el 10-17-2019 07:47 AM
Buenos días estimados;
Requiero de su apreciado apoyo y conocimiento para crear una plantilla de aseguramiento, básicamente es saber las mejores practicas y que configuraciones aplicar en los switches para evitar cualquier ataque como por ejemplo
DHCP Spoofing
IP Spoofing
MAC Spoofing
Adicionalmente me gustaría saber que configuración debo aplicar en los switches para que los equipos puedan ser administrados solo por la ip de gestión.
Agradezco todo el apoyo que me p
¡Resuelto! Ir a solución.
10-18-2019 05:54 AM - editado 10-18-2019 06:00 AM
Hola,
La configuracion del dhcp snooping es:
ip dhcp snooping <----------- con esto lo activas, por eso recomiendo que lo apliques hasta el final.
ip dhcp snooping vlan (agregas las VLANS)
no ip dhcp snooping information option (por lo general es la opcion 82)
bajo las interfaces de los usuarios (mode access)
ip dhcp snooping limite rate 10
bajo las interfaces trunks que conectan con los switches donde estan los servidores de dhcp (imagina switch de acceso hacia switch de core/distribucion)
ip dhcp snooping trust
------------------
Para IP spoofing puedes utilizar listas de acceso o ACL
o
Reverse path, esto aplica sobre interfaces de capa 3 (interfaces que tengan una direccion IP, y por lo general se aplica a interfaces que salen al exterior, ejemplo a Internet.
Ejemplo:
interface g0/0
ip verify unicast reverse-path
---------------
Para el caso de MAC Spoofing
Puedes utilizar port security, un template puede ser, OJO esto para puertos de acceso (para usuarios, NO para trunks)
interface g1/0/1
switchport port-security violation shutdown
switchport port-security maximum 2 <---- permite 2 direcciones MAC
switchport port-security mac-address sticky
switchport port-security aging time type inactivity
switchport port-security <---- habilita
Tambien puedes utilizar otro tipo de configuraciones como:
DAI = Dynamic ARP Inspection
o tambien
IP Source Guard ( una vez aplicado IP DHCP snooping) utilizas el comando: ip verify source (ojo esto es opcional, pero pruebalo antes de aplicarlo)
Para la administracion del equipo tu puedes utilizar diferentes tipos de servicios, como radius o tacacs+, o incluso utilizar Cisco ISE (pero es otro procedimiento)
Para permitir unicamente por IP debes utilizar una ACL ( omitiendo que ya creaste el usuario/contraseña, SSH y todo otro proceso de autenticacion local y remoto)
ip access-list standar MI-AUTORIZACION
permit host 192.168.1.10
permit host 192.168.1.20
permit host 192.168.1.5
etc
line vty 0 15
ip access-class MI-AUTORIZACION in
Espero esto conteste tu pregunta.
Saludos
el 10-17-2019 09:30 AM
Hola @esotelo86
Solo añadir algunas cosas a lo que y amencionaste:
Requiero de su apreciado apoyo y conocimiento para crear una plantilla de aseguramiento, básicamente es saber las mejores practicas y que configuraciones aplicar en los switches para evitar cualquier ataque como por ejemplo
Port-security
Adicionalmente me gustaría saber que configuración debo aplicar en los switches para que los equipos puedan ser administrados solo por la ip de gestión.
Vlan dedicada a administracion
ACL, permitiendo solo las IP de los PC designados a los administradores(esta se aplica a las lineas VTY)
Deshabilitar Telnet, permitiendo solo conecciones SSH
Habilitacion de AAA(TACACS)
Saludos
el 10-17-2019 09:59 AM
con respecto a la configuración del SSH observo que existen varias interfaces vlan con ip asignadas y yo solo quiero que sea por medio de la IP de administración, cuando aplico el siguiente comando Ip ssh source-interface vlan X todavía me da la posibilidad de ingresar al switch con las otras IP
10-17-2019 11:03 AM - editado 10-17-2019 11:04 AM
Hola @esotelo86
Para filtrar el o los usuarios que podran conectarse a tu dispositivo por SSH, debes usar una ACL y aplicarla en las lineas VTY.
Por ejemplo, si tu vlan de administracion es la 99 y la red de esta vlan es la 192.168.99.0/24, entonces:
access-list 1 permit 192.168.99.0 0.0.0.255
line vty 0 15
access-class 1 in
Si quieres que solo una IP se pueda conectar, basta con modificar la ACL.
Si el administrado pertenece a una red no conectada directamente al switch, debes asegurarte que haya conectividad hacia la la red del administrador.
Saludos
el 10-17-2019 11:36 AM
estiamdo @luis_cordova
Muchas gracias por tu apoyo para solucionar esta duda
10-18-2019 05:54 AM - editado 10-18-2019 06:00 AM
Hola,
La configuracion del dhcp snooping es:
ip dhcp snooping <----------- con esto lo activas, por eso recomiendo que lo apliques hasta el final.
ip dhcp snooping vlan (agregas las VLANS)
no ip dhcp snooping information option (por lo general es la opcion 82)
bajo las interfaces de los usuarios (mode access)
ip dhcp snooping limite rate 10
bajo las interfaces trunks que conectan con los switches donde estan los servidores de dhcp (imagina switch de acceso hacia switch de core/distribucion)
ip dhcp snooping trust
------------------
Para IP spoofing puedes utilizar listas de acceso o ACL
o
Reverse path, esto aplica sobre interfaces de capa 3 (interfaces que tengan una direccion IP, y por lo general se aplica a interfaces que salen al exterior, ejemplo a Internet.
Ejemplo:
interface g0/0
ip verify unicast reverse-path
---------------
Para el caso de MAC Spoofing
Puedes utilizar port security, un template puede ser, OJO esto para puertos de acceso (para usuarios, NO para trunks)
interface g1/0/1
switchport port-security violation shutdown
switchport port-security maximum 2 <---- permite 2 direcciones MAC
switchport port-security mac-address sticky
switchport port-security aging time type inactivity
switchport port-security <---- habilita
Tambien puedes utilizar otro tipo de configuraciones como:
DAI = Dynamic ARP Inspection
o tambien
IP Source Guard ( una vez aplicado IP DHCP snooping) utilizas el comando: ip verify source (ojo esto es opcional, pero pruebalo antes de aplicarlo)
Para la administracion del equipo tu puedes utilizar diferentes tipos de servicios, como radius o tacacs+, o incluso utilizar Cisco ISE (pero es otro procedimiento)
Para permitir unicamente por IP debes utilizar una ACL ( omitiendo que ya creaste el usuario/contraseña, SSH y todo otro proceso de autenticacion local y remoto)
ip access-list standar MI-AUTORIZACION
permit host 192.168.1.10
permit host 192.168.1.20
permit host 192.168.1.5
etc
line vty 0 15
ip access-class MI-AUTORIZACION in
Espero esto conteste tu pregunta.
Saludos
Descubra y salve sus notas favoritas. Vuelva a encontrar las respuestas de los expertos, guías paso a paso, temas recientes y mucho más.
¿Es nuevo por aquí? Empiece con estos tips. Cómo usar la comunidad Guía para nuevos miembros
Navegue y encuentre contenido personalizado de la comunidad