- play_arrow Seguridad portuaria
- play_arrow Descripción general de la seguridad portuaria
-
- play_arrow IPSec
- play_arrow Descripción de IPsec y las asociaciones de seguridad
- play_arrow Configuraciones y ejemplos de IPsec
- Consideración de problemas generales de IPsec
- Descripción general de la configuración de IPsec para una PIC de ES
- Configuración de asociaciones de seguridad para IPsec en una PIC de ES
- Configuración de asociaciones de seguridad IPsec
- Configuración de una política de IKE
- Configuración de una propuesta IPsec para una PIC de ES
- Configuración de una directiva IPsec
- play_arrow Configuración de asociaciones de seguridad IPsec
- play_arrow Uso de certificados digitales para IPsec
- play_arrow Opciones adicionales de IPsec
- play_arrow Configuración de extremos dinámicos IPsec
- Configuración de un perfil de acceso IKE para túneles de punto de conexión dinámico IPsec
- Configuración del conjunto de servicios para túneles de extremo dinámico IPsec
- Configuración del identificador de interfaz para túneles de extremo dinámico IPsec
- Configuración de un perfil de acceso IKE para túneles de punto de conexión dinámico IPsec
- play_arrow Ejemplos adicionales de configuración de PIC de ES y AS
- Ejemplo: configuración manual de SA de ES PIC
- Ejemplo: Configuración manual de SA de AS PIC
- Ejemplo: configuración SA dinámica de IKE de PIC
- Ejemplo: configuración SA dinámica de IKE como PIC
- Ejemplo: SA dinámica IKE entre una configuración de PIC de AS y PIC de ES
- Ejemplo: AS PIC IKE Dynamic SA con configuración de certificados digitales
- Ejemplo: configuración de tunelización dinámica de punto de conexión
-
- play_arrow Certificados digitales
- play_arrow Configuración de certificados digitales
- Criptografía de clave pública
- Configuración de certificados digitales
- Configuración de certificados digitales para una PIC de ES
- Política de IKE para certificados digitales en un PIC de ES
- Configuración de certificados digitales para interfaces de servicios adaptables
- Configuración de la reinscripción automática de un certificado de enrutador
- Configuración del tráfico de túnel IPsec
- Operaciones de rastreo para servicios de seguridad
- play_arrow Configuración del acceso al enrutador SSH y SSL
-
- play_arrow Módulo de plataforma segura
- play_arrow MACsec
- play_arrow Descripción de MACsec
- play_arrow Ejemplos de MACsec
-
- play_arrow Limitación de MAC y limitación de movimiento
- play_arrow Configuraciones y ejemplos de limitación de MAC y limitación de movimiento
- Descripción de la limitación de MAC y la limitación de movimiento de MAC
- Descripción de la limitación de MAC en interfaces de enrutamiento de capa 3
- Descripción y uso del aprendizaje persistente de MAC
- Configuración de la limitación de MAC
- Ejemplo: configuración de la limitación de MAC
- Comprobación de que la limitación de MAC funciona correctamente
- Anular un límite de MAC aplicado a todas las interfaces
- Configuración de la limitación de movimiento de MAC (ELS)
- Comprobación de que la limitación de movimiento de MAC funciona correctamente
- Comprobar que la configuración de deshabilitación de errores de puerto funciona correctamente
-
- play_arrow Protección DHCP
- play_arrow DHCPv4 y DHCPv6
- Descripción y uso de servidores DHCP de confianza
- Ejemplo: protección contra ataques no autorizados al servidor DHCP
- Confirmación rápida de DHCPv6
- Uso del agente de relé DHCPv6 ligero (LDRA)
- Configuración de enlaces persistentes en DHCP o DHCPv6 (ELS)
- Configuración de enlaces persistentes en DHCP o DHCPv6 (no ELS)
- play_arrow Espionaje DHCP
- Descripción de la supervisión de DHCP (ELS)
- Descripción de la supervisión de DHCP (no ELS)
- Habilitación de la supervisión de DHCP (no ELS)
- Configuración de direcciones IP DHCP estáticas
- Ejemplo: protección contra la suplantación de direcciones y los ataques DoS de capa 2
- Ejemplo: protección contra ataques de base de datos DHCP snooping
- Ejemplo: protección contra ataques de suplantación de ARP
- Ejemplo: priorizar paquetes espiados e inspeccionados
- Configuración de la seguridad DHCP con tunelización Q-in-Q al estilo del proveedor de servicios
- play_arrow Opción 82 de DHCP
- play_arrow Inspección ARP dinámica (DAI)
-
- play_arrow Seguridad de acceso IPv6
- play_arrow Protocolo de descubrimiento de vecinos
- play_arrow Espionaje SLAAC
- play_arrow Protección publicitaria del enrutador
-
- play_arrow Protección distribuido de denegación de servicio (DDoS) del plano de control y detección de flujo
- play_arrow Protección DDoS del plano de control
- Descripción general de la protección de denegación de servicio distribuida (DDoS) del plano de control
- Configuración de la protección DDoS del plano de control
- Operaciones de protección DDoS del plano de control de rastreo
- Ejemplo: configuración de la protección DDoS del plano de control
- Ejemplo: configuración de la protección DDoS del plano de control en conmutadores de la serie QFX
- play_arrow Detección de flujo y flujos culpables
-
- play_arrow Reenvío de unidifusión
- play_arrow Reenvío de ruta inversa de unidifusión
- play_arrow Reenvío de unidifusión desconocido
-
- play_arrow Control de tormentas
- play_arrow Comprender y usar el control de tormentas
-
- play_arrow Protección contra malware
- play_arrow Herramienta de eliminación de malware de Juniper
-
- play_arrow Instrucciones de configuración y comandos operativos
Descripción de IP Source Guard para la seguridad de puertos en conmutadores
Los conmutadores LAN Ethernet son vulnerables a ataques que implican suplantación (falsificación) de direcciones IP de origen o direcciones MAC de origen. Puede utilizar la característica de seguridad del puerto de acceso de protección de origen IP para mitigar los efectos de estos ataques.
Suplantación de direcciones IP
Los hosts en las interfaces de acceso pueden suplantar las direcciones IP de origen y las direcciones MAC de origen al inundar el conmutador con paquetes que contienen direcciones no válidas. Estos ataques, combinados con otras técnicas, como los ataques de inundación TCP SYN, pueden provocar ataques de denegación de servicio (DoS). Con la suplantación de la dirección IP de origen o de la dirección MAC de origen, el administrador del sistema no puede identificar el origen del ataque. El atacante puede suplantar direcciones en la misma subred o en una subred diferente.
Cómo funciona IP Source Guard
La protección de origen IP examina cada paquete enviado desde un host conectado a una interfaz de acceso que no es de confianza en el conmutador. La dirección IP, la dirección MAC, la VLAN y la interfaz asociada con el host se comparan con las entradas almacenadas en la base de datos de espionaje DHCP. Si el encabezado del paquete no coincide con una entrada válida de la base de datos de espionaje DHCP, el conmutador no reenvía el paquete, es decir, el paquete se descarta.
Si el conmutador utiliza Junos OS para la serie EX compatible con el estilo de configuración Enhanced Layer 2 Software (ELS), la supervisión de DHCP se habilita automáticamente cuando se habilita la protección de origen IP en una VLAN. Consulte Configuración de IP Source Guard (ELS).
Si el conmutador utiliza Junos OS para la serie EX sin admitir el estilo de configuración Enhanced Layer 2 Software (ELS) y habilita la protección de origen IP en una VLAN, también debe habilitar explícitamente la supervisión de DHCP en esa VLAN. De lo contrario, el valor predeterminado de No snooping DHCP se aplica a la VLAN. Consulte Configuración de IP Source Guard (no ELS).
La protección de origen IP examina los paquetes enviados desde interfaces de acceso que no son de confianza en esas VLAN. De forma predeterminada, las interfaces de acceso no son de confianza y las interfaces troncales son de confianza. La protección de origen IP no examina los paquetes enviados al conmutador por dispositivos conectados a interfaces de confianza para que un servidor DHCP pueda conectarse a esa interfaz para proporcionar direcciones IP dinámicas.
En un conmutador EX9200, puede establecer una interfaz troncal para untrusted
que admita protección de origen IP.
Protección de origen IPv6
El protector de origen IPv6 está disponible en conmutadores compatibles con la supervisión de DHCPv6. Para determinar si el conmutador admite la supervisión de DHCPv6, consulte el Explorador de características.
La tabla de espionaje de DHCP
La protección de origen IP obtiene información acerca de los enlaces de dirección IP a direcciones MAC (enlace IP-MAC) de la tabla de espionaje DHCP, también conocida como tabla de enlace DHCP. La tabla de espionaje DHCP se rellena mediante espionaje DHCP dinámico o mediante la configuración de enlaces de dirección IP estática específica a direcciones MAC. Para obtener más información acerca de la tabla de espionaje DHCP, consulte Descripción de la supervisión de DHCP (ELS).
Para mostrar la tabla de espionaje DHCP, emita el comando de modo operativo que aparece en la CLI del conmutador.
Para espionaje DHCP:
(Para conmutadores que no son ELS)
show ip-source-guard
(Solo conmutadores ELS)
show dhcp-security binding
Para espionaje DHCPv6:
(Para conmutadores que no son ELS)
show dhcpv6 snooping binding
(Solo conmutadores ELS)
show dhcp-security ipv6 binding
Usos típicos de otras funciones de Junos OS con IP Source Guard
Puede configurar la protección de origen IP con otras funciones de seguridad de puerto, entre las que se incluyen:
Etiquetado de VLAN (usado para VLAN de voz)
GRES (cambio elegante del motor de enrutamiento)
Configuraciones de Virtual Chassis
Grupos de agregación de vínculos (LAG)
Autenticación de usuario 802.1X en modo de suplicante único, suplicante seguro único o suplicante múltiple.
Nota:Al implementar la autenticación de usuario 801.X en modo suplicante seguro único o suplicante múltiple, use las siguientes instrucciones de configuración:
Si la interfaz 802.1X forma parte de una VLAN basada en MAC sin etiquetar y desea habilitar la protección de origen IP y el espionaje DHCP en esa VLAN, debe habilitar la protección de origen IP y la supervisión DHCP en todas las VLAN dinámicas en las que la interfaz tenga pertenencia sin etiquetar. Esto también se aplica a la protección de origen IPv6 y al espionaje DHCPv6.
Si la interfaz 802.1X forma parte de una VLAN basada en MAC etiquetada y desea habilitar la protección de origen IP y el espionaje DHCP en esa VLAN, debe habilitar la protección de origen IP y la supervisión DHCP en todas las VLAN dinámicas en las que la interfaz haya etiquetado la pertenencia. Esto también se aplica a la protección de origen IPv6 y al espionaje DHCPv6.