Reenvío de plan de seguridad - Capa 3 de seguridad

Publicado 2019-1-24 16:33:29 38 0 0 0

En las redes de Capa 2, los swtiches de la serie S toman medidas como la protección de la tabla de direcciones MAC y la supresión de tormentas de difusión. En las redes de Capa 3, el reenvío de datos está indicado mediante la tabla de enrutamiento y la tabla ARP.

       Las entradas de enrutamiento se generan intercambiando los paquetes de protocolo de enrutamiento entre los conmutadores. Los usuarios no intervienen en la generación de entradas de enrutamiento, por lo que es difícil atacar la tabla de enrutamiento.

     Las entradas ARP se generan al intercambiar paquetes de protocolo entre hosts de usuario y switches. Por lo tanto, la tabla ARP es propensa a los ataques.


La seguridad de la tabla ARP es la clave de la protección de seguridad de red de Capa 3. Otro método de ataque de red de Capa 3 es que los usuarios no autorizados falsifican direcciones IP para atacar la red. Este artículo describe cómo garantizar la seguridad de la red de Capa 3 protegiendo la seguridad de la tabla ARP y evitando la falsificación de direcciones IP.

1.1 Cómo proteger la seguridad de la tabla ARP

Las entradas de ARP se clasifican en entradas ARP dinámicas y estáticas. Las entradas de ARP estáticas se configuran manualmente, por lo que no tienen ningún riesgo de seguridad. Las entradas dinámicas de ARP se generan a través del aprendizaje dinámico de ARP. El proceso de aprendizaje ARP puede ser atacado. Los siguientes son los posibles ataques dirigidos a diferentes etapas en los métodos de aprendizaje y defensa de ARP.


Tabla 1-1 análisis de aprendizaje ARP

Etapa de aprendizaje ARP

Posible ataque

Método de defensa

1.      Una interfaz en el switch recibe un paquete   ARP y envía el paquete a la CPU .

Envíe una gran   cantidad de paquetes ARP al conmutador. Como resultado, el switch no puede enviar   los paquetes ARP de usuarios autorizados a la CPU.

Asegúrese de que los   paquetes ARP de usuarios autorizados puedan enviarse a la CPU.

2.      El switch comprueba si la entrada ARP que   coincide con la dirección IP de origen del paquete ARP existe en la tabla   ARP. Si   existe la entrada coincidente, el switch actualiza la entrada ARP. De lo contrario, el   switch  agrega una nueva entrada a la   tabla ARP.

Envía un paquete ARP   falso para manipular la entrada ARP correcta.

Asegurar la   corrección de las entradas ARP.

      El switch comprueba   si el recurso de tabla ARP es suficiente. Si el recurso es   suficiente, el conmutador agrega la nueva entrada ARP. De lo contrario, el   switch no agrega la entrada ARP.

Envíe una gran   cantidad de paquetes con direcciones IP o MAC de origen variable para   consumir el recurso ARP.

Asegúrese de que las   entradas ARP de los usuarios autorizados puedan generarse con éxito.

 


Las siguientes secciones describen cómo los switches de la serie S se defienden contra los ataques ARP.

1.1.1 Asegúrese de que los paquetes ARP de los usuarios autorizados puedan enviarse a la CPU

Para proteger la CPU, el switch utiliza CPCAR para limitar el número de cada tipo de paquetes de protocolo enviados a la CPU. Los paquetes que exceden el CPCAR se eliminan. Si un usuario no autorizado envía una gran cantidad de paquetes ARP, los paquetes ARP de usuarios autorizados no pueden enviarse a la CPU, por lo que las entradas ARP no pueden generarse para los usuarios autorizados. Los switches de la serie S proporcionan los siguientes métodos para solucionar este problema.

        Limitar la tasa de paquetes ARP

Los switches de la serie S admiten la limitación de velocidad ARP en diferentes dimensiones.


Tabla 1-2 Limitación de velocidad en paquetes ARP

Dimensión

Implementación

Basado en la dirección MAC de origen

El switch recopila estadísticas sobre los   paquetes ARP destinados a la CPU en función de la dirección MAC de origen . Si la tasa de   paquetes ARP de una dirección MAC por segundo supera el umbral, el switch elimina los paquetes   ARP excesivos .

El switch puede limitar la velocidad de   paquetes para cualquier dirección MAC de origen o una dirección MAC de origen   específica.

Basado en la dirección IP de origen

El switch recopila estadísticas sobre los   paquetes ARP destinados a la CPU en función de la dirección IP de origen . Si la tasa de   paquetes ARP de una dirección IP por segundo supera el umbral, el switch descarta los paquetes   ARP excesivos.

El switch puede limitar la velocidad de   paquetes para cualquier dirección IP de origen o una dirección IP de origen   específica.

Basado en VLAN o interfaz, o global

Limite el número de paquetes ARP desde una VLAN   o una interfaz, o paquetes ARP globales.

Si el número de paquetes ARP recibidos por   segundo supera el límite, el conmutador elimina los paquetes ARP excesivos.

 


La configuración es la siguiente:

 Limite la tasa de paquetes ARP en función de la dirección MAC de origen.
[HUAWEI] arp speed-limit source-mac maximum 10   //Set the maximum number of ARP packets that can pass from any MAC address to 10.

Limite la tasa de paquetes ARP en función de la dirección IP de origen.
[HUAWEI] arp speed-limit source-ip maximum 10   //Set the maximum number of ARP packets that can pass from any IP address to 10.


Limite la tasa de paquetes ARP globalmente. 
[HUAWEI] arp anti-attack rate-limit enable   //Enable ARP rate limiting.

[HUAWEI] arp anti-attack rate-limit packet 200 interval 10   //Set the maximum number of ARP packets that can be sent to the CPU within 10s to 200. The excessive packets are dropped.

Limite la tasa de paquetes ARP en función de la VLAN.
[HUAWEI-vlan3] arp anti-attack rate-limit enable  //Enable ARP rate limiting.

[HUAWEI-vlan3] arp anti-attack rate-limit packet 200 interval 10   //Set the maximum number of ARP packets that can be sent from VLAN 3 to the CPU within 10s to 200. The excessive packets are dropped.

 Limite la tasa de paquetes ARP en función de la interfaz.
[HUAWEI-GigabitEthernet0/0/1] arp anti-attack rate-limit enable   //Enable ARP rate limiting.

[HUAWEI-GigabitEthernet0/0/1] arp anti-attack rate-limit packet 200 interval 10   //Set the maximum number of ARP packets that can be sent from GE0/0/1 to the CPU within 10s to 200. The excessive packets are dropped.


       Limite la tasa de mensajes de Miss ARP

¿Por qué es importante limitar ARP Miss? Vamos a ver cómo se generan los mensajes de ARP.

       Un host de usuario envía una gran cantidad de paquetes IP con direcciones IP de destino que no se pueden resolver (la tabla de enrutamiento contiene las entradas de enrutamiento que coinciden con las direcciones IP de destino de los paquetes, pero el dispositivo no tiene las entradas ARP que coincidan con las direcciones del siguiente salto de las entradas de enrutamiento) para el dispositivo, el dispositivo genera una gran cantidad de paquetes de ARP Miss. Los paquetes IP que activan los mensajes ARP Miss se envían a la CPU para su procesamiento. El dispositivo genera y entrega muchas entradas ARP temporales de acuerdo con los mensajes de Miss ARP, y envía una gran cantidad de paquetes de solicitud ARP a la red de destino. Esto aumenta el uso de la CPU del dispositivo.

    Limitar la tasa de mensajes ARP Miss puede reducir la carga de la CPU. Los paquetes ARP de usuarios autorizados pueden enviarse a la CPU para su procesamiento.

        Configurar la limitación de la tasa de Miss ARP:

·      Configure el límite de la tasa de pérdida ARP en función de la dirección IP de origen.

[HUAWEI] arp-miss speed-limit source-ip maximum 60   //Set the maximum number of ARP Miss messages that can be processed by the switch from a source IP address to 60.

Configure el límite de velocidad global para los mensajes de ARP Miss. O configure la limitación de velocidad según la VLAN o la interfaz.

[HUAWEI] arp-miss anti-attack rate-limit enable   //Enable ARP Miss rate limiting.

 [HUAWEI] arp-miss anti-attack rate-limit packet 200 interval 10  //Set the maximum number of ARP Miss messages sent to the CPU within 10s to 200. The excessive packets are dropped.

        Configurar la inspección de egreso ARP (EAI)

Después de recibir un paquete de solicitud ARP, el dispositivo difunde el paquete en el dominio de difusión.

EAI tiene como objetivo reducir el número de paquetes de difusión en una VLAN, para aliviar la carga de trabajo de la CPU. El EAI busca la interfaz de salida que coincida con la dirección IP de destino de un paquete de solicitud de ARP en la tabla de indagación DHCP, y envía el paquete de solicitud de ARP a través de la interfaz de salida. Esto reduce la cantidad de paquetes ARP que se emiten en la VLAN y alivia la carga de trabajo de la CPU.

  La EAI reduce la cantidad de paquetes ARP procesados por la puerta de enlace. En la Figura 1-1 , después de habilitar EAI en un switch de Capa 2, el switch de Capa 2 busca en la tabla de enlace de indagación DHCP antes de transmitir el paquete de solicitud ARP. Si se encuentra la interfaz saliente que coincide con la dirección IP de destino de un paquete ARP, el paquete de solicitud ARP se reenvía a través de la interfaz saliente. Esto reduce el número de paquetes de solicitud ARP recibidos por la puerta de enlace.

Figura 1-1 aplicación de EAI



063213uuowkay9w2wckoyt.png?image.png


Configure EAI de la siguiente manera:

[L2switch] dhcp enable   //Enable DHCP globally.

[L2switch] dhcp snooping enable   //Enable DHCP Snooping globally.

[L2switch] vlan 10 

[L2switch-vlan10] dhcp snooping enable 

[L2switch-vlan10] dhcp snooping arp security enable  //Enable EAI.



1.1.2 Asegurar la corrección de las entradas ARP

Después de que se envía un paquete ARP a la CPU, el switch busca la entrada ARP que coincida con la dirección IP de origen en la tabla ARP. Si se encuentra una entrada ARP coincidente, el switch actualiza la entrada ARP. El atacante puede enviar un paquete falso ARP para manipular la entrada ARP. Entonces los paquetes de usuarios autorizados no pueden ser reenviados correctamente. Los switches  de la serie S proporcionan diferentes métodos de defensa para diferentes tipos de ataques.

Defender contra ataques de puerta de enlace falsos

El atacante envía un paquete ARP con la dirección IP de origen como la dirección de la puerta de enlace dentro de la subred local.Luego, las asignaciones de direcciones de la puerta de enlace en otros hosts de usuarios se alteran. Los otros hosts del usuario envían el tráfico destinado a la puerta de enlace al atacante, y no pueden acceder a la red. Además, el atacante puede recibir los datos enviados desde los hosts del usuario, lo que provoca la divulgación de información.

Como se muestra en la Figura 1-2 , el atacante se presenta como la puerta de enlace para notificar al usuario A que la dirección MAC se cambia a 5-5-5. El usuario A luego envía los datos destinados a la puerta de enlace (1-1-1) a la dirección de la puerta de enlace incorrecta 5-5-5, causando una interrupción de la comunicación. La dirección MAC 5-5-5 pertenece al atacante. Así que el atacante obtiene los datos del usuario A, lo que provoca la divulgación de información.



Figura 1-2
Ataque de puerta falsa


063226iiiglpa3kapfiuuk.png?image.png

Los switches de la serie S proporcionan los siguientes métodos para evitar ataques de puerta de enlace falsos.

Tabla 1-3 Defensa contra ataques de puerta de enlace falsos

Método de defensa

Descripción

Paquetes   ARP gratuitos

La   puerta de enlace envía periódicamente paquetes ARP gratuitos y actualiza las   entradas de ARP de los usuarios autorizados, de modo que la asignación de   direcciones de la puerta de enlace correcta se registre en las entradas de   ARP de los usuarios autorizados.

Puerta   de enlace ARP anticolisión

Cuando   un dispositivo recibe un paquete ARP cuya dirección IP de origen en el paquete ARP es la misma que   la dirección IP de la interfaz VLANIF que coincide con la interfaz de entrada , o la   dirección IP de origen es la dirección virtual de la interfaz de entrada,   pero la dirección MAC de origen es no la dirección MAC virtual de VRRP , el dispositivo considera que el paquete ARP entra en   conflicto con la dirección de la puerta de enlace. Luego,   el dispositivo genera una entrada de defensa de ataque ARP y descarta los   paquetes ARP de la misma VLAN y la misma dirección MAC de origen recibida por   esta interfaz dentro de un período de tiempo.

Protección   de puerta de enlace ARP

Las   interfaces con la protección de puerta de enlace habilitada pueden recibir y   reenviar los paquetes ARP desde la dirección IP de origen especificada. Las   interfaces sin la protección de puerta de enlace habilitada eliminan los   paquetes ARP de la dirección IP de origen especificada.

 



La configuración es la siguiente:

 Configure la puerta de enlace para enviar periódicamente paquetes ARP gratuitos.

[Gateway] arp gratuitous-arp send enable   //Enable the sending of gratuitous ARP packets. The default sending interval is 30s.

   Configurar la puerta de enlace ARP anticolisión.
[L2switch] interface gigabitethernet 0/0/1 

   [L2switch-GigabitEthernet0/0/1] arp filter source 10.1.1.1   //The protected gateway address is 10.1.1.1.



      Defenderse contra ataques de usuarios falsos

Como se muestra en la Figura 1-3 , el atacante forja un paquete ARP como usuario autorizado para manipular la entrada ARP del usuario A en la puerta de enlace. Cuando el usuario B reenvía datos al usuario A a través de la puerta de enlace, se encuentra una entrada de ARP incorrecta y el usuario A no puede recibir datos del usuario B.



Figura 1-3
Ataque de usuario falso

063241blusllblep88f222.png?image.png

Los switches de la serie S proporcionan los siguientes métodos para evitar ataques de usuarios falsos.

Tabla 1-4 Defensa contra ataque de usuario falso

Método   de defensa

Descripción

ARP fijo

El ARP   fijo se puede implementar en los siguientes modos:

fixed-mac   : cuando recibe un paquete ARP, el switch lo descarta si la dirección MAC no   coincide con la dirección MAC en la entrada correspondiente de ARP.

Arreglado   todo : cuando se recibe un paquete ARP, el conmutador lo descarta si la   dirección MAC, el número de interfaz o el ID de VLAN no coinciden con una   entrada en la tabla ARP.

send-ack   : después de que un dispositivo recibe un paquete ARP relacionado con la   dirección MAC, la VLAN o la modificación de la información de la interfaz,   envía un paquete de solicitud ARP. Si no se recibe respuesta, el dispositivo   deja caer el paquete.

DAI

El   dispositivo verifica la dirección IP, la dirección MAC, la VLAN o la   información de la interfaz en el paquete ARP contra las entradas de   indagación de DHCP. Si no se encuentra una entrada coincidente, el   dispositivo descarta el paquete.

 

La configuración es la siguiente:

     Configurar ARP fijo a nivel mundial o basado en la interfaz.

[Gateway] arp anti-attack entry-check fixed-mac enable   //Set the fixed ARP mode to fixed-mac.

     Configurar DAI basado en interfaz y VLAN.
[Gateway] vlan 10 

[Gateway-vlan10] arp anti-attack check user-bind enable

1.1.3 Asegúrese de que las entradas de ARP de los usuarios autorizados puedan generarse con éxito

Un dispositivo tiene un recurso de entrada ARP limitado. Si el atacante inicia un ataque de inundación de ARP para agotar el recurso de entrada de ARP, las entradas de ARP de los usuarios autorizados no se pueden generar, lo que provoca una falla en el reenvío de paquetes.

Los switches de la serie S proporcionan los siguientes métodos para evitar el agotamiento de los recursos de entrada ARP.

Tabla 1-5 Defensa contra el agotamiento del recurso de entrada ARP

Método   de defensa

Descripción

Limite   el número de entradas ARP que pueden aprenderse

Cuando   un atacante conectado a una interfaz ocupa un recurso de entrada de ARP   excesivo, limite la cantidad de entradas de ARP que puede obtener la interfaz   para evitar el agotamiento de los recursos de ARP. Cuando el número de   entradas de ARP aprendidas por la interfaz alcanza el límite, la interfaz no   puede aprender nuevas entradas de ARP.

Aprendizaje   estricto de ARP

El   dispositi****prende solo los paquetes de Respuesta ARP en respuesta a los   paquetes de Solicitud ARP enviados por sí mismo.

 

La configuración es la siguiente:

     Configurar el límite de aprendizaje ARP.
[HUAWEI] interfaz gigabitethernet 0/0/1

[HUAWEI-GigabitEthernet0 / 0/1] arp-limit vlan 10 maximum 20 // Configure GE0 / 0/1 para aprender un máximo de 20 entradas ARP dinámicas en la VLAN 10.

      Configurar el aprendizaje ARP estricto.
[HUAWEI] arp learning strict // Configurar el aprendizaje ARP estricto.

1.2 Cómo prevenir el ataque de suplantación de direcciones IP

La suplantación de la dirección IP significa que el atacante inicia un ataque utilizando la dirección IP de un usuario autorizado.

Las siguientes secciones describen dos métodos de defensa contra la falsificación de direcciones IP: IPSG y URPF.

1.2.1 IPSG

IP Source Guard (IPSG) usa una tabla de enlace para evitar la falsificación de direcciones IP. Cuando el paquete IP enviado por un usuario no coincide con una entrada en la tabla de enlace, el paquete se considera un paquete de ataque y se descarta.

El ARP estático puede evitar una dirección IP falsa, ¿por qué necesitamos IPSG?

Tanto el IPSG de la tabla de enlace estático como el ARP estático pueden implementar la dirección IP y el enlace de la dirección MAC. Tienen las siguientes diferencias.

Tabla 1-6 Diferencias entre IPSG y ARP estático

Característica

Descripción

Escenario   de uso

IPSG

Construye   una tabla de enlace estático para enlazar direcciones IP a direcciones MAC.   El dispositivo verifica los paquetes recibidos por las interfaces y reenvía   los paquetes que coinciden con las entradas de enlace.

Configurado   en el dispositivo de acceso conectado directamente a los hosts de los   usuarios para evitar ataques de suplantación de direcciones IP desde la   intranet. Por ejemplo, un host malicioso roba la dirección IP de un host   autorizado para acceder a la red.

ARP   estático

Crea una   tabla ARP estática para enlazar direcciones IP a direcciones MAC. Una tabla   ARP estática no se actualiza dinámicamente. El dispositivo procesa los   paquetes recibidos de acuerdo con la tabla ARP estática.

Configurado   en la pasarela. La tabla de ARP estática almacena las entradas de ARP de los   servidores clave para evitar los ataques de suplantación de ARP y garantizar   la comunicación normal entre los hosts y los servidores.

 

 

Figura 1-4 Escenario de uso de IPSG y ARP estático

063303vr9nw4bisb2hh6tb.png?image.png

En la Figura 1-4 , IPSG no está configurado en el switch. Cuando un host malicioso roba la dirección IP de un host autorizado para acceder a Internet, el proceso de reenvío de paquetes es el siguiente:

1.          El paquete enviado por el host malicioso llega al conmutador.

2.          El conmutador reenvía el paquete a la puerta de enlace.

3.          El gateway reenvía el paquete a internet.

4.          El paquete de retorno de Internet llega a la puerta de enlace.

5.          La puerta de enlace busca la entrada ARP estática de acuerdo con la dirección IP de destino (la dirección IP del host autorizado), y considera la dirección MAC correspondiente a esta dirección IP como la dirección MAC del host autorizado. La puerta de enlace encapsula el paquete y lo reenvía al conmutador.

6.          El switch reenvía el paquete al host autorizado de acuerdo con la dirección MAC de destino.

 

Los detalles sobre este proceso son los siguientes:

Si el host malicioso roba la dirección IP de un host autorizado, el ARP estático puede evitar que el host malicioso acceda a la red cambiando la dirección IP; sin embargo, el host autorizado recibirá una gran cantidad de paquetes de respuesta no válidos. Si el host malicioso sigue enviando dichos paquetes, el host en línea será atacado.

Si el host malicioso utiliza una dirección IP inactiva que no se ha agregado a la tabla ARP estática, el ataque puede iniciarse con éxito y el host malicioso puede recibir los paquetes devueltos. Si desea usar el ARP estático para evitar el robo de direcciones IP, debe agregar todas las direcciones IP en la red, incluidas las direcciones IP inactivas a la tabla ARP estática. Este es un proceso que consume mucho tiempo.

Para evitar ataques de suplantación de direcciones IP en una intranet, configure IPSG en el conmutador.

Como se describió anteriormente, sabemos que IPSG se utiliza en la red de Capa 2. Entonces, ¿por qué describimos IPSG en la red de Capa 3? Esto se debe a que IPSG es un método para evitar la falsificación de direcciones IP, y la dirección IP se utiliza en el reenvío de Capa 3.

Las tablas de enlace de IPSG incluyen tablas de enlace estáticas y dinámicas. Las configuraciones son las siguientes:

     Tabla de enlace estático: vincular direcciones IP, direcciones MAC, VLAN e interfaces manualmente.

[Gateway] user-bind static ip-address 10.1.1.1 mac-address 1E-1E-1E interface gigabitethernet 0/0/1 vlan 10  //Create a static binding entry.

[Gateway] vlan 10

[Gateway-vlan10] ip source check user-bind enable   //Enable IPSG in VLAN 10. After the binding table is created, IPSG does not take effect. It takes effect only after it is enabled on an interface or in a VLAN.

     Tabla de enlace dinámico: configurar el snooping DHCP. Cuando un host de usuario obtiene una dirección IP a través de DHCP, los enlaces de direcciones IP, direcciones MAC, VLAN e interfaces se generan automáticamente.

[Gateway] dhcp enable

[Gateway] dhcp snooping enable  //Enable DHCP Snooping.

[Gateway] vlan 10

[Gateway-vlan10] dhcp snooping enable 

[Gateway-vlan10] dhcp snooping trusted interface gigabitethernet 0/0/3  //Configure a trusted interface.

[Gateway-vlan10] ip source check user-bind enable  //Enable IPSG in VLAN 10.

1.2.2 URPF

 

Unicast Reverse Path Forwarding (URPF) es un método que evita los ataques de suplantación de direcciones IP.


URPF busca la interfaz de salida que coincida con la dirección IP de origen de un paquete en la tabla de enrutamiento o la tabla de ARP, y verifica si la interfaz de salida coincide con la fuente del paquete. Si no se encuentra una entrada coincidente, el paquete se descarta. Esto evita el ataque de suplantación de direcciones IP.

URPF tiene dos modos de trabajo.

Tabla 1-7 modos de trabajo URPF

Modo

Descripción

Escenario   de uso

Estricto

Un   paquete pasa la verificación de URPF solo cuando la dirección de origen tiene   una entrada coincidente en la tabla de enrutamiento o ARP y la interfaz de   salida coincide con la fuente del paquete.

Se   recomienda el modo estricto para el entorno de ruta simétrica . Por ejemplo,   cuando solo hay una ruta entre dos dispositivos de límite de red, el modo   estricto puede proteger la seguridad de la red en la mayor medida posible .

Suelto

Un   paquete puede pasar la verificación URPF solo cuando existe una ruta que   coincida con la dirección de origen del paquete en la tabla de enrutamiento.

Se   recomienda el modo suelto para el entorno de ruta asimétrica. Por ejemplo, si   hay varias rutas entre dos dispositivos de límite de red, el modo suelto   puede garantizar una seguridad relativamente alta.

 



Figura 1-5
URPF

063320tputtpu4aqzpvpwq.png?image.png
En la Figura 1-5 , se envía un paquete falso con la dirección IP de origen 10.1.1.2 al switch A. Después de recibir el paquete falso, el conmutador A envía un paquete de respuesta al "propietario" real (conmutador B) de 10.1.1.2. Tanto el switch A como el switch B son atacados por el paquete falso.

Cuando el switch A, donde está activada la comprobación estricta de URPF, recibe un paquete con la dirección de origen 10.2.1.1, URPF detecta que la interfaz de salida que se encuentra en la tabla de enrutamiento o ARP no coincide con la interfaz de origen del paquete y descarta el paquete.



Configure URPF de la siguiente manera:

[SwitchA] urpf slot 1  //Enable URPF in slot 1.

[SwitchA] interface gigabitethernet 1/0/1

[SwitchA-GigabitEthernet1/0/1] urpf strict //Enable URPF strict check on GE1/0/1.

2 Conclusión

Las series de sesiones de seguridad están terminadas. Abarcan la vista holística de seguridad, la seguridad del plano de gestión, la seguridad del plano de control, la seguridad de la red de nivel 2 de reenvío y la seguridad de la red de nivel 3 de reenvío. Las características de seguridad son independientes entre sí. Además de usar y configurar estas funciones, tratamos de vincular estas características en función de sus características y mecanismos comunes, para ayudarlo a comprender mejor estas características. Su opinión es apreciada.

Problemas de seguridad - Número 1 Vista holística   de seguridad

Problemas de seguridad - Número 2 Seguridad del   plano de gestión

Problemas de seguridad - Problema 3 Control Plane   Security

Problemas de seguridad - Número 4 Seguridad del   plano de reenvío - Seguridad de capa 2

Problemas de seguridad - Número 5 Seguridad del   plano de reenvío - Seguridad de nivel 3

 


  • x
  • convención:

Responder

Responder
Debe iniciar sesión para responder la publicación Inicio de sesi | Registrarse

Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”
Si el botón para adjuntar no está disponible, actualice Adobe Flash Player con la versión más reciente

¡Ingresa y disfruta de todos los beneficios para los miembros!

Aterrizaje
Respuesta rápida Desplácese hasta arriba