| Artículos | 01 FEB 2000

Estándar 802.1X

Los retos de la seguridad

Dotar de seguridad a las redes implica poner en práctica un amplio abanico de tecnologías que aseguren tanto la integridad de las informaciones que circulan por ella, como que sólo los usuarios autorizados puedan acceder a los servicios correctos. Una estrategia global de seguridad obliga, además, a mantener la red a prueba de intrusiones externas a las aplicaciones e información críticas.

Tan amplios objetivos exigen atacar diferentes frentes mediante la implantación de un conjunto de estrategias de seguridad en las que juegan un papel fundamental tecnologías como las de autenticación de usuarios, encriptación de datos, LAN virtuales, filtrado de tráfico y nuevas características de gestión de red.

Las VLAN permiten que usuarios de diferentes segmentos físicos de la red formen grupos lógicos en función de sus necesidades de recursos y servicios. Así, se puede establecer que los miembros de una VLAN no puedan acceder a los recursos del resto de la red, si bien los usuarios pueden pertenecer a dos o más VLAN. Actualmente, IEEE 802.1Q proporciona un método estándar para identificar ("etiquetar") la información específica de una VLAN para que sea reconocida como tal dentro del tráfico.

Las funciones de filtrado, por su parte, proporcionan seguridad y reducen el tráfico entre segmentos, al impedir enviar determinados tipos de tráfico allí donde no se precisa, de modo que se reduce el nivel de tráfico global de dicho segmento. El filtrado reduce, además, el procesamiento requerido por los nodos finales al evitar que sus CPU procesen tráfico innecesario.

Como cada grupo de trabajo de una red suele tener sus propias necesidades, es normal que a veces requieran protocolos distintos. En este caso, el filtrado de protocolos, que se configura puerto a puerto, puede ser utilizado para frenar los broadcast no deseados de un protocolo específico de Nivel 3, como IP, IPX o AppleTalk, para evitar que pase a otras partes de la red. Esta opción de filtrado permite a los administradores perfilar el tráfico.

También se pueden aplicar técnicas de filtrado en función de las direcciones MAC (Media Access Control) o IP, como hacen los cortafuegos. Es decir, cuando empleamos estas técnicas de filtrado no sólo para optimizar el empleo del ancho de banda, sino para incorporar medidas de seguridad, detallamos la configuracion de parámetros a nivel de dirección (IP por ejemplo) y a nivel de tipo de tráfico (Telnet, FTP, UDP, SNMP, ICMP...), de manera que podemos implementar robustos sistemas de cortafuegos (firewalling).

 SEGURIDAD DE PUERTO
Volver al sumario  
La seguridad de puerto puede ser establecida en el conmutador de tal modo que los puertos sólo envían los paquetes si en el mismo hay nodos finales autorizados. El resto de paquetes unicast son descartados. Todo los paquetes "multicast" y "broadcast" son enviados.

Los nodos autorizados pueden ser definidos de dos maneras diferentes: continua y estática. Por la primera, cualquier nodo conectado al puesto es autorizado. Esencialmente, cualquier dirección de nodo en la tabla de direcciones del conmutador para este puerto se convierte en nodo autorizado para el mismo. Esto previene que haya paquetes "unicast" fluyendo de ese puerto, pero permite a cualquier nodo recibir tráfico unicast especialmente dirigido a él. Puesto que estas entradas de puerto autorizado son dinámicas, llegan a la velocidad establecida por la tabla de direcciones del conmutador.

Con la técnica estática se especifica el número de direcciones MAC permitido para un puerto determinado. Si el numero de direcciones MAC es inferior al numero de direcciones totales permitidas, entonces el conmutador filtrará la lista de direcciones "viendo" las que no están específicamente configuradas. Esto permite que los primeros puertos vistos se conviertan en autorizados sin que sus direcciones hayan sido explícitamente configuradas. Y si ocurre una violación de seguridad, el conmutador puede ser establecido para enviar una "trap" SNMP.


 SEGURIDAD EN GESTIÓN DE RED
Volver al sumario  
Es posible configurar la seguridad de un dispositivo de red sin utilizar una aplicación de gestión mediante la consola del dispositivo/seguridad Telnet, seguridad Web (HTTP) y seguridad SNMP (Simple Network Management Protocol).

La consola es una interfaz basada en texto para la monitorización y configuración de un dispositivo desde un terminal o emulador de terminal. Se puede acceder a ella mediante contraseña, a través del puerto serie o de la red vía telnet. Siempre conviene configurar una contraseña en esta sesión a nivel de "operador" (monitorización) y a nivel de "gestor" (configuración y monitorización).

Los hubs y conmutadores más recientes soportan interfaz basada en navegador Web. El protocolo HTTP se utiliza para monitorizar o configurar nombres de usuarios y contraseñas desde el navegador. Las contraseñas de "operador" (sólo lectura) permite a ver todas las páginas excepto las de seguridad; para los conmutadores, la contraseña es la misma que la de la consola. Las contraseñ

Contenidos recomendados...

Comentar
Para comentar, es necesario iniciar sesión
Se muestran 0 comentarios
X

Uso de cookies

Esta web utiliza cookies técnicas, de personalización y análisis, propias y de terceros, para facilitarle la navegación de forma anónima y analizar estadísticas del uso de la web. Consideramos que si continúa navegando, acepta su uso. Obtener más información