Método de defensa de ataque local para el plano de control para un switch

34 0 1 0

Hola de nueva cuenta. Continuamos revisando las medidas de refuerzo de seguridad para los switches de la serie S. En esta ocasión platicaremos sobre las medidas de protección que podemos implementar para el plano de control.

Revisaremos las diferentes configuraciones disponibles para proteger a este plano que en este caso son tres y son los siguientes:

 

 Defensa de ataque local

Defensa de ataque a través del servicio y aislamiento de gestión

Defensa de ataque

 

Revisemos ahora la primera defensa disponible contra ataques locales para conocer más sobre este interesante tema.

 

Defensa de ataque local

 

Comportamiento de ataque

En la actualidad una cantidad considerable de paquetes son intercambiados en una red, estos paquetes para ser procesados deben ser enviados a las unidades centrales de procesamiento (CPU) sin embargo estos paquetes pueden ser paquetes validos de información o pueden ser paquetes maliciosos que forman parte de un ataque. La implementación oportuna de políticas de seguridad evitara que los CPUS se vean comprometidos y así evitar una falla en el switch o switches que afecten la operación de la red.

 

Política de seguridad

Para garantizar que las CPU procesen los servicios correctamente, los switches proporcionan la función de defensa de ataque local. Cuando un switch está sufriendo un ataque, esta función garantiza la transmisión ininterrumpida del servicio y minimiza el impacto en los servicios de red.

 

La defensa de ataque local se divide en defensa de ataque de CPU, rastreo de fuente de ataque, defensa de ataque de puerto y limitación de velocidad a nivel de usuario.

 

Defensa de ataque contra el CPU

Un switch puede limitar la velocidad de todos los paquetes enviados a la CPU para proteger la CPU.

 

El núcleo de la defensa de ataque de la CPU es la función de tasa de acceso comprometida del plano de control o Control Plane Committed Access Rate (CPCAR). CPCAR limita la velocidad de los paquetes de protocolo enviados al plano de control para garantizar la seguridad del plano de control.


● Ataque de rastreo de fuente

El rastreo de fuente de ataque defiende contra ataques DoS. Un switch habilitado con el rastreo de fuente de ataque analiza los paquetes enviados a la CPU, recopila estadísticas sobre los paquetes y especifica un umbral para los paquetes. El switch considera el exceso de paquetes como paquetes de ataque, localiza la interfaz o el usuario de origen del ataque analizando los paquetes de ataque y genera registros o alarmas. En consecuencia, el administrador de la red puede tomar medidas para defenderse de los ataques o configurar el switch para descartar paquetes de la fuente del ataque.

 

● Defensa de ataque al puerto

La defensa de ataque de puerto es un método anti-DoS. Si un puerto recibe una gran cantidad de paquetes de protocolo, los paquetes de protocolo ocupan el ancho de banda y los paquetes de protocolo recibidos por otros puertos no pueden enviarse a la CPU. La función de defensa de ataque de puerto previene ataques basados en puertos.

 

De manera predeterminada, un switch está habilitado con la defensa de ataque de puerto para paquetes de protocolo comunes, como el Protocolo de resolución de direcciones (ARP), el Protocolo de mensajes de control de Internet (ICMP), el Protocolo de configuración dinámica de host (DHCP) y los paquetes de Protocolo de administración de grupos de Internet (IGMP). Cuando ocurre un ataque, el switch aísla el impacto del ataque dentro del puerto que recibe los paquetes de ataque, reduciendo el impacto del ataque en otros puertos.

 

● Limitación de velocidad a nivel de usuario

La limitación de velocidad a nivel de usuario identifica a los usuarios en función de la dirección MAC y limita las velocidades de los paquetes de protocolo especificados, como ARP, Descubrimiento de vecinos (ND), Solicitud DHCP, Solicitud DHCPv6, IGMP, 8021x y paquetes HTTPS-SYN. Si un usuario sufre un ataque DoS, otros usuarios no se ven afectados. El núcleo de la limitación de la tasa a nivel de usuario es la tasa de acceso comprometido del host (CAR). Por defecto, la limitación de velocidad a nivel de usuario está habilitada.

 

Método de configuración

Modifique el valor de CPCAR de los paquetes de protocolo.

cpcar


Disminuya el valor de CPCAR de los paquetes de protocolo o configure la acción de CPCAR para denegar para evitar que los paquetes que tienen prioridades bajas o que no necesitan ser procesados se envíen a la CPU, asegurando el correcto funcionamiento del sistema.

 

Establezca la velocidad de envío de paquetes ICMP a la CPU a 64 kbit/s y configure el switch para descartar paquetes con el Tiempo de vida (TTL) de 1.

cpcar_1


Configure una lista negra para deshabilitar que el switch envíe paquetes de protocolo de usuarios específicos a la CPU.

Si el valor de CPCAR de los paquetes de un protocolo aumenta inesperadamente, un usuario puede enviar una gran cantidad de paquetes de protocolo al switch. Si el análisis de estos paquetes muestra características de tráfico pesado, como una dirección IP o MAC de origen fijo, configure una lista negra para deshabilitar que el switrch envíe los paquetes de protocolo a la CPU.

 

Inhabilite el cambio del envío de paquetes ARP con direcciones MAC de origen fijo a la CPU.


cpcar2


Configure el rastreo de fuentes de ataque para permitir que los conmutadores detecten automáticamente las fuentes de ataque y se defiendan contra el tráfico de ataque.

El rastreo de fuente de ataque permite a los switches detectar automáticamente la fuente de ataque y defenderse contra el tráfico de ataque, mejorando la seguridad de la red en ejecución. Cuando ocurre un ataque, la fuente del ataque puede aislarse para reducir el impacto en los servicios. En V200R009 y versiones posteriores, el rastreo de origen de ataque está habilitado de forma predeterminada.

 

Configure un switch para considerar los paquetes ARP con una velocidad superior a 50 pps como paquetes de ataque y castigue automáticamente a los usuarios que envían los paquetes.


cpcar3


Múltiples son las opciones y todas ellas se complementan para asegurar que el switch no sufra algún ataque que comprometa su operación dentro de nuestra red de datos. Te invito a visitar la siguiente publicación que es la continuación de la explicación sobre este tema tan interesante.


Políticas de seguridad de nivel 1 para el Plano de Control aislando la gestión


En las siguientes publicaciones platicaremos sobre otras medidas de protección para su conocimiento.

 

Gracias por acompañarnos leyendo esta publicación.

 

Saludos.

 

FIN                                   


Comunidad Huawei Enterprise
https://forum.huawei.com/enterprise/es/forums


#ComunidadEnterprise


#OneHuawei

  • x
  • convención:

Comentar

Responder
Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse

Aviso Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”
Si el botón para adjuntar no está disponible, actualice Adobe Flash Player con la versión más reciente
¡Ingresa y disfruta de todos los beneficios para los miembros!

¡Ingresa y disfruta de todos los beneficios para los miembros!

Aterrizaje