VMware Aria Operations for Networks admite los siguientes tipos de intención.
Grupo (categoría) | Tipo de intención | Nombre | Nombre de IU | Gravedad | Virtual/Física | Descripción |
---|---|---|---|---|---|---|
STIG | Protección con contraseña de la cuenta | La cuenta no está protegida con contraseña | El acceso a la cuenta administrativa no está protegido con contraseña en los siguientes dispositivos. | Alto | Física | El dispositivo de red debe estar protegido con contraseña para el acceso administrativo. |
Protección con contraseña de acceso a la consola | El acceso a la consola no está protegido con contraseña | El acceso al puerto de consola no está protegido con contraseña en los siguientes dispositivos. | Alto | Física | El dispositivo de red debe requerir autenticación para acceder a la consola. | |
Existencia de contraseña predeterminada | Existencia de contraseña predeterminada | La contraseña predeterminada del fabricante se utiliza en los siguientes dispositivos. | Alto | Física | El dispositivo de red no debe tener contraseñas predeterminadas del fabricante. | |
Protección con contraseña de la conexión de administración | La conexión de administración no está protegida con contraseña | El acceso al puerto de administración no está protegido con contraseña en los siguientes dispositivos. | Alto | Física | El dispositivo de red debe requerir autenticación antes de establecer una conexión de administración para el acceso administrativo. | |
Visibilidad de contraseña de texto sin formato | Visibilidad de contraseña de texto sin formato | Las contraseñas de texto sin formato pueden verse en los siguientes dispositivos. | Alto | Física | El dispositivo de red no debe tener contraseñas de texto sin formato. | |
Estado de la red | Falta de coincidencia del dúplex | Falta de coincidencia del dúplex | La configuración de dúplex no coincide en los siguientes puertos. | Crítica | Física, Virtual | La configuración de dúplex de puerto de los puertos de cada vínculo debe coincidir. |
Dirección IP duplicada | Dirección IP duplicada | Se configuró una dirección IP duplicada en las siguientes interfaces. | Crítica | Física | La dirección IP duplicada no se debe configurar en varias interfaces. | |
Dirección MAC duplicada | Dirección MAC duplicada | Se configuró una dirección MAC duplicada en las siguientes interfaces. | Crítica | Física | La dirección MAC duplicada no se debe configurar en varias interfaces. | |
Error de configuración de HSRP/VRRP | Error de configuración de HSRP/VRRP | La configuración de HSRP contiene el siguiente error. | Crítica | Física | Compruebe si la configuración de HSRP/VRRP no coincide entre Activo y En espera. | |
Detección de bucles | Detección de bucles | La red contiene el siguiente bucle. | Crítica | Física, Virtual | La red debe estar libre de bucles. | |
Falta de coincidencia de VLAN nativa | Falta de coincidencia de VLAN nativa | La configuración de VLAN nativa no coincide en los siguientes puertos. | Crítica | Física | La configuración de VLAN nativa de los puertos de cada vínculo debe coincidir. | |
Falta de coincidencia de etiquetado de VLAN nativa | Falta de coincidencia de etiquetado de VLAN nativa | El etiquetado de la VLAN nativa no coincide en los siguientes puertos. | Crítica | Física | El etiquetado de la VLAN nativa de los puertos de cada vínculo debe coincidir. | |
Falta de coincidencia de miembro de canal de puerto | Falta de coincidencia de miembro de canal de puerto | Los puertos de miembro de canal de puerto no deben conectarse a puertos no miembros en dispositivos vinculados. | Crítica | Física | Los puertos de miembro de canal de puerto no deben conectarse a puertos no miembros en dispositivos vinculados. | |
Falta de coincidencia de modo de puerto | Falta de coincidencia de modo de puerto | La configuración del modo de puerto no coincide en los siguientes puertos. | Crítica | Física | La configuración del modo de puerto debe coincidir en los puertos de cada vínculo. | |
Accesibilidad | Error de accesibilidad | Se debe poder acceder a los endpoints de red. | Crítica | Física, Virtual | Se debe poder acceder a los endpoints de red. | |
Incoherencia de método del coste de la ruta de STP | Coherencia de método del coste de la ruta de STP | Se configuraron métodos de coste de la ruta de STP incoherentes en los siguientes conmutadores. | Moderada | Física | Los métodos de cálculo del coste de la ruta de STP deben ser coherentes entre los conmutadores. | |
Segmentación | Error de segmentación | Los endpoints de red deben estar segmentados. | Crítica | Física, Virtual | Los endpoints de red deben estar segmentados.
Nota: La intención de segmentación verifica que el origen especificado no pueda comunicarse con el destino, ni siquiera utilizando direcciones IP de origen falsificadas.
|
|
Falta de coincidencia de VLAN de tronco | Falta de coincidencia de VLAN de tronco | La configuración de las VLAN permitidas no coincide en los siguientes puertos de tronco. | Crítica | Física, Virtual | La configuración de VLAN permitidas debe coincidir en los puertos de cada vínculo de tronco. | |
Estado del dispositivo | Misma ubicación del elemento activo de HSRP/VRRP y raíz de STP | Misma ubicación del elemento activo de HSRP/VRRP y raíz de STP | El elemento activo de HSRP/VRRP y la raíz de STP deben estar en la misma ubicación (si ambos protocolos están habilitados). | Moderada | Física | El HSRP/VRRP activo no está en la misma ubicación que la siguiente raíz de STP. |
Error de coincidencia de MTU | Error de coincidencia de MTU | La configuración de MTU de los puertos de cada vínculo debe coincidir. | Moderada | Física, Virtual | La configuración de MTU de los puertos de cada vínculo debe coincidir. |
Nota:
- Las intenciones de STIG solo son compatibles con los siguientes dispositivos:
- Cisco ASA, Cisco ASR 1000, Cisco Catalyst, Cisco ISR 4000 y Cisco Nexus
- Palo Alto
- La intención Incoherencia de método del coste de la ruta de STP solo es compatible con los dispositivos Cisco Catalyst y Cisco Nexus.
- Si un dispositivo está configurado con subinterfaces de canal de puerto (que están asociadas con diferentes VLAN) o está configurado con el modo de puerto y las VLAN permitidas que están configuradas en el nivel del canal de puerto, estas configuraciones se tienen en cuenta al realizar un análisis de intención solo para los siguientes dispositivos:
- Conmutadores de Arista
- Dell EMC PowerSwitch S5200 (con OS10)