Políticas de refuerzo de seguridad de nivel 1 (obligatorio) Plano de Gestión

25 0 2 0

Hola de nueva cuenta. Continuamos revisando las medidas de refuerzo de seguridad para los switches de la serie S. En esta publicación explicaremos las medidas obligatorias que se debe configurar para ingresar al switch de forma segura, este refuerzo está enfocado al plano de gestión.

 

Iniciar sesión a través de SSH

 

Comportamiento de ataque

 

Crack de contraseña

 

Un atacante intenta acceder a un conmutador después de obtener el número de puerto Secure Shell (SSH), y el conmutador solicita la autenticación del atacante. Luego, el atacante descifra la contraseña para pasar la autenticación y obtener el derecho de acceso.

 

Denegación de servicio (DoS)

 

El servidor SSH admite un número limitado de usuarios. Cuando el número de usuarios de inicio de sesión alcanza el límite superior, no más usuarios pueden iniciar sesión en el servidor SSH. Esta situación puede aparecer cuando los usuarios usan el servidor SSH correctamente o cuando el servidor SSH es atacado.

 

Política de seguridad

Para defenderse de los ataques anteriores, configure las siguientes políticas de seguridad en un switch:

 

Realizar autenticación de contraseña y autenticación de clave pública

 

El servidor SSH admite autenticación de contraseña y autenticación de clave pública. Solo los usuarios autenticados pueden iniciar sesión en el conmutador e ingresar vistas de línea de comandos.

 

Deshabilitar el servidor SSH

 

Cuando el servidor SSH está habilitado, el servicio de socket está habilitado en el conmutador. En este caso, el interruptor es propenso a escaneo por parte de los atacantes. Por lo tanto, deshabilite el servidor SSH si no es necesario.

 

Cambiar el número de puerto

Por defecto, el servidor SSH usa el puerto 22, que es un puerto conocido y propenso a escaneos y ataques. Configure el servidor SSH para usar un puerto privado para reducir el escaneo y la probabilidad de ataque.

 

Configurar una lista de control de acceso (ACL)

 

En la vista de interfaz de usuario, configure una ACL para los canales de Terminal de tipo virtual (VTY) para limitar las direcciones IP del cliente que se pueden usar para iniciar sesión.

 

Especificar una interfaz de origen para el servidor SSH

 

De forma predeterminada, el servidor SSH recibe solicitudes de inicio de sesión de todas las interfaces, lo que provoca una baja seguridad del sistema. Para fortalecer la seguridad del sistema, especifique una interfaz de origen para el servidor SSH que permita el inicio de sesión solo de usuarios autorizados.

 

Una vez que se especifica la interfaz de origen, el sistema permite a los usuarios iniciar sesión en el servidor SSH solo utilizando la interfaz de origen. La configuración tiene efecto para los usuarios posteriores pero no para los usuarios que han iniciado sesión en la interfaz de origen.

 

Método de configuración

 

¨              Configure la contraseña o la autenticación Rivest-Shamir-Adelman (RSA).

n  Autenticación de contraseña: establezca el modo de autenticación del usuario testuser en autenticación de contraseña.

102639lmfkkmfjkfq7i1ij.png?image.png


n  Autenticación RSA: establezca el modo de autenticación del usuario testuser en la autenticación RSA (utilizando una clave de 2048 bits o más).

102652r5bwh9ffw9b5fzeg.png?image.png



n  Deshabilitar el servidor SSH.

101914ccbhj7h0bppjnbb7.png?image.png


n  Cambie el número de puerto del servidor SSH a 55535.

101941wdkt9mmd24c2d2z2.png?image.png


n  Configure ACL 2000 para permitir que los usuarios con la dirección IP de origen de 10.1.1.1 inicien sesión en el switch.

102125kctns8ny3ecdt3ve.png?image.png


Para evitar que los usuarios que usan una dirección IP o un segmento de dirección para acceder al switch, use la opción inbound en la lista de acceso. Para evitar que los usuarios que han accedido con éxito a un switch accedan a otros conmutadores, use la opción outbound en la lista de acceso.

n  Establezca el puerto de origen del servidor SSH en Loopback0.

102314qs2p1244irdg4pv4.png?image.png


Se debe haber creado y configurado una interfaz de loopback con una dirección IP antes de ejecutar este comando

Como se ha explicado estas medidas ayudan a evitar que usuarios no autorizados ingresen al switch y realicen modificaciones no deseadas.


Gracias por leernos y los invito a leer la siguiente publicación que es la continuación sobre este interesante tema

Políticas de refuerzo de seguridad de nivel 1 (obligatorio) Plano de Gestión Web NMS


Saludos.

FIN                                   


Comunidad Huawei Enterprise
https://forum.huawei.com/enterprise/es/forums


#ComunidadEnterprise


#OneHuawei

  • x
  • convención:

Responder

Responder
Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse

Aviso Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”
Si el botón para adjuntar no está disponible, actualice Adobe Flash Player con la versión más reciente
¡Ingresa y disfruta de todos los beneficios para los miembros!

¡Ingresa y disfruta de todos los beneficios para los miembros!

Aterrizaje