) então eles podem operar de forma independente de uma controladora
física.
Um ponto de atenção: tome cuidado ao converter seu Access Point em ambiente de produção. Pesquise, faça testes e alterações em ambientes de laboratório, antes de coloca-lo na rede operacional.
Referências
Aruba Certified Design Professional_ Official Certification
Study Guide ( HPE6-A47)
A configuração de WIPS com Rogue Containment permite
ao Access Point atuar diretamente contra o serviço WiFi fornecido
indevidamente. Uma vez que a funcionalidade tem como objetivo derrubar o
serviço dos AP classificados como rogue, alguns tipos de contenção podem
impactar redes vizinhas, protegendo nossa própria rede, mas atacando os SSIDs
válidos de nossos vizinhos. Entender todo o processo de mitigação e
responsabilidades do administrador são fundamentais para o correto
funcionamento e implantação do serviço.
Um Rogue Access Point é um ponto de acesso wireless
que foi instalado em uma rede sem autorização do administrador da rede local,
podendo ter sido instalado por um usuário legítimo que desconheça as
implicações desta conduta ou deliberadamente por alguém com o intuito de atacar
a Rede sem Fio. Em qualquer caso, um rogue AP representa uma séria ameaça à segurança
da rede.
Wireless Intrusion Protection (WIP)
As técnicas de contenção dos dispositivos wireless da Aruba
podem mitigar o acesso aos pontos de acesso rogue no modo wired (cabeada)
e wireless (sem fio).
O wired containment é executado através de ARP
Poisoning, envenenando o default gateway do Rogue AP na rede
cabeada. O ponto de acesso Aruba configurado como AP ou AM irá executar a
contenção, mas eles necessitam estar na mesma VLAN que o rogue para
sucesso no containment.
A contenção via Wireless pode ser executada de duas
maneiras: deauth e tarpitting.
Deauth.
O AP Aruba irá enviar frames deauthentication, para o rogue AP e seus clientes. O cliente poderá iniciar a reconexão, então o AP Aruba enviará uma nova mensagem deauthentication, assim sucessivamente.
Tarpit
O AP Aruba irá enviar frames deauthentication para o rogue
AP e seus clientes, quando o cliente tentarem a reconexão, o AP Aruba
enviará uma respostacom dados falsos induzindo o cliente (STA) a
conectar no AP Aruba, ao invés do rogue, mas sem oferecer os dados para
navegação.
Tarpitting é o processo no qual um AP Aruba
personifica um AP não autorizado, incentivando o cliente não autorizado se
conectar ao AP Aruba (quando antes conectado a um rogue AP) e, em
seguida, o Aruba AP ou AM (AP no modo monitor) não responderá aos clientes, o
direcionando a um canal não utilizado. O STA indicará que está conectado à rede
sem fio, mas não obterá um endereço IP nem será capaz de transmitir tráfego.
O tarpit pode ser configurado como Tarpit-non-valid-sta,
para os clientes não válidos, ou tarpit-all-sta para todos clientes.
Radio
Os Radios nos Access Point Aruba, podem ser configurados em
diferentes modos: AP mode, Air Monitor (AM) e Spectrum Monitor (SM), para
análise de espectro.
Os APs no modo AM são sempre recomendados quando o contaiment é
habilitado. Os APs (modo AP mode) podem executar a contenção, mas em casos que os
rogue estiverem no mesmo canal que o Aruba. Os APs podem também mudar de
canal para contenção do rogue, mas o encaminhamento do tráfego dos
cliente sempre será priorizado (a funcionalidade “Rogue AP Aware”
deve estar habilitada no ARM profile. Já os AMs alocam seus recursos para
contenção de rogues. Existem muitas opções automáticas de contenção que vão
além de ‘conter se o dispositivo for classificado como rogue’.
As opções mais seguras e comuns são “Protect Valid
Stations” e “Protect SSID“. Qualquer estação (STA)
que tenha sido autenticada na infraestrutura Aruba com criptografia será
automaticamente classificada como válida. Quando isso acontecer, a rede Aruba
não permitirá a estação conectar-se a qualquer outra rede se “Protect
Valid Stations” estiver ativado.
O Protect SSID conterá automaticamente quaisquer APs
não válidos que estão transmitindo os SSIDs da Controller.
Colocando em produção
Antes de colocar as funcionalidades de contenção em
produção, execute os testes em ambiente de laboratório. Inicialmente
catalogando, classificando e identificando os SSIDs identificados pelo WIDS.
Uma vez identificada
e classificada as redes, escolha habilitar o WIPS com o modo de contenção em um
ambiente isolado e de laboratório. Analise os logs gerados e identifique o comportamento
gerado pelos APs durante o envio dos frames de desconexão, clientes, APs e
SSIDs listados durante todo esse processo de homologação.
Preocupe-se com os SSIDs anunciados pelos vizinhos e assim evitando não gerar um ataque de negação de serviço (DoS) a rede sem fio deles.
Na Mobility Master Aruba (managed networks), visualize essas
informações em:
Dashboard > Security
Clicando em qualquer um dos eventos é possível analisar os logs.
Se possível, utilize use uma ferramenta para analisar os frames 802.11 enviados pela infraestrutura Aruba (com o modo de contenção ativo), como o wireshark e com uma interface usb wireless do notebook em modo monitor, por exemplo.
Filtros no Wireshark para visualizar deauthentication frames wlan.fc.type_subtype==0x0c
Filtros no Wireshark para visualizar disassociation frames wlan.fc.type_subtype==0x0A
Filtros no Wireshark para visualizar um endereço MAC especifico eth.addr == ff:ff:ff:ff:ff:ff
O crescimento do mercado de dispositivos IoT e as mais
recentes tecnologias de rede sem fio como Wifi 5 Wifi 6 (802.11ax) tem
demandando uma atenção especial à escolha dos Switches com capacidade Power
over Ethernet, tecnologia que combina envio de dados e energia elétrica sobre
um único cabo Ethernet.
Ao eliminar a necessidade para cabos separados de dados e energia, o PoE fornece vantagens da simplicidade e economia de custos, além de adicionar novos recursos de controle de dispositivo inteligente.
Impulsionado pela necessidade dos novos dispositivos “Internet das coisas”, a tecnologia PoE evoluiu com o introdução do padrão IEEE 802.3bt. Esse novo padrão permite que Switches e dispositivos energizados operem acima de 30 Watts por porta, suportando agora de 60 até 90 Watts de PoE.
Padrões para Power Over Ethernet
Em 2003, o IEEE publicou o padrão 802.3af, que
descreveu as características do Power over Ethernet (PoE) em até 15,4 W de
energia, executando 10BASE-T e 100BASE-T. A energia é fornecida em dois dos
quatro pares trançados nos cabos Cat 3 ou acima.
Em 2009, o IEEE introduziu o 802.3at, também
conhecido como padrão PoE+. Esta atualização permitiu a entrega de até 30 W em
1000BASE-T suportado em CAT 5 ou 6. Enquanto o PoE + alterna suporte a
dispositivos que requerem maior potência, o padrão também pode detectar
dispositivos que exigem 13 watts ou menos para fornecer o nível de energia
necessário.
Em 2013, o IEEE anunciou o grupo de estudo para a criação de 802.3bt, que definiu o PoE em quatro pares e inclui suporte para 10GBASE-T, 5GBASE-T e 2.5GBASE-T em CAT5e ou superior. Essa nova tecnologia usa todos os 4 pares em um cabo Ethernet para fornecer energia e dados no mesmo meio. O padrão IEEE 802.3bt foi finalizado em setembro de 2018 e define dois tipos de PoE:
• Tipo 3 que suporta até 60 Watts • Tipo 4 que suporta até 90 Watts
Embora novos recursos tenham sido adicionados, a ideia é que
o padrão funcione com dispositivos legados Tipo 1 e Tipo 2. Desde que o PSE
seja capaz (em termos de potência) de suportar o PD e ambos sejam compatíveis
com o padrão.
Dentre os novos dispositivos alimentados pelo padrão podemos
destacar:
Edifícios inteligentes com IoT corporativa
(iluminação LED conectada);
“Os roteadores da família HP-7500 possuem a capacidade de integração com módulos de IPS, Firewall, controladoras wireless, entre outros. Normalmente esses módulos vem com um IP default e possuem portas de console para a configuração inicial.
Uma outra forma de configurar esses dispositivos é através do recurso OAA – Open Application Architecture. Essa arquitetura permite controlar a partir do chassis do switch/router, os módulos de aplicação.
Pode-se conectar ao módulo, como se estivesse em uma sessão SSH ou console.
O comando é muito simples:
<Switch>oap connect slot 2
Press CTRL+K to quit.
Connected to OAP!
<Controladora Wireless>
Para sair da sessão é preciso utilizar a combinação Ctrl+K.
É possível, também, reiniciar o módulo.
<Switch>oap reboot slot 11
This command will recover the OAP from shutdown or other failed state.
Warning: This command may lose the data on the hard disk if the OAP is not being shut down! Continue? [Y/N]:y
Reboot OAP by command.
<Switch>