Seguridad en Switches Cisco

Los Switches son dispositivos de red fundamentales ya que nos permite establecer las interconexiones de equipos y dispositivos de red en la capa de enlace de datos (Modelo OSI). Su función es interconectar dos o más segmentos de red, de manera similar a los puentes de red, pasando datos de un segmento a otro de acuerdo con la dirección MAC de destino de las tramas en la red.




En este articulo quisiera hablar un poco sobre la seguridad a la hora de configurar estos dispositivos y algunos aspectos a tener en cuenta por el Administrador de Red respectivo 


Lo primero cuando hablamos de seguridad en dispositivos de red es establecer las contraseñas de acceso al dispositivo para lo cual ingresaremos a la configuración del switch y estableceremos lo siguiente :

switch # conf t
switch(config) # line console 0
switch (config-line)# password cisco
switch (config-line)# login
switch (config-line)# line vty 0 15
switch (config-line)# password cisco
switch (config-line)# login
switch (config-line)# exit
switch (config)# enable secret class

Explicare brevemente lo que hicimos en esta configuracion :

switch # conf t
switch(config) # line console 0
switch (config-line)# password cisco
switch (config-line)# login

Al ejecutar el comado line console 0 identifica la línea específica para la configuración e inicia el modo de reunión de comandos de configuración, con este comando ingresa a la consola, luego digitamos password cisco con ese comando se establece el password "cisco" para el ingreso a la consola y finalmente "login" el cual sera el encargado de habilitar la contraseña

Ahora en la siguiente parte estoy habilitando y estableciendo la contraseña para las conexiones telnet

switch (config-line)# line vty 0 15
switch (config-line)# password cisco
switch (config-line)# login
switch (config-line)# exit

En la linea de confguracion line vty 0 15 especifico el numero máximo de conexiones múltiples a partir de 0, en este caso establezco 15. Luego establezco la contrasela con el comando "password cisco" y finalmente lo habilito con login

Finalmente configuro el acceso al modo privilegiado del switch, con el que ingreso con el comando enable
para ello uso el comando enable secret class.

Con esto ya hemos configurado la seguridad de contraseñas para el acceso al switch, sin embargo aun falta mayor seguridad.

Los switches Cisco nos permite configurar los puertos de cada uno de los switches y por ende su propia seguridad, vamos a analizar la siguiente configuración tipica de puertos :

switch# conf t
switch(config)# int fa0/1
switch(config-if)#switchport mode access
switch(config-if)#switchport port-security
switch(config-if)#switchport port-security maximum 2
switch(config-if)#switchport port-security mac-address sticky
switch(config-if)#switchport port-security violation protect
switch(config-if)#exit



Primero hemos ingresado al modo de configuración para luego ingresar al puerto fa0/1.El comando switchport mode access configura el puerto especificado en el tipo "acceso" esto asegura que si es que configuramos una determinada Vlan para ese puerto solo esa vlan sea la que pase por ese puerto. Luego vemos que configuramos el comando switchport port-security pues este comando activa el modo de seguridad de puerto y activa los modos por defecto, luego digitamos el comando switch(config-if)#switchport port-security maximum 2 este comando establece un numero maximo de dispositivos que se conectaran a ese puerto, el numero maximo de direcciones MAC asociadas a ese puerto en este caso 2, luego con el comando switchport port-security mac-address sticky este comando permite que el primer equipo que se conecta se asegura el puerto."osea no tiene que registrarse" y finalmente el comando switchport port-security violation protect este comando si tiene las siguientes variantes :


Switch(config-if)#switchport port-security violation protect

Protección: Rechaza los paquetes hasta que el causante de la violación es subsanado, el usuario no advierte que se ha producido una violación de seguridad.

Switch(config-if)#switchport port-security violation restrict

Restricción: Rechaza los paquetes hasta que el causante de la violación es subsanado, el usuario advierte que se ha producido una violación de seguridad. De manera específica se envía un mensaje SNMP, se registra un mensaje de syslog y se aumenta el contador de violaciones.

Switch(config-if)#switchport port-security violation shutdown 





Desactivación (default): La interfaz se deshabilita de manera inmediata por error y se apaga el led del puerto. También envía un mensaje SNMP, se registra un mensaje de syslog y se incrementa el contador de violaciones. Cuando esto sucede es necesario volver a habilitar el puerto manualmente mediante el comando "no shutdown"."en pocas palabras el puerto se apaga"

Como ven conocer todos estos parametros nos permite reforzar la seguridad de nuestras redes coporativas, en otro post explicare un poco más de seguridad a nivel logica ya cuando tratemos temas de vlans y permisos!

Saludos Crackers!


Powered by Blogger.