Saltar al contenido
Haga clic aquí para abrir la documentación sobre los switches administrados localmente, incluidas las guías de CLI y API.

Enlace permanente de la página

Utilice siempre el siguiente enlace permanente cuando haga referencia a esta página. No se modificará en futuras versiones de la ayuda.

https://docs.sophos.com/central/customer/help/es-es/index.html?contextId=switch-management-security

Seguridad

Puede establecer la configuración de seguridad para Sophos Switch.

DoS

Sophos Switch puede supervisar y bloquear ataques de denegación de servicio (DoS). Un ataque DoS es tráfico de red destinado a saturar un host e interrumpir su conexión a la red.

Seleccione Activar o Desactivar para activar o desactivar la protección DoS. Elija No establecido para usar los ajustes configurados localmente en el switch.

Después de activar o desactivar DoS, haga clic en Actualizar para guardar los cambios.

Cuando se activa DoS, el switch descarta los paquetes que coinciden con los siguientes tipos de ataques DoS:

  • MAC de destino igual a MAC de origen: descarta el tráfico en que las direcciones MAC de origen y destino son iguales.
  • IP de destino de los ataques LAND igual a IP de origen (IPv4/IPv6): descarta los paquetes en que las direcciones IP de origen y destino son iguales.

  • TCP Blat (Puerto TCP de destino igual a puerto TCP de origen): descarta los paquetes TCP en que los puertos TCP de origen y destino son iguales.

    Nota

    A veces el cliente NTP (protocolo de tiempo de redes) utiliza el mismo puerto de origen y destino. Cuando se activa la protección DoS, Sophos Switch la detecta como un ataque TCP Blat y descarta los paquetes. Recomendamos desactivar la protección DoS si está ejecutando clientes NTP más antiguos que utilizan los mismos puertos de origen y destino.

  • UDP Blat (Puerto UDP de destino igual a puerto UDP de origen): descarta los paquetes UDP en que los puertos UDP de origen y destino son iguales.

  • Ping de la muerte (IPv4/IPv6): descarta los paquetes con una longitud superior a 64K bytes a través de fragmentos.
  • Fragmento mínimo IPv6 (bytes): limita el tamaño mínimo de los fragmentos IPv6 a 1240 bytes.
  • Fragmentos ICMP (IPv4/IPv6): descarta paquetes ICMP fragmentados.
  • Tamaño máximo de ping IPv4: limita la longitud máxima de un paquete de ping IPv4 a 512 bytes.
  • Tamaño máximo de ping IPv6: limita la longitud máxima de un paquete de ping IPv6 a 512 bytes.
  • Ataque pitufo (longitud de máscara de red): limita la longitud de la máscara de red de los paquetes ICMP de difusión a 24 (x.x.x.255).
  • Tamaño de encabezado mínimo TCP (bytes): limita el tamaño mínimo del encabezado TCP a 20 bytes.
  • TCP-SYN: descarta los paquetes TCP en que el indicador SYN está establecido, el indicador ACK no está establecido y el puerto de origen es menor que 1024.
  • Escaneado Null: descarta los paquetes TCP en que no hay indicadores establecidos y el número de secuencia es cero.
  • Xmas: descarta los paquetes TCP con el número de secuencia cero y los indicadores FIN, URG y PSH establecidos.
  • TCP SYN-FIN: descarta los paquetes TCP con los indicadores SYN y FIN establecidos.
  • TCP SYN-RST: descarta los paquetes TCP con los indicadores SYN y RST establecidos.