Fundamentos básicos del protocolo de seguridad de red IPSG

57 0 1 0

IPSG comprueba los paquetes IP en las interfaces de Capa 2 contra una tabla de enlace que contiene los enlaces de las direcciones IP de origen, las direcciones MAC de origen, las VLAN y las interfaces entrantes. Solo se reenvían los paquetes que coinciden con la tabla de enlace, y se descartan otros paquetes.

 

A continuación se describe dos tipos de tablas de enlace: tablas de enlace estáticas y dinámicas.

 

Tabla de enlace estática

·         Se configura manualmente utilizando el comando user-bind.

·         Se aplica en redes que cuenten con pocos equipos que utilizan una IP estática.

 

Tabla de enlace dinámico con DHCP snooping

·         Después que DHCP snooping es configurado, los equipos hacen la petición de direcciones IP al servidor DHCP. El dispositivo genera una tabla de enlace dinámico con DHCP snooping de acuerdo con los paquetes ACK de respuesta DHCP devueltos por el servidor DHCP.

·         Se aplica en redes que tienen muchos equipos que obtienen direcciones IP desde un servidor DHCP.

 

Después de que se genera la tabla de enlace, el dispositivo reenvía los paquetes desde los hosts solo cuando los paquetes coinciden con las entradas de enlace, y descarta los paquetes cuando los paquetes no coinciden con las entradas de enlace. De manera predeterminada, si IPSG está habilitado pero no hay una tabla de enlace configurada, el dispositivo descarta todos los paquetes IP, excepto los paquetes de solicitud de DHCP.

 

IPSG verifica solo los paquetes IP, pero no verifica los paquetes que no son IP, como los paquetes ARP y PPPoE.

 

Cuando un host malicioso usa la dirección IP de un host autorizado para enviar paquetes al Router, el Router detecta que los paquetes no coinciden con las entradas vinculantes y luego los descarta.


IPSG 02


Roles de las interfaces en IPSG

 

IPSG solo se puede configurar en las interfaces físicas de Capa 2 o en las VLAN, y verifica solo los paquetes en las interfaces no confiables con IPSG habilitado. IPSG considera que todas las interfaces no son confiables por defecto. Las interfaces de confianza se especifican manualmente. Las interfaces IPSG confiables y no confiables también se usan como interfaces confiables y no confiables en las funciones de inspección DHCP. Además, las interfaces confiables y no confiables también son válidas para IPSG basadas en una tabla de enlace estático.

 

En la siguiente figura se muestra los roles de la interfaz IPSG:

 

·         IF1 e IF2 son interfaces no confiables y tienen la función IPSG habilitada. El dispositivo realiza una verificación IPSG en los paquetes recibidos por IF1 e IF2.

·         IF3 es una interfaz no confiable y no tiene la función IPSG habilitada. El dispositivo no realiza una verificación IPSG en los paquetes recibidos por IF3. Por lo tanto, IF3 es propenso a los ataques.

·         IF4 es la interfaz confiable, que se configura manualmente. El dispositivo no realiza una verificación IPSG en los paquetes recibidos por IF4; sin embargo, IF4 no es propenso a los ataques. En una red con DHCP snooping configurada, las interfaces conectadas directa o indirectamente a un servidor DHCP válido generalmente se configuran como interfaces confiables.

 

IPSG 03

  • x
  • convención:

Comentar

Responder
Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse

Aviso Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”
Si el botón para adjuntar no está disponible, actualice Adobe Flash Player con la versión más reciente
¡Ingresa y disfruta de todos los beneficios para los miembros!

¡Ingresa y disfruta de todos los beneficios para los miembros!

Inicia sesión