Deshabilitar puertos no usados
switch(config)# interface range [interfaces]
switch(config-if-range)#shutdown
Configurar seguridad en puertos
switch(config)# interface [interfaz]
switch(config-if)# switchport port-security
Configuratr un numero de acceso maximo (numero = 1, 50, ...)
switch(config)# interface [interfaz]
switch(config-if)# switchport port-security maximum [numero]
numero= 1 aporta seguridad máxima
Habilitar aprendizaje por MAC estática
switch(config)# interface [interfaz]
switch(config-if)# switchport port-security mac-address [dirección_MAC]
Habilitar aprendizaje por persistencia
MAC dinámicamente
switch(config)# interface [interfaz]
switch(config-if)# switchport port-security mac-address sticky
MAC estatica
switch(config)# interface [interfaz]
switch(config-if)# switchport port-security mac-address sticky [direccion_MAC]
Deshabilitar aprendizaje por persistencia
switch(config)# interface [interfaz]
switch(config-if)# no switchport port-security mac-address sticky
Vencimiento de la seguridad
switch(config)# interface [interfaz]
switch(config-if)#switchport port-security aging [static | time | type]
static: Habilita el vencimiento para las direcciones seguras estáticamente configuradas en este puerto.
time [tiempo en minutos]: Especifica el tiempo de vencimiento de este puerto. El rango es de 0 a 1440 minutos. Sin embargo, si el tiempo es 0, el vencimiento esta deshabilitado en este puerto.
type [absolute | inactivity]:
type absolute: Todas las direcciones seguras en este puerto se vencen exactamente después del tiempo (en minutos) especificado y son removidas de la lista de direcciones seguras.
type inactivity: Las direcciones seguras en este puerto se vencen solo si no hay trafico desde la direccion segura de origen por un periodo de tiempo especificado.
Habilitar el tipo de acción a tomar cuando se detecte una violación de la seguridad del puerto
switch(config)# interface [interfaz]
switch(config-if)# switchport port-security violation [protect | restrict | shutdown]
Nota: podemos elegir entre protect, restrict y shutdown:
Protect: sólo se permite tráfico de las MAC permitidas en la configuración descartando el tráfico del resto, no se notifica sobre la intrusión.
Restrict: se envía una notificación SNMP al administrador y el tráfico del puerto se permite únicamente a las MAC especificadas, del resto se descarta.
Shutdown: el puerto se deshabilita.
Verificar seguridad
switch#show port-security
switch#show port-security interface [interfaz]
switch#show run interface [interfaz]
switch#show port-security address
Paso 1: Deshabilite las negociaciones de DTP (enlace automático) en puertos que no sean enlaces mediante el switchport mode access comando de configuración de la interfaz.
switch(config)# interface range [interfaces]
switch(config-if-range)#switchport mode access
Paso 2: Deshabilite los puertos no utilizados y colóquelos en una VLAN no utilizada. (por ejemplo la vlan 1000)
switch(config)# interface range [interfaces]
switch(config-if-range)#switchport mode access
switch(config-if-range)#switchport access vlan 1000
switch(config-if-range)#shutdown
Paso 3: Active manualmente el enlace troncal en un puerto de enlace troncal utilizando el switchport mode trunk comando.
Paso 4: Deshabilite las negociaciones de DTP (enlace automático) en los puertos de enlace mediante el comando switchport nonegotiate.
Paso 5: Establezca la VLAN nativa en otra VLAN que no sea la VLAN 1 mediante el comando switchport trunk native vlan [numero vlan nativa].
switch(config)# interface interface [interfaz]
switch(config-if)#switchport mode trunk
switch(config-if)#switchport nonegotiate
switch(config-if)#switchport trunk native vlan [numero vlan nativa]
Configuración detección dhcp:
Paso 1. Habilite la inspección DHCP mediante el comando ip dhcp snooping de configuración global.
switch(config)#ip dhcp snooping
Paso 2. En puertos de confianza, use el comando de configuración de la interfaz ip dhcp snooping trust.
switch(config)# interface [interfaz]
switch(config-if)#ip dhcp snooping trust
Paso 3: Limite la cantidad de mensajes de descubrimiento de DHCP que puede recibir por segundo en puertos no confiables mediante el ip dhcp snooping limit rate [velocidad] comando de configuración de la interfaz.
switch(config)# interface [interfaz]
switch(config-if)#ip dhcp snooping limit rate [velocidad]
Nota: si ponemos velocidad = 6, se establece un limite de transferencia de seis paquetes por segundo
Paso 4. Habilite la inspección DHCP por VLAN, o por un rango de VLAN, utilizando el comando ip dhcp snooping vlan [nº vlan] de la configuración global.
switch(config)# ip dhcp snooping vlan [nº vlan]
Verificación:
show ip dhcp snooping : Para verificar la inspección DHCP
show ip dhcp snooping binding: Para ver los clientes que han recibido DHCP
Para mitigar las probabilidades de ARP spoofing Y ARP poisoning, siga estas pautas de implementación DAI (Inspección dinámica de ARP)
Habilite la detección de DHCP
switch(config)#ip dhcp snooping
Habilite la detección de DHCP en las VLAN seleccionadas.
switch(config)# ip dhcp snooping vlan [nº vlan]
Habilite el DAI en las VLANs seleccionadas.
switch(config)# ip arp inspection vlan [nº vlan]
Configure las interfaces de confianza para la detección de DHCP y la inspección de ARP ("no confiable" es la configuración predeterminada).
switch(config)#interface [interfaz]
switch(config-if)#ip dhcp snooping trust
switch(config-if)#ip arp inspection trust
Configuración para que DAI se pueda configurar para revisar si hay direcciones MAC e IP de destino o de origen:
switch(config)# ip arp inspection validate src-mac
switch(config)# ip arp inspection validate dst-mac
switch(config)# ip arp inspection validate ip
Configuración de PortFast (puerto rápido)
Habilitar PortFast en una interfaz
switch(config)# interface [interfaz]
switch(config-if)#switchport mode access
switch(config-if)#spanning-tree portfast
Habilitar PortFast de forma global en todos los puertos
switch(config)#spanning-tree portfast default
Verificación:
show running-config | begin span
show spanning-tree summary
show running-config interface [interfaz]
show spanning-tree interface [interfaz] detail
Configuración de BPDU
Habilitar BPDU en una interfaz
switch(config)# interface [interfaz]
switch(config-if)# spanning-tree bpduguard enable
Habilitar BPDU de forma global en todos los puertos
switch(config)# spanning-tree portfast bpduguard default
Verificación:
show spanning-tree summary
Inhabilitar el uso de CDP (Protocolo de Descubrimiento de Cisco)
De forma global en el switch:
switch(config)# no cdp run
En un puerto concreto:
switch(config)# interface [interfaz]
switch(config-if)# no cdp enable