AOS – Page 2 – COMUTADORES

Vídeo: Switches ArubaOS – Protegendo o Spanning-Tree

May 15, 2024May 15, 2024Diego DiasLeave a comment

O protocolo Spanning-Tree é bastante vulnerável a ataques pela simplicidade de sua arquitetura e falta de mecanismos de autenticação. O protocolo STP não impede em sua arquitetura que um novo switch adicionado à rede seja configurado erradamente com a prioridade 0 (zero) e que dessa forma possa tomar o lugar do switch root, ocasionando uma nova convergência da LAN para a topologia a partir do novo Switch Root.

Os ataques ao protocolo STP geralmente têm como objetivo assumir a identidade do switch root da rede, ocasionando assim cenários de indisponibilidade na rede. Programas como o Yersinia permitem gerar esse tipo de ataque. Há também cenários em que usuários adicionam switches não gerenciados e hubs (propositadamente ou não) com o intuito de fornecer mais pontos de rede em ambientes que deveriam ser controlados.

Funcionalidades comentadas no video para mitigar os ataques ao STP, são: Root Guard, BPDU Protection (BPDU guard) com STP admin-edged-port (portfast) e loop guard.

Switches ArubaOs – Configurando um Range de Interfaces

May 14, 2024May 13, 2024Diego DiasLeave a comment

Os switches ArubaOS permitem o agrupamento de portas para determinadas configurações, como por exemplo, atribuir uma VLAN a diversas portas ao mesmo tempo.

Segue abaixo uma dica que pode agilizar a vida de muitos administradores:

switch# configure terminal
switch(config)# interface 9-10
! agrupando  as portas 9 e 10 para configuração
switch(eth-9-10)# untagged 2
! configurando as portas para participarem da VLAN 2
switch(eth-9-10)# dldp enable
! habilitando o dldp nas portas 9 e 10
switch(eth-9-10)# exit
switch(config)#
switch(config)# interface 11-15,17
! agrupando  as portas 11, 12, 13, 14,15 e 17 para configuração 
switch(eth-11-15,17)# untagged vlan 5
! configurando as portas para participarem da VLAN 5

Validando a configuração com o comando show running-config structured :

switch(config)# show running-config structured | begin interface 9
 interface 9
    dldp enable
    untagged vlan 2
    exit
 interface 10
    dldp enable
    untagged vlan 2
    exit
 interface 11
    untagged vlan 5
    exit
 interface 12
    untagged vlan 5
    exit
 interface 13
    untagged vlan 5
    exit
 interface 14
    untagged vlan 5
    exit
 interface 15
    untagged vlan 5
    exit
 interface 16
    untagged vlan 1
    exit
 interface 17
    untagged vlan 5
    exit

Até logo!

Switches ArubaOS – Configurando OSPF com autenticação MD5

May 14, 2024May 13, 2024Diego DiasLeave a comment

O protocolo OSPF suporta a Autenticação para estabelecimento de adjacência com vizinhos. O Processo incrementa segurança ao Roteamento Dinâmico com troca de chaves em MD5.

Para ativarmos a Autenticação é necessário informar qual a Área OSPF utilizará a Autenticação e precisaremos habilitar a chave na Interface que formará a adjacência.

Configurando

Segue abaixo a configuração dos Switches.

SwitchA

ip routing
key-chain "ospf_aruba"
key-chain "ospf_aruba" key 1 key-string "it_net"
router ospf
   area backbone
   redistribute connected
   redistribute static
   enable
   exit
vlan 32
   ip address 10.168.32.133 255.255.255.252
   ip ospf 10.168.32.133 area backbone
   ip ospf 10.168.32.133 md5-auth-key-chain "ospf_aruba"
   exit
vlan 10
   ip address 10.10.10.1 255.255.255.0
   ip ospf 10.10.10.1 area 10

SwitchB

ip routing
key-chain "ospf_aruba"
key-chain "ospf_aruba" key 1 key-string "it_net"
router ospf
   area backbone
   redistribute connected
   redistribute static
   enable
   exit
vlan 32
   ip address 10.168.32.134 255.255.255.252
   ip ospf 10.168.32.134 area backbone
   ip ospf 10.168.32.134 md5-auth-key-chain "ospf_aruba"
   exit

Verificando o estabelecimento de vizinhança

SwitchA# sh ip ospf neighbor

 OSPF Neighbor Information

                                                         Rxmt         Helper
  Router ID       Pri IP Address      NbIfState State    QLen  Events Status
  --------------- --- --------------- --------- -------- ----- ------ ------
  10.168.32.133   1   10.168.32.134   DR        FULL     0     7      None

Até logo.

Vídeo: Switches ArubaOS – Configurando o Terminal Monitor

May 12, 2024May 13, 2024Diego DiasLeave a comment

Para configurar o terminal monitor nos Switches ArubaOS utilize os comandos abaixo na CLI:

debug destination session
debug event

Para desabilitar utilize o comando “no debug all”

Switches ArubaOS – Comando encrypt-credentials

May 5, 2024May 13, 2024Diego DiasLeave a comment

O comando encrypt-credentials disponível em switches ArubaOS é utilizado para criptografar credenciais armazenadas na configuração do dispositivo. Isso melhora a segurança, pois evita que senhas e chaves de autenticação sejam expostas em texto plano.

Funcionamento:

O comando encrypt-credentials ativa a criptografia para credenciais armazenadas em arquivos de configuração. Quando esse recurso está habilitado, as credenciais (como senhas de usuários locais, TACACS+ ou RADIUS) são criptografadas usando um algoritmo seguro (como AES-256).

Switch(config)# encrypt-credentials

**** CAUTION ****

This will encrypt all passwords and authentication keys.

The encrypted credentials will not be understood by older software versions. The resulting config file cannot be used by older software versions. It may also break some of your existing user scripts.

Before proceeding, please save a copy of your current config file, and associate the current config file with the older software version saved in flash memory. See “Best Practices for Software Updates” in the Release Notes.

A config file with ‘encrypt-credentials’ may prevent previous software versions from booting. It may be necessary to reset the switch to factory defaults. To prevent this, remove the encrypt-credentials command or use an older config file.

Save config and continue [y/n]? y

O comando aceita um argumento opcional para definir uma chave secreta pré- compartilhada usada para criptografia. No entanto, a maioria das implementações usa uma chave interna fixa.

Switch(config)# encrypt-credentials pre-shared-key plaintext ChaveSecreta1

Save config and continue [y/n]? y

A funcionalidade aumenta a segurança do switch, pois as credenciais ficam ilegíveis no arquivo de configuração, mesmo se alguém obtiver acesso não autorizado.

Ajuda na conformidade com regulamentações de segurança que exigem a proteção de dados confidenciais.

A habilitação do encrypt-credentials tem seus desafios em processos de troubleshooting pois pode tornar a solução de problemas mais complexa, pois as credenciais ficam ocultas.

Se você esquecer a chave secreta pré-compartilhada (caso a utilize), pode ser necessário redefinir a configuração do switch para recuperar o acesso.

Pontos de atenção

O comando encrypt-credentials criptografa apenas credenciais armazenadas na configuração do switch. Não criptografa dados em trânsito pela rede.

É importante implementar outras medidas de segurança, como senhas fortes e restrições de acesso, para proteger o switch.

Comandos relacionados:

show encrypt-credentials: Exibe o status da criptografia de credenciais (ativado ou desativado).

no encrypt-credentials: Desabilita a criptografia de credenciais (as credenciais voltam a ser exibidas em texto plano).

Referência

Aruba 2930F / 2930M Access Security Guide for ArubaOS-Switch

Até logo!