Configuración de la suite de seguridad en los switches gestionados serie 300

Objetivo

La suite de seguridad de los switches gestionados de la serie 300 de Cisco ofrece protección contra ataques de denegación de servicio (DoS). Los ataques de DoS inundan las redes con tráfico falso, lo que hace que los recursos del servidor de red no estén disponibles o no respondan a los usuarios legítimos. Por lo general, hay dos tipos de ataques DoS. Los ataques de DoS de fuerza bruta inundan el servidor y consumen ancho de banda de red y servidor. Los ataques sistemáticos manipulan las vulnerabilidades de los protocolos, como el mensaje TCP SYN, para que los sistemas colapsen. En este artículo se explican los ajustes disponibles en la suite de seguridad de los switches gestionados serie 300.

Nota: Las listas de control de acceso (ACL) y las políticas avanzadas de QoS no están activas en un puerto cuando se habilita la protección contra ataques de DoS.

Dispositivos aplicables

Switches gestionados · SF/SG serie 300

Versión del software

•1.3.0.62

Configuración de Security Suite

Paso 1. Inicie sesión en la utilidad de configuración web y elija Security > Denial of Service Prevention > Security Suite Settings. Se abre la página Configuración del conjunto de seguridad:

Nota: El mecanismo de protección de la CPU está habilitado de forma predeterminada en los switches gestionados serie 300 y no se puede inhabilitar. El switch utiliza la tecnología Secure Core Technology (SCT), que permite al switch gestionar el tráfico de protocolo y de gestión sin importar el volumen total de tráfico recibido. 

Paso 2. (Opcional) Haga clic en Detalles en el campo Uso de CPU para ver el uso de la CPU. Refiérase al artículo Utilización de CPU en Switches Gestionados Serie 200/300 para obtener más información.

Paso 3. (Opcional) Haga clic en Editar en el campo TCP SYN Protection para editar los parámetros de TCP SYN Protection. Consulte el artículo Configuración de Filtrado de Sincronización (SYN) en los Switches Administrados de la Serie 300 para obtener más información.

Paso 4. En el campo DoS Prevention (Prevención de DoS), haga clic en el botón de opción correspondiente al método de prevención de DoS que desea emplear. Las opciones disponibles son:

· Desactivar: Desactivar la función de protección de DoS. Si selecciona Disable (Desactivar), vaya al paso 13.

· System - Level-Prevention - Habilita las funciones de protección de DoS que protegen del troyano Invasor, la distribución Stacheldraht, el troyano Back Orifice y las direcciones Martian.

· System - Level-Prevention and Interface-Level Protection - Habilita todas las medidas de seguridad definidas en el área de protección de denegación de servicio.

Paso 5. Marque la casilla de verificación Enable en el campo Stacheldraht Distribution para descartar los paquetes TCP con un número de puerto TCP de origen de 16660.

Paso 6. Marque la casilla de verificación Enable en el campo Invasor Trojan para descartar los paquetes TCP con un puerto TCP de destino de 2140 y un puerto TCP de origen de 1024.

Paso 7. Marque la casilla de verificación Enable en el campo Back Orifice Trojan para descartar los paquetes UDP con un puerto UDP de destino igual a 31337 y un puerto UDP de origen 1024.

Nota: Aunque hay cientos de ataques de denegación de servicio, los puertos mencionados anteriormente se aprovechan habitualmente para detectar actividad maliciosa. Sin embargo, también se utilizan para el tráfico legítimo.  Si tiene un dispositivo que utiliza cualquiera de los puertos anteriores, esa información se bloqueará.

Paso 8. Haga clic en Editar en el campo Direcciones marcianas para editar la Tabla de Direcciones Marcianas. La Tabla de Direcciones Marcianas descarta paquetes de direcciones IP seleccionadas. Para editar la lista de direcciones marcianas, refiérase al artículo Configuración de Dirección Marciana de Denegación de Servicio (DoS) en Switches Administrados de la Serie 300.

Nota: Los pasos 9-12 requieren que la prevención de nivel de sistema y de interfaz se elija en el Paso 4. Vaya al paso 13 si ha seleccionado otro tipo de prevención de DoS.

Paso 9. Haga clic en Editar en el campo Filtrado SYN para permitir que el administrador bloquee ciertos puertos TCP. Para configurar el filtrado SYN, consulte el artículo Configuración del filtrado SYN de denegación de servicio (DoS) en los switches gestionados serie 300.

Paso 10. Haga clic en Edit en el campo SYN Rate Protection para limitar el número de paquetes SYN recibidos. Para configurar SYN Rate Protection, refiérase al artículo SYN Rate Protection en los 300 Series Managed Switches.

Paso 11. Haga clic en Edit en el campo ICMP Filtering para permitir que se bloqueen los paquetes ICMP de ciertos orígenes. Para configurar el filtrado ICMP, consulte el artículo Configuración de filtrado de protocolo de mensajes de control de Internet (ICMP) en los switches gestionados serie 300.

Paso 12. Haga clic en Edit en el campo IP Fragmented para bloquear los paquetes IP fragmentados. Para configurar el filtrado de fragmentos IP, consulte el artículo Configuración de filtrado de fragmentos IP de denegación de servicio (DoS) en switches gestionados serie 300.

Paso 13. Haga clic en Aplicar para guardar los cambios o haga clic en Cancelar para cancelarlos.