Políticas de refuerzo de seguridad de nivel 1 (obligatorio) Plano de Gestión Web NMS

38 0 4 0

Hola de nueva cuenta. Continuamos revisando las medidas de refuerzo de seguridad para los switches de la serie S. En esta publicación explicaremos las medidas obligatorias que se debe configurar para ingresar al switch de forma segura, este refuerzo está enfocado al plano de gestión.

 

Iniciar sesión a través de la interface Web NMS

 

Comportamiento de ataque

DoS

El servidor HTTP admite un número limitado de usuarios. Cuando el número de usuarios de inicio de sesión alcanza el límite superior, no más usuarios pueden iniciar sesión en el servidor HTTP. Esta situación puede aparecer cuando los usuarios usan el servidor HTTP correctamente o cuando el servidor HTTP es atacado.

 

Ataque de conexión lenta

La longitud del contenido con un valor grande se define en el encabezado del Protocolo de transferencia de hipertexto (HTTP). Después de confirmar el encabezado, el atacante no envía el cuerpo del paquete. Después de recibir Content-Length, el servidor HTTP espera el contenido restante. Luego, el atacante retiene la conexión y envía una gran cantidad de paquetes transmitiendo un byte por cada 10 a 100 segundos para agotar los recursos.

 

El servidor HTTP bajo un ataque de conexión lenta tiene los problemas de inicio de sesión lento, cierre de sesión del usuario, desconexión frecuente y falla de inicio de sesión.

 

Politica de seguridad

Para defenderse de los ataques anteriores, configure las siguientes políticas de seguridad en un switch:

 

Realizar autenticación AAA

 El servidor HTTP admite la autenticación AAA. Solo los usuarios autenticados pueden iniciar sesión en el conmutador e ingresar vistas de línea de comandos. Los usuarios deben ingresar el nombre de usuario, la contraseña y el código de verificación generado aleatoriamente para iniciar sesión, lo que reduce la probabilidad de descifrar la contraseña.


Deshabilitar el servidor HTTP

Cuando el servidor HTTP está habilitado, el servicio de socket está habilitado en el conmutador. En este caso, el interruptor es propenso a escaneo por parte de los atacantes. Por lo tanto, deshabilite el servidor HTTP si no es necesario.

 

Cambiar el número de puerto

Por defecto, el servidor HTTP usa el puerto 80, que es un puerto conocido y propenso a escaneos y ataques. Configure el servidor HTTP para usar un puerto privado para reducir la probabilidad de escaneo y ataque.

 

Configurar una ACL

En la vista del sistema, configure una ACL para el servidor HTTP para limitar las direcciones IP de origen y los números de puerto de origen que se pueden usar para iniciar sesión.

 

Usando HTTP sobre SSL (HTTPS)

HTTP sobre Secure Sockets Layer (SSL) proporciona una transferencia segura para proteger los datos transmitidos contra el robo. Debido a que HTTP tiene riesgos de seguridad, desde V200R005, el conmutador permite el inicio de sesión en el Sistema de administración de red (NMS) web utilizando solo HTTPS, pero no HTTP.

 

Método de configuración

Configurar la autenticación AAA.

Establezca el modo de autenticación en autenticación AAA. En la vista AAA, establezca el nombre de usuario en client001 y la contraseña en Helloworld@6789.

112257oi6ee6p2qes3qpzv.png?image.png


Deshabilitar el servidor HTTP.

112314q3qpjrczhrulqqfq.png?image.png


Cambie el número de puerto del servidor HTTP a 55535.

112333duezieqptipf39c0.png?image.png


Configure ACL 3000 para permitir que solo los usuarios con la dirección IP de origen de 10.10.10.1 y el número de puerto de origen de 80 puedan iniciar sesión en el conmutador a través de HTTP.

112356jfkkrrr91ez0rkz6.png?image.png


Configurar HTTPS.

112434sdnieg6600dlgpil.png?image.png

 

Siguiendo las sugerencias anteriores aseguraremos que solo personal y hosts validos puedan ingresar al switch, esto con el fin de evitar algún ataque que afecte la operación del mismo.

 

Gracias por leernos y los invito a leer la siguiente publicación que es la continuación sobre este interesante tema


Políticas de refuerzo de seguridad de nivel 1 (obligatorio) Plano de Gestión Usuario AAA

 

Saludos.

 

FIN                                   


Comunidad Huawei Enterprise
https://forum.huawei.com/enterprise/es/forums


#ComunidadEnterprise


#OneHuawei

  • x
  • convención:

Responder

Responder
Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse

Aviso Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”
Si el botón para adjuntar no está disponible, actualice Adobe Flash Player con la versión más reciente
¡Ingresa y disfruta de todos los beneficios para los miembros!

¡Ingresa y disfruta de todos los beneficios para los miembros!

Aterrizaje