Vue holistique de sécurité

Dernière réponse jul. 11, 2019 09:29:39 130 1 1 0

Vue holistique de sécurité

Le réseau a été l'outil le plus important pour la communication des personnes. Le problème de la cybersécurité doit être résolu de toute urgence avec une large utilisation du réseau. Jouant un rôle important sur le réseau, les commutateurs sont sujets aux attaques de pirates. Le travail principal d'un commutateur est la commutation. Par conséquent, les mesures de protection cybersécurité appliquées aux commutateurs ne peuvent pas compromettre le transfert de données. Les données ne peuvent pas être interceptées ou modifiées pendant la transmission. La cybersécurité présente les caractéristiques suivantes:

Ø    Confidentialité: lorsqu'un commutateur stocke, traite et transmet des données, celles-ci ne seront pas divulguées à des utilisateurs, des entités ou des procédures non autorisés. C'est-à-dire que les données sont utilisées uniquement par les utilisateurs autorisés.

Ø    Intégrité: les données ne peuvent pas être modifiées sans autorisation. Autrement dit, les informations réseau ne seront pas supprimées, modifiées, falsifiées, non séquencées ou insérées de manière occasionnelle ou intentionnelle pendant le stockage et la transmission.

Ø    Disponibilité: Les fonctions données d'un commutateur peuvent être exécutées dans les conditions spécifiées et à l'heure ou à la période spécifiée lorsque les ressources externes requises sont garanties. Les services sont disponibles en permanence pour répondre à la qualité de service de la classe.

Le déploiement de la sécurité des commutateurs de la série S implique trois plans:

Figure 1-1 Plans de déploiement de la sécurité

20170331151743981001.png

 

1.          Plan de gestion

L'essentiel est de s'assurer que les périphériques peuvent être gérés avec autorisation. Il spécifie quel utilisateur peut se connecter à un commutateur et quelles opérations il peut effectuer.

Comme le montre la figure 1-1 , la sécurité du plan de gestion est reflétée par la connexion de l'administrateur.

Connexion administrateur: le commutateur utilise un nom d'utilisateur, un mot de passe et une liste de contrôle d'accès pour limiter les droits de connexion de l'utilisateur. La connexion STelnet assure la connexion sécurisée de l'administrateur. Le niveau utilisateur est configurable pour contrôler les droits d'opération de l'utilisateur.

2          Avion de contrôle

Le plan de contrôle contrôle le transfert en fonction de la CPU. Le processeur est le commandant qui contrôle les opérations des composants. Par conséquent, la CPU est la condition préalable à l’exécution du périphérique et du protocole. Semblable à un ordinateur, si un commutateur exécute de nombreuses applications, il peut réagir lentement. Si de nombreux paquets de protocole sont envoyés à la CPU, celle-ci est occupée et les performances du commutateur se dégradent, entraînant une interruption du service. En tant que composant principal sur un commutateur, la CPU est la cible d'attaque d'utilisateurs non autorisés.

Les attaques de réseau peuvent entraîner une utilisation élevée du processeur, mais une utilisation intensive du processeur peut ne pas être causée par des attaques de réseau. Cela peut être dû à une panne matérielle, à un battement de réseau ou à une boucle du réseau. Cet article décrit uniquement l'utilisation élevée du processeur provoquée par les attaques du réseau. Pour d'autres causes, reportez-vous au Guide de maintenance du commutateur de campus S Series.

Pour assurer le fonctionnement normal du processeur, le commutateur utilise la valeur CPCAR par défaut pour limiter le débit des paquets de protocole envoyés au processeur.

Figure 1-2 Défense du processeur

20170331151744667002.png

 

Si l'utilisation du processeur est toujours élevée après la limitation de CPCAR, procédez comme suit:

Ø   Ajustez la valeur CPCAR: réduisez la valeur CPCAR pour réduire le nombre de paquets de protocole envoyés à la CPU.

Ø   Traçage de la source d'attaque: analysez les paquets envoyés à la CPU, configurez le seuil et prenez des mesures de punition pour les paquets dépassant le seuil, par exemple, supprimer des paquets, fermer l'interface et configurer la liste noire.

3          Avion en transit

Le plan de transfert recherche les entrées de transfert pour commander le transfert de données. Il existe donc deux types d'attaques visant le plan de transfert:

-        Échappement des entrées de transmission, empêchant l’apprentissage des entrées des utilisateurs autorisés et le transfert de leur trafic.

-        Altérer les entrées de transfert, entraînant le transfert du trafic des utilisateurs autorisés vers une destination incorrecte.

Comment un commutateur se défend-il contre ces attaques? La section suivante décrit la méthode de défense contre les attaques de réseau des couches 2 et 3.

Ø   Réseau de couche 2

Le noyau de la table de transmission de couche 2 est la table d'adresses MAC. Le trafic de transmission de données doit rechercher dans la table d'adresses MAC. Par conséquent, la table d'adresses MAC est sujette aux attaques. Les utilisateurs non autorisés envoient un grand nombre de paquets afin de consommer des entrées d'adresse MAC. Lorsqu'aucune entrée MAC n'est trouvée pour un paquet, celui-ci est diffusé. Cela consomme de la bande passante et peut causer une tempête de diffusion. Le commutateur protège la table d'adresses MAC en utilisant des méthodes telles que le contrôle d'apprentissage d'adresse MAC, la surveillance DHCP et la suppression des tempêtes.

Ø   Réseau de couche 3

Le transfert de données de couche 3 dépend de la table ARP et de la table de routage. Les entrées de la table de routage sont générées par négociation de protocole, elles sont donc difficiles à attaquer. Les entrées ARP sont générées par échange de paquets de protocole.Les attaquants peuvent envoyer un grand nombre de paquets de protocole ou de faux paquets de protocole pour attaquer la table ARP.Par conséquent, la table ARP doit être correctement protégée dans le transfert de couche 3. Le commutateur prend en charge des mesures telles que la sécurité ARP, DAI / EAI et IPSG pour empêcher de telles attaques.

Les sections suivantes décrivent les fonctionnalités de sécurité impliquant les plans de gestion, de contrôle et de transfert.

Security Issues - Issue 1 Security Holistic View
Security Issues - Issue 2 Management Plane Security
Security Issues - Issue 3 Control Plane Security
Security Issues - Issue 4 Forwarding Plane Security – Layer 2 Security
Security Issues - Issue 5 Forwarding Plane Security – Layer 3 Security


  • x
  • Standard:

Adham_mostafa
publié il y a 2019-7-11 09:29:39 Utile(0) Utile(0)
Description très détaillée
Merci!
  • x
  • Standard:

Commentaire

envoyer
Connectez-vous pour répondre. Se connecter | Enregistrer

Remarque Remarque : Afin de protéger vos droits et intérêts légitimes, ceux de la communauté et des tiers, ne divulguez aucun contenu qui pourrait présenter des risques juridiques pour toutes les parties. Le contenu interdit comprend, sans toutefois s'y limiter, le contenu politiquement sensible, le contenu lié à la pornographie, aux jeux d'argent, à l'abus et au trafic de drogues, le contenu qui peut divulguer ou enfreindre la propriété intellectuelle d'autrui, y compris les secrets professionnels, les marques commerciales, les droits d'auteur et les brevets, ainsi que la vie privée personnelle. Ne partagez pas votre nom d'utilisateur ou votre mot de passe avec d'autres personnes. Toutes les opérations effectuées à partir de votre compte seront considérées comme vos propres actions, et toutes les conséquences en découlant vous seront imputées. Pour plus de détails, voir « Politique de confidentialité ».
Si le bouton de la pièce-jointe n'est pas disponible, mettez à jour Adobe Flash Player à la dernière version.
Connectez-vous pour participer à la communication et au partage

Connectez-vous pour participer à la communication et au partage

S'identifier