Políticas de refuerzo de seguridad de nivel 1 (obligatorio) Plano de Reenvío tercera parte

Última respuesta oct. 26, 2019 11:32:37 112 2 4 0

Hola de nueva cuenta. Continuamos revisando las medidas de refuerzo de seguridad para los switches de la serie S. En esta publicación continuaremos con la revisión de las medidas disponibles para el plano de reenvío y en esta ocasión nos corresponde revisar el reenvío basado en rutas confiables

 

Reenvío basado en rutas confiables

Política de Seguridad

 

Unicast Reverse Path Forwarding (URPF) busca en la tabla de enrutamiento la ruta a la dirección IP de origen de un paquete y comprueba si la interfaz entrante del paquete es la misma que la interfaz saliente de la ruta. Si la tabla de enrutamiento no tiene la ruta a la dirección IP de origen o la interfaz entrante del paquete es diferente de la interfaz saliente de la ruta, URPF descarta el paquete para evitar la suplantación de IP.


Esta política es efectiva para ataques DoS con direcciones IP de origen falsificado.


Método de Configuración

En un entorno de red complicado, pueden existir rutas asimétricas. Es decir, las rutas registradas en los switches locales y remotos son diferentes. Los switches habilitados para URPF pueden descartar paquetes recibidos a través de rutas válidas y reenviar paquetes recibidos a través de rutas no válidas. Los switches proporcionan los siguientes modos URPF para resolver este problema:

 

Modo estricto o Strict mode

 

En este modo, la ruta a la dirección IP de origen de un paquete debe existir en la tabla de enrutamiento, y la interfaz de entrada del paquete debe ser la misma que la interfaz de salida de la ruta. Se recomienda el modo estricto si se garantiza la simetría de ruta. Por ejemplo, si solo hay una ruta entre dos conmutadores de borde de red, el modo estricto puede ayudar a garantizar la seguridad de la red.

 

Modo suelto o Loose mode

 

En este modo, la ruta a la dirección IP de origen de un paquete debe existir en la tabla de enrutamiento, y la interfaz de entrada del paquete puede no ser la misma que la interfaz de salida de la ruta. Se recomienda el modo suelto si no se garantiza la simetría de la ruta. Por ejemplo, si hay múltiples rutas entre dos conmutadores de borde de red, el modo suelto puede ayudar a defenderse de los ataques de red y evitar que se descarten paquetes válidos.


Habilite URPF en modo estricto en la interfaz de capa 2 GE1/0/1, y permita que la ruta a la dirección IP de origen de un paquete sea la ruta predeterminada.

164447qacpg96zqdqgttqp.png?image.png


Con la utilización de las diferentes técnicas de protección en el plano de reenvío podemos proteger a nuestro switch de algún ataque externo lo que provocaría una falla afectando la operación normal de nuestra red de datos. Con esta publicación terminamos de revisar el tema de la protección para el plano de reenvío pero no se desconecten porque en las próximas publicaciones trataremos nuevos temas de interés.

 

Gracias por seguirnos y recuerden que si quieren que publiquemos algún tema en particular, dejen sus comentarios y prepararemos las publicación o publicaciones necesarias.


Saludos.

 

FIN                                   


Comunidad Huawei Enterprise
https://forum.huawei.com/enterprise/es/forums


#ComunidadEnterprise


#OneHuawei

  • x
  • convención:

mcalderon
Publicado 2019-10-24 02:12:33 Útil(0) Útil(0)
Buena aporte para la mejora de la seguridad
  • x
  • convención:

Profesional%20del%20UNMSM%20(Lima%2C%20Per%C3%BA)%20con%20conocimentos%20y%20experiencia%20en%20Networking%2C%20Seguridad%20de%20la%20Informaci%C3%B3n%20y%20Telecomunicaciones.
NACA4412
Publicado 2019-10-26 11:32:37 Útil(0) Útil(0)
Buen aporte, es bueno tenerlo en cuenta!
  • x
  • convención:

Comentar

Responder
Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse

Aviso Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”
Si el botón para adjuntar no está disponible, actualice Adobe Flash Player con la versión más reciente
¡Ingresa y disfruta de todos los beneficios para los miembros!

¡Ingresa y disfruta de todos los beneficios para los miembros!

Aterrizaje