Mejores prcticas en switch y router Sistemas operativos Instale la ltima versin estable de IOS para evitar ataques de la recopilacin

de informacin y de la red, para esto tiene que tener en cuenta la cantidad de memoria RAM y Flash del dispositivo. Contraseas Como los dispositivos CISCO suelen enviar las contraseas sin cifrar, estas se deben proteger usando la encriptacin de todas las contraseas que se creen a partir del momento en que se introduzca el comando service passwordencryption. enable secret para enviar las contraseas encriptadas. use security passwords min-length para especifique una longitud mnima para las contraseas. Eliminar las contraseas innecesarias. Linea consola y aux Si no van a estar en funcionamiento usar login, no password, transport input none Transport, output none,no exec, exectimeout 0 1. Si por el contrario van a estar en funcionamiento usar login, password. Puertos de administracin Configurar una cuenta nica para cada administrador a travs del username con su nivel de privilegio acorde con lo que pueda hacer en el dispositivo. Trate de no usar la misma contrasea para las otras lneas. Configure el tiempo de espera para la sesin con exec-timeout 9 0 Configure el banner login para arrojarles un mensaje a los usuarios de que solo no todo el mundo puede acceder a la consola. Servicios de redes 1. Servicios de red innecesarios Se debe deshabilitar los siguientes servicios para evitar ataques: no service tcp-small-servers, no service udp-small-servers con esto evitaremos los ataques de denegacin de servicios que hacen que los usuarios no puedan acceder a los mismos. no ip bootp Server los servidores bootp sirven para distribuir imgenes del sistema con otros sistemas de CISCO con ese comando se evita que los atacantes puedan entrar a las imgenes de los sistemas de los dispositivos. no ip finger, no service finger al desactivar este servicio evitas que los atacantes puedan obtener informacin de los usuarios registrados actualmente en el dispositivo. no service config, no boot host, no boot network, no boot system con estos comandos evitas que los dispositivos utilicen mtodos que no son recomendables ya que la informacin de configuracin se transmite en texto plano durante el proceso de arranque y pueden ser recogidos por los usuarios no autorizados.

Evite las conexiones entre los sistemas de red usando el comando no service pad. no ip proxy-arp con este comando elimina la posibilidad de las peticiones ARP se enven de un dominio de brodcast a otro. no ip unreachables, no ip redirects, no ip mask-reply desactivar estos comando en la interfaz ayuda a que los atacantes no puedan mapear las redes a travs de los mensaje ICMP. no ip directed-broadcast en la interfaz null previene los ataques de denegacin de servicios evitando que enven mensajes de destino inalcanzable que podran inundar la red, ver las listas de control de acceso y que enven broadcast a los dispositivos.

2. Servicios de red necesarios Use username con privilegio para configurar una cuenta nica para cada administrador para el acceso a cualquier servicio de red necesaria. Use el comando ip name-server para especificar un servidor DNS para la resolucin de nombres. Use ip domain-lookup para habilitar la traduccin el nombre de host a direccin basado en DNS. Use no ip domain-lookup para que no puedan consultar DNS, ya que esto podra ocasionar lentitud si una direccin no es correcta. Use SSH ya que la informacin la enva de manera cifrada, es posible que se necesite actualizar el IOS, antes de usar SSH se deben configurar algunos comandos en el switch: o Configure el nombre del host con hostname. o Configure el nombre del DNS con ip domain-name. o Genere un par de claves RSA pblica y privada con crypto key generate rsa, luego se le sugerir un nombre de clave y que introduzca el tamao del modulo de la clave. o Configure una lista de control de acceso extendida para que solo los administradores puedan ingresar a la conexin remota. o Apliquela a las lineas VTY con ip access-class. o Permita solo conexiones SSH con transport input ssh. o Ajuste el nivel de privilegio a 0, y establecer el perodo de exec-timeout para desconectar conexiones inactivas a estas lneas. o Habilite el login local para permitir la comprobacin de cuentas locales en el inicio de sesin que le pedir un nombre de usuario y una contrasea, cabe destacar que si usa AAA no puede usar el login local. Si no puede actualizar el IOS use TELNET a travs de los siguientes comandos: o Configure una lista de control de acceso extendida para que solo los administradores puedan ingresar a la conexin remota. o Apliquela a las lineas VTY con ip access-class. o Permita solo conexiones TELNET con transport input telnet. o Ajuste el nivel de privilegio a 0, y establecer el perodo de exec-timeout para desconectar conexiones inactivas a estas lneas. o Habilite el login local para permitir la comprobacin de cuentas locales en el inicio de sesin que le pedir un nombre de usuario y una contrasea, cabe destacar que si usa AAA no puede usar el login local.

Use el comando no ip http Server para desactivar el servidor HTTP que viene incluido en el IOS para la administracin remota a travs de una interfaz web. o Si por el contrario es necesaria restrinja el acceso a travs de una lista de control de acceso estndar. o Habilite el servicio de HTTP y la lista de acceso en el modo de configuracin global con ip http Server, ip access-list. o Use el comando ip http authentication local para permitir la comprobacin de cuenta local en el inicio de sesin que le pedir un nombre de usuario y una contrasea. Si no esta usando SNMP deshabiltelo con no snmp-server community, no snmp-server enable traps, no snmp-server system-shutdown, no snmpserver Si por el contrario es necesario SNMP utilizar la versin 3 ya que es ms segura por su encriptacin. Y si solo esta disponible la versin 1 del SNMP, entonces crea una comunidad, con sus permisos ya sea de lectura, escritura o ambos, una lista de control de acceso con los comandos access-list, snmp-server community nombre de la comunidad permiso y aplicacin de la lista. Habilite y agregue los trap, para que se los envie al sistema de administracin, con snmp-server host traps, snmp-server trap-source Loopback0, snmpserver enable traps. Si no necesita CDP para obtener informacin de los vecinos deshabiltelo en el modo de configuracin global con no cdp run, la versin 2 de cdp con no cdp advertise-v2 y en las interfaces con no cdp. Si necesita cdp actvelo en la configuracin global y en las interfaces necesarias.

AAA Comprueba que los usuarios y administradores sean quienes dicen ser despus de la autenticar al usuario o al administrador, decide a qu recursos puede acceder o qu operaciones puede realizar. Use los siguientes comandos para hacer la autenticacin local aaa new-model. Cree el username, aaa authentication login ssh local, aaa authentication login admin local. En la lnea console login authentication admin. En la lnea vty login authentication ssh. Logging. Estos nos ayudan para ver cuales los cambios y errores de la configuracin de un dispositivo. Habilite el log con logging on. Establesca el tamao para el log logging buffered 16384 Adems debe tener en cuenta la zona horaria del dispositivo con el comando service timestamps log datetime msec.

Mejores prcticas en switch

Puertos Algunos atacante usan las tablas de direcciones mac para llenarla con direcciones falsas para evitarlo use los siguientes comandos en la interfaces y limite el numero de direcciones mac en el puerto, asi cuando un atacante intente acceder la mac se comparar con la tabla de direcciones mac y al ver que no coinde s apara el puerto evitando el ataque. Deshabilite las interfaces que no estn en uso con el comando el comando shutdown en el modo de configuracin de la interfaz. Habilite la seguridad del puerto con switchport port-security. Configure el puerto para que se desactive si existe una violacin con switchport port-security violation shutdown. Configure el mximo de direcciones mac que pueden ser configuradas en ese puerto se recomienda solo aceptar una direccion con el comando switchport port-security mximum. Configure la direccin o direcciones mac que se pueden conectar a ese puerto switchport port-security mac-address direccin mac. Puede convertir direcciones mac dinamicas en estaticas usando el comando switchport port-security mac-address sticky. Vlan 1 Los atacantes podrian conectarse a un puerto troncal y obtener informacin de todas las vlan evitelo con. Asigne una vlan diferente a la vlan 1 para la administracin de la red. Cree una lista de acceso que solo permita la direccin de administracin y activela el la interfaz. Asigne un puerto unico para que se realicen las conexiones de administracin. Asegurese de que los enlaces troncales no esten en la vlan administrativa. Cree una vlan para asignarsela a los puertos que no estan en uso. Asegurese de apagar la interfaz vlan que se creo para los puertos que no estan en uso. Asigne todos los puertos que no estan en uso a dicha interfaz. Coloque todos los puertos que no esten en uso como modo acceso con switchport mode access.

VTP Los atacantes podrian entrar a la red como un servidor vtp y crear vlan falsas y enviarlas a los dems switch del dominio vtp. Se recomienda tener dos switch como servidor en el mismo dominio, para establecer redundancia. Compruebe que los switch que van a pertenecer a un mismo dominio tengan la misma clave y dominio. Verifique que el servidor tenga el nmero de revisin ms alta. Negociacin en troncales Asigne una vlan diferente par la nativa en los troncales. Agregue la lista de las vlan que son parte del troncal.

STP Para prevenir la lentitud configure en los puertos de usuarios spanning-tree portfast. A los puertos de usuarios ya configurados con portfast protjale los bpdu para evitar que modifiquen la topologa de stp coloque el siguiente comando en la configuracin global spanning-tree portfast bpduguard default DHCP Para prevenir los ataques de servidores dhcp que inunda el servidor DHCP con las peticiones DHCP la direccin IP en un intento de agotar todas las direcciones DHCP configure los siguientes comandos. ip dhcp snooping, o ip dhcp snooping vlan vlan-range para un rango de vlan. Entre en la interfaz que va a ser confiable (donde va a ver un servidor dhcp). Configurar la interfaz como de confianza en un servidor DHCP est conectado al switch ip dhcp snooping trust. Configure el numero de paquetes que la interfaz puede recibir con ip dhcp snooping limit rate rate. Mejores prcticas en router Puertos Algunos atacante usan las tablas de direcciones mac para llenarla con direcciones falsas para evitarlo use los siguientes comandos en la interfaces y limite el numero de direcciones mac en el puerto, asi cuando un atacante intente acceder la mac se comparar con la tabla de direcciones mac y al ver que no coinde s apara el puerto evitando el ataque. Deshabilite las interfaces que no estn en uso con el comando el comando shutdown en el modo de configuracin de la interfaz. Impedir la propagacin de las actualizaciones por medio del passive-interface default, en aquellas interfaces que no estan conectadas a router y en las que esten conectas colocar no passiveinterface <interface>. Protocolo Para evitar que sean descubiertos router y rutas que no estan en la red y se conviertan en un riesgo para la red tenga en cuenta. Si va a usar rip use la version 2. Use la autenticacin para eigrp con los commandos key chain, key , keystring. En la interfaz coloque ip authentication mode eigrp <asnumber> md5, ip authentication keychain eigrp <asnumber> <keyname>. para rip use rip key chain, key, keystring. En la interfaz coloque ip rip authentication mode md5, ip rip authentication keychain <keyname>. Para ospf en la interfaz use ip ospf messagedigestkey <keyid> md5.

En el modo router de ospf area 0 authentication messagedigest.

Filtrado de router Para eigrp en el modo de router colocar distributelist prefix <listname> out <interface>, distributelist prefix <listname> in <interface> Para ospf en el modo de router colocar area <areaid> filterlist prefix <listname> in Consumo de recurso en el proceso de enrutamiento Para ospf colocar en el modo de router maxlsa <maximumnumber> Mejores prcticas en wan