
Soluciones para la protección de LAN y WAN
Las funciones de seguridad de Allied Telesis protegen las redes y mitigan los ataques.
El creciente número de dispositivos conectados en las redes actuales ha generado una demanda insaciable de acceso a la información, en el momento y lugar en que se necesita. Esta creciente dependencia de los recursos y aplicaciones de TI ha transformado la forma en que hacemos negocios. La seguridad digital se ha convertido en una preocupación clave para los administradores de red, quienes deben garantizar la máxima disponibilidad de la red corporativa y del acceso a Internet.
Existen varias formas de aumentar la solidez de una red moderna. Allied Telesis utiliza tecnología de conmutación líder en la industria para ofrecer un conjunto de seguridad integral, que proporciona una solución de múltiples capas para proteger la red y combatir amenazas comunes.
En este documento se analizan tres formas en que los switches de Allied Telesis garantizan una infraestructura de red fiable y segura. También examina algunos ataques comunes a la red y cómo pueden mitigarse utilizando equipos Allied Telesis .
1. Gestión segura de dispositivos
Acceso restringido a AMF Plus
Allied Telesis Autonomous Management Framework™ Plus (AMF Plus) está integrado en los dispositivos Allied Telesis que ejecutan el software AlliedWare Plus de Allied Telesis. Automatiza y simplifica muchas tareas, con potentes funciones como la gestión centralizada, la copia de seguridad automática, la actualización automática, la recuperación automática y mucho más, proporcionando una red plug-and-play con recuperación sin intervención.
Un área AMF Plus cuenta con un nodo maestro y nodos miembros. De forma predeterminada, los usuarios que inician sesión en cualquier nodo dentro de una red AMF Plus pueden gestionar cualquier otro nodo utilizando working sets (un grupo de nodos que se gestionan en conjunto) o inicio de sesión remoto AMF Plus para acceder a otro dispositivo. Si el acceso proporcionado por esta funcionalidad es demasiado amplio o contraviene las políticas de seguridad de la red, puede restringirse mediante el comando atmf restricted-login, el cual modifica el acceso de modo que:
- Los usuarios que han iniciado sesión en nodos que no son maestros no pueden ejecutar ningún comando que implique conjuntos de trabajo (working-sets), y
- Desde los nodos que no son maestros, los usuarios pueden utilizar inicio de sesión remoto (remote-login), pero solo para acceder a una cuenta de usuario que sea válida en el dispositivo remoto (ya sea mediante una cuenta configurada de forma estática o a través de RADIUS/TACACS+). Además, los usuarios deben introducir la contraseña correspondiente a esa cuenta de usuario.
Una vez que se ha habilitado atmf restricted-login, ciertos comandos que utilizan el comando working-set de AMF Plus solo funcionarán en el maestro AMF Plus, como los comandos atmf reboot-rolling y show atmf group members.
Seguridad del cargador de arranque
El cargador de arranque (boot loader) es, en esencia, el BIOS del switch. Se debe implementar seguridad en el cargador de arranque para evitar accesos no autorizados, lo que requerirá una contraseña para acceder a las opciones de arranque. Esto también evita la posibilidad de eludir las contraseñas del switch sin conocer la contraseña del boot loader.
NOTA: Esto hace que el conmutador no se pueda configurar si se pierden las contraseñas.
SSH/Telnet
Al iniciar sesión de forma remota para supervisar o gestionar un switch, el acceso mediante Secure Shell (SSH) garantiza la confidencialidad e integridad de los datos al cifrar las sesiones de administración, y es el método recomendado para comunicarse con los switches. Telnet y HTTP son otras formas de comunicarse con la interfaz de gestión de los switches; sin embargo, no son métodos seguros y se recomienda que sean deshabilitados.
Syslog
Para proporcionar un registro de auditoría detallado en caso de una posible brecha de seguridad u otro problema, se debe configurar un servidor Syslog para que los mensajes de registro (logs) del switch se almacenen en un repositorio central y estén disponibles para su posterior auditoría o análisis de fallos.
Simple Network Management Protocol (SNMP)
Los sistemas de gestión de red suelen utilizar SNMP para comunicarse con switches y otros dispositivos de red. El uso de SNMPv3 proporciona un acceso seguro mediante autenticación y cifrado de los datos de gestión SNMP. Estos datos pueden utilizarse para comprobar el estado de cualquier dispositivo en la red; por ejemplo, enlaces caídos, dispositivos periféricos (cámaras, PCs, controladores de acceso) fuera de línea, utilización de enlaces y tiempo de actividad. Cualquier anomalía puede visualizarse en un mapa de red para facilitar la detección de fallos.
2. Protección de la WAN
Redes privadas virtuales (VPN) de sitio a sitio
Un firewall en las sucursales de una empresa gestiona la conexión a Internet. Estos firewalls permiten o restringen el acceso a cualquier tipo de servicio o aplicación en línea. Una VPN de sitio a sitio, establecida a través de Internet, conectará dos oficinas sucursales entre sí y creará una conexión segura y cifrada para transportar los datos empresariales de forma protegida.
Una VPN de sitio a sitio utiliza el firewall para conectar toda la red de una sucursal con la red de otra ubicación, generalmente conectando a los usuarios de la sucursal con la red de la oficina central. Los dispositivos finales en la sucursal no necesitan clientes VPN, ya que el firewall gestiona la conexión. La mayoría de las VPN de sitio a sitio que se conectan a través de Internet utilizan IPSec para el cifrado de datos.
IPSec proporciona los siguientes servicios de seguridad para el tráfico en la Capa 3 (IP):
- Autenticación del origen de los datos: identificación del remitente de los datos.
- Confidencialidad (cifrado): garantizar que los datos no hayan sido leídos durante su tránsito.
- Integridad sin conexión (autenticación): garantiza que los datos no se han alterado en tránsito.
- Protección contra repeticiones: detecta los paquetes recibidos más de una vez para protegerlos de los ataques de denegación de servicio (DoS).
El funcionamiento de IPsec utiliza conexiones negociadas entre dispositivos pares (cortafuegos en cada ubicación). Estas conexiones se denominan Asociaciones de Seguridad.
Se recomienda dejar de utilizar DES, 3DES, MD5 (incluida la variante HMAC) y los grupos 1, 2 y 5 de Diffie-Hellman (DH). En su lugar, deberías utilizar AES, SHA y DH grupos 14 o superiores, lo que se conoce como cifrado de nueva generación (NGE), y es mucho más seguro.
Las configuraciones recomendadas de IPSec e IKE, según lo especificado para la certificación por ICSA Labs, son:
- Cifrado: AES-256
- Integridad: SHA-256
- Grupo DH: 14 (2048 bits)
Si es necesario, puedes aumentar la seguridad utilizando SHA-512 o un grupo DH más alto. Sin embargo, ten en cuenta que cambiar el grupo DH incrementará el tiempo de establecimiento del túnel, lo cual podría ser un problema si tu red cuenta con un gran número de túneles..
SD-WAN
Expandir las conexiones de red de área amplia (WAN) entre oficinas puede resultar costoso, y la gestión y resolución de problemas de red suele ser compleja y llevar mucho tiempo. La WAN definida por software (SD-WAN) permite a los clientes empresariales utilizar los firewalls físicos existentes en sus sucursales y conectarse a través de conexiones a Internet de bajo costo y VPNs. Vista Manager EX incorpora un orquestador SD-WAN que permite crear redes multisede totalmente gestionadas, integrando enlaces y optimizando los flujos de aplicaciones hacia Internet y a lo largo de toda la infraestructura VPN de la empresa.
SD-WAN ofrece varias ventajas sobre las soluciones WAN tradicionales:
- Puede construir redes WAN de mayor rendimiento utilizando accesos a Internet de bajo coste y disponibles en el mercado. Esto le permite sustituir parcial o totalmente tecnologías de conexión WAN privadas más caras, como MPLS.
- Para reducir costes y mitigar riesgos, puede seleccionar cualquier tipo de conectividad WAN para reducir costes sin comprometer la seguridad. A continuación, se puede equilibrar la carga de tráfico a través de estos túneles VPN para hacer un uso óptimo del ancho de banda disponible.
- La selección dinámica de rutas permite a los administradores establecer umbrales de rendimiento para diferentes aplicaciones. De este modo, se puede garantizar que las aplicaciones críticas y las transferencias de datos utilicen siempre la mejor ruta disponible, en función de la calidad (pérdida, latencia y fluctuación) de los túneles VPN. Por ejemplo, se pueden configurar distintos niveles de calidad para aplicaciones en tiempo real como voz y videoconferencia, en comparación con aplicaciones de transferencia de datos como FTP.
- SD-WAN utiliza automáticamente el mejor túnel VPN para enviar el tráfico según métricas de rendimiento, lo que significa que se empleará el proveedor de Internet con la conexión más estable y confiable dentro de una arquitectura resiliente.
3. Protección de la LAN
Conexiones entre conmutadores
Allied Telesis Ethernet Protection Switched Ring (EPSRing™)
En las redes distribuidas, switches suelen utilizar conexiones de fibra para la conectividad entre conmutadores en una topología de anillo, por lo que se necesita un método para proteger la red de bucles.. EPSRing permite redes en anillo de alta velocidad con conmutación por error en tan solo 50 ms.
ESPRing envía paquetes de control a través de una VLAN de control configurada en el switch, y se espera que estos paquetes completen un bucle completo del anillo para mantener su integridad. Si los paquetes no completan el recorrido, se considera que el anillo está caído y se notificará una falla a la plataforma de gestión. EPSRing enviará automáticamente los paquetes por el otro lado del anillo, con una conmutación por fallo casi instantánea, lo que proporciona una solución potente para los proveedores de servicios que deben cumplir acuerdos de nivel de servicio (SLA) estrictos.
Modo seguro AMF Plus
El Modo Seguro de AMF Plus mejora la seguridad de la red AMF Plus Plus reduciendo el riesgo de acceso no autorizado. Esto se consigue mediante:
- Añadir un mecanismo de autorización antes de permitir a un miembro unirse a una red AMF Plus .
- Cifrado de todos los paquetes AMF Plus Plus enviados entre nodos AMF Plus.
- Registro adicional, que permite a los administradores de red supervisar los intentos de acceso no autorizado a la red AMF Plus Plus.
Cuando se ejecuta en Modo Seguro, los controladores y maestros en la red AMF Plus forman un grupo de autoridades certificadoras. Un nodo solo puede unirse a una red AMF segura una vez que ha sido autorizado por un maestro o controlador. Una vez habilitado este modo, todos los dispositivos de la red AMF Plus deben operar en Modo Seguro, y los dispositivos no seguros no pueden unirse a la red.
NOTA: En el modo seguro AMF Plus , la función atmf restricted-login se activa automáticamente. Esto restringe el comando atmf working-set a los usuarios que han iniciado sesión en un maestro AMF. Esta función no se puede desactivar independientemente del modo seguro.
Active Fiber Monitoring (AFM)
AFM está integrado en muchos switches de Allied Telesis y supervisa constantemente la cantidad de luz que recibe el switch en los puertos de fibra. Si el nivel de luz cambia, el sistema envía una alerta indicando que la fibra podría haber sido manipulada y puede cerrar automáticamente el enlace. AFM protege contra la interceptación de datos por fibra y previene el robo de información.
Filtrado de ingreso con etiquetado VLAN
El etiquetado VLAN (802.1Q) es un método para transmitir datos de VLANs lógicamente separadas a través de interconexiones de red. Lo hace añadiendo "etiquetas" a los datos. Si el puerto está etiquetado para un conjunto de VLANs, entonces un paquete etiquetado solo será aceptado si contiene el ID de VLAN de una de las VLANs configuradas como etiquetadas en ese puerto; de lo contrario, los datos serán descartados. Por lo tanto, si se retira un switch o se inserta uno no autorizado, a menos que el switch insertado esté configurado con los mismos parámetros, todos los datos serán descartados y se enviarán alertas al sistema de gestión indicando que el enlace está fuera de servicio, lo que contribuye a proteger la red.
Link Aggregation Control Protocol (LACP)
LACP es un método para agregar múltiples enlaces físicos en una única conexión virtual de mayor ancho de banda. Puede configurarse en todos los puertos de subida (uplink) del switch y, una vez activado, envía paquetes de control para verificar el estado de todos los enlaces. Si el switch no recibe la información LACP correcta para un enlace determinado, evitará que se utilice ese enlace para transmitir datos y empleará en su lugar los otros enlaces del grupo de agregación. Además, se envía una alerta al sistema de gestión para que el enlace con fallos pueda ser corregido.
Seguridad de los puertos periféricos
Network Access Control (NAC)
NAC permite un control sin precedentes sobre el acceso de usuarios/dispositivos a la red, con el fin de mitigar las amenazas a la infraestructura de red. Al utilizar la autenticación basada en puertos 802.1x en conjunto con la asignación dinámica de VLAN conforme a los estándares, se considera la forma más segura de restringir el acceso a la red a nivel de puerto.
NAC utiliza un servidor RADIUS para autenticar a cualquier usuario o dispositivo conectado a un puerto con 802.1x configurado. Los puertos de acceso (edge ports) se bloquean y requieren que el dispositivo solicite acceso; luego, el switch negocia entre el dispositivo y el servidor RADIUS para verificar las credenciales de autenticación. Si al dispositivo se le concede acceso, la asociación VLAN correspondiente es enviada al switch desde el servidor RADIUS, asegurando que el dispositivo tenga el nivel adecuado de acceso a la red. Esto evita accesos no deseados, ya que el dispositivo debe proporcionar al servidor un certificado único, además de nombre de usuario y contraseña. Los puertos que están esperando autenticar a un dispositivo cliente mediante 802.1x se colocan en una VLAN aislada.
Protección portuaria
La capacidad de limitar la cantidad de estaciones de trabajo que pueden conectarse a puertos específicos del switch se gestiona mediante seguridad de puertos (Port Security). Si se superan estos límites o se intenta el acceso desde estaciones de trabajo no autorizadas, el puerto puede realizar cualquiera (o todas) de las siguientes acciones: descartar los datos no confiables, notificar al administrador de red o deshabilitar el puerto. Esto significa que un dispositivo no puede moverse de un puerto a otro; si se cambia el dispositivo, no obtendrá acceso a la red. Actualmente, la seguridad de puertos no es compatible con 802.1x, ya que este último bloquea una única dirección MAC (un solo cliente o estación de trabajo) por puerto.
Dynamic Host Configuration Protocol (DHCP) Snooping
Los servidores DHCP asignan direcciones IP a los clientes, y el switch mantiene un registro de las direcciones emitidas en cada puerto. IP Source Guard verifica esta información contra la base de datos de DHCP snooping para asegurar que solo los clientes con una dirección IP y MAC específica puedan acceder a la red.
DHCP Snooping puede combinarse con otras funciones, como la Inspección ARP Dinámica (Dynamic ARP Inspection), para aumentar la seguridad en entornos conmutados de Capa 2. Además, es posible añadir entradas estáticas a esta base de datos y configurar un puerto para que solo acepte acceso desde un único dispositivo, lo que permite que los puertos de acceso tengan la misma funcionalidad que la seguridad de puertos, con el beneficio adicional de verificar la dirección IP y la configuración de VLAN. Esto evita que los dispositivos se muevan dentro de la red y protege contra servidores DHCP no autorizados. También proporciona un historial de usuarios rastreable, lo cual cumple con los crecientes requisitos legales que se imponen a los proveedores de servicios.
Filtrado de ingreso con etiquetado VLAN
Además de gestionar los datos en los enlaces entre switches, como se mencionó anteriormente, el filtrado de ingreso (ingress filtering) protege los puertos de acceso (edge ports) al no permitir paquetes etiquetados con VLAN.
Configuración segura del Spanning Tree Protocol (STP)
STP es el medio más utilizado para evitar bucles en redes de Capa 2. Hay dos mecanismos de protección que deben habilitarse para maximizar la robustez, ya que STP no tiene seguridad incorporada:
- STP Root Guard – evita que un usuario malicioso acceda a datos inapropiados en la red, permitiendo al administrador de red reforzar de forma segura la topología del árbol de expansión.
- BPDU guard – de manera similar, se aumenta la seguridad del STP (Spanning Tree Protocol) al permitir que el administrador de red refuerce los límites del árbol de expansión, manteniendo la topología activa predecible. La función BPDU Guard evita que un dispositivo de borde (por ejemplo, una cámara, un controlador de acceso o un PC) sea reemplazado por un switch por parte de un usuario malintencionado que intente obtener acceso a la red. Si el switch de borde detecta paquetes STP en un enlace con esta función habilitada, el enlace se desactiva automáticamente para impedir el acceso no autorizado.
Protección contra tormentas
Storm Protection reduce los efectos adversos de cualquier bucle de red que podría saturar la red. Existen tres aspectos que trabajan en conjunto para proteger la red contra tormentas de tráfico:
- Detección de bucle – supervisa el tráfico en busca del retorno de un paquete sonda de detección de bucle. En caso de problema, puede tomar diversas medidas, como registrar un fallo, alertar al administrador de la red o desactivar un enlace.
- Limitación de Thrash – detecta un bucle si ciertas direcciones MAC del hardware del dispositivo se están reaprendiendo rápidamente en diferentes puertos. En caso de problema, se pueden tomar acciones similares a las de la detección de bucle.
- Control de tormentas – limita la velocidad a la que un puerto reenviará paquetes de difusión, multidifusión o unidifusión desconocida. De este modo se controla el nivel de tráfico que un bucle puede provocar en la red.
Control Plane Prioritization (CPP)
CPP evita que el Control Plane del switch (encargado del tráfico de gestión de red) se vea saturado en caso de una tormenta de red o un ataque de Denegación de Servicio (DoS), garantizando que el tráfico de control crítico de la red siempre llegue a su destino.
Prevención de ataques de denegación de servicio (DoS)
Un ataque DoS (Denegación de Servicio) es un intento de hacer que los recursos en línea no estén disponibles para los usuarios. Existen numerosos ataques DoS conocidos que pueden ser monitorizados. Cuando se detecta uno, las opciones incluyen notificar al administrador de red y/o desactivar el puerto del switch afectado.
Listas de control de acceso (ACL) y filtros
Gestionar el volumen de tráfico y los tipos de tráfico permitidos en la red es esencial para garantizar un alto rendimiento, proteger contra tráfico no deseado y asegurar el acceso continuo a datos importantes. Las potentes listas de control de acceso (ACLs) y capacidades de filtrado ofrecen un mecanismo eficaz para el control del tráfico de red, todo ello gestionado directamente en el hardware del switch, lo que permite mantener un rendimiento a velocidad de línea (wire-speed).
Cierre
Todos los puertos de acceso no utilizados deben ser desactivados para evitar accesos no deseados a la red. Además, los puertos desactivados deben colocarse en una VLAN aislada, de modo que, si alguno quedara activado por error, aún estaría aislado de cualquier dato de la red.
4. Ataques comunes a la red
1. Ataque de inundación MAC
¿Qué son los ataques de inundación MAC?
Los ataques de MAC flooding facilitan el robo de información al proporcionar una fuente de datos accesible. En este tipo de ataque, un host malintencionado envía paquetes con miles de direcciones MAC de origen falsas, lo que llena la base de datos de reenvío del switch. Una vez que esta base de datos está saturada, el tráfico legítimo comienza a ser inundado (flooded) y se vuelve ampliamente accesible, ya que el switch no puede aprender más direcciones de destino específicas. El atacante convierte esencialmente el switch en un pseudo-hub de baja inteligencia, lo que le permite capturar todo el tráfico inundado y así robar datos y contraseñas.
¿Cómo le protegenswitches Allied Telesis?
Los switches de Allied Telesis ofrecen dos medidas de seguridad para proteger tu red LAN contra ataques de MAC flooding. La primera es la autenticación de hosts, mediante la cual los puertos configurados para autenticación solo aceptan tráfico de las direcciones MAC de los hosts autenticados. La segunda es la seguridad de puertos, que controla cuántas direcciones MAC pueden ser aprendidas en un puerto específico. Cuando se supera ese límite, el switch puede realizar una de tres acciones configurables por el usuario: descartar los datos no confiables, notificar al administrador de red o deshabilitar el puerto mientras se investiga la intrusión.
2. Ataques de suplantación del Protocolo de Resolución de Direcciones (ARP)
¿Qué son los ataques ARP spoofing?
Un ataque de ARP spoofing es otra forma de ataque orientado al robo de información. Un host malicioso envía una respuesta ARP a la solicitud ARP de un host que busca a un servidor. El atacante finge ser ese servidor al asociar su propia dirección MAC con la dirección IP que pertenece al servidor. El mensaje ARP falso también añade una entrada en la tabla ARP del switch. Entonces, cuando la estación de trabajo A envía un mensaje destinado al servidor B, la entrada ARP falsa desvía ese mensaje hacia el atacante C. Esto permite al atacante robar datos y contraseñas.
¿Cómo le protegenswitches Allied Telesis?
Los switches de Allied Telesis utilizan DHCP Snooping junto con ARP Security para proteger tu red contra ataques de ARP spoofing. Todas las respuestas ARP provenientes de puertos no confiables son verificadas para asegurar que contengan información de direccionamiento válida, protegiendo así la red y el negocio.
3. Ataques de salto de VLAN
¿Qué es un ataque básico de salto de VLAN?
Un usuario malintencionado en una VLAN obtiene acceso no autorizado a otra VLAN enviando paquetes etiquetados a la red con el VID (Identificador de VLAN) de la VLAN objetivo. Por defecto, muchos switches simplemente revisan la etiqueta del paquete y lo reenvían a la VLAN correspondiente, incluso si el puerto de entrada (ingress port) no es miembro de esa VLAN.
¿Cómo le protegenswitches Allied Telesis?
Para eliminar ataques básicos de VLAN hopping, los switches de Allied Telesis utilizan filtrado de ingreso (Ingress Filtering) para descartar paquetes etiquetados con VIDs que no correspondan a la VLAN del puerto de ingreso, ya que las estaciones de trabajo conectadas a puertos de acceso no deberían enviar paquetes etiquetados a la red.
4. Ataques de salto de VLAN de doble etiqueta
¿Qué es un ataque de salto de VLAN de doble etiqueta?
Un usuario malicioso envía un paquete que está etiquetado dos veces. En la etiqueta exterior se encuentra su propio VID, y en la etiqueta interior está el VID de una VLAN no autorizada a la que el atacante intenta acceder. El switch elimina la etiqueta exterior y pasa el paquete al siguiente switch. La etiqueta VLAN interna del paquete—el VID de la VLAN no autorizada—entonces se convierte en el único identificador de VLAN, y el paquete logra llegar a la VLAN objetivo.
¿Cómo le protegenswitches Allied Telesis?
Para eliminar los ataques de salto de VLAN mediante doble etiquetado (double-tag VLAN hopping), los switches de Allied Telesis utilizan la misma solución que para los ataques básicos de salto de VLAN. El filtrado de ingreso (Ingress Filtering) descarta todos los paquetes etiquetados, ya que las estaciones de trabajo conectadas a puertos de acceso (edge ports) no deberían enviar paquetes etiquetados a la red.
5. Ataque al Protocolo del Árbol de expansión (STP)
¿Qué es un ataque STP?
STP evita bucles en redes de Capa 2, al tiempo que permite redundancia de rutas. Los puertos de los switches se designan en estado de reenvío o en estado bloqueado. Si una ruta se vuelve inaccesible, la red responde desbloqueando una ruta previamente bloqueada para permitir el flujo del tráfico. STP depende del establecimiento de un "bridge raíz", que actúa como el punto único de referencia en el árbol de la red. En un ataque STP, un usuario malintencionado envía un mensaje STP—una Unidad de Datos del Protocolo de Puente (BPDU)—con un valor de prioridad que lo convierte en el nuevo bridge raíz, comprometiendo así la topología de la red al forzar su reconfiguración.
¿Cómo le protegenswitches Allied Telesis?
switches Allied Telesis evitan los ataques STP mediante el uso de la protección BPDU en los puertos de borde, lo que impide los mensajes STP falsos originados en una estación de trabajo. Además, la función de protección de raíz puede utilizarse para limitar la región de la red en la que debe residir el puente raíz.
6. Ataques al protocolo de configuración dinámica de host (DHCP)
Los servidores DHCP asignan direcciones de red IP a los hosts, permitiéndoles acceder a los recursos de la red. Existen dos tipos de ataques DHCP que pueden comprometer el acceso a la red: los ataques de DHCP Starvation y los ataques de servidores DHCP falsos (rogue server).
¿Qué es un ataque de inanición DHCP?
En un ataque de DHCP Starvation, un usuario malintencionado inunda al servidor DHCP con innumerables solicitudes DHCP provenientes de diferentes direcciones MAC falsas. Eventualmente, el servidor DHCP se queda sin direcciones IP disponibles. Como resultado, los usuarios legítimos no pueden obtener una dirección IP, lo que bloquea efectivamente su acceso a la red.
¿Cómo le protegenswitches Allied Telesis?
Los switches de Allied Telesis previenen este tipo específico de ataque de Denegación de Servicio (DoS) mediante la función de seguridad de puertos (Port Security). Los puertos de acceso (edge ports) se configuran con un límite de aprendizaje de direcciones MAC. Una vez alcanzado ese límite, no se permite el aprendizaje de nuevas direcciones MAC en ese puerto. Se pueden enviar notificaciones a una estación de gestión de red cuando se alcanza el límite, para alertar al administrador sobre una actividad MAC excesiva. Además, el puerto puede deshabilitarse automáticamente para bloquear esa conexión mientras se investiga la posible intrusión.
¿Qué es un ataque DHCP rogue server?
El ordenador de un usuario malicioso se hace pasar por un servidor DHCP y responde a las solicitudes DHCP con información falsa. En el mejor de los casos, esto provoca un acceso comprometido a la red. En ataques más sofisticados, puede usarse para redirigir a los usuarios a sitios web que simulan ser páginas seguras, como un banco, y así robar contraseñas e información personal.
¿Cómo le protegenswitches Allied Telesis?
Los switches de Allied Telesis evitan los ataques de servidores DHCP falsos mediante el uso de DHCP Snooping. Los puertos de acceso se designan como puertos "no confiables". El switch no aceptará ningún tráfico de servidor DHCP en estos puertos no confiables, por lo que el servidor falso queda bloqueado e impedido de interactuar con los clientes DHCP.
7. Ataques de denegación de servicio (DoS)
¿Qué es un ataque DoS?
Existen muchos tipos diferentes de ataques de Denegación de Servicio (DoS) que pueden amenazar tu red. Algunos ataques explotan formatos de paquetes no válidos, haciendo que los dispositivos objetivo se “cuelguen”; por ejemplo, los ataques Tear Drop, IP Options o Ping of Death. Otros ataques generan una tormenta de paquetes dirigida a una víctima específica, como los ataques Smurf. Otros más inician numerosas conexiones TCP con la víctima para consumir sus recursos, como los ataques de tipo SYN flood.
¿Cómo le protegenswitches Allied Telesis?
Los switches de Allied Telesis pueden mitigar todos estos ataques mediante la defensa contra DoS. Además, la defensa contra DoS para la mayoría de estos ataques está implementada en el silicio del switch, por lo que no afecta al rendimiento de la red.
5. Componentes clave de las soluciones Allied Telesis
Alliedware Plus™ Operating System
AlliedWare Plus es un sistema operativo (OS) de próxima generación, avanzado y con numerosas funcionalidades, que ofrece la funcionalidad, escalabilidad, rendimiento y fiabilidad que tu red necesita. Construido sobre estándares de la industria y con una interfaz de usuario fácil de entender, AlliedWare Plus es la solución ideal para redes habilitadas para IoT y SDN, donde se requiere mayor inteligencia, seguridad avanzada y servicios automatizados.
AlliedWare Plus combina una funcionalidad de red superior y sólidas capacidades de gestión con el rendimiento excepcional que exigen las redes actuales. Muchos de sus comandos pueden utilizarse en scripts, lo que permite automatizar tareas de configuración. Los usuarios también pueden emplear Triggers, una potente herramienta para la gestión automática y programada que permite ejecutar comandos en respuesta a eventos específicos. Al estar basado en estándares, garantiza plena interoperabilidad con otros equipos de red principales, y pone énfasis en una mejor usabilidad y alta fiabilidad, ofreciendo así una experiencia superior al cliente.
Facilidad de gestión
El sistema operativo AlliedWare Plus OS incorpora una interfaz de línea de comandos (CLI) estándar del sector que facilita una gestión intuitiva. Cada comando está asociado a una función o tarea específica.
Con tres modos distintos, la interfaz de línea de comandos (CLI) es muy segura. En el modo User exec, el usuario puede ver configuraciones y solucionar problemas, pero no puede realizar cambios en el sistema. En el modo Privileged exec, el usuario puede modificar configuraciones del sistema y reiniciar el dispositivo. Los cambios de configuración solo pueden realizarse en el modo de configuración global (Global configuration mode), lo que reduce el riesgo de modificaciones accidentales.
La interfaz gráfica de usuario (GUI) de Allied Telesis puede utilizarse en nuestros switches y routers/firewalls con AlliedWare Plus, y ofrece una forma potente y fácil de usar para supervisar y gestionar el dispositivo. Los modelos que admiten gestión inalámbrica integrada también cuentan con un mapa de red incorporado, que permite un despliegue inalámbrico sencillo, con planos y mapas de calor para supervisar el rendimiento.
Allied Telesis Autonomous Management Framework™ Plus (AMF Plus)
La gestión de la infraestructura de red consume mucho tiempo, es costosa y, tradicionalmente, ha requerido aplicaciones de terceros costosas para administrar redes de gran tamaño de manera eficaz. La computación en la nube y las infraestructuras convergentes aportan un gran valor empresarial, pero también añaden complejidad. En consecuencia, las redes deben ser más dinámicas y evolucionar a una velocidad cada vez mayor para mantenerse al día con las aplicaciones modernas y los modelos de prestación de servicios que impulsan dicha complejidad. Desde la virtualización hasta la movilidad y el BYOD, las redes deben ser capaces de seguir el ritmo del negocio.
AMF Plus ofrece un valor real e inmediato a las empresas al resolver una de las necesidades más acuciantes de las TI. Proporciona una infraestructura convergente que puede gestionarse como una única entidad, lo que reduce la complejidad y el coste total de propiedad y permite hacer más con menos.
AMF Plus consigue esto y mucho más por:
- Gestión unificada de la red desde cualquier dispositivo a lo largo de toda la red.
- Gestión gráfica de la red con Vista Manager EX.
- Opciones de despliegue en nube privada o pública con AMF Plus Cloud.
- Automatización de redes que simplifica y automatiza tareas en toda la red.
- Inteligencia de red que reacciona a los cambios en la red y modifica automáticamente su topología.
- Copia de seguridad, restauración y recuperación automáticas de dispositivos a medida que se añaden a la red.
Gracias a esta combinación de funciones robustas, AMF Plus reduce los gastos operativos de red al disminuir la complejidad y el esfuerzo necesarios para su mantenimiento. Un cliente de Allied Telesis ha reportado una reducción del 60 % en los costos operativos tras implementar AMF Plus.
Autonomous Management Framework Security (AMF-Sec)
El panorama actual de amenazas a las redes ha cambiado, y la LAN interna ahora es vulnerable a ataques maliciosos por parte de hackers que evolucionan constantemente en sus métodos para explotar debilidades de seguridad. Incluso amenazas involuntarias, como empleados que conectan memorias USB que pueden contener virus o malware, deben ser gestionadas y contenidas.
AMF-Sec añade un potente componente de seguridad mediante un controlador SDN inteligente y completamente funcional. Reduce el esfuerzo manual y los costos al trabajar junto con aplicaciones de seguridad para responder instantáneamente a las alertas y bloquear la propagación de malware dentro de una red cableada o inalámbrica, protegiendo así la LAN contra amenazas internas.
AMF-Sec trabaja en conjunto con los mejores firewalls y dispositivos de seguridad para identificar amenazas. Luego, el motor inteligente Isolation Adapter, integrado en nuestro controlador AMF-Sec, responde de inmediato para aislar la parte afectada de la red y poner en cuarentena el dispositivo sospechoso. Se puede aplicar un proceso de remediación para que el dispositivo vuelva a unirse a la red con una interrupción mínima. Las respuestas son configurables, y el registro detallado de eventos proporciona una clara trazabilidad de auditoría.
El controlador AMF-Sec es clave en nuestra innovadora y galardonada solución de seguridad AMF Plus, que permite una red autodefensiva, ayudando a las organizaciones a evitar pérdidas de tiempo e interrupciones innecesarias en los servicios de red.
Cualquier problema de seguridad se resalta en Vista Manager EX, nuestra herramienta de supervisión y gestión, y se puede enviar un correo electrónico para alertar a los administradores de red de que AMF-Sec ha protegido automáticamente la red, y permitir que la corrección se gestione de forma local o remota.
Autonomous Wave Control (AWC)
AWC automatiza la gestión de redes inalámbricas, permitiendo que el personal de TI se concentre en otras tareas y servicios de mayor valor añadido. Contar con una forma segura y sencilla de gestionar la red Wi-Fi es fundamental, especialmente con el crecimiento de dispositivos móviles y BYOD que acceden a recursos y aplicaciones en línea. Los clientes inalámbricos en una red AWC pueden formar parte de una solución de red autodefensiva utilizando AMF Security, como se describe aquí.
Nuestra solución inalámbrica sin compromisos consta de tres componentes clave que la hacen posible:
- Optimización automática de la red inalámbrica (AWC)
- Itinerancia sin fisuras para clientes Wi-Fi (AWC-CB)
- Crecimiento de la red inalámbrica Plug and Play (AWC-SC)
Wi-Fi sin compromisos
Arquitectura multicanal para redes de misión crítica
No sacrifique el rendimiento de su red por la fiabilidad
- Primeros puntos de acceso híbridos del mundo
- Conectividad simultánea monocanal y multicanal
- Maximiza el rendimiento inalámbrico
- Itinerancia ininterrumpida
- Red Wi-Fi autoformada y autooptimizada
Optimización de la red AWC
Máximo rendimiento inalámbrico
- Analiza automáticamente las redes Wi-Fi multicanal
- Optimiza de forma autónoma el rendimiento inalámbrico
- Responde a las demandas de ancho de banda de los usuarios
- Proporciona una experiencia de usuario Wi-Fi superior
- Reduce el tiempo y los costes de implantación
Channel Blanket AWC
Wi-Fi ininterrumpido con itinerancia sin fisuras
- Los AP funcionan en un solo canal
- Proporciona itinerancia sin interrupciones con una cobertura fiable
- Diseñado para entornos físicos dinámicos
- La gestión simplificada reduce los costes de explotación
- Fácil despliegue sin diseño de canales
AWC Smart Connect
Crecimiento de la red inalámbrica sin esfuerzo
- Innovadora conectividad inalámbrica de enlace ascendente AP
- Crecimiento de la red inalámbrica plug-and-play
- Optimización automática del rendimiento inalámbrico
- Implantación de AP sin intervención
- Apoya todas las prestaciones AWC y AWC-CB
Vista Manager EX: potente panel de gestión
Vista Manager EX es la forma inteligente de supervisar y gestionar toda la red, incluidos switches y enrutadores controlados por AMF, los AP inalámbricos controlados por AWC y los dispositivos de terceros.
La visibilidad unificada desde una sola interfaz (single-pane-of-glass) mejora la gestión de la red. Disfruta de una supervisión completa desde el panel de control, que incluye detalles de la red, estado, información de eventos y un mapa de topología donde se destacan los problemas críticos para una resolución oportuna. El acceso intuitivo a funciones avanzadas—como la monitorización de servicios y rendimiento, el control de dispositivos cableados e inalámbricos, y herramientas de automatización—facilita enormemente la gestión de la red.
Otras herramientas intuitivas incluyen planos de planta inalámbricos y mapas de calor para comprobar fácilmente el rendimiento de los puntos de acceso (AP), un mapa de tráfico de red para visualizar la utilización y el uso de protocolos en todos los enlaces, y un orquestador central para gestionar los enlaces WAN entre sucursales.
Este amplio conjunto de funciones de gestión ayuda a los administradores de red a habilitar un entorno LAN y WAN en línea seguro para todos los usuarios.
Virtual Chassis Stacking (VCStack™)
El uso de Allied Telesis VCStack en su red permite que varios switches aparezcan como un único chasis virtual.
En funcionamiento normal, este chasis virtual actúa como un único switch, lo que simplifica la gestión. El diagrama muestra la agregación de enlaces entre el VCStack central y los switches de acceso. Al distribuir la agregación de enlaces entre puertos de distintos miembros del chasis virtual, no hay interrupciones perceptibles en caso de una falla en el enlace, y el ancho de banda completo de la red permanece disponible. La conmutación por error rápida (fast failover) garantiza un tiempo de inactividad mínimo ante cualquier problema.
Gracias a la conectividad de fibra, VCStack de larga distancia permite que los miembros de la pila estén a kilómetros de distancia, lo que resulta perfecto para un entorno distribuido, conectando un único chasis virtual a través de un campus o una ciudad.
VCStack y la agregación de enlaces proporcionan una solución en la que los recursos de red se reparten entre los miembros del chasis virtual, lo que garantiza la resistencia de los dispositivos y las rutas. La virtualización del núcleo de red garantiza el acceso ininterrumpido a la información cuando sea necesario.
Ethernet Protection Switched Ring (EPSRing™)
EPSRing permite a switches formar un anillo protegido de alta velocidad que funciona a las velocidades Ethernet más rápidas de la actualidad y es capaz de recuperarse en tan sólo 50 ms.
EPSRing es perfecto para un alto rendimiento y una alta disponibilidad en entornos distribuidos. SuperLoop Prevention (SLP) permite que un enlace entre dos nodos EPSR se encuentre en dominios EPSR separados, lo que mejora la redundancia y la resistencia a fallos de la red.
Active Fiber Monitoring (AFM)
AFM es una tecnología pionera de Allied Telesis que proporciona protección de datos especializada en enlaces ópticos. Puede disfrutar de una supervisión continua y automatizada de toda su fibra óptica sin necesidad de costosos equipos de terceros.
Una solución única, AFM funciona detectando cambios muy pequeños en la cantidad de luz recibida en un enlace de fibra. Cuando se intenta una intrusión, el nivel de luz cambia porque parte de la luz es redirigida por el intruso hacia otra fibra. AFM detecta esta intrusión y activa la alarma. El enlace puede apagarse automáticamente o se puede alertar a un operador para que intervenga manualmente. La configuración es sencilla: simplemente “configurar y olvidar”.
Power over Ethernet Plus (PoE+)
Con PoE, no es necesaria una conexión de energía independiente para dispositivos terminales como teléfonos IP o puntos de acceso inalámbricos. PoE+ ofrece aún más flexibilidad, ya que permite conectar dispositivos que requieren mayor potencia (hasta 30 vatios), como cámaras de seguridad con funciones de giro, inclinación y zoom. Algunos de nuestros switches también son compatibles con PoE++, y pueden suministrar hasta 60 vatios por puerto.