Configuración básica de seguridad
José Aular / 24.02.2023
Tabla de contenido
- Deshabilitar puertos en desuso
- Habilitar la seguridad del puerto
- Implementar DHCP Snooping
- Lóngitud mínima de una contraseña
- Restringir los intentos de inicio de sesión
- Tiempo de espera
- Referencias
Deshabilitar puertos en desuso
Navegue hasta el puerto utilizando el comando interface {FastEthernet | GigabitEthernet} {number}.
Utilice el comando
interface range {number}para configurar varias interfaces simultáneamente.
SW1(config)# interface FastEthernet 0/5Seguidamente utilice el comando shutdown para deshabilitar el puerto.
SW1(config-if)# shutdown
SW1(config-if)#
%LINK-5-CHANGED: Interface FastEthernet0/5, changed state to administratively down
%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/5, changed state to down
Finalmente, utilice el comando description {text} para agregar una descripción al puerto.
SW1(config-if)# description PUERTO DESHABILITADOHabilitar la seguridad del puerto
SW1(config)# interface FastEthernet 0/1Utilice el comando switchport port-security para que el tráfico pueda limitarse solo a una dirección MAC específica o una lista de direcciones MAC.
SW1(config-if)# switchport mode access
SW1(config-if)# switchport port-securitySi un puerto activo está configurado con el comando switchport port-security y hay más de un dispositivo conectado a ese puerto, el puerto pasará al estado de error desactivado. Si un dispositivo esta conectado al puerto, el switch automáticamente agregara la direccion MAC de este dispositivo como una direccion MAC segura.
Utilice el comando
switchport port-security mac-address {mac-address}para agregar una dirección MAC manualmente.
Implementar DHCP Snooping
Habilite la inspección DHCP mediante el comando ip dhcp snooping.
SW1(config)# ip dhcp snoopingEn puertos de confianza, use el comando ip dhcp snooping trust.
SW1(config)# interface FastEthernet 0/1SW1(config-if)# ip dhcp snooping trust
SW1(config-if)# exitLuego, el rango de puertos FastEthernet desde F0/5 a F0/24 son no confiables de manera predeterminada, de manera que se establece un limite de transferencia de seis paquetes por segundo con el comando ip dhcp snooping limit rate {number}.
SW1(config)# interface range FastEthernet 0/5-24SW1(config-if-range)# ip dhcp snooping limit rate 6
SW1(config-if-range)# exitFinalmente, la inspección DHCP está habilitada en VLANS 5, 10, y del 50 al 80 con el comando ip dhcp snooping vlan {vlan-id}.
SW1(config)# ip dhcp snooping vlan 5,10,50-80Lóngitud mínima de una contraseña
Utilice el comando security passwords min-length {number} para configurar la longitud mínima de una contraseña.
R1(config)# security passwords min-length 8
// Longitud mínima de 0 a 16.El siguiente es un resultado de muestra al crear una contraseña con menos de 8 caracteres.
R1(config)# line console 0
R1(config-line)# password 12345
% Password too short - must be at least 8 characters. Password not configured.Restringir los intentos de inicio de sesión
Utilice el comando login block-for {block-time-period} attempts {fail-attempts} within {login-attempt-time-period} para restringir los intentos de inicio de sesión de Telnet / SSH e impedir los inicio de sesión por fuerza bruta.
R1(config)# login block-for 120 attempts 3 within 60
// block-time-period: tiempo para bloquear el inicio de sesión (seg).
// fail-attempts max: número de intentos de inicio de sesión.
// login-attempt-time-period: tiempo para observar los intentos de inicio de sesión (seg).
Si alguien falla en tres intentos en un período de 60 segundos, el router bloquea los intentos de inicio de sesión por 120 segundos.
Tiempo de espera
Utilice el comando exec-timeout {minutes} {seconds} para establecer un tiempo específico para desconectar las sesiones inactivas.
El valor predeterminado para el tiempo de espera es de 10 minutos.
R1(config)# line console 0
R1(config-line)# exec-timeout 1 30
// Desconecta al usuario de la consola después de 90 segundos de inactividad.