Omitir Vínculos de navegación | |
Salir de la Vista de impresión | |
Protección de la red en Oracle Solaris 11.1 Oracle Solaris 11.1 Information Library (Español) |
1. Uso de protección de enlaces en entornos virtualizados
Configuración de la protección de enlaces (mapa de tareas)
Cómo activar la protección de enlaces
Cómo desactivar la protección de enlaces
Cómo especificar direcciones IP para ofrecer protección contra la falsificación de IP
Cómo especificar clientes DHCP para ofrecer protección contra la falsificación de DHCP
Como ver la configuración y las estadísticas de la protección de enlaces
3. Servidores web y el protocolo de capa de sockets seguros
4. Filtro IP en Oracle Solaris (descripción general)
6. Arquitectura de seguridad IP (descripción general)
7. Configuración de IPsec (tareas)
8. Arquitectura de seguridad IP (referencia)
9. Intercambio de claves de Internet (descripción general)
10. Configuración de IKE (tareas)
Con la creciente adopción de la virtualización en configuraciones del sistema, el administrador del host puede ofrecer a las máquinas virtuales (VM) invitadas acceso exclusivo a un enlace físico o virtual. Esta configuración mejora el rendimiento de la red al permitir que el tráfico de red del entorno virtual sea aislado del tráfico mayor recibido o enviado por el sistema host. Al mismo tiempo, esta configuración puede exponer al sistema y a toda la red al riesgo de paquetes dañinos posiblemente generados por un entorno invitado.
El objetivo de la protección de enlaces es prevenir el daño causado a la red por máquinas virtuales invitadas posiblemente maliciosas. La función ofrece protección contra las siguientes amenazas básicas:
Falsificación de IP, DHCP y MAC
Falsificación de marco L2, como los ataques de unidad de datos del protocolo de puente (BPDU)
Nota - La protección de enlaces no reemplaza la implementación de un cortafuegos, en especial para configuraciones con requisitos de filtrado complejos.
El mecanismo de protección de enlaces de Oracle Solaris ofrece los siguientes tipos de protección:
Activa la protección contra la falsificación de la dirección MAC del sistema. Si el enlace pertenece a una zona, la activación de mac-nospoof impide que el propietario de la zona modifique la dirección MAC de ese enlace.
Activa la protección contra la falsificación de IP. De manera predeterminada, se permiten paquetes salientes con direcciones DHCP y direcciones IPv6 de enlace local.
Puede agregar direcciones utilizando la propiedad de enlace allowed-ips. Para las direcciones IP, la dirección de origen del paquete debe coincidir con una dirección de la lista allowed-ips. Para un paquete ARP, la dirección de protocolo del remitente del paquete debe estar en la lista allowed-ips.
Activa la protección contra la falsificación del cliente DHCP. De manera predeterminada, se permiten los paquetes DHCP cuyo identificador coincide con la dirección MAC del sistema.
Puede agregar clientes permitidos utilizando la propiedad de enlace allowed-dhcp-cids. Las entradas de la lista allowed-dhcp-cids deben tener el formato especificado en la página del comando man dhcpagent(1M).
Restringe los paquetes salientes a IPv4, IPv6 y ARP. Este tipo de protección está diseñado para evitar que el enlace genere marcos de control L2 posiblemente dañinos.
Nota - Los paquetes descartados debido a la protección de enlaces son rastreados por las estadísticas del núcleo para los cuatro tipos de protección: mac_spoofed, dhcp_spoofed, ip_spoofed y restricted. Para recuperar estas estadísticas por enlace, consulte Como ver la configuración y las estadísticas de la protección de enlaces.