Vai al contenuto
Cliccare qui per aprire la documentazione per gli switch gestiti localmente, incluse le guide a CLI e API.

Link permanente della pagina

Utilizza sempre il seguente link permanente quando fai riferimento a questa pagina. Rimarrà invariato nelle versioni future della guida.

https://docs.sophos.com/central/customer/help/it-it/index.html?contextId=switch-management-security

Sicurezza

È possibile configurare impostazioni di sicurezza per Sophos Switch come la protezione contro gli attacchi DoS, l’autenticazione 802.1X e la sicurezza delle porte; inoltre, si possono aggiungere e rimuovere server RADIUS e TACACS+.

DoS

Sophos Switch è in grado di monitorare e bloccare gli attacchi DoS (Denial of Service). Un attacco DoS è costituito da traffico di rete inviato per inondare un host di richieste e interromperne la connessione alla rete.

Selezionare On oppure Off per attivare o disattivare la protezione DoS. Selezionare Non impostato per utilizzare le impostazioni configurate localmente sullo switch.

Dopo aver attivato o disattivato DoS, cliccare su Aggiorna per salvare le modifiche.

Quando si attiva la protezione DoS, lo switch rimuove i pacchetti che trovano corrispondenza con i seguenti tipi di attacchi DoS:

  • MAC di destinazione uguale al MAC di origine: rimuove il traffico che presenta indirizzi MAC di origine e di destinazione identici.
  • LAND attack con IP di destinazione uguale all’IP di origine (IPv4/IPv6): rimuove i pacchetti che presentano indirizzi IP di origine e di destinazione identici.

  • TCP Blat (porta TCP di destinazione uguale alla porta TCP di origine): rimuove i pacchetti TCP che presentano porte TCP di origine e TCP di destinazione identiche.

    Nota

    A volte il client Network Time Protocol (NTP) utilizza la stessa porta di origine e di destinazione. Quando si attiva la protezione DoS, Sophos Switch la rileva come un attacco TCP Blat e rimuove i pacchetti. Consigliamo di disattivare la protezione DoS se si utilizzano client NTP meno recenti, che utilizzano le stesse porte di origine e di destinazione.

  • UDP Blat (porta UDP di destinazione uguale alla porta UDP di origine): rimuove i pacchetti UDP in cui le porte UDP di origine e di destinazione sono identiche.

  • Ping of Death (IPv4/IPv6): rimuove i pacchetti di lunghezza superiore a 64 KB attraverso frammenti.
  • Frammenti minimi IPv6 (byte): limita le dimensioni minime dei frammenti IPv6 a 1240 byte.
  • Frammenti ICMP (IPv4/IPv6): rimuove i pacchetti ICMP frammentati.
  • Dimensioni massime ping IPv4: limita la lunghezza massima di un pacchetto ping IPv4 a 512 byte.
  • Dimensione massima ping IPv6: Limita la lunghezza massima di un pacchetto ping IPv6 a 512 byte.
  • Attacco Smurf (lunghezza della netmask): limita la lunghezza della netmask dei pacchetti ICMP di trasmissione a 24 (x.x.x.255).
  • Dimensione minima intestazione TCP (byte): limita le dimensioni minime dell’intestazione TCP a 20 byte.
  • TCP-SYN: rimuove i pacchetti TCP in cui è impostato il flag SYN, il flag ACK non è impostato e la porta di origine è inferiore alla 1024.
  • NULL scan: rimuove i pacchetti TCP in cui non sono impostati flag e nei quali il numero di sequenza è zero.
  • Xmas: rimuove i pacchetti TCP con numero di sequenza zero e nei quali sono impostati i flag FIN, URG e PSH.
  • TCP SYN-FIN: rimuove i pacchetti TCP nei quali sono impostati i flag SYN e FIN.
  • TCP SYN-RST: rimuove i pacchetti TCP con i flag SYN e RST impostati.

802.1X

Sophos Switch supporta il controllo dell’accesso alla rete 802.1X basato sulla porta, per autenticare utenti e dispositivi utilizzando un server RADIUS o TACACS+.

Impostazioni globali

La scheda Impostazioni globali consente di attivare o disattivare l’autenticazione 802.1X. È anche possibile gestire le assegnazioni della VLAN per gli utenti guest, impostare l’ID VLAN degli utenti guest e selezionare il metodo di autenticazione.

È possibile configurare le seguenti impostazioni globali:

  • Stato: selezionare Attivo oppure Disattivato per attivare o disattivare l’autenticazione 802.1X. Selezionare Non impostato per utilizzare le impostazioni configurate localmente sullo switch.
  • VLAN guest: Selezionare Attivo o Disattivato. Occorre selezionare Attivo per impostare un ID VLAN guest. Selezionare Non impostato per utilizzare le impostazioni configurate localmente sullo switch.
  • ID VLAN guest: Selezionare una VLAN dall’elenco delle VLAN definite.
  • Metodo di autenticazione: Selezionare Utente locale, RADIUS o TACACS+ dall’elenco a discesa.

L’opzione Origine configurazione mostra l’origine delle impostazioni.

Cliccare su Aggiorna per salvare le impostazioni o su Cancella per eliminare eventuali modifiche non salvate.

Impostazioni delle porte

Nella scheda Impostazioni delle porte è possibile configurare le impostazioni delle porte e l’autenticazione utilizzando 802.1X, MAC Authentication Bypass (MAB) o una combinazione di entrambi. Per configurare MAB, vedere Configurazione di MAC Authentication Bypass (MAB).

Selezionare le porte che si desidera configurare e cliccare su Modifica.

È possibile configurare le seguenti opzioni:

  • Modalità: selezionare la modalità della porta tra le seguenti opzioni:

    • Non impostata: Utilizza le impostazioni configurate localmente sullo switch.
    • Auto: attiva l’autenticazione 802.1X sull’interfaccia. Quando si utilizza la Modalità di autenticazione Basata sugli host, è necessario selezionare Auto.
    • Forza autorizzato: blocca tutto il traffico non autenticato sull’interfaccia.
    • Forza non autorizzato: autorizza tutto il traffico non autenticato sull’interfaccia.

  • Modalità MAB: per la modalità MAB, selezionare tra le seguenti opzioni:

    • Non impostata: Utilizza le impostazioni configurate localmente sullo switch.
    • MAB: utilizza solo MAB.
    • Ibrida: prova prima ad autenticarsi utilizzando 802.1X. Dopo tre tentativi non riusciti, lo switch passa a MAB.
    • Disabilitato: non utilizza MAB.

  • Modalità di autenticazione: selezionare la modalità di autenticazione tra le seguenti opzioni:

    • Non impostata: Utilizza le impostazioni configurate localmente sullo switch.
    • Basata su porta: autentica gli host connessi a ciascuna porta.
    • Basati sugli host: autentica tutto il traffico su una singola porta.

  • Numero massimo di host: questa impostazione si applica solo quando la Modalità di autenticazione è impostata su Basata su host. Imposta il numero massimo di host che possono essere collegati a una porta. Impostare un valore compreso tra 1 e 10.

  • VLAN guest: Attivare o disattivare VLAN guest. Questa opzione va disattivata quando si utilizza la Modalità di autenticazione Basata sugli host.
  • Assegnazione VLAN RADIUS: attiva o disattiva l’Assegnazione VLAN RADIUS. Questa opzione va disattivata quando si utilizza la Modalità di autenticazione Basata sugli host.
  • Riautenticazione: attiva o disattiva la riautenticazione della porta.
  • Periodo di riautenticazione: l’intervallo di tempo, in secondi, prima che la porta debba riautenticarsi. Impostare un valore compreso tra 30 e 65535. L’impostazione predefinita è 3600.
  • Periodo di attesa: l’intervallo di tempo, in secondi, prima che lo switch cerchi di riautenticarsi dopo un tentativo di autenticazione non riuscito. Impostare un valore compreso tra 0 e 65535. L’impostazione predefinita è 60.
  • Periodo supplicant: questa impostazione controlla la frequenza con cui lo switch invia richieste EAP, in secondi. Lo switch invia tre richieste a questo intervallo, prima di passare a MAB. Impostare un valore compreso tra 0 e 65535. L’impostazione predefinita è 30.
  • Stato autorizzato: mostra lo stato di autenticazione della porta specificata.

L’opzione Origine configurazione mostra l’origine delle impostazioni della porta.

Cliccare su Aggiorna per salvare le impostazioni o su Cancella per eliminare eventuali modifiche non salvate.

Host autenticato

La scheda Host autenticato mostra le informazioni relative agli host autenticati.

Sicurezza delle porte

Nella scheda Sicurezza delle porte è possibile limitare il numero di indirizzi MAC che lo switch può apprendere su una porta specifica.

È possibile configurare le seguenti opzioni:

  • Porta: La porta a cui vengono applicate le impostazioni
  • Stato: selezionare Abilitato o Disattivato per attivare o disattivare la Sicurezza delle porte.
  • Numero massimo di indirizzi MAC: Inserire il numero massimo di indirizzi MAC che lo switch può apprendere sulla porta specificata. L’intervallo è compreso fra 1 e 256.

L’opzione Origine configurazione mostra l’origine delle impostazioni di sicurezza della porta.

Cliccare su Aggiorna per salvare le impostazioni o su Cancella per eliminare eventuali modifiche non salvate.

Server RADIUS

È possibile utilizzare un server RADIUS per autenticare gli utenti che effettuano l’accesso a una rete. Il server RADIUS gestisce un database di utenti contenente i dati di autenticazione. Lo switch trasmette le informazioni al server RADIUS per autenticare un utente prima di autorizzarne l’accesso alla rete.

È possibile configurare le seguenti opzioni:

  • ID server: L’ID del server RADIUS.
  • Server IP (IP del server): L’indirizzo IP del server RADIUS.
  • Porta autorizzata: la porta utilizzata per comunicare con il server RADIUS. La porta predefinita è 1812.
  • Segreto condiviso: la stringa utilizzata per crittografare tutte le comunicazioni RADIUS tra il dispositivo e il server RADIUS.
  • Timeout: il tempo durante il quale il dispositivo attende una risposta dal server RADIUS prima di passare al server successivo. L’impostazione predefinita è 3.
  • Riprova: Il numero di richieste trasmesse inviate al server RADIUS prima che si verifichi un errore. L’impostazione predefinita è 3.

Origine configurazione mostra l’origine delle impostazioni del server RADIUS.

Per creare una nuova voce del server RADIUS, cliccare su Aggiungi.

Per eliminare voci del server RADIUS, selezionare i server che si desidera rimuovere e cliccare su Elimina.

TACACS + Server

I server TACACS+ offrono un’autenticazione centralizzata per l’accesso alla rete. TACACS+ viene utilizzato principalmente per l’amministrazione dei dispositivi di rete.

È possibile configurare le seguenti opzioni:

  • Server IP (IP del server): L’indirizzo IP del server TACACS+.
  • Priorità: La priorità del server TACACS+. La priorità determina quale server viene contattato per primo per l’autenticazione, quando sono presenti più server TACACS+.
  • Porta autorizzata: la porta sulla quale il server comunica per l’autenticazione. La porta predefinita è 49.
  • Segreto condiviso: la chiave di crittografia configurata sul server TACACS+. Deve corrispondere esattamente al proprio server TACACS+.
  • Timeout: il timeout in secondi. Il timeout specifica il tempo durante il quale Sophos Switch attende una risposta di autenticazione prima di provare il server TACACS+ successivo nell’elenco. L’impostazione predefinita è 5.

Origine configurazione mostra l’origine delle impostazioni del server RADIUS.

Per creare una nuova voce del server TACACS+, cliccare su Aggiungi.

Per eliminare voci del server TACACS+, selezionare i server che si desidera rimuovere e cliccare su Elimina.