Diseño de aislamiento de tres planos

52 0 0 0

Los productos de enrutador por defecto no aíslan los planos de control, servicio y administración, debido a algunas razones, como la herencia y administración históricas. Los usuarios pueden iniciar sesión y administrar enrutadores a través de interfaces de servicio. Esto plantea el riesgo de un alcance de ataque mayor. Los atacantes explotan fácilmente las interfaces de servicio para iniciar ataques al plano de administración. Para evitar ataques a los aviones, se recomienda configurar el aislamiento para los planos de control, servicio y administración.


En este proyecto, hemos implementado la instancia de VPN en la interfaz de administración y la interfaz de administración de bucle invertido.


Para mejorar la seguridad del dispositivo, podemos implementar MPAC para habilitar el aislamiento de tres planos del dispositivo.


El control de acceso del plano de administración (MPAC) mejora la seguridad del sistema al proteger los dispositivos contra los ataques de denegación de servicio (DoS).


En un escenario de implementación común, el enrutador puede ejecutar múltiples servicios al mismo tiempo, como los servicios de enrutamiento OSPF y BGP, los servicios MPLS LDP y RSVP, el servidor TFTP del servicio del sistema y las funciones de diagnóstico ping y tracert.


Esto permite a los atacantes enviar varios paquetes de ataque al enrutador. A menos que las funciones de protección como MPAC estén habilitadas, el enrutador envía paquetes destinados a sus interfaces (incluida la interfaz de bucle de retorno) directamente a la CPU sin ningún tipo de filtrado. Como resultado, la CPU y los recursos del sistema se desperdician y el sistema sufre ataques DoS.


Para evitar tales ataques, defina una política MPAC para filtrar paquetes.


Por ejemplo, podemos impedir que las interfaces de servicio específicas envíen paquetes de protocolo de administración al plano de administración, de modo que el plano de administración reciba paquetes de protocolo de administración solo desde las otras interfaces de servicio.


Cree dos vistas de políticas MPAC, una para la aplicación global y la otra para la aplicación de la interfaz. Configure una regla para deshabilitar el envío de paquetes de protocolo de administración al plano de administración en el perfil aplicado globalmente. Configure una regla para permitir que solo se envíen paquetes de protocolo de administración específicos al plano de administración en el perfil aplicado a una interfaz.


La hoja de ruta de configuración es la siguiente:


1. Cree dos perfiles de política MPAC en la vista del sistema, uno de ellos aplicado globalmente y el otro aplicado a una interfaz.


2. Inhabilite los paquetes de protocolo de administración para que no se envíen al plano de administración en el perfil para la aplicación global, y permita que solo se envíen paquetes específicos de protocolo de administración al plano de administración en el perfil para la aplicación de interfaz.


3. Aplique la política anterior globalmente y la política última a GE 3/0/1 y la interfaz de red de administración GE 0/0/0.


4. Compruebe las configuraciones y el número de paquetes caídos.


La plantilla de configuración es la siguiente:


Tabla 1-1 NE05/NE20/NE40/NE9000 MPAC Configuration

#

service-security   policy ipv4 global  //Configure the   globacl policy, deny the management protocol

rule   deny protocol ftp

rule   deny protocol snmp

rule   deny protocol ssh

rule   deny protocol telnet

rule   deny protocol tftp

#

service-security   policy ipv4 interface  //Configure the   interface policy, permit the management protocol

rule   permit protocol ftp

rule   permit protocol snmp

rule   permit protocol ssh

rule   permit protocol telnet

rule   permit protocol tftp

#

interface   GigabitEthernet 0/0/0  //Enable the   interface policy first

service-security   binding ipv4 interface

interface   GigabitEthernet 3/0/1

service-security   binding ipv4 interface

#

service-security   global-binding ipv4 global  //After   enable the interface policy, then enable the global policy

#

commit

#


  • x
  • convención:

Responder

Responder
Debe iniciar sesión para responder la publicación Inicio de sesi | Registrarse

Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”
Si el botón para adjuntar no está disponible, actualice Adobe Flash Player con la versión más reciente

¡Ingresa y disfruta de todos los beneficios para los miembros!

Aterrizaje
Respuesta rápida Desplácese hasta arriba