Introducción a la defensa de ataque local en un switch CloudEngine: Protejamos al CPU

27 0 1 0

Hola a todos. En esta ocasión platicaremos sobre una función de gran utilidad para proteger a nuestro switch el cual se le conoce como defensa de ataque local. El objetivo de esta defensa es la proteger el CPU del switch. Pasemos a la información para conocer sobre el tema.

 

Definición

 

La defensa de ataque local protege la CPU de un dispositivo y evita la interrupción del servicio causada por ataques de una gran cantidad de paquetes o paquetes maliciosos.

 

Las CPU de dispositivos necesitan procesar una gran cantidad de paquetes, incluidos paquetes válidos y paquetes de ataque malicioso en una red. Los paquetes de ataque malicioso abruman a las CPU y, por lo tanto, afectan los servicios y provocan una falla del sistema. Además, los paquetes válidos excesivos también pueden conducir a un alto uso de la CPU, lo que degrada el rendimiento de la CPU e interrumpe los servicios.


Para garantizar que la CPU pueda procesar los servicios de manera oportuna, el dispositivo proporciona una función de defensa de ataque local. Cuando un dispositivo está sufriendo un ataque, esta función garantiza la transmisión ininterrumpida del servicio y minimiza el impacto en los servicios de red.

 

Implementación Básica

El dispositivo admite dos tipos de defensa de ataque local: defensa de ataque de CPU y rastreo de fuente de ataque.

 

Defensa de ataque de CPU

El dispositivo puede limitar la velocidad de todos los paquetes que llegan a la CPU, lo que significa que solo se puede enviar un número específico de paquetes a la CPU en un período específico. Esto protege la CPU y asegura su funcionamiento normal.

 

El núcleo de la defensa de ataque de la CPU es la tasa de acceso comprometida del plano de control o  Control Plane Committed Access Rate (CPCAR). Además, la defensa de ataque de la CPU admite listas negras o blacklist.


CPCAR limita la velocidad de los paquetes de protocolo enviados al plano de control y programa los paquetes para proteger el plano de control. CPCAR proporciona protección jerárquica de dispositivos: programación y limitación de velocidad basada en filas y limitación de velocidad para todos los paquetes, como se muestra en la Figura 1.

 

Figura 1 Limitación de velocidad para paquetes enviados a la CPU



1


Las filas en el dispositivo incluyen filas exclusivas y filas compartidas (también llamadas filas comunes). La programación justa se realiza entre las filas. Es decir, todos los servicios están igualmente programados.

 

Fila exclusiva: cuando un servicio está habilitado en un dispositivo, el dispositivo asigna dinámicamente una fila al servicio. Cuando el servicio está deshabilitado, el dispositivo retira la fila del servicio.

 

Fila compartida: se proporciona una fila compartida para hacer frente a la insuficiencia de filas exclusivas. Cuando se asignan todas las filas exclusivas, el dispositivo agrega todos los servicios recientemente habilitados a la fila compartida para limitar sus tasas.

 

Después de establecer los límites de velocidad para todos los paquetes enviados a la CPU, la CPU puede procesar más paquetes de protocolo sin verse abrumado.

2


La defensa de ataque de la CPU proporciona una función de lista negra. Una lista negra hace referencia a una ACL. El dispositivo descarta todos los paquetes que tienen las características definidas en la lista negra. Puede agregar atacantes conocidos a la lista negra.

 

Rastreo de fuente de ataque

El rastreo de origen de ataque protege a la CPU contra ataques de denegación de servicio (DoS). El dispositivo habilitado con el rastreo de fuente de ataque analiza los paquetes enviados a la CPU, recopila estadísticas sobre los paquetes y establece un umbral de velocidad para los paquetes. El dispositivo considera los paquetes en exceso como paquetes de ataque.

El dispositivo encuentra la dirección de usuario de origen o la interfaz de los paquetes de ataque y genera registros o alarmas para el ataque. En consecuencia, el administrador de la red puede tomar medidas para defenderse de los ataques, por ejemplo, descartar paquetes de la fuente del ataque.


El rastreo de fuente de ataque involucra cuatro procesos que se muestran en la Figura 2: análisis de paquetes, análisis de tráfico, identificación de fuente de ataque, registro y generación de alarmas, así como también acciones de castigo.

 

1. Analiza paquetes basados en direcciones IP, direcciones MAC y puertos. Los puertos se identifican por números de puerto físicos e ID de VLAN.

2. El sistema cuenta el número de paquetes de protocolo recibidos en función de las direcciones IP, las direcciones MAC o los números de puerto.

3. Cuando la tasa de paquetes enviados a la CPU excede el umbral, el sistema considera que se ha producido un ataque.

4. Al detectar un ataque, el sistema informa un registro y una alarma, o toma medidas de castigo. Por ejemplo, el sistema descarta los paquetes.

 

Figura 2 Procesos de rastreo de fuentes de ataque


3


El rastreo de origen de ataque proporciona la función de lista blanca. Después de configurar una ACL para permitir que los paquetes de un puerto o un puerto se agreguen a la lista blanca, el dispositivo no rastrea la fuente de los paquetes desde este puerto. Puede agregar los usuarios o puertos autorizados a la lista blanca para asegurarse de que los paquetes de estos usuarios se puedan enviar a la CPU.


El utilizar este tipo de seguridad en nuestro switch nos asegurara que algún ataque que se presente no afectara la operación del mismo, como resultado la estabilidad y disponibilidad de nuestra red será muy alta.

 

Gracias por acompañarnos en esta publicación y no se desconecten ya que traeremos más temas interesantes para Uds.

 

Saludos.

 

FIN                                   


Comunidad Huawei Enterprise
https://forum.huawei.com/enterprise/es/forums


#ComunidadEnterprise


#OneHuawei

  • x
  • convención:

Comentar

Responder
Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse

Aviso Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”
Si el botón para adjuntar no está disponible, actualice Adobe Flash Player con la versión más reciente
¡Ingresa y disfruta de todos los beneficios para los miembros!

¡Ingresa y disfruta de todos los beneficios para los miembros!

Aterrizaje