Mejores prácticas en configuraciones de switch Cisco

Descripción

En esta apartado te voy a dar a conocer, las configuraciones generales que debiese tener todo switch, para mantener el equipo más confiable de ataques o acceso a la red sin autorización.

Empecemos:

1. Deshabilitación de servicios no utilizados para seguridad de la red

Descripción : Deshabilitación de servicios no utilizados por la plataforma.
Comandos a aplicar :
no ip source-route
no service pad
no ip finger
no ip bootp server
no mop enable


2. Habilitación de comandos para minimizar impacto de ataque a los equipos

Descripción : Los siguientes comandos permiten mejorar las respuestas de equipo (para su administración) en caso de un ataque basado en inundación de tráfico, mientras que los TCP keepalives permiten prevenir sesiones truncadas en caso de desconexiones repentinas.

Comandos a aplicar :
scheduler allocate
service tcp-keepalives-in
service tcp-keepalives-out

3. Habilitación de traps para tener conocimiento de fallas en los equipos

Descripción : Habilitación de traps generados por eventos o cambios de configuración en los equipos.
loggin traps
logging event link-status default
snmp-server enable traps vtp
snmp-server enable traps vlancreate
snmp-server enable traps vlandelete
snmp-server enable traps envmon
snmp-server enable traps stackwise
snmp-server enable traps config
snmp-server enable traps hsrp
snmp-server enable traps ipmulticast


4. Habilitación de Root Guard para asegurar el protocolo Spanning-Tree

Descripción: Definición de perímetro de seguridad de STP. Estos comandos serán aplicados en las interfaces de acceso de los equipos.
Comandos a utilizar:
Interface [tipo][numero]
spanning-tree guard root
o
spanning-tree rootguard

5. Habilitación de BPDU Guard para asegurar el protocolo Spanning-Tree

Descripción : Permitirá deshabilitar una puerta en caso que se conecte un switch a una puerta configurada con portfast (De esta forma se evita que la inserción de un switch en la red sea descontrolada)
Comandos a utilizar:
spanning-tree portfast bpduguard

6. Conf. Passwords, nombre y otros

#conf t
enable secret xxxxxxxx
line con 0
exec-timeout 5 0
password xxxxxxxxx
line vty 0 4
exec-timeout 5 0
timeout login response 300
password xxxxxxxxxx
login
line vty 5 15
no login
udld enable
no ip http server
no setup express
no ip forward-protocol udp netbios-ns
no ip forward-protocol udp netbios-dgm
no ip source-route
no ip domain-lookup
service timestamps debug datetime localtime
service timestamps log datetime localtime
service password-encryption
logging buffered 8000 debugging
spanning-tree mode rapid-pvst
spanning-tree portfast bpduguard default
spanning-tree extend system-id