Embedded Files
- Inhabilitar el uso de CDP (Protocolo de Descubrimiento de Cisco)
swich(config)# interface [interfaz]
swich(config-if)# no cdp run
- Configuración detección dhcp:
- Habilitar la detección DHCP: ip dhcp shopping
- Habilitar la detección DHCP para VLAN: ip dhcp shopping vlan [numero_vlan]
- Definir puertos confiables: ip dhcp snooping trust
- Limitar la velocidad a la que el atacante envía solicitudes DHCP: ip dhcp snooping limit rate [vel]
- Configurar seguridad en puertos
swich(config)# interface [interfaz]
swich(config-if)# switchport port-security
- Configurar un numero de acceso maximo (numero = 1, 50, ...)
swich(config)# interface [interfaz]
swich(config-if)# switchport port-security maximum [numero]
numero= 1 aporta seguridad máxima
- Habilitar aprendizaje por MAC estática
swich(config)# interface [interfaz]
swich(config-if)# switchport port-security mac-address [dirección_MAC]
- Habilitar aprendizaje por persistencia
swich(config)# interface [interfaz]
(MAC dinámicamente)
swich(config-if)# switchport port-security mac-address sticky
MAC estatica
swich(config-if)# switchport port-security mac-address sticky [direccion_MAC]
- Deshabilitar aprendizaje por persistencia
swich(config)# interface [interfaz]
swich(config-if)# no switchport port-security mac-address sticky
- Habilitar el tipo de acción a tomar cuando se detecte una violación de la seguridad del puerto
swich(config)# interface [interfaz]
swich(config-if)# switchport port-security violation [protect | restrict | shutdown]
Nota: podemos elegir entre protect, restrict y shutdown:
Protect: sólo se permite tráfico de las MAC permitidas en la configuración descartando el tráfico del resto, no se notifica sobre la intrusión. Restrict: se envía una notificación SNMP al administrador y el tráfico del puerto se permite únicamente a las MAC especificadas, del resto se descarta. Shutdown: el puerto se deshabilita.
- Deshabilitar puertos no usados
swich(config)# interface range [interfaces]
swich(config-if)#shutdown
- Verificar seguridad
swich#show port-security address
swich#show port-security interface [interfaz]
Google Sites
Report abuse