- play_arrow Seguridad portuaria
- play_arrow Descripción general de la seguridad portuaria
-
- play_arrow IPSec
- play_arrow Descripción de IPsec y las asociaciones de seguridad
- play_arrow Configuraciones y ejemplos de IPsec
- Consideración de problemas generales de IPsec
- Descripción general de la configuración de IPsec para una PIC de ES
- Configuración de asociaciones de seguridad para IPsec en una PIC de ES
- Configuración de asociaciones de seguridad IPsec
- Configuración de una política de IKE
- Configuración de una propuesta IPsec para una PIC de ES
- Configuración de una directiva IPsec
- play_arrow Configuración de asociaciones de seguridad IPsec
- play_arrow Uso de certificados digitales para IPsec
- play_arrow Opciones adicionales de IPsec
- play_arrow Configuración de extremos dinámicos IPsec
- Configuración de un perfil de acceso IKE para túneles de punto de conexión dinámico IPsec
- Configuración del conjunto de servicios para túneles de extremo dinámico IPsec
- Configuración del identificador de interfaz para túneles de extremo dinámico IPsec
- Configuración de un perfil de acceso IKE para túneles de punto de conexión dinámico IPsec
- play_arrow Ejemplos adicionales de configuración de PIC de ES y AS
- Ejemplo: configuración manual de SA de ES PIC
- Ejemplo: Configuración manual de SA de AS PIC
- Ejemplo: configuración SA dinámica de IKE de PIC
- Ejemplo: configuración SA dinámica de IKE como PIC
- Ejemplo: SA dinámica IKE entre una configuración de PIC de AS y PIC de ES
- Ejemplo: AS PIC IKE Dynamic SA con configuración de certificados digitales
- Ejemplo: configuración de tunelización dinámica de punto de conexión
-
- play_arrow Certificados digitales
- play_arrow Configuración de certificados digitales
- Criptografía de clave pública
- Configuración de certificados digitales
- Configuración de certificados digitales para una PIC de ES
- Política de IKE para certificados digitales en un PIC de ES
- Configuración de certificados digitales para interfaces de servicios adaptables
- Configuración de la reinscripción automática de un certificado de enrutador
- Configuración del tráfico de túnel IPsec
- Operaciones de rastreo para servicios de seguridad
- play_arrow Configuración del acceso al enrutador SSH y SSL
-
- play_arrow Módulo de plataforma segura
- play_arrow Limitación de MAC y limitación de movimiento
- play_arrow Configuraciones y ejemplos de limitación de MAC y limitación de movimiento
- Descripción de la limitación de MAC y la limitación de movimiento de MAC
- Descripción de la limitación de MAC en interfaces de enrutamiento de capa 3
- Descripción y uso del aprendizaje persistente de MAC
- Configuración de la limitación de MAC
- Ejemplo: configuración de la limitación de MAC
- Comprobación de que la limitación de MAC funciona correctamente
- Anular un límite de MAC aplicado a todas las interfaces
- Configuración de la limitación de movimiento de MAC (ELS)
- Comprobación de que la limitación de movimiento de MAC funciona correctamente
- Comprobar que la configuración de deshabilitación de errores de puerto funciona correctamente
-
- play_arrow Protección DHCP
- play_arrow DHCPv4 y DHCPv6
- Descripción y uso de servidores DHCP de confianza
- Ejemplo: protección contra ataques no autorizados al servidor DHCP
- Confirmación rápida de DHCPv6
- Uso del agente de relé DHCPv6 ligero (LDRA)
- Configuración de enlaces persistentes en DHCP o DHCPv6 (ELS)
- Configuración de enlaces persistentes en DHCP o DHCPv6 (no ELS)
- play_arrow Espionaje DHCP
- Descripción de la supervisión de DHCP (ELS)
- Descripción de la supervisión de DHCP (no ELS)
- Descripción de la configuración de confianza de espionaje DHCP
- Habilitación de la supervisión de DHCP (no ELS)
- Configuración de direcciones IP DHCP estáticas
- Ejemplo: protección contra la suplantación de direcciones y los ataques DoS de capa 2
- Ejemplo: protección contra ataques de base de datos DHCP snooping
- Ejemplo: protección contra ataques de suplantación de ARP
- Ejemplo: priorizar paquetes espiados e inspeccionados
- Configuración de la seguridad DHCP con tunelización Q-in-Q al estilo del proveedor de servicios
- play_arrow Opción 82 de DHCP
- play_arrow Inspección ARP dinámica (DAI)
-
- play_arrow Protección de origen IP
- play_arrow Descripción de IP Source Guard
- play_arrow Ejemplos de protección de origen IP
- Ejemplo: configuración de IP source Guard en una VLAN de datos que comparte una interfaz con una VLAN de voz
- Ejemplo: configuración de IP Source Guard con otras funciones del conmutador de la serie EX para mitigar los ataques de suplantación de direcciones en interfaces de acceso que no son de confianza
- Ejemplo: configuración de IP Source Guard e inspección de ARP dinámica para proteger el conmutador de la suplantación de IP y la suplantación de ARP
- Ejemplo: configuración de la inspección de detección de vecinos y protección de origen IPv6 para proteger un conmutador de la suplantación de direcciones IPv6
- Configuración de IP Source Guard para mitigar los efectos de la suplantación de direcciones IP de origen y la suplantación de direcciones MAC de origen
- Ejemplo: configuración de IP Source Guard e inspección de ARP dinámica en un dominio de puente especificado para proteger los dispositivos contra ataques
- Ejemplo: configuración de la inspección de detección de vecinos y protección de origen IPv6 para proteger un conmutador de la suplantación de direcciones IPv6
-
- play_arrow Seguridad de acceso IPv6
- play_arrow Protocolo de descubrimiento de vecinos
- play_arrow Espionaje SLAAC
- play_arrow Protección publicitaria del enrutador
-
- play_arrow Protección distribuido de denegación de servicio (DDoS) del plano de control y detección de flujo
- play_arrow Protección DDoS del plano de control
- Descripción general de la protección de denegación de servicio distribuida (DDoS) del plano de control
- Configuración de la protección DDoS del plano de control
- Operaciones de protección DDoS del plano de control de rastreo
- Ejemplo: configuración de la protección DDoS del plano de control
- Ejemplo: configuración de la protección DDoS del plano de control en conmutadores de la serie QFX
- play_arrow Detección de flujo y flujos culpables
-
- play_arrow Reenvío de unidifusión
- play_arrow Reenvío de ruta inversa de unidifusión
- play_arrow Reenvío de unidifusión desconocido
-
- play_arrow Control de tormentas
- play_arrow Comprender y usar el control de tormentas
-
- play_arrow Protección contra malware
- play_arrow Herramienta de eliminación de malware de Juniper
-
- play_arrow Instrucciones de configuración y comandos operativos
Seguridad de control de acceso a medios (MACsec) a través de WAN
Media Access Control Security (MACsec) es una solución de capa de vínculo para el cifrado punto a punto. MACsec se puede utilizar para cifrar conexiones de capa 2 a través de una WAN de proveedor de servicios para garantizar la integridad y confidencialidad de la transmisión de datos.
Transporte de MACsec en varios saltos
Para establecer una sesión MACsec, se utiliza el Acuerdo de claves MACsec (MKA) para intercambiar las claves necesarias entre los nodos pares. Las PDU MKA se transmiten mediante el Protocolo de autenticación extensible a través de LAN (EAPoL) como protocolo de transporte. EAPoL es un protocolo de capa 2 y normalmente sería procesado localmente por el conmutador o enrutador y no se propagaría más.
En el caso de que los nodos estén conectados a través de una red de proveedores de servicios, esto presenta un desafío. La figura 1 muestra MACsec transferido a través de una red de proveedor de servicios. MKA debe intercambiar claves entre los dispositivos del cliente A y B. Los enrutadores perimetrales, o dispositivos intermedios, no deben procesar los paquetes EAPoL. En su lugar, deben reenviarlos de forma transparente al siguiente salto.
de proveedor de servicios
La dirección MAC de destino predeterminada para un paquete EAPoL es una dirección de multidifusión. En una red de proveedores de servicios, puede haber dispositivos que consuman estos paquetes, suponiendo que los paquetes estén destinados a ellos. EAPoL es utilizado por 802.1X y otros métodos de autenticación, lo que puede hacer que los dispositivos descarten los paquetes, dependiendo de su configuración. Esto causaría que la sesión MKA fallara. Para asegurarse de que el paquete EAPoL llega al destino correcto, puede cambiar la dirección MAC de destino para que la red del proveedor de servicios tunelice el paquete en lugar de consumirlo.
Configuración de la dirección MAC de destino EAPoL para MACsec
MACsec transmite PDU MKA mediante paquetes EAPoL para establecer una sesión segura. De forma predeterminada, EAPoL usa una dirección MAC de multidifusión de destino de 01:80:C2:00:00:03. Para evitar que estos paquetes se consuman en una red de proveedor de servicios, puede cambiar la dirección MAC de destino.
Para configurar la dirección MAC de destino EAPoL, escriba uno de los siguientes comandos.
La configuración debe coincidir en ambos nodos pares para establecer la sesión MACsec.
Las opciones se asignan a direcciones MAC de la siguiente manera:
Dirección EAPoL | Dirección MAC |
|---|---|
| 01:80:C2:00:00:03 |
| 01:80:C2:00:00:00 |
| 01:80:C2:00:00:0E |
| configurable unicast address |