Políticas de seguridad de nivel 1 para el plano de control aislando la gestión

50 0 1 0

pHola de nueva cuenta. Continuamos revisando las medidas de refuerzo de seguridad para los switches de la serie S. Continuamos revisando las opciones que tenemos disponible para proteger el plano de control de nuestro switch. Pasemos a la información para conocer este interesante tema.

 

Defensa de ataque a través del servicio y aislamiento de gestión

 

Comportamiento de ataque

Como se muestra en la Figura 1, los dispositivos en el segmento de red 192.168.10.X están conectados a la interfaz de administración independiente Ethernet0/0/0 en el switch, y los dispositivos en el segmento de red 192.168.20.X están conectados a la interfaz de servicio GE1/0/0 en el switch. Pueden acceder al switch correctamente.

 

Si la interfaz de administración no está aislada, los dispositivos en 192.168.20.X pueden hacer ping a los dispositivos en 192.168.10.X. Como resultado, la dirección de la interfaz de red de administración se filtra y es vulnerable a los ataques.

 

Figura 1 Diagrama de red


servicio

Politica de seguridad

Para mejorar la seguridad de la red y evitar ataques lanzados por usuarios no autorizados, un switch separa la interfaz de administración y el plano de la interfaz de servicio de manera predeterminada.

 

● El comando enable-port isolate enable habilita la separación de la interfaz de administración para evitar que usuarios no autorizados ataquen el reenvío de paquetes. Después de ejecutar este comando, el switch prohíbe el intercambio de paquetes entre las interfaces de administración y servicio. Es decir, los paquetes recibidos por la interfaz de gestión no se enviarán a través de una interfaz de servicio, y los paquetes recibidos por una interfaz de servicio no se enviarán a través de la interfaz de gestión.


El comando management-plane isolate enable habilita la separación del plano de gestión para evitar que usuarios no autorizados ataquen la red de gestión a través de la red de servicio. Después de ejecutar el comando, el switch evita que usuarios no autorizados accedan a la interfaz de administración a través de una interfaz de servicio. Es decir, si la dirección de destino de un paquete recibido por una interfaz de servicio es la dirección de la interfaz de administración, el usuario no puede acceder al switch. El acceso desde la interfaz de administración a una interfaz de servicio no está restringido.


servicio1


Método de configuración

Habilitar la separación de la interfaz de gestión.

servicio2


Habilitar la separación del plano de gestión.

servicio3


Al adicionar esta medidas de seguridad protegemos a nuestro switch de sufrir algún ataque lo que provocaría que nuestra red de datos dejara de funcionar con las consecuencias que esa situación traería. Te invito a visitar la siguiente publicación que es la continuación en la explicación sobre este interesante tema.


Métodos de defensa de ataques externos para el plano de control en un switch

                   

Gracias por acompañarnos y no se desconecten del foro, nuevas publicaciones hablaran sobre este tema tan importante e interesante.

 

Saludos.

 

FIN                                   

Comunidad Huawei Enterprise
https://forum.huawei.com/enterprise/es/forums


#ComunidadEnterprise


#OneHuawei

  • x
  • convención:

Comentar

Responder
Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse

Aviso Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”
Si el botón para adjuntar no está disponible, actualice Adobe Flash Player con la versión más reciente
¡Ingresa y disfruta de todos los beneficios para los miembros!

¡Ingresa y disfruta de todos los beneficios para los miembros!

Aterrizaje