Mecanismos de ciberseguridad en los switches industriales Gazelle

Author

Jose R. Salvador
28 de septiembre de 2021

El rápido desarrollo de las redes de videovigilancia y redes industriales requiere una especial atención a la protección de estas infraestructuras frente a posibles ataques externos o internos.

Raisecom ha desarrollado todo un ecosistema vinculado a la ciberseguridad para la seguridad de estas redes críticas.El software integrado, RoS, Raisecom Operating System, basado en Linux, es un sistema operativo seguro que ofrece una amplia gama de protocolos de seguridad:

  • Compatibilidad con SSHv2 para un acceso remoto seguro y SNMPv3 para una mejor gestión de los equipos

  • Compatibilidad con Radius y Tacacs + para la autenticación y gestión de usuarios

  • HTTPS para acceso web seguro

  • Configuración de usuario con acceso limitado a conmutadores

  • Protección de la tabla de direcciones MAC:

    • Supresión del aprendizaje automático de direcciones MAC por interfaz o en el conmutador

    • Configuración del tiempo de caducidad de las direcciones MAC

    • Eliminación del flapping de la dirección MAC, que evita que el conmutador reciba paquetes con la misma dirección MAC de origen en 2 puertos diferentes

    • Dirección MAC backhole (evita que un atacante utilice una dirección MAC para atacar la máquina de un usuario o una red)

    • Sticky MAC (seguridad de puerto) utilizado para filtrar y restringir la cantidad de direcciones MAC autorizadas para conectarse al puerto de un conmutador

    • Filtrado de paquetes de muticast desconocidos

  • Soporta CPU CAR (protección contra ataques de CPU limitando el tráfico arp, bpdu, dhcp, icmp, igmp)

  • Admite ACL (listas de acceso) que le permite definir una serie de reglas ordenadas compuestas por autorizaciones o rechazos, y el conmutador decide si acepta o rechaza los paquetes de acuerdo con estas reglas. Los criterios de aceptación o rechazo se basan en:

    • Direcciones MAC SRC / DST

    • Direcciones IP SRC / DST

    • Tráfico ICMP, IGMP, IP, TCP y UDP

  • Limitación de ancho de banda por interfaz o por políticas de tráfico

  • Inspección dinámica de ARP (evita la suplantación de ataques ARP).

  • Protección IP Source Guard (defensa contra la suplantación de IP de origen y resuelve el secuestro de direcciones IP sin autenticación de identidad)

  • Limitación de tormentas de broadcast y multicast, etc.

S1020i

Reply

or to participate.