ArubaOS

Vídeo: Switches ArubaOS – Como configurar o DHCP Snooping sem erro

Diego DiasLeave a comment

A funcionalidade DHCP Snooping permite a proteção da rede contra Servidores DHCP não autorizados e sua configuração é bastante simples (mas certa atenção). O comando dhcp-snooping configurado globalmente e atribuindo às VLANs desejadas, faz o Switch filtrar todas as mensagens DHCP Offer e DHCP Ack encaminhadas pelo falso Servidor DHCP. A configuração restringe todas as portas do Switch como untrusted (não confiável).

Para o funcionamento do ‘Servidor DHCP válido’ deveremos configurar a porta do Servidor DHCP como trust (confiável), incluíndo as portas de uplink.

Nesse vídeo, descrevemos a configuração do DHCP-Snooping em Switches Aruba-OS.

Switches ArubaOS: Configurando DHCP Server no Switch

Diego DiasLeave a comment

O post de hoje foi escrito em colaboração com o Rafael Eduardo, para a criação de servidor DHCP em Switches ArubaOS. A funcionalidade é bastante útil em localidades de pequeno e médio porte, que assim, utilizando o Switch como Servidor DHCP, acabam economizando recursos em infraestrutura, energia elétrica, ativos de rede etc.

Configuração

 vlan 4
   tagged 1-3,8
   ip address 192.168.4.1 255.255.255.0
   dhcp-server
! Habilitando o dhcp-server na VLAN   
   exit

Script para criar o pool de dhcp para aquela Vlan

dhcp-server pool "VLAN4"
    default-router "192.168.4.1"
 ! Endereço IP do Gateway   
    dns-server "8.8.8.8,8.8.4.4"
 ! Endereços IP do servidor DNS   
    network 192.168.4.0 255.255.255.0
 ! Endereço da Rede   
    range 192.168.4.2 192.168.4.254
 ! Endereços que serão fornecidos para as requisições DHCP na rede.  
    exit

dhcp-server enable
! Habilitando o servidor DHCP globalmente no Switch

Trocando informações no escopo DHCP

Caso haja a necessidade de trocar alguma informação no escopo DCHP de uma VLAN, siga os passos abaixo:

1º Desabilite o dhcp server

dhcp-server disable

2º Escolha o pool a ser editado

dhcp-server pool "VLAN4"

3º Remova o item a ser editado no caso abaixo o range

no range 192.168.4.2 192.168.4.254

4º Configure o novo escopo a ser entregue pelo Switch via DHCP

range 192.168.4.5 192.168.4.250

5º Habilite o serviço DHCP novamente

dhcp-server enable

Dicas de comandos show

Para verificar o Pool de IPs e quantos estão livres para atribuição, digite:

show dhcp-server pool

Para verificar os IPs atribuídos

show dhcp-server binding

Switches ArubaOS – Espelhamento de porta / port-mirroring / SPAN

Diego DiasLeave a comment

O espelhamento de porta (SPAN – Switch Port Analyzer) é uma técnica que permite que o Switch efetue a cópia dos pacotes de uma porta para uma outra porta do Switch.

Essa técnica é bastante utilizada quando precisamos analisar o comportamento da rede como por exemplo, identificação da comunicação de uma aplicação, troubleshooting, direcionar o tráfego inúmeras atividades de segurança como IDS etc.

Configurando o espelhamento de porta

Crie um “mirror” e adicione a interface a ser usada como porta para captura de pacotes. Neste caso a porta 9 será usada para receber os pacotes duplicados.

mirror 1 port 9
! Criando o Grupo 1 para o Espelhamento, vinculando a porta 9 para recebimento do tráfego capturado

Selecione a interface  que terá o tráfego duplicado e vincule ao processo do mirror. O tráfego dessas portas será copiado para a porta mirror para captura. Neste exemplo, a interface ou porta Ethernet 1 duplicará seu tráfego para o “mirror 1”.


interface 2
monitor all both mirror 1
! Configurando a Porta de origem (2) que terá seu tráfego copiado no sentido inbound (entrada) e outbound (saída); comando both para o mirror 1

Conecte um notebook à interface 9 no switch e use o wireshark, TCPDUMP ou o cliente PCAP de sua escolha para analisar o tráfego.

Switches ArubaOS : Armazenando as credenciais no arquivo de configuração (include-credentials)

Diego DiasLeave a comment

Por padrão, nos Switches ArubaOS, as credenciais não são adicionadas ao arquivo de configurações, com o objetivo de proteger a sua visualização.

Caso haja o desejo de visualizá-las no arquivo de configuração, será necessário habilitar o comando include-credentials, permitindo assim visualizar no arquivo de configuração, como também apagá-las na startup-config.

Habilitando o include-credentials será possível visualizar o usuário em texto plano e a senha em hash, como por exemplo em SHA1 (sendo possível descobrir a senha utilizada utilizando ferramentas online).

Para proteger as credenciais após o include-credentials, digite encrypt-credentials para cifrar o password em aes-256-cbc, no arquivo de configuração.

Vídeo: HARDENING GUIDE – EQUIPAMENTOS HP E ARUBA (Oficial)

Diego DiasLeave a comment

No vídeo compartilhamos como encontrar os documentos oficiais dos fabricantes HP e Aruba para configurações de hardening para as soluções de Switches baseados no Comware, ArubaOS, ArubaOS-CX, solução de controladora (Mobility Controller e Mobility Conductor), IAPs, SD-Branch, ClearPass, etc.

Vídeo: Switches ArubaOS – VRRP

Diego DiasLeave a comment

VRRP (Virtual Router Redundancy Protocol) permite a utilização de um endereço IP virtual em diferentes Switches/Roteadores. O funcionamento do VRRP é bem simples, dois ou mais dispositivos são configurados com o protocolo para troca de mensagens e então, o processo elege um equipamento MASTER e um ou mais como BACKUP.

Em caso de falha do Roteador VRRP Master o Roteador VRRP Backup assumirá rapidamente a função e o processo ocorrerá transparente para os usuários da rede.