Políticas de refuerzo de seguridad de nivel 1 (obligatorio) Plano de Gestión SNMP

30 0 2 0

Hola de nueva cuenta. Continuamos revisando las medidas de refuerzo de seguridad para los switches de la serie S. En esta publicación explicaremos las medidas obligatorias que se debe configurar para evitar que el protocolo de gestión de red SNMP se utilice para conocer el estado del switch o modificar su configuración para provocar una falla. Esta política pertenece al plano de gestión y a continuación su explicación.

 

Seguridad de administración de dispositivos SNMP

 

Comportamiento de ataque

Los ataques comunes del Protocolo simple de administración de redes (SNMP) son los siguientes:

Un atacante obtiene los derechos de los usuarios autorizados modificando la dirección IP de origen de los paquetes enviados para realizar operaciones de administración no autorizadas.

 

Un atacante escucha la comunicación entre los agentes NMS y SNMP para obtener información, como nombres de usuario, contraseñas y nombres de comunidad, por lo tanto, obtiene derechos no autorizados.

 

Un atacante intercepta y luego reordena, retrasa o retransmite mensajes SNMP para afectar las operaciones normales, hasta obtener derechos de acceso no autorizados.

 

Política de seguridad

SNMP se usa para administrar dispositivos de red y tiene tres versiones: SNMPv1, SNMPv2 y SNMPv3.

 

SNMPv1 y SNMPv2 tienen baja seguridad y son compatibles con ACL y el modelo de control de acceso basado en vista (VACM). Asociar una vista ACL y MIB con un nombre de comunidad para limitar los NMS y los nodos que pueden acceder al switch.

 

SNMPv3 es compatible con el modelo de seguridad basado en el usuario (USM), Message Digest 5 (MD5) y la autenticación de algoritmo de hash seguro (SHA) y los algoritmos de estándar de cifrado de datos (DES) y estándar de cifrado avanzado (AES). Al autenticar y encriptar los datos de comunicación, SNMPv3 resuelve problemas de seguridad, como enmascaramiento, manipulación y fuga de información.


Método de configuración

Por motivos de seguridad, se recomienda configurar un usuario SNMPv3 que requiera autenticación y cifrado, usar el modo de autenticación y cifrado SNMPv3 para administrar el switch y asociar una lista de acceso ACL y una MIB con el usuario para limitar sus derechos de acceso.

 

1. Configure la ACL 2001 para rechazar paquetes de 10.138.20.123 y permitir paquetes de 10.138.90.111.

083705tzy9yer0e05e1ir3.png?image.png


2. Configure una lista de acceso ACL 2001 como una ACL SNMP para filtrar usuarios y limitar los NMS que pueden acceder al switch.

083726ufh9dbkorz9kpp5p.png?image.png


3. Configure una vista MIB llamada iso-view para acceder a los nodos en el subárbol cuyo nodo raíz es la Organización Internacional de Normalización (ISO).

083746dfx10w7c2cp702ck.png?image.png


4. Configure un grupo SNMPv3 llamado v3group, configure las vistas de lectura, escritura y notificación asociadas a iso-view, y aplique ACL 2001 al grupo SNMPv3 para filtrar usuarios por grupo de usuarios.

083931ysra6z3gjuj0r1mo.png?image.png


5. Configure un usuario SNMPv3 llamado v3user y que pertenezca a v3group. Establezca el modo de autenticación del usuario en sha, la contraseña de autenticación en hello1234, el modo de encriptación en aes256 y la contraseña de encriptación en hello2012, y aplique ACL 2001 al usuario para implementar el filtrado basado en grupos de usuarios y usuarios.

084107d78lh3ca783jd8xp.png?image.png


A través de esta configuración sugerida protegeremos al switch de que sufra algún ataque utilizando el protocolo SNMP. Los datos de configuración aquí mostrados son un ejemplo pero Uds. pueden adecuar la configuración siguiendo las políticas que tengan establecidas en su organización.

 

Gracias por leernos y los invito a leer la siguiente publicación que es la continuación sobre este interesante tema.


Políticas de refuerzo de seguridad de nivel 1 (obligatorio) Plano de Gestión Capa de Enlace

 

Saludos.

 

FIN                                   


Comunidad Huawei Enterprise
https://forum.huawei.com/enterprise/es/forums


#ComunidadEnterprise


#OneHuawei

  • x
  • convención:

Responder

Responder
Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse

Aviso Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”
Si el botón para adjuntar no está disponible, actualice Adobe Flash Player con la versión más reciente
¡Ingresa y disfruta de todos los beneficios para los miembros!

¡Ingresa y disfruta de todos los beneficios para los miembros!

Aterrizaje