Sécurité du plan de transfert - Sécurité de couche 3

43 0 1 0

Sécurité du plan de transfert - Sécurité de couche 3

Sur les réseaux de couche 2, les commutateurs de la série S prennent les mesures telles que la protection de la table d’adresses MAC et la suppression des tempêtes de diffusion. Sur les réseaux de couche 3, la transmission des données est expliquée par la table de routage et la table ARP.

l    Les entrées de routage sont générées en échangeant les paquets de protocole de routage entre les commutateurs. Les utilisateurs n'intervenant pas dans la génération des entrées de routage, il est donc difficile d'attaquer la table de routage.

l    Les entrées ARP sont générées en échangeant des paquets de protocole entre des hôtes et des commutateurs. Par conséquent, la table ARP est sujette aux attaques.

La sécurité des tables ARP est la clé de la protection de sécurité réseau de couche 3. Une autre méthode d’attaque réseau de couche 3 consiste à ce que des utilisateurs non autorisés forgent des adresses IP pour attaquer le réseau. Cet article explique comment assurer la sécurité du réseau de couche 3 en protégeant la sécurité des tables ARP et en empêchant l'usurpation d'adresse IP.

1.1 Comment protéger la sécurité des tables ARP

Les entrées ARP sont classées en entrées ARP dynamiques et statiques. Les entrées ARP statiques sont configurées manuellement, de sorte qu'elles ne présentent aucun risque pour la sécurité. Les entrées ARP dynamiques sont générées via un apprentissage ARP dynamique. Le processus d'apprentissage ARP peut être attaqué. Vous trouverez ci-dessous les attaques possibles ciblant différentes étapes des méthodes d’apprentissage et de défense ARP.

Tableau 1-1 Analyse de l'apprentissage ARP

Stage d'apprentissage ARP

Attaque possible

Méthode de défense

1.      Une interface du commutateur reçoit un paquet ARP et l' envoie à la CPU .

Envoyez un grand nombre de paquets ARP au commutateur.Par conséquent, le commutateur ne peut pas envoyer les paquets ARP des utilisateurs autorisés à la CPU.

Assurez-vous que les paquets ARP des utilisateurs autorisés peuvent être envoyés à la CPU.

2      Le commutateur vérifie si l'entrée ARP correspondant à l'adresse IP source du paquet ARP existe dans la table ARP.Si l'entrée correspondante existe, le commutateur met à jour l'entrée ARP. Sinon, le commutateur ajoute une nouvelle entrée à la table ARP.

Envoyez un faux paquet ARP pour altérer la bonne entrée ARP.

Assurez-vous de l'exactitude des entrées ARP.

3      Le commutateur vérifie si la ressource de table ARP est suffisante. Si la ressource est suffisante, le commutateur ajoute la nouvelle entrée ARP.Sinon, le commutateur n'ajoute pas l'entrée ARP.

Envoyez un grand nombre de paquets avec des adresses IP ou MAC source variables pour consommer des ressources ARP.

Assurez-vous que les entrées ARP des utilisateurs autorisés peuvent être générées avec succès.

 

Les sections suivantes décrivent comment les commutateurs de la série S se défendent contre les attaques ARP.

1.1.1 S'assurer que les paquets ARP d'utilisateurs autorisés peuvent être envoyés à la CPU

Pour protéger la CPU, le commutateur utilise CPCAR pour limiter le nombre de chaque type de paquets de protocole envoyés à la CPU. Les paquets dépassant le CPCAR sont abandonnés. Si un utilisateur non autorisé envoie un grand nombre de paquets ARP, les paquets ARP des utilisateurs autorisés ne peuvent pas être envoyés à la CPU. Par conséquent, les entrées ARP ne peuvent pas être générées pour les utilisateurs autorisés. Les commutateurs de la série S fournissent les méthodes suivantes pour résoudre ce problème.

Ø   Limiter le taux de paquets ARP

Les commutateurs de la série S prennent en charge la limitation de débit ARP dans différentes dimensions.

Tableau 1-2 Limitation de débit sur les paquets ARP

Dimension

la mise en oeuvre

Basé sur l'adresse MAC source

Le commutateur collecte des statistiques sur les paquets ARP destinés à la CPU en fonction de l'adresse MAC source . Si le débit de paquets ARP d'une adresse MAC par seconde dépasse le seuil, le commutateur supprime les paquets ARP en excès .

Le commutateur peut limiter le débit de paquets pour n’importe quelle adresse MAC source ou une adresse MAC source spécifique.

Basé sur l'adresse IP source

Le commutateur collecte des statistiques sur les paquets ARP destinés à la CPU en fonction de l'adresse IP source . Si le débit de paquets ARP d'une adresse IP par seconde dépasse le seuil, le commutateur supprime les paquets ARP en excès.

Le commutateur peut limiter le débit de paquets pour n’importe quelle adresse IP source ou une adresse IP source spécifique.

Basé sur un VLAN ou une interface, ou global

Limitez le nombre de paquets ARP provenant d'un VLAN ou d'une interface, ou les paquets ARP globaux.

Si le nombre de paquets ARP reçus par seconde dépasse la limite, le commutateur supprime les paquets ARP en excès.

 

La configuration est la suivante:

·          Limitez le débit de paquets ARP en fonction de l'adresse MAC source.

[HUAWEIarp speed-limit source-mac maximum 10   //Set the maximum number of ARP packets that can pass from any MAC address to 10.

·          Limitez le débit de paquets ARP en fonction de l'adresse IP source.

[HUAWEIarp speed-limit source-ip maximum 10   //Set the maximum number of ARP packets that can pass from any IP address to 10.

·          Limitez le débit de paquets ARP globalement.

[HUAWEIarp anti-attack rate-limit enable   //Enable ARP rate limiting.

[HUAWEIarp anti-attack rate-limit packet 200 interval 10   //Set the maximum number of ARP packets that can be sent to the CPU within 10s to 200. The excessive packets are dropped.

·          Limitez le débit de paquets ARP en fonction du VLAN.

[HUAWEI-vlan3arp anti-attack rate-limit enable  //Enable ARP rate limiting.

[HUAWEI-vlan3arp anti-attack rate-limit packet 200 interval 10   //Set the maximum number of ARP packets that can be sent from VLAN 3 to the CPU within 10s to 200. The excessive packets are dropped.

·          Limitez le débit de paquets ARP en fonction de l'interface.

[HUAWEI-GigabitEthernet0/0/1arp anti-attack rate-limit enable   //Enable ARP rate limiting.

[HUAWEI-GigabitEthernet0/0/1arp anti-attack rate-limit packet 200 interval 10   //Set the maximum number of ARP packets that can be sent from GE0/0/1 to the CPU within 10s to 200. The excessive packets are dropped.

Ø   Limiter le nombre de messages ARP Miss

Pourquoi la limitation du taux d'ARP en absence est-elle importante? Voyons comment les messages ARP Miss sont générés.

Un hôte utilisateur envoie un grand nombre de paquets IP avec des adresses IP de destination non résolues (la table de routage contient les entrées de routage correspondant aux adresses IP de destination des paquets, mais le périphérique ne dispose pas des entrées ARP correspondant aux adresses de saut suivantes des entrées de routage). sur le périphérique, celui-ci génère un grand nombre de paquets ARP Miss. Les paquets IP déclenchant des messages ARP Miss sont envoyés à la CPU pour traitement. Le périphérique génère et délivre de nombreuses entrées ARP temporaires en fonction des messages ARP Miss et envoie un grand nombre de paquets de requêtes ARP au réseau de destination. Cela augmente l'utilisation du processeur de l'appareil.

Limiter le nombre de messages ARP Miss peut réduire la charge du processeur. Les paquets ARP des utilisateurs autorisés peuvent être envoyés à la CPU pour traitement.

Configurer la limitation du taux de miss ARP:

·          Configurez la limitation du taux de miss ARP en fonction de l'adresse IP source.

[HUAWEIarp-miss speed-limit source-ip maximum 60   //Set the maximum number of ARP Miss messages that can be processed by the switch from a source IP address to 60.

·          Configurez la limitation du débit global pour les messages ARP Miss. Ou configurez la limitation de débit en fonction du VLAN ou de l'interface.

[HUAWEI] arp-miss anti-attack rate-limit enable   //Enable ARP Miss rate limiting.

[HUAWEIarp-miss anti-attack rate-limit packet 200 interval 10  //Set the maximum number of ARP Miss messages sent to the CPU within 10s to 200. The excessive packets are dropped.

Ø   Configurer l'inspection ARP de sortie (EAI)

Après avoir reçu un paquet de requête ARP, le périphérique diffuse le paquet dans le domaine de diffusion.

EAI vise à réduire le nombre de paquets de diffusion dans un VLAN, afin d'alléger la charge de travail du processeur. EAI recherche l'interface sortante correspondant à l'adresse IP de destination d'un paquet de demande ARP dans la table de surveillance DHCP et transmet le paquet de demande ARP via l'interface sortante. Cela réduit le nombre de paquets ARP diffusés dans le VLAN et allège la charge de travail du processeur.

L'EAI réduit le nombre de paquets ARP traités par la passerelle. Dans la figure 1-1 , après l'activation d'EAI sur un commutateur de couche 2, celui-ci recherche dans la table de liaison de surveillance DHCP avant de diffuser le paquet de demande ARP. Si l'interface sortante correspondant à l'adresse IP de destination d'un paquet ARP est trouvée, le paquet de demande ARP est transmis via l'interface sortante.Cela réduit le nombre de paquets de requête ARP reçus par la passerelle.

Figure 1-1 Application EAI

20170331152648231001.png

Configurez EAI comme suit:

[L2switch] dhcp enable   //Enable DHCP globally.

[L2switch] dhcp snooping enable   //Enable DHCP Snooping globally.

[L2switch] vlan 10  

[L2switch-vlan10dhcp snooping enable  

[L2switch-vlan10dhcp snooping arp security enable  //Enable EAI.


1.1.2 Assurer l'exactitude des entrées ARP

Après l'envoi d'un paquet ARP à la CPU, le commutateur recherche l'entrée ARP correspondant à l'adresse IP source dans la table ARP. Si une entrée ARP correspondante est trouvée, le commutateur met à jour l'entrée ARP. L'attaquant peut envoyer un faux paquet ARP pour altérer l'entrée ARP. Ensuite, les paquets d'utilisateurs autorisés ne peuvent pas être correctement transférés. Les commutateurs de la série S fournissent différentes méthodes de défense pour différents types d’attaques.

Ø   Défendre contre de fausses attaques de passerelles

L'attaquant envoie un paquet ARP avec l'adresse IP source étant l'adresse de passerelle au sein du sous-réseau local. Ensuite, les mappages d'adresses de passerelle sur d'autres hôtes d'utilisateurs sont altérés. Les hôtes des autres utilisateurs envoient le trafic destiné à la passerelle à l'attaquant, qui ne peut accéder au réseau. De plus, l'attaquant peut recevoir les données envoyées à partir des hôtes des utilisateurs, entraînant la divulgation d'informations.

Comme le montre la figure 1-2 , l'attaquant se présente en passerelle pour informer l'utilisateur A que l'adresse MAC est modifiée en 5-5-5.L'utilisateur A envoie ensuite les données destinées à la passerelle (1-1-1) à l'adresse de passerelle incorrecte 5-5-5, provoquant une interruption de la communication. L'adresse MAC 5-5-5 appartient à l'attaquant. Ainsi, l'attaquant obtient les données de l'utilisateur A, ce qui provoque la divulgation d'informations.

Figure 1-2 Attaque de passerelle factice

20170331152649200002.png

 

Les commutateurs de la série S fournissent les méthodes suivantes pour empêcher les attaques de passerelle factices.

Tableau 1-3 Défense contre les attaques de passerelles factices

Méthode de défense

La description

Paquets ARP gratuits

La passerelle envoie périodiquement des paquets ARP gratuits et met à jour les entrées ARP des utilisateurs autorisés, afin que le mappage correct d'adresse de passerelle soit enregistré dans les entrées ARP des utilisateurs autorisés.

Passerelle ARP anti-collision

Lorsqu'un périphérique reçoit un paquet ARP dont l'adresse IP source dans le paquet ARP est identique à l'adresse IP de l'interface VLANIF correspondant à l'interface entrante , ou l'adresse IP source est l'adresse virtuelle de l'interface entrante, mais l'adresse MAC source est pas l'adresse MAC virtuelle virtuelle VRRP , le périphérique considère que le paquet ARP est en conflit avec l'adresse de passerelle. Ensuite, le périphérique génère une entrée de défense contre les attaques ARP et élimine les paquets ARP du même réseau local virtuel et de l'adresse MAC source reçue par cette interface au cours d'une période donnée.

Protection de passerelle ARP

Les interfaces avec protection de passerelle activée peuvent recevoir et transférer les paquets ARP à partir de l'adresse IP source spécifiée. Les interfaces sans protection de passerelle activée suppriment les paquets ARP de l'adresse IP source spécifiée.

 

La configuration est la suivante:

·          Configurez la passerelle pour envoyer périodiquement des paquets ARP gratuits.

[Gateway] arp gratuitous-arp send enable   //Enable the sending of gratuitous ARP packets. The default sending interval is 30s.

·          Configurez l' anti-collision de passerelle ARP.

[Gateway] arp anti-attack gateway-duplicate enable

·          Configurez la protection de passerelle ARP.

[L2switch] interface gigabitethernet 0/0/1  

[L2switch-GigabitEthernet0/0/1arp filter source 10.1.1.1   //The protected gateway address is 10.1.1.1.

Ø   Défendre contre les fausses attaques d'utilisateurs

Comme le montre la figure 1-3 , l'attaquant forge un paquet ARP en tant qu'utilisateur autorisé à altérer l'entrée ARP de l'utilisateur A sur la passerelle. Lorsque l'utilisateur B transmet des données à l'utilisateur A via la passerelle, une entrée ARP incorrecte est trouvée et l'utilisateur A ne peut pas recevoir de données de l'utilisateur B.

Figure 1-3 Attaque d'utilisateur fictif

20170331152650828003.png

 

Les commutateurs de la série S fournissent les méthodes suivantes pour empêcher les attaques d'utilisateurs factices.

Tableau 1-4 Défense contre les attaques d'utilisateurs factices

Méthode de défense

La description

ARP fixe

Un ARP fixe peut être mis en œuvre dans les modes suivants:

fixed-mac : lors de la réception d'un paquet ARP, le commutateur supprime le paquet si l'adresse MAC ne correspond pas à l'adresse MAC de l'entrée ARP correspondante.

fixed-all : lors de la réception d'un paquet ARP, le commutateur le supprime si l'adresse MAC, le numéro d'interface ou l'ID de VLAN ne correspond pas à une entrée de la table ARP.

send-ack : après avoir reçu un paquet ARP lié à une adresse MAC, à un réseau local virtuel ou à une modification des informations d'interface, un périphérique envoie un paquet de requête ARP. Si aucune réponse n'est reçue, le périphérique abandonne le paquet.

DAI

Le périphérique vérifie les informations d'adresse IP, MAC, VLAN ou d'interface du paquet ARP par rapport aux entrées de surveillance DHCP. Si aucune entrée correspondante n'est trouvée, le périphérique abandonne le paquet.

 

La configuration est la suivante:

·          Configurez le protocole ARP fixe globalement ou en fonction de l'interface.

[Gateway] arp anti-attack entry-check fixed-mac enable   //Set the fixed ARP mode to fixed-mac.

·          Configurez DAI en fonction de l'interface et du VLAN.

[Gateway] vlan 10  

[Gateway-vlan10] arp anti-attack check user-bind enable


1.1.3 S'assurer que les entrées ARP des utilisateurs autorisés peuvent être générées avec succès

Un périphérique a une ressource d'entrée ARP limitée. Si l'attaquant initie une attaque par inondation ARP pour épuiser la ressource d'entrée ARP, les entrées ARP des utilisateurs autorisés ne peuvent pas être générées, ce qui entraîne un échec de la transmission du paquet.

Les commutateurs de la série S fournissent les méthodes suivantes pour empêcher l’épuisement des ressources d’entrée ARP.

Tableau 1-5 Défense contre l'épuisement des ressources d'entrée ARP

Méthode de défense

La description

Limiter le nombre d'entrées ARP pouvant être apprises

Lorsqu'un attaquant connecté à une interface occupe une ressource d'entrée ARP excessive, limitez le nombre d'entrées ARP pouvant être apprises par l'interface afin d'éviter l'épuisement des ressources ARP. Lorsque le nombre d'entrées ARP apprises par l'interface atteint la limite, l'interface ne peut pas apprendre de nouvelles entrées ARP.

Apprentissage ARP strict

Le périphérique n'apprend que les paquets de réponse ARP en réponse aux paquets de demande ARP envoyés par lui-même.

 

La configuration est la suivante:

·          Configurez la limite d'apprentissage ARP.

[HUAWEI] interface gigabitethernet 0/0/1 

[HUAWEI-GigabitEthernet0/0/1] arp-limit vlan 10 maximum 20  //Configure GE0/0/1 to learn a maximum of 20 dynamic ARP entries in VLAN 10.

·          Configurez un apprentissage ARP strict.

[HUAWEI] arp learning strict  //Configure strict ARP learning.

1.2 Comment prévenir l'usurpation d'adresse IP

Usurpation d'adresse IP signifie que l'attaquant initie une attaque en utilisant l'adresse IP d'un utilisateur autorisé.

Les sections suivantes décrivent deux méthodes de défense contre l'usurpation d'adresse IP: IPSG et URPF.

1.2.1 IPSG

IPSG (IP Source Guard) utilise une table de liaison pour empêcher l'usurpation d'adresse IP. Lorsque le paquet IP envoyé par un utilisateur ne correspond pas à une entrée de la table de liaison, le paquet est considéré comme un paquet d'attaque et abandonné.

L'ARP statique peut empêcher les adresses IP factices. Pourquoi avons-nous besoin d'IPSG?

Les tables IPSG de table de liaison statique et ARP statique peuvent implémenter une liaison d'adresse IP et MAC. Ils ont les différences suivantes.

Tableau 1-6 Différences entre IPSG et ARP statique

Fonctionnalité

La description

Scénario d'utilisation

IPSG

Construit une table de liaison statique pour lier les adresses IP aux adresses MAC. Le périphérique vérifie les paquets reçus par les interfaces et transmet les paquets correspondant aux entrées de liaison.

Configuré sur le périphérique d'accès directement connecté aux hôtes des utilisateurs pour empêcher les attaques d'usurpation d'adresse IP depuis l'intranet. Par exemple, un hôte malveillant vole l'adresse IP d'un hôte autorisé pour accéder au réseau.

ARP statique

Construit une table ARP statique pour lier les adresses IP aux adresses MAC. Une table ARP statique n'est pas mise à jour dynamiquement. Le périphérique traite les paquets reçus conformément à la table ARP statique.

Configuré sur la passerelle. La table ARP statique stocke les entrées ARP des serveurs de clés afin de prévenir les attaques d'usurpation d'ARP et d'assurer une communication normale entre les hôtes et les serveurs.

 

Figure 1-4 Scénario d'utilisation d'IPSG et d'ARP statique

20170331152651109004.png

 

Dans la figure 1-4 , IPSG n'est pas configuré sur le commutateur. Lorsqu'un hôte malveillant vole l'adresse IP d'un hôte autorisé pour accéder à Internet, le processus de transfert de paquet est le suivant:

1.          Le paquet envoyé par l'hôte malveillant atteint le commutateur.

2          Le commutateur transmet le paquet à la passerelle.

3          La passerelle transfère le paquet à Internet.

4          Le paquet de retour d'Internet atteint la passerelle.

5          La passerelle recherche l'entrée ARP statique en fonction de l'adresse IP de destination (l'adresse IP de l'hôte autorisé) et considère l'adresse MAC correspondant à cette adresse IP comme l'adresse MAC de l'hôte autorisé. La passerelle encapsule ensuite le paquet et le transmet au commutateur.

6          Le commutateur transmet le paquet à l'hôte autorisé en fonction de l'adresse MAC de destination.

 

Les détails de ce processus sont les suivants:

Si l'hôte malveillant dérobe l'adresse IP d'un hôte autorisé , un ARP statique peut empêcher cet hôte d'accéder au réseau en modifiant l'adresse IP. Cependant, l'hôte autorisé recevra un grand nombre de paquets de réponse non valides. Si l'hôte malveillant continue d'envoyer de tels paquets, l'hôte en ligne sera attaqué.

Si l'hôte malveillant utilise une adresse IP inactive qui n'a pas été ajoutée à la table ARP statique, l'attaque peut être lancée avec succès et les paquets de retour peuvent être reçus par l'hôte malveillant. Si vous souhaitez utiliser le protocole ARP statique pour empêcher le vol d'adresses IP, vous devez ajouter toutes les adresses IP du réseau, y compris les adresses IP inactives à la table ARP statique. C'est un processus qui prend beaucoup de temps.

Pour empêcher les attaques d'usurpation d'adresse IP sur un intranet, configurez IPSG sur le commutateur.

Comme décrit ci-dessus, nous savons qu'IPSG est utilisé sur un réseau de couche 2. Alors pourquoi décrivons-nous IPSG dans un réseau de couche 3? Cela est dû au fait que IPSG est une méthode permettant d'empêcher l'usurpation d'adresse IP et que l'adresse IP est utilisée dans le transfert de couche 3.

Les tables de liaison IPSG incluent des tables de liaison statiques et dynamiques. Les configurations sont les suivantes:

·          Table de liaison statique: lie manuellement les adresses IP, les adresses MAC, les VLAN et les interfaces.

[Gateway] user-bind static ip-address 10.1.1.1 mac-address 1E-1E-1E interface gigabitethernet 0/0/1 vlan 10 //Create a static binding entry.

[Gateway] vlan 10

[Gateway-vlan10] ip source check user-bind enable   //Enable IPSG in VLAN 10. After the binding table is created, IPSG does not take effect. It takes effect only after it is enabled on an interface or in a VLAN.

·          Table de liaison dynamique: configurez la surveillance DHCP. Lorsqu'un hôte utilisateur obtient une adresse IP via DHCP, les liaisons d'adresses IP, MAC, VLAN et interfaces sont générées automatiquement.

[Gateway] dhcp enable

[Gateway] dhcp snooping enable  //Enable DHCP Snooping.

[Gateway] vlan 10

[Gateway-vlan10] dhcp snooping enable  

[Gateway-vlan10] dhcp snooping trusted interface gigabitethernet 0/0/3  //Configure a trusted interface.

[Gateway-vlan10] ip source check user-bind enable  //Enable IPSG in VLAN 10.

1.2.2 URPF

URPF (Unicast Reverse Path Forwarding) est une méthode qui empêche les attaques d'usurpation d'adresse IP.

URPF recherche l'interface sortante correspondant à l'adresse IP source d'un paquet dans la table de routage ou la table ARP et vérifie si l'interface sortante correspond à la source du paquet. Si aucune entrée correspondante n'est trouvée, le paquet est supprimé. Cela empêche l'attaque d'usurpation d'adresse IP.

URPF a deux modes de travail.

Tableau 1-7 Modes de travail URPF

Mode

La description

Scénario d'utilisation

Strict

Un paquet réussit la vérification URPF uniquement lorsque l'adresse source a une entrée correspondante dans la table de routage ou ARP et que l'interface sortante correspond à la source du paquet.

Le mode strict est recommandé pour l' environnement de routage symétrique .Par exemple, lorsqu'il n'y a qu'un seul itinéraire entre deux périphériques périphériques, le mode strict peut protéger au mieux la sécurité du réseau.

En vrac

Un paquet peut passer le contrôle URPF uniquement lorsqu'un itinéraire correspondant à l'adresse source du paquet existe dans la table de routage.

Le mode desserré est recommandé pour l'environnement de route asymétrique. Par exemple, s'il existe plusieurs chemins entre deux périphériques périphériques, le mode libre peut assurer une sécurité relativement élevée.

 

Figure 1-5 URPF

20170331152651674005.png

 

Dans la Figure 1-5 , un paquet bidon avec l'adresse IP source 10.1.1.2 est envoyé au commutateur A. Après avoir reçu le paquet bidon, le commutateur A envoie un paquet de réponse au "propriétaire" réel (commutateur B) de 10.1.1.2. Le commutateur A et le commutateur B sont tous deux attaqués par le faux paquet.

Lorsque le commutateur A pour lequel la vérification stricte URPF est activée reçoit un paquet avec l'adresse source 10.2.1.1, URPF détecte que l'interface sortante trouvée dans la table de routage ou ARP ne correspond pas à l'interface source du paquet et le supprime.

Configurez URPF comme suit:

[SwitchA] urpf slot 1  //Enable URPF in slot 1.

[SwitchA] interface gigabitethernet 1/0/1

[SwitchA-GigabitEthernet1/0/1] urpf strict //Enable URPF strict check on GE1/0/1.


2 conclusion

La série de sessions de sécurité est terminée. Ils couvrent la vue globale de la sécurité, la sécurité du plan de gestion, la sécurité du plan de contrôle, la sécurité du réseau de couche 2 et le transfert de sécurité du réseau de couche 3. Les fonctions de sécurité sont indépendantes les unes des autres. Outre l'utilisation et la configuration de ces fonctionnalités, nous essayons de les lier en fonction de leurs caractéristiques et mécanismes communs, afin de vous aider à mieux comprendre ces fonctionnalités. Vos commentaires sont appréciés.

Problèmes de sécurité - Problème 1: Vue holistique de sécurité
Problèmes de sécurité - Problème 2: Sécurité du plan de gestion
Problèmes de sécurité - Problème 3: Sécurité du plan de contrôle
Problèmes de sécurité - Problème 4: Sécurité du plan de transfert - Sécurité de couche 2
Problèmes de sécurité - Problème 5: Sécurité du plan de transfert - Sécurité de couche 3




  • x
  • Standard:

Responder

envoyer
Connectez-vous pour répondre. Se connecter | Enregistrer

Remarque : Afin de protéger vos droits et intérêts légitimes, ceux de la communauté et des tiers, ne divulguez aucun contenu qui pourrait présenter des risques juridiques pour toutes les parties. Le contenu interdit comprend, sans toutefois s'y limiter, le contenu politiquement sensible, le contenu lié à la pornographie, aux jeux d'argent, à l'abus et au trafic de drogues, le contenu qui peut divulguer ou enfreindre la propriété intellectuelle d'autrui, y compris les secrets professionnels, les marques commerciales, les droits d'auteur et les brevets, ainsi que la vie privée personnelle. Ne partagez pas votre nom d'utilisateur ou votre mot de passe avec d'autres personnes. Toutes les opérations effectuées à partir de votre compte seront considérées comme vos propres actions, et toutes les conséquences en découlant vous seront imputées. Pour plus de détails, voir « Politique de confidentialité ».
Si le bouton de la pièce-jointe n'est pas disponible, mettez à jour Adobe Flash Player à la dernière version.

Connectez-vous pour participer à la communication et au partage

S'identifier
Réponse rapide Accéder au haut de page