Comprar o Renovar
Comprar o Renovar
cancelar
Activar sugerencias
La sugerencia automática le ayuda a obtener, de forma rápida, resultados precisos de su búsqueda al sugerirle posibles coincidencias mientras escribe.
Mostrando los resultados de 
Buscar en lugar de 
Quiere decir: 
cancel
Iniciar una conversación
997
Visitas
10
ÚTIL
5
Respuestas

Aseguramiento de una red LAN

Ir a solución
esotelo86
Level 1
Level 1

el ‎10-17-2019 07:47 AM

Buenos días estimados;

 

Requiero de su apreciado apoyo y conocimiento para crear una plantilla de aseguramiento, básicamente es saber las mejores practicas y que configuraciones aplicar en los switches para evitar cualquier ataque como por ejemplo 

DHCP Spoofing

IP Spoofing

MAC Spoofing

 

Adicionalmente me gustaría saber que configuración debo aplicar en los switches para que los equipos puedan ser administrados solo por la ip de gestión.

 

Agradezco todo el apoyo que me p

Etiquetas:
0 Útil
1 SOLUCIÓN ACEPTADA

Soluciones aceptadas

Ir a solución
Julio E. Moisa
VIP
VIP

‎10-18-2019 05:54 AM - editado ‎10-18-2019 06:00 AM

Hola,

La configuracion del dhcp snooping es:

 

ip dhcp snooping  <----------- con esto lo activas, por eso recomiendo que lo apliques hasta el final.

ip dhcp snooping vlan (agregas las VLANS)

no ip dhcp  snooping information option (por lo general es la opcion 82)

 

bajo las interfaces de los usuarios (mode access)

 

ip dhcp snooping limite rate 10

 

bajo las interfaces trunks que conectan con los switches donde estan los servidores de dhcp (imagina  switch de acceso hacia switch de core/distribucion)

 

ip dhcp snooping trust

 

------------------

 

Para IP spoofing puedes utilizar listas de acceso o ACL

o

Reverse path, esto aplica sobre interfaces de capa 3 (interfaces que tengan una direccion IP, y por lo general se aplica a interfaces que salen al exterior, ejemplo a Internet.

Ejemplo:

interface g0/0

ip verify unicast reverse-path

 

 

---------------

 

Para el caso de MAC Spoofing

Puedes utilizar port security, un template puede ser, OJO esto para puertos de acceso (para usuarios, NO para trunks)

 

interface g1/0/1

switchport port-security violation shutdown

switchport port-security maximum 2  <---- permite 2 direcciones MAC

switchport port-security mac-address sticky

switchport port-security aging time type inactivity

switchport port-security  <---- habilita

 

 

Tambien puedes utilizar otro tipo de configuraciones como:

DAI = Dynamic ARP Inspection

 

o tambien

 

IP Source Guard ( una vez aplicado IP DHCP snooping) utilizas el comando: ip verify source (ojo esto es opcional, pero pruebalo antes de aplicarlo)

 

Para la administracion del equipo tu puedes utilizar diferentes tipos de servicios, como radius o tacacs+, o incluso utilizar Cisco ISE (pero es otro procedimiento)

 

Para permitir unicamente por IP debes utilizar una ACL ( omitiendo que ya creaste el usuario/contraseña, SSH y todo otro proceso de autenticacion local y remoto)

 

ip access-list standar MI-AUTORIZACION

permit host 192.168.1.10

permit host 192.168.1.20

permit host 192.168.1.5

etc

 

line vty 0 15

ip access-class MI-AUTORIZACION in

 

 

 

Espero esto conteste tu pregunta.

 

Saludos 

 

 

 

 

 

 




>> Marcar como útil o contestado, si la respuesta resolvió la duda, esto ayuda a futuras consultas de otros miembros de la comunidad. <<

Ver la solución en mensaje original publicado

5 RESPUESTAS 5

Ir a solución
luis_cordova
VIP Alumni
VIP Alumni

el ‎10-17-2019 09:30 AM

Hola @esotelo86 

 

Solo añadir algunas cosas a lo que y amencionaste:

 

Requiero de su apreciado apoyo y conocimiento para crear una plantilla de aseguramiento, básicamente es saber las mejores practicas y que configuraciones aplicar en los switches para evitar cualquier ataque como por ejemplo 

 

Port-security

 

Adicionalmente me gustaría saber que configuración debo aplicar en los switches para que los equipos puedan ser administrados solo por la ip de gestión.

 

Vlan dedicada a administracion

ACL, permitiendo solo las IP de los PC designados a los administradores(esta se aplica a las lineas VTY)

Deshabilitar Telnet, permitiendo solo conecciones SSH

Habilitacion de AAA(TACACS)

 

Saludos

0 Útil

Ir a solución
esotelo86
Level 1
Level 1
En respuesta a luis_cordova

el ‎10-17-2019 09:59 AM

con respecto a la configuración del SSH observo que existen varias interfaces vlan con ip asignadas y yo solo quiero que sea por medio de la IP de administración, cuando aplico el siguiente comando Ip ssh source-interface vlan X todavía me da la posibilidad de ingresar al switch con las otras IP

 

 

 

 

0 Útil

Ir a solución
luis_cordova
VIP Alumni
VIP Alumni
En respuesta a esotelo86

‎10-17-2019 11:03 AM - editado ‎10-17-2019 11:04 AM

Hola @esotelo86 

 

Para filtrar el o los usuarios que podran conectarse a tu dispositivo por SSH, debes usar una ACL y aplicarla en las lineas VTY.

Por ejemplo, si tu vlan de administracion es la 99 y la red de esta vlan es la 192.168.99.0/24, entonces:

 

access-list 1 permit 192.168.99.0 0.0.0.255

line vty 0 15

access-class 1 in

 

Si quieres que solo una IP se pueda conectar, basta con modificar la ACL.

 

Si el administrado pertenece a una red no conectada directamente al switch, debes asegurarte que haya conectividad hacia la la red del administrador.

 

Saludos

Ir a solución
Hilda Arteaga
Cisco Employee
Cisco Employee
En respuesta a luis_cordova

el ‎10-17-2019 11:36 AM

estiamdo @luis_cordova 

Muchas gracias por tu apoyo para solucionar esta duda 

0 Útil

Ir a solución
Julio E. Moisa
VIP
VIP

‎10-18-2019 05:54 AM - editado ‎10-18-2019 06:00 AM

Hola,

La configuracion del dhcp snooping es:

 

ip dhcp snooping  <----------- con esto lo activas, por eso recomiendo que lo apliques hasta el final.

ip dhcp snooping vlan (agregas las VLANS)

no ip dhcp  snooping information option (por lo general es la opcion 82)

 

bajo las interfaces de los usuarios (mode access)

 

ip dhcp snooping limite rate 10

 

bajo las interfaces trunks que conectan con los switches donde estan los servidores de dhcp (imagina  switch de acceso hacia switch de core/distribucion)

 

ip dhcp snooping trust

 

------------------

 

Para IP spoofing puedes utilizar listas de acceso o ACL

o

Reverse path, esto aplica sobre interfaces de capa 3 (interfaces que tengan una direccion IP, y por lo general se aplica a interfaces que salen al exterior, ejemplo a Internet.

Ejemplo:

interface g0/0

ip verify unicast reverse-path

 

 

---------------

 

Para el caso de MAC Spoofing

Puedes utilizar port security, un template puede ser, OJO esto para puertos de acceso (para usuarios, NO para trunks)

 

interface g1/0/1

switchport port-security violation shutdown

switchport port-security maximum 2  <---- permite 2 direcciones MAC

switchport port-security mac-address sticky

switchport port-security aging time type inactivity

switchport port-security  <---- habilita

 

 

Tambien puedes utilizar otro tipo de configuraciones como:

DAI = Dynamic ARP Inspection

 

o tambien

 

IP Source Guard ( una vez aplicado IP DHCP snooping) utilizas el comando: ip verify source (ojo esto es opcional, pero pruebalo antes de aplicarlo)

 

Para la administracion del equipo tu puedes utilizar diferentes tipos de servicios, como radius o tacacs+, o incluso utilizar Cisco ISE (pero es otro procedimiento)

 

Para permitir unicamente por IP debes utilizar una ACL ( omitiendo que ya creaste el usuario/contraseña, SSH y todo otro proceso de autenticacion local y remoto)

 

ip access-list standar MI-AUTORIZACION

permit host 192.168.1.10

permit host 192.168.1.20

permit host 192.168.1.5

etc

 

line vty 0 15

ip access-class MI-AUTORIZACION in

 

 

 

Espero esto conteste tu pregunta.

 

Saludos 

 

 

 

 

 

 




>> Marcar como útil o contestado, si la respuesta resolvió la duda, esto ayuda a futuras consultas de otros miembros de la comunidad. <<

Navegue y encuentre contenido personalizado de la comunidad

Videos de R&S Documentos de R&S Blogs de R&S
Customers Also Viewed These Support Documents