Tabla de contenido
Entre los protocolos definidos por IPCable2Home se encuentran los siguientes:
•
Prestación
•
Gestión
•
Seguridad
La barrera contra fuegos DEBERÍA proteger contra la exploración de puertos o de la red ya sea
desde el interior como desde el exterior de la red doméstica. DEBERÍA proteger asimismo contra la
siguiente lista de denegación de ataques del servicio: "Ping of Death", "Teardrop", "Bonk",
"Nestea", "SYN Flood", "LAND Attack", "IP Spoofing", "Smurf Attack" y "WinNuke".
La barrera contra fuegos DEBE permitir el acceso a los mismos protocolos de aplicación de Internet
de gran difusión que se definen en el anexo D. A los efectos de esta Recomendación, no basta con
un simple filtrado NAT o de paquetes. Para proporcionar una solución flexible y segura, la barrera
contra fuegos DEBE implementar ya sea un apoderado específico de la aplicación (ASP) o una
barrera contra fuegos de filtrado dinámico de paquetes (SPF).
11.3.5.1 Descarga a distancia del conjunto de reglas de la barrera contra fuegos
Se activarán características en el elemento PS para permitir que el operador gestione a distancia las
funciones de la barrera contra fuegos. Esta gestión es la que se lleva a cabo mediante la descarga de
un fichero de configuración. El fichero de configuración de la barrera contra fuegos contiene el
conjunto de reglas correspondiente a una política de seguridad concreta. La gestión de la barrera
contra fuegos se efectúa mediante el acceso a los objetos de gestión de la MIB de seguridad.
La política de seguridad define el nivel deseado de seguridad y funcionalidad para la barrera contra
fuegos del abonado. Se puede escoger entre varios de éstos. Los ficheros que contienen los
correspondientes conjuntos de reglas para estas políticas de seguridad se encuentran en un servidor
de ficheros del operador. El PS DEBE utilizar un cliente TFTP homologado con RFC 1350 para
poder descargar el fichero de configuración del conjunto de reglas de la barrera contra fuegos.
La descarga del fichero de configuración de la barrera contra fuegos se activa cuando el valor
empleado para FIJAR el objeto MIB cabhSecFwPolicyFileURL, mediante el fichero de
configuración del PS o una instrucción SNMP SET, es distinto del valor de la MIB
cabhSecFwPolicySuccessfulFileURL. Si el valor utilizado para FIJAR el objeto MIB
cabhSecFwPolicyFileURL, mediante el fichero de configuración del PS o una instrucción
SNMP SET, es idéntico al valor de la MIB cabhSecFwPolicySuccessfulFileURL, NO DEBERÁ
activarse la descarga del fichero de configuración de la barrera contra fuegos.
El procedimiento para verificar la integridad del fichero de configuración de la barrera contra
fuegos mediante el elemento PS es:
1)
el generador del fichero de configuración de la barrera contra fuegos producirá un troceo
SHA-1 de todo el contenido de dicho fichero, considerándolo como una cadena de bytes.
2)
el sistema de configuración envía el valor de troceo calculado en el paso anterior al
elemento PS en uno de los dos modos siguientes:
a) modifica el valor del objeto MIB cabhSecFwPolicyFileHash a través de un TLV
tipo 28 en el fichero de configuración del PS.
b) envía
cabhSecFwPolicyFileHash.
3)
El sistema de configuración envía el nombre y la ubicación del fichero de configuración de
la barrera contra fuegos para activar la descarga de dicho fichero en uno de dos modos:
a) modifica el objeto MIB cabhSecFwPolicyFileURL a través de un TLV tipo 28 en el
fichero de configuración del PS.
una
instrucción
SNMPv3, DHCP, DNS, TFTP, SYSLOG
ICMP
Kerberos
SNMP
SET
para
actualizar
el
Rec. UIT-T J.191 (03/2004)
objeto
MIB
143
Tabla de contenido
