Saltar al contenido
Haga clic aquí para abrir la documentación sobre los switches administrados localmente, incluidas las guías de CLI y API.

Enlace permanente de la página

Utilice siempre el siguiente enlace permanente cuando haga referencia a esta página. No se modificará en futuras versiones de la ayuda.

https://docs.sophos.com/central/customer/help/es-es/index.html?contextId=switch-management-security

Security

Puede configurar los parámetros de seguridad de Sophos Switch, como la protección contra DoS, la autenticación 802.1X y la seguridad de puertos, así como añadir y eliminar servidores RADIUS y TACACS+.

DoS

Sophos Switch puede supervisar y bloquear ataques de denegación de servicio (DoS). Un ataque DoS es tráfico de red destinado a saturar un host e interrumpir su conexión a la red.

Seleccione Activar o Desactivar para activar o desactivar la protección DoS. Seleccione No establecido para utilizar los parámetros configurados localmente en el switch.

Después de activar o desactivar DoS, haga clic en Actualizar para guardar los cambios.

Cuando se activa DoS, el switch descarta los paquetes que coinciden con los siguientes tipos de ataques DoS:

  • MAC de destino igual a MAC de origen: descarta el tráfico en que las direcciones MAC de origen y destino son iguales.
  • IP de destino de los ataques LAND igual a IP de origen (IPv4/IPv6): descarta los paquetes en que las direcciones IP de origen y destino son iguales.

  • TCP Blat (Puerto TCP de destino igual a puerto TCP de origen): descarta los paquetes TCP en que los puertos TCP de origen y destino son iguales.

    Nota

    A veces el cliente NTP (protocolo de tiempo de redes) utiliza el mismo puerto de origen y destino. Cuando se activa la protección DoS, Sophos Switch la detecta como un ataque TCP Blat y descarta los paquetes. Recomendamos desactivar la protección DoS si está ejecutando clientes NTP más antiguos que utilizan los mismos puertos de origen y destino.

  • UDP Blat (puerto UDP de destino igual al puerto UDP de origen): descarta los paquetes UDP en que los puertos UDP de origen y destino son iguales.

  • Ping de la muerte (IPv4/IPv6): descarta los paquetes con una longitud superior a 64K bytes a través de fragmentos.
  • Fragmento mínimo IPv6 (bytes): limita el tamaño mínimo de los fragmentos IPv6 a 1240 bytes.
  • Fragmentos ICMP (IPv4/IPv6): descarta paquetes ICMP fragmentados.
  • Tamaño máximo de ping IPv4: limita la longitud máxima de un paquete de ping IPv4 a 512 bytes.
  • Tamaño máximo de ping IPv6: limita la longitud máxima de un paquete de ping IPv6 a 512 bytes.
  • Ataque pitufo (longitud de máscara de red): limita la longitud de la máscara de red de los paquetes ICMP de difusión a 24 (x.x.x.255).
  • Tamaño de encabezado mínimo TCP (bytes): limita el tamaño mínimo del encabezado TCP a 20 bytes.
  • TCP-SYN: descarta los paquetes TCP en que el indicador SYN está establecido, el indicador ACK no está establecido y el puerto de origen es menor que 1024.
  • Escaneado Null: descarta los paquetes TCP en que no hay indicadores establecidos y el número de secuencia es cero.
  • Xmas: descarta los paquetes TCP con el número de secuencia cero y los indicadores FIN, URG y PSH establecidos.
  • TCP SYN-FIN: descarta los paquetes TCP con los indicadores SYN y FIN establecidos.
  • TCP SYN-RST: descarta los paquetes TCP con los indicadores SYN y RST establecidos.

802.1X

Sophos Switch admite el control de acceso a la red basado en puertos 802.1X para autenticar a usuarios y dispositivos mediante un servidor RADIUS o TACACS+.

Configuración global

La pestaña Configuración global es donde se activa o desactiva la autenticación 802.1X. También puede administrar las asignaciones de VLAN de invitados, establecer el ID de VLAN de invitados y seleccionar el método de autenticación.

Puede configurar las siguientes opciones globales:

  • Estado: Seleccione Activado o Desactivado para activar o desactivar la autenticación 802.1X. Seleccione No establecido para utilizar los parámetros configurados localmente en el switch.
  • VLAN de invitados: Seleccione Activado o Desactivado. Debe seleccionar Activado para establecer un ID de VLAN de invitados. Seleccione No establecido para usar los parámetros configurados localmente en el switch.
  • ID de VLAN de invitados: Seleccione una VLAN de la lista de VLAN definidas.
  • Método de autenticación: Seleccione Usuario local, RADIUS o TACACS+ en la lista desplegable.

Origen de configuración muestra el origen de los parámetros.

Haga clic en Actualizar para guardar la configuración o en Borrar para eliminar cualquier cambio no guardado.

Configuración de puertos

En la pestaña Configuración de puertos, puede configurar los parámetros de los puertos y establecer la autenticación mediante 802.1X, omisión de autenticación por MAC (MAB) o una combinación de ambas. Para configurar MAB, consulte Configurar omisión de autenticación por MAC (MAB).

Seleccione los puertos que desea configurar y haga clic en Editar.

Puede configurar las opciones siguientes:

  • Modo: Seleccione el modo de puerto entre las siguientes opciones:

    • No establecido: Utilice los parámetros configurados localmente en el switch.
    • Auto: Active la autenticación 802.1X en la interfaz. Al utilizar Basado en el host para el Modo de autenticación, debe seleccionar Auto.
    • Forzar la autorización: Bloquee todo el tráfico no autenticado en la interfaz.
    • Forzar la no autorización: Permita todo el tráfico no autenticado en la interfaz.

  • Modo de MAB: Seleccione el modo MAB entre las siguientes opciones:

    • No establecido: Utilice los parámetros configurados localmente en el switch.
    • MAB: Use solo MAB.
    • Híbrido: Pruebe primero a autenticarse mediante 802.1X. Tras tres intentos fallidos, el switch pasa a utilizar MAB.
    • Desactivado: No utilice MAB.

  • Modo de autenticación: Seleccione el modo de autenticación entre las siguientes opciones:

    • No establecido: Utilice los parámetros configurados localmente en el switch.
    • Basado en el puerto: Autentique los hosts conectados a cada puerto.
    • Basado en el host: Autentique todo el tráfico de un único puerto.

  • Número máximo de hosts: Esta opción solo se aplica cuando el Modo de autenticación está establecido en Basado en el host. Establece el número máximo de hosts que se pueden conectar a un puerto. Establezca un valor entre 1 y 10.

  • VLAN de invitados: Active o desactive VLAN de invitados. Debe desactivar la opción cuando utilice Basado en el host para el Modo de autenticación.
  • Asignación VLAN de RADIUS: Active o desactive Asignación VLAN de RADIUS. Debe desactivar la opción cuando utilice Basado en el host para el Modo de autenticación.
  • Reautenticación: Active o desactive la reautenticación del puerto.
  • Periodo de reautenticación: El tiempo, en segundos, antes de que el puerto deba volver a autenticarse. Establezca un valor entre 30 y 65535. El valor predeterminado es 3600.
  • Periodo de inactividad: El tiempo, en segundos, antes de que el switch intente volver a autenticarse tras un intento de autenticación fallido. Establezca un valor entre 0 y 65535. El valor predeterminado es 60.
  • Periodo del solicitante: Esta opción controla la frecuencia con la que el switch envía solicitudes EAP, en segundos. El switch envía tres solicitudes en este intervalo antes de pasar a MAB. Establezca un valor entre 0 y 65535. El valor predeterminado es 30.
  • Estado autorizado: Muestra el estado de autenticación del puerto especificado.

Origen de configuración muestra el origen de los parámetros del puerto.

Haga clic en Actualizar para guardar la configuración o en Borrar para eliminar cualquier cambio no guardado.

Host autenticado

La pestaña Host autenticado muestra información sobre los hosts autenticados.

Seguridad de puertos

En la pestaña Seguridad de puertos, puede limitar el número de direcciones MAC que el switch puede obtener en un puerto específico.

Puede configurar las opciones siguientes:

  • Puerto: El puerto al que se aplica la configuración.
  • Estado: Seleccione Activado o Desactivado para activar o desactivar la Seguridad de puertos.
  • Número máximo de direcciones MAC: Introduzca el número máximo de direcciones MAC que el switch puede obtener en el puerto especificado. El rango es desde 1 a 256.

Origen de configuración muestra el origen de los parámetros de la seguridad de puertos.

Haga clic en Actualizar para guardar la configuración o en Borrar para eliminar cualquier cambio no guardado.

Servidor RADIUS

Puede utilizar un servidor RADIUS para autenticar a los usuarios que acceden a una red. El servidor RADIUS mantiene una base de datos de usuarios que contiene información de autenticación. El switch pasa la información al servidor RADIUS para autenticar a un usuario antes de autorizar el acceso a la red.

Puede configurar las opciones siguientes:

  • ID de servidor: El ID del servidor RADIUS.
  • IP de servidor: La dirección IP del servidor RADIUS.
  • Puerto autorizado: El puerto utilizado para comunicarse con el servidor RADIUS. El puerto predeterminado es 1812.
  • Secreto compartido: Cadena utilizada para cifrar todas las comunicaciones RADIUS entre el dispositivo y el servidor RADIUS.
  • Tiempo de espera: El tiempo que el dispositivo espera por una respuesta del servidor RADIUS antes de cambiar al siguiente servidor. El valor predeterminado es 3.
  • Reintentar: El número de solicitudes transmitidas enviadas al servidor RADIUS antes de que se produzca un error. El valor predeterminado es 3.

Origen de configuración muestra el origen de los parámetros del servidor RADIUS.

Para crear una nueva entrada del servidor RADIUS, haga clic en Añadir.

Para eliminar entradas del servidor RADIUS, seleccione los servidores que desea eliminar y haga clic en Eliminar.

Servidor TACACS+

Los servidores TACACS+ ofrecen autenticación centralizada para el acceso a la red. TACACS+ se utiliza principalmente para la administración de dispositivos de red.

Puede configurar las opciones siguientes:

  • IP de servidor: La dirección IP del servidor TACACS+.
  • Prioridad: La prioridad del servidor TACACS+. La prioridad determina qué servidor se contacta primero para la autenticación cuando tiene más de un servidor TACACS+.
  • Puerto autorizado: El puerto por el que se comunica el servidor para la autenticación. El puerto predeterminado es 49.
  • Secreto compartido: La clave de cifrado que está configurada en su servidor TACACS+. Debe coincidir exactamente con su servidor TACACS+.
  • Tiempo de espera: El tiempo de espera en segundos. El tiempo de espera especifica el tiempo que Sophos Switch espera por una respuesta de autenticación antes de intentar con el siguiente servidor TACACS+ de la lista. El valor predeterminado es 5.

Origen de configuración muestra el origen de los parámetros del servidor RADIUS.

Para crear una nueva entrada de servidor TACACS+, haga clic en Añadir.

Para eliminar entradas de servidor TACACS+, seleccione los servidores que desea eliminar y haga clic en Eliminar.