Sicherheitskritisches ArubaOS CX Firmwareupdate

Achtung dringendes ArubaOS CX Firmwareupdate!

ArubaOS-CX Switch 8325

ArubaOS-CX Switch 8325

Für alle Betreiber von ArubaOS CX Switches mit Firmware Version 10.04.3021 oder 10.04.1000 und älter empfiehlt sich dringend ein Firmwareupdate. Betroffen sind die Serien:

  • 8400
  • 8325
  • 8320
  • 6400
  • 6300
  • 6200

Bei den angegebenen Firmwareversionen wurden Memory Corruption Vulnarabilities gefunden. Gelingt es Angreifern diese auszunutzen können sie Ausfälle der Protokolle LLDP(Link Layer Discovery Protocol) und CDP(Cisco Discovery Protocol) produzieren.

LLDP ist ein Protokolle das es Netzwerkkomponenten erlaubt Informationen übereinander auszutauschen. So können beispielsweise die am Switch direkt verbundenen Access-Points und deren IP-Adressen und MAC-Adressen ermittelt werden. CDP ist ein von Cisco entwickeltes Protokoll, dass ähnliche Funktionalität bietet wie LLDP.

Unter speziellen Umständen können die Angreifer sogar eine Remote Code Execution erwirken, sodass die Kontrolle über die angegriffenen Geräte übernommen werden kann. Grundsätzlich müssen sich die Angreifer dafür aber im gleichen Layer-2 Netzwerk befinden wie die Switches. Wer seine Netzwerk-Ports und seine SSIDs also abgesichert hat, kann in Ruhe die Updates planen und einspielen. Wenn Sie dies noch nicht getan haben und Unterstützung bei den Updates und/oder der Absicherung der Netzwerkinfrastruktur benötigen, können Sie sich gerne bei unserem Vertrieb melden. Wir freuen uns schon auf Ihren Anruf.

Wenn Sie uns kontaktieren möchten finden Sie nähere Informationen hier: https://www.ingentive.net/kontakt/kontaktformular/

Falls Ihre Systeme im VSX-Cluster laufen, können Sie ein ArubaOS CX Firmwareupdate ohne Ausfall ihrer Switches durchführen. Mehr Informationen zum VSX-Software-Upgrade finden Sie unter: https://www.ingentive.net/blog/beitraege/arubaos-cx-vsx-software-upgrade/

Originaler Aruba Beitrag: https://www.arubanetworks.com/assets/alert/ARUBA-PSA-2020-009.txt

Aruba 2930M PoE Switch

ArubaOS: Optimierung der PoE-Leistung mit Hilfe von LLDP

Device-Profile

Wer LLDP-fähige Access Points an einem Aruba switch betreibt, weiß wie sehr die LLDP-Informationen im Arbeitsalltag weiterhelfen können. So liefern sie beispielsweise die Information über Hostnamen, Mac Adresse,IP-Adresse und PoE-Leistung des LLDP-Gerätes pro Switchport. Neben der reinen Informationsübermittlung sind ArubaOS Switches auch in der Lage auf Basis der LLDP-Informationen Portkonfigurationen eigenständig auszuführen. Dazu muss lediglich ein so genanntes „Device Profile“ erstellt werden, unter welchem Sie beispielsweise VLAN-Zuweisungen konfigurieren können. Wird dann ein Access Point an einen Switchport angeschlossen, so erhält der Port automatisch diese VLAN-Konfiguration, solange der Access Point an dem Port angeschlossen bleibt.

Device Profile

Konfiguration einens Device Profiles

PoE – benötigte Leistung

Neben den Netzwerkinformationen liefert LLDP für PoE- und PoE+-Geräte auch Informationen zu der benötigten elektrischen Leistung und der PoE-Klasse. Dabei wird zwischen dem aktuellen Verbrauch und der maximal benötigten Leistung unterschieden. Letztere ist ausschlaggebend für die Berechnung der gesamten benötigten elektrischen Leistung und somit auch für die maximale Anzahl an Access Points, welche am Switch angeschlossen werden können. Dabei kann sich die maximale Leistung von dem eigentlichen Verbrauch drastische unterscheiden. Sind bei einem Access Point gewissen Features, wie zum Beispiel Bluetooth, ausgeschaltet, weil diese nicht benötigt werden, kann der eigentliche Verbrauch auch nur halb so groß sein wie der maximale Verbrauch. Das Resultat wäre die doppelte Anzahl an möglichen Access Points, die mit einem Switch betrieben werden können.

Ein von Aruba häufig verwendeter Access Switch ist der Aruba 2530 J9853A. Dieser stellt auf 48 Ports insgesamt eine PoE-Leistung von 382W zur Verfügung. Damit können bei einem durchschnittlichen Verbrauch von 13W (Durschnitt von einem Aruba AP 515 Access Point mit deaktiviertem Bluetooth und Zigbee) 29 Access Points betrieben werden. Allerdings liefert die LLDP-Information der Access Points eine Maximale Leistung von 25W. Damit sinkt die Anzahl der maximalen Access Points, welche mit demselben Switch betrieben werden können, auf gerade mal 15.

Workaround für ältere Firmwareversionen

Unter den letzten Firmwareversionen von ArubaOS, konnte die Berechnung der gesamten Leistung für PoE+-Geräte, auf Basis des maximalen Verbrauchs nur verändert werden, wenn LLDP deaktiviert worden ist. Danach konnte die gesamte Leistung aus dem tatsächlichen Verbrauch errechnet werden und somit die maximale Anzahl der möglichen Access Points erhöht werden. Diese Prozedur barg leider den Nachteil, dass man auf die sonst so hilfreichen LLDP-Informationen verzichten musste.

Admin Status

Befehl LLDP admin-status

poe-allocated-by

Befehl poe-allocated-by

ArubaOS Firmware Version 16.10.001

Seit dem letzten Firmwareupdate von Aruba auf die Version 16.10.0000, kann der Verbrauch nun auch trotz LLDP-Informationen aus dem tatsächlichen Verbrauch berechnet werden. Dies geschieht, genau so wie bisher für PoE-Geräte, mit dem „poe-allocate-by usage“ Befehl. Dieser kann nun auch innerhalb eines Geräteprofils gesetzt werden, sodass er nicht händisch auf alle Interfaces konfiguriert werden muss.

Die Release-Notes zu ArubaOS Version 16.10.0001 finden Sie unter: https://support.hpe.com/hpesc/public/docDisplay?docId=a00090303en_us

Schulungen zum Thema ArubaOS finden Sie unter: https://www.ingentive.net/schulungen/alle-schulungen/aruba-switches

Blogbild Sicherer Zugang Laptop

Sicherer Zugang zum Firmennetzwerk für das Heimbüro

Auf vielfachen Wunsch haben wir Ihnen die von uns angebotenen Lösungen für das Heimbüro einmal zusammengestellt:

VPN Client

Mit Hilfe eines softwarebasierten Clients kann ein Heimarbeits-PC einen gesicherten VPN Tunnel zum Unternehmensnetzwerk aufbauen. Die zentrale Komponente bildet dabei das VPN Gateway, welches sich innerhalb des Unternehmensnetzwerks befindet und eine vom Internet erreichbare IP Adresse besitzt. Zu dieser IP Adresse verbindet sich der Mitarbeiter im Heimbüro. Mit Hilfe einer Software wird die VPN Verbindung aufgebaut.

Zur Authentifzierung stehen mehere Methoden zur Verfügung. Im einfachsten Fall in Form eines Benutzernamens und eines Passworts. Hier kann man die Firewall mit dem Active-Directory koppeln und gruppenbasiert den Zugriff freischalten.

Eine Alternative wäre noch die Authentifizierung mit einem Zertifikat. Hierzu muss eine Zertifikatsinfrastruktur (PKI) vorhanden sein. Ein Zertifikat für einen Benutzer kann wie folgt aussehen:

Mehr Sicherheit bietet eine 2-Faktor Authentifizierung, bei der die Anmeldung über zwei Faktoren erfolgt: Ein Teil der Anmeldung muss der Benutzer wissen (z.B. ein Kennwort) und den zweiten Teil der Anmeldung muss der Benutzer besitzen (z.B. ein Tokenkarte). Beispielsweise kann mit Hilfe eines FortiTokens ein Einmalpasswort erzeugt werden, welches im Anmeldeprozess mit eingegeben werden muss:

Die Firma Fortinet bietet hier ein umfangreiches Portfolio für alle Unternehmensgrößen an:

Clientloses VPN

Um eine lokale Installation auf jedem Heimarbeitsplatz zu vermeiden, kann auch ein sog. Clientloses VPN verwendet werden. Hier erfolgt die Anmeldung direkt auf dem VPN Gateway in der Firma und dort wird der Zugriff auf lokale Server (meist per RDP) zur Verfügung gestellt.

Remote Access-Point

Eine weitere einfache Möglichkeit besteht in der Bereitstellung eines Remote-Access-Points, der die SSIDs des Unternehmens abstrahlt. Hier kann sich der Heimarbeitsrechner am WLAN mit den gleichen Zugangsdaten wie im Unternehmen verbinden. Der VPN Tunnel wird hier automatisch vom Access-Point aufgebaut, so dass keine manueller Eingriff erforderlich ist.

In der Firmenzentrale befindet sich ein Controller, der den VPN Tunnel terminiert. Die kann ein bereits vorhandener WLAN Controller von Aruba sein oder ein dediziertes Gerät, welches in der DMZ platziert wird. Die Controller sind in allen Größenordnungen verfügbar – angefangen von einem Aruba 7005 für 16 Access-Points bis zu einem Aruba 7280 Controller für bis zu 2000 Access-Points.

Bei den Access-Points bietet Aruba auch ein umfangreiches Portfolio, z.B. die dafür eigens ausgelegten Aruba RAP-303HR:

Die Remote-Access-Points bieten auch Gigabit-Anschlüsse mit PoE Speisung, so dass auch z.B. die Anbindung eines Telefons oder Druckers kein Problem darstellt.

Passende Produkte finden Sie bei uns im Shop. Gerne wenden Sie sie sich an unseren Vertrieb unter 0211-545711-0.