Diseño de Seguridad en una Red de Capa 2

Última respuesta ag. 07, 2019 11:53:49 129 1 2 0

Diseño de Seguridad en una Red de Capa 2


202839gr5foepsrecrh530.png?image.png

Ø  Huawei proporciona soluciones para proteger en contra de varios ataques en redes de Capa 2.

Ø  DoS attack: Este tipo de ataque está dirigido a switches. Para defender contra tales ataques, el Plano de Control Comprometido Tasa de Acceso (CPCAR, por sus siglas en inglés) se puede usar para limitar el número de paquetes enviados al CPU por unidad de tiempo, defendiendo así contra ataques en el plano de control de los switches.

Ø  Traffic overload: Cuando una tormenta de broadcast ocurre en una red o la red es atacada, tráfico excesivo se genera continuamente en los puertos del switch. En este caso, la suspensión de tráfico puede ser configurada en un switch para limitar a unicast, multicast, y paquetes de broadcast especificando sus umbrales de tráfico.

Ø  MAC address spoofing: Un switch transmite datos basándose en la table de direcciones MAC, la cual el switch obtiene escuchando el tráfico de datos de la red. Los atacantes frecuentemente forgan direcciones MAC para atacar la tabla de direcciones MAC. Las funciones de seguridad de puertos se pueden configurar para defender contra tales ataques.

Ø  DCHP attack: Los clientes en la red usualmente obtienen direcciones IP usando DHCP, lo cual puede ser fácilmente manipulado por atacantes. Los administradores de red pueden activar la función DHCP snooping en un switch para prevenir tales ataques.

Ø  ARP attack: ARP juega un rol importante en una LAN, pero es fácilmente usado por atacantes debido a su falta de mecanismo de autenticación. Se pueden usar múltiples métodos para prevenir ataques de ARP.

²  Por ejemplo, para prevenir un ataque de ARP flooding, limitar la tasa de trafico de ARP en los puertos del switch o configurar manualmente entradas estáticas de ARP.

²  ARP trabaja emitiendo paquetes ARP. Por lo tanto, segmentando los dominios de emisión aislados con VLANs se puede reducir el impacto de ataques ARP. Aunado a esto, algunas tecnologías VLAN especiales tales como MUX VLAN y agregación de VLAN se pueden usar para aislat usuarios.

²  Usar DHCP snooping para ligar las direcciones MAC e IP con los puertos del switch. Habilitar DAI para checar la respuesta de paquetes ARP.

IP address spoofing: El protocolo IP no puede verificar el origen de las direcciones IP, haciendo de los ataques de falsificación de direcciones IP rampante. Reenvío de Camino Invertido de Unicast (URPF, Unicast Reverse Path Forwarding, por sus siglas en inglés) se usa para prevenir tales ataques en redes de Capa 3, y IP Source Guard (IPSG) se usa en una red de Capa 2 para revisar el origen de las direcciones IP.


  • x
  • convención:

Moderador Publicado 2019-8-7 11:53:49 Útil(0) Útil(0)
@Maynez buen día.

Iniciarse en la tarea de diseñar una red constituye un proyecto de formidables proporciones, pero aún más lo es si buscamos además construir una red segura.

Muchas veces, los administradores de redes no se encuentran del todo familiarizados con las barreras de seguridad que pueden implantarse a cada nivel de abstracción. Cada capa en el modelo OSI encapsula un conjunto de protocolos, equipos y técnicas de seguridad que pueden desplegarse para dificultar la tarea de los atacantes. El conocimiento de estas nociones nos permitirá realizar un mejor análisis del nivel de protección en nuestra red, y de las vulnerabilidades y brechas que puedan existir.

Combinando estos principios con arquitecturas de seguridad (como redes desmilitarizadas, segmentos físicos y lógicos, tarpits, o honeypots), aplicando técnicas de defensa activa, y realizando procesos periódicos de pentesting en redes, los administradores de redes podrán aumentar la seguridad de ésta, enmendando sus vulnerabilidades desde su propio núcleo.

¿Me puede apoyar recomendándome dos soluciones de Huawei, que me ayude a protegerme contra los ataques de capa 2, que menciona en esta su publicación?

Saludos!
  • x
  • convención:

Senior Cybersecurity Engineer

Responder

Responder
Debe iniciar sesión para responder la publicación Inicio de sesi | Registrarse

Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”
Si el botón para adjuntar no está disponible, actualice Adobe Flash Player con la versión más reciente

¡Ingresa y disfruta de todos los beneficios para los miembros!

Aterrizaje
Respuesta rápida Desplácese hasta arriba