Vista holística de seguridad

Publicado 2019-1-25 12:47:07 28 0 0 0

Vista holística de seguridad

La red ha sido la herramienta más importante para la comunicación de la gente. La cuestión de la seguridad cibernética debe resolverse urgentemente con el amplio uso de la red. Jugando un papel importante en la red, los interruptores son propensos a los ataques de los hackers. El trabajo principal de un interruptor es la conmutación. Por lo tanto, las medidas de protección de la seguridad cibernética aplicadas a los switches no pueden comprometer el desvío de datos. Los datos no pueden ser interceptados o modificados durante la transmisión. La seguridad cibernética tiene las siguientes características:

Ø   Confidencialidad: Cuando un switch almacena, maneja y transmite datos, los datos no se filtrarán a usuarios, entidades o procedimientos no autorizados. Es decir, sólo los usuarios autorizados utilizan los datos.

Ø   Integridad: Los datos no se pueden modificar sin permiso. Es decir, la información de red no se eliminará, modificará, falsificará, no secuenciará o insertará de vez en cuando, ni se insertará durante el almacenamiento y la transmisión.

Ø   Disponibilidad: Las funciones dadas de un switch pueden ser ejecutadas en las condiciones especificadas y en el tiempo o tiempo especificado cuando se garantizan los recursos externos requeridos. Los servicios están continuamente disponibles para satisfacer la calidad de servicio a nivel de clase.

La implementación de seguridad de los switches de la serie S implica tres planos:

Figura 1-1Planos de despliegue de seguridad

024458ikhh2cpec7z2pajh.png?image.png

 

1.Plano de gestión

La clave es asegurar que los dispositivos puedan ser gestionados con permiso. Especifica qué usuario puede iniciar sesión en un switch y qué operaciones puede realizar el usuario.

Como se muestra en la Figura 1-1 la seguridad del plano de gestión se refleja en el inicio de sesión del administrador.

Inicio de sesión del Administrador: El switch utiliza el nombre de usuario, la contraseña y la ACL para restringir los derechos de inicio de sesión del usuario. El inicio de sesión de STelnet garantiza la conexión segura del administrador. El nivel de usuario es configurable para controlar los derechos de operación del usuario.

2.plano de control

El plano de control controla el reenvío basado en la CPU. La CPU es el comandante que controla las operaciones de los componentes. Por lo tanto, la CPU es el requisito previo del funcionamiento del dispositivo y del protocolo. Similar a un ordenador, si un interruptor ejecuta muchas aplicaciones, puede responder lentamente. Si se envían muchos paquetes de protocolo a la CPU, la CPU está ocupada y se degrada el rendimiento, causando una interrupción del servicio. Como componente central de un switch, la CPU es el objetivo de ataque de los usuarios no autorizados.

Los ataques de red pueden causar un alto uso de la CPU, pero un alto uso de la CPU no puede ser causado por ataques de red. Puede deberse a fallas de hardware, aleteo de red o bucle de red. Este artículo describe sólo el alto uso de CPU causado por ataques de red. Para otras causas, consulte S Series Campus Switch Maintenance Guide

Para garantizar el funcionamiento normal de la CPU, el switch utiliza el valor CPCAR predeterminado para limitar la velocidad de los paquetes de protocolos enviados a la CPU.

Figura 1-2Defensa de CPU

024517zxawb1te5rw62xex.png?image.png

 

Si el uso de la CPU sigue siendo alto después de que se realiza la limitación de CPCAR, realice los siguientes pasos:

Ø  Ajuste el valor CPCAR: Disminuya el valor CPCAR para reducir el número de paquetes de protocolos enviados a la CPU.

Ø  Rastreo de fuentes de ataque: Analizar los paquetes enviados a la CPU, configurar el umbral y tomar medidas de castigo en los paquetes que superen el umbral, por ejemplo, colocar paquetes, cerrar la interfaz y configurar la lista negra.

3.Forwarding plane

El plano de reenvío busca entradas de reenvío para instruir el reenvío de datos, por lo que hay dos tipos de ataques contra el plano de reenvío:

       Agotar entradas de reenvío, lo que hace que no se aprendan las entradas de los usuarios autorizados y se retransmita su tráfico.

       Manipular las entradas de reenvío, haciendo que el tráfico de usuarios autorizados se reenvíe a un destino incorrecto.

¿Cómo se defiende un interruptor contra estos ataques? A continuación se describe el método de defensa contra ataques de red de capa 2 y capa 3.

Ø  Red de capa 2

El núcleo de la tabla de reenvío de capa 2 es la tabla de direcciones MAC. El tráfico de datos de reenvío debe buscar la tabla de direcciones MAC. Por lo tanto, la tabla de direcciones MAC es propensa a ataques. Los usuarios no autorizados envían un gran número de paquetes para consumir entradas de direcciones MAC. Cuando no se encuentra ninguna entrada MAC para un paquete, el paquete se emite. Esto consume ancho de banda y puede causar tormenta de transmisión. El switch protege la tabla de direcciones MAC utilizando métodos como el control de aprendizaje de direcciones MAC, el snooping de DHCP y la supresión de tormentas.

Ø  Red 3 de capa

El reenvío de datos de capa 3 depende de la tabla ARP y la tabla de enrutamiento. Las entradas en la tabla de enrutamiento se generan mediante negociación de protocolos, por lo que son difíciles de atacar. Las entradas ARP son generadas por el intercambio de paquetes de protocolos. Los atacantes pueden enviar un gran número de paquetes de protocolos o paquetes de protocolo falsificados para atacar la tabla ARP. Por lo tanto, la tabla ARP debe estar adecuadamente protegida en el reenvío de capa 3. El switch soporta las medidas tales como seguridad ARP, DAI/EAI e IPSG to evitar tales ataques.

Las siguientes secciones describen las características de seguridad de los planos de gestión, control y reenvío.

Cuestiones   de seguridad -Issue 1 hyperlink   "http://forum.huawei.com/enterprise/thread-394261.html" security   holistic view

Cuestiones   de seguridad -emise2 hiperenlace "http:" / /   forum.huawei.com/enterprise/forum.php "Mod = viewthread&tid = 394267"   Security plane security "

Cuestiones de seguridad -emise3 hiperenlace   "http://forum.huawei.com/enterprise/forum.php Mod = visor&tid =   394265" seguridad del plano de control

Cuestiones   de seguridad -Issue 4 hyperlink "http:" / /   forum.huawei.com/enterprise/forum.php "? Mod = viewthread&tid =   394269" forwarding security plane security layer 2 security

Cuestiones   de seguridad -Issue 5 hyperlink "http:" / /   forum.huawei.com/enterprise/forum.php "? Mod = viewthread&tid =   394271" forwarding plane security security layer 3 security

 


  • x
  • convención:

Responder

Responder
Debe iniciar sesión para responder la publicación Inicio de sesi | Registrarse

Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”
Si el botón para adjuntar no está disponible, actualice Adobe Flash Player con la versión más reciente

¡Ingresa y disfruta de todos los beneficios para los miembros!

Aterrizaje
Respuesta rápida Desplácese hasta arriba