En RedesZone hemos tenido la oportunidad de analizar el switch D-Link DXS-1100-10TS, un equipo de alto rendimiento con puertos a 10Gbps. La semana pasada os enseñamos cómo funciona la característica Port Security para dotar de seguridad a nuestra red, hoy os enseñamos el resto de opciones de seguridad que tenemos disponible en el firmware de este switch.
Antes de empezar con las opciones de seguridad que tenemos en el switch gestionable profesional D-Link DXS-1100-10TS, os recomendamos visitar nuestro artículo sobre Port Security. Os recomendamos leer nuestro funciones D-Link DMS-106XT con puertos Multigigabit.
ARP Spoofing Prevention
Los ataques ARP Spoofing son los ataques más típicos en las redes IPv4, un ataque de este tipo sirve para poder realizar posteriormente un Man In The Middle y capturar todos los datos de uno o varios objetivos. La opción de anti ARP Spoofing disponible en este switch, nos permite configurar por puerto que la dirección IP de la puerta de enlace siempre coincida con una dirección MAC de dicha puerta de enlace. Todos los paquetes que no cumplan con esta regla, serán bloqueados automáticamente por el switch, impidiendo que usuarios malintencionados se puedan hacer con el control de la red.
Safeguard Engine
Un determinado atacante podría enviar paquetes de manera masiva con la finalidad de saturar el switch, por ejemplo podría enviar una tormenta de ARP para llenar la tabla CAM. Este tipo de ataques saturan la CPU del switch haciendo la red más lenta, sin embargo, gracias a la opción Safeguard Engine podremos minimizar los daños.
Si en algún momento el uso de la CPU supera el valor del 70% (por defecto), el switch automáticamente activa Safeguard Engine y limitará tanto el ancho de banda disponible en los equipos, como también los paquetes ARP y broadcast de la red. Esto hará que la CPU tenga menos carga, y cuando descienda al 20% (por defecto) la función se desactivará.
Esta opción sirve para que en caso de ataque, el switch no se bloquee y deje inservible toda la red profesional. En la siguiente captura podéis ver los parámetros configurables, básicamente podremos activar y desactivar esta función, habilitar o deshabilitar los traps, y también los intervalos de actuación.
Traffic Segmentation
Esta opción es muy interesante, nos permitirá reenviar únicamente los paquetes recibidos por un puerto a otro puerto o a varios. Si no tenemos ninguna regla creada, todos los puertos se podrán comunicar con todos sin ningún problema.
Este menú es muy simple, y es que simplemente deberemos elegir un puerto o puertos donde se reciba la información, y el puerto o puerto donde podrá reenviar estas tramas (Forwarding Domain). Si por ejemplo tenemos la regla del puerto Eth4 –> Eth5, si alguien del puerto Eth4 intenta comunicarse con Eth6 no podrá hacerlo.
Storm Control
En este menú tenemos disponibles todas las opciones respecto a las tormentas de paquetes Unicast, Multicast y Broadcast. Podremos limitar por el tipo de paquete, realizar una determinada acción (drop normalmente) y por supuesto indicar el número de paquetes por segundo permitidos antes de «dropear» o bloquear el tráfico. Este switch profesional además de permitir PPS (paquetes por segundo), también permite tráfico (Kbps) y en lugar de «dropear» el tráfico también permite directamente apagar el puerto desde donde se está recibiendo todo este tráfico que seguramente sea malicioso.
En este menú también tendremos la opción de habilitar o deshabilitar los traps SNMP para avisar al administrador de redes, y por supuesto configurar en detalle todos los parámetros de estas tormentas.
DoS Attack Prevention Settings
En esta opción de seguridad tendremos la posibilidad de habilitar o deshabilitar una gran cantidad de ataques a redes, por ejemplo tenemos los ataques Land Attack, TCP SYN Flood, TCP Null, TCP XMas y muchos otros. En este menú podremos habilitarlos o deshabilitaros y qué acción tomar en caso de que se detecten estos ataques: «dropear» todos los paquetes.
Tal y como habéis visto, este switch tiene interesantes funcionalidades de cara a la seguridad de la red profesional, ideal para tener la red bajo control. Además, gracias a SNMP podremos monitorizar en todo momento qué está ocurriendo en el switch, ya que envía automáticamente traps SNMP donde los recibiremos en un servidor central para su posterior tratamiento.
En el siguiente enlace podéis leer el análisis a fondo de este switch:
- Leer análisis a fondo del switch D-Link DXS-1100-10TS
Os recomendamos visitar nuestra página dedicada al fabricante D-Link donde encontraréis todos los análisis que hemos realizado hasta la fecha, tanto de tarjetas de red Wi-Fi, como de switches gestionables de gama alta. También podéis acceder a la sección D-Link Hogar Digital donde encontraréis manuales de configuración de los diferentes dispositivos del fabricante D-Link.