MEJORES PRÁCTICAS DE INSTALACIÓN Y CONFIGURACIÓN

DE SWITCHES CISCO CAPA 2

1. Introducción
En el presente documento se presenta una serie de mejores prácticas para ayudar a
configurar el dispositivo de red: Switch capa 2 con sistemas CISCO IOS, lo cual refuerza
la seguridad general para mantener el equipo más confiable de ataques o acceso a la
red sin autorización.

2. Mejores prácticas
La configuración segura de un switch capa 2 Cisco IOS junto con las operaciones de
seguridad constituyen un tema primordial en una red, por ende, es fundamental
implementar mejores prácticas para la instalación y configuración de dispositivos de red
en específico que no son exhaustivos.

Plano de Administración
Seguridad

 Utilizar archivos de configuración para restaurar los cambios que se realizan a los
dispositivos de red.
 En seguridad, utilizar los archivos de configuración para determinar qué cambios
se realizaron y cuando ocurrieron.
 Al considerar, la seguridad de un dispositivo de red, el plano de administración
esté protegido.
 Proteger tanto el plano de administración como el de control de los dispositivos.
Administración de contraseña

 Configurar la contraseña que concede acceso administrativo privilegiado al

sistema Cisco IOS, mediante el comando enable secret.
 Se debe cifrar los datos que se guardan en el archivo de configuración, para ello
el comando service password-encryption.
 Los archivos de configuración se deben guardar con seguridad y compartir
solamente con individuos de confianza.

Enhanced Password Security

 Configurar el hash de contraseñas MD5 para el comando de configuración global

username secret.
 Username <name> secret <password>

Login Password Retry Lockout

 Bloquear las cuentas de usuarios locales tras una cantidad configurable de

intentos fallidos de inicio de sesión.
 Controlar el acceso de usuarios de consola accedan de manera insegura a la
configuración del dispositivo y borre la contraseña.
 El procedimiento para la recuperación de la contraseña se lo realizará
accediendo al modo monito de ROM(ROMMON) con la tecla Interrumpir
mediante la fase de inicio del sistema.
aaa new-model
aaa local authentication attempts max-fail <max-attempts>
aaa authentication login default local
username <name> secret <password>

No Service Password-Recovery

 Al deshabilitar No Service Password-Recovery, se debe guardar una copia una

copia fuera de la línea de la configuración del dispositivo.
Inhabilitación de servicios no utilizados
Descripción: Inhabilitación de servicios no utilizados por la plataforma. Los servicios
simples de TCP y UDP deben ser inhabilitados, que incluyen:
 echo (número del puerto 7)
 discard (número de puerto 9)
 daytime (número de puerto 13)
 chargen (número de puerto 19)

Comandos por aplicar para servicios adicionales a inhabilitar:

 no ip source-route
 no service pad: inhabilita el servicio de Packet Assembler/Disassembler(PAD),
para redes X.25
 no ip finger: inhabilita el servicio Finger
 no ip bootp server: inhabilita Bootstrap
 no mop enabled: inhabilita el servicio de Maintenance Operation Protocol (MOP)
 no service dhcp: inhabilita los servicios de DHCP.
 no ip domain-lookup: inhabilita los servicios de resolución del Sistema de
Nombres de Dominio (DN).
 no ip http server: desactiva el servidor HTTP
 no ip http secure-server: desactiva el servidor HTTP seguro (HTTPS)
 no service config: impide que el dispositivo Cisco intente hallar un archivo de
configuracion en la red con TFTP.
 ip dhcp bootp ignore: inhabilita BOOTP. De esta forma, se habilita los servicios de
DHCP.
 no cdp enable: inhabilita CDP en todas las interfaces conectadas a redes no
confiables
 no cdp run: inhabilita CDP globalmente.
 no lldp transmit/receive: inhabilita LLDP en todas las interfaces que se conecten
a redes no confiables.
 no lldp run global configuration: inhabilita LLDP globalmente.
 ningun sdflash: inhabilita sdflash para switches con dicho arranque.

Tiempo de espera EXEC

El comando exec-timeout es utilizado para cerrar las sesiones en las líneas vty o tty que
quedan inactivas.

line con 0
exec-timeout <minutes> [seconds]
line vty 0 4
 exec-timeout <minutes> [seconds]

Uso de la interfaz de administración

Para el acceso en banda a un dispositivo se utiliza la interfaz lógica Loopback, nunca deja
de funcionar y se recomienda agregar una interfaz Loopback en cada dispositivo como
interfaz de administración que se use para el plano de administración. Puede ser
utilizada por los protocolos: SSH, SNMP y syslog, a fin de enviar y recibir el tráfico.
interface Loopback 0
ip address 192.168.1.1 255.255.255.0

NTP
Cliente:
ntp authenticate
ntp authentication- key 5 md5 ciscotime
ntp trusted -key-5
ntp server 172.16.1.5.key 5

Servidor:
ntp authenticate
ntp authentication-key 5 md5 ciscotime
ntp tristed-key 5

Habilitación de comandos para minimizar impacto de ataque a los equipos

Descripción: Permiten mejorar las respuestas de equipo (para su administración) en caso
de un ataque basado en inundación de tráfico, mientras que los TCP keepalives permiten
prevenir sesiones truncadas en caso de desconexiones repentinas.
Comandos para aplicar:
scheduler allocate
service tcp-keepalives-in
service tcp-keepalives-out
  Habilitación de traps
Descripción: Habilitación de traps generados por eventos o cambios de configuración en
los equipos.
Comandos para aplicar:
loggin traps
logging event link-status default
snmp-server enable traps vtp
snmp-server enable traps vlancreate
snmp-server enable traps vlandelete
snmp-server enable traps envmon
snmp-server enable traps stackwise
snmp-server enable traps config
snmp-server enable traps hsrp
snmp-server enable traps ipmulticast

 Habilitación de Root Guard

Descripción: Definición de perímetro de seguridad de STP. Estos comandos serán
aplicados en las interfaces de acceso de los equipos.
Comandos para utilizar:
Interface [tipo][numero]
spanning-tree guard root o
spanning-tree rootguard

 Habilitación de BPDU Guard

Descripción: Permitirá deshabilitar una puerta en caso de que se conecte un switch a
una puerta configurada con portfast (De esta forma se evita que la inserción de un
switch en la red sea descontrolada)
Comandos por utilizar:
spanning-tree portfast bpduguard
Acceso limitado a la red mediante ACL de infraestructura
Las listas de control de acceso son creadas para evitar la comunicación directa no
autorizada con dispositivos de red.
switch# show vstack config
Role: Client (SmartInstall disabled)
Vstack Director IP address: 0.0.0.0

Configuración de Passwords, nombre y otros

 Contraseña de Restricción al acceso

#configure terminal
(config)# enable password <xxxxxx> (NO recomendado, no está cifrada)
(config)# enable secret <xxxxxx> (RECOMENDADA, cifrada con MD5)

 Contraseña de acceso al puerto de consola:

#configure terminal
(config)# line console 0 (accede al puerto de consola)
(config-line)# exec-timeout <minutos> <segundos> (desconecta sesiones con
un periodo de inactividad mayor del tiempo establecido, generalmente <5>
<0>)
(config-line)# login (El Switch pregunta la contraseña cada vez que intente
conectarse al puerto de consola)
(config-line)# password <xxxxxx> (contraseña que nosotros escojamos)

 Contraseña de puerto auxiliar

(config)# line aux 0 (comando para acceder a la configuración del puerto
auxiliar)
(config-line)# exec-timeout <minutos> <segundos> (desconecta sesiones con
un periodo de inactividad mayor del tiempo establecido, generalmente <5>
<0>)
(config-line)# login (El Switch te pregunta la contraseña cada vez que intente
conectarse al puerto de consola)
(config-line)# password <xxxxxx> (contraseña que nosotros escojamos)
 Contraseña para acceder al equipo en remoto TELNET
(config)# line vty 0 4 (comando que permite acceder a cinco conexiones
múltiples a la interfaz de telnet)
(config-line)# exec-timeout <minutos> <segundos> (desconecta sesiones con
un periodo de inactividad mayor del tiempo establecido, generalmente <5>
<0>)
(config-line)# login (El Switch pregunta la contraseña cada vez que intente
conectarse al puerto de consola)
(config-line)# password <xxxxxx> (contraseña que nosotros escojamos)
(config)# line vty 5 15
(config-line)# no login (El Switch no pregunta la contraseña)

 Habilitación de protocolo UDLD

(config)# udld enable

 Comandos importantes de deshabilitación

(config)# no ip http server
(config)# no setup express
(config)# no ip forward-protocol udp netbios-ns
(config)# no ip forward-protocol udp netbios-dgm
(config)# no ip source-routeno ip domain-lookup
(config)# service timestamps debug datetime localtime
(config)# service timestamps log datetime localtime

logging buffered 8000 debugging

spanning-tree mode rapid-pvst

spanning-tree portfast bpduguard default
spanning-tree extend system-id
  Encripta todas las contraseñas
(config)# service password-encryption

 Deshabilita la traducción de nombres

(config)# no ip domain-lookup

Seguridad en Switch cisco

Descripción: Hoy en día existen numerosos ataques de nivel 2 que podrían llegar a
comprometer el tráfico de nuestra red. Una serie de contramedidas fueron publicadas
como guía de configuración para mejorar de la seguridad de los switches Cisco:
 Jerarquía de red: adecuada con tres niveles bien definidos:
- Nivel de acceso: donde van conectadas las máquinas de los usuarios.
- Nivel de distribución: donde van conectados los servidores locales, los routers,
los switches de la LAN y otros switches con capacidad de enrutamiento.
- Nivel core o backbone: aquí estará la electrónica de mayores prestaciones para
el switching de tráfico a mayor velocidad. Podrían conectarse servidores
centrales, switch routers, high-speed routers e incluso switches de LAN.

 IOS: Instalar la última versión estable de la IOS en cada switch Cisco.

 Contraseñas: Configurar el cifrado básico de las contraseñas de usuario, la

contraseña "enable" y la de la consola y terminal. Utilizar siempre contraseñas
complejas.

 Puertos de administración: si es posible administrar el switch out-of-band, crear

una cuenta para el acceso de cada administrador a la consola, configurar los
niveles de privilegios (0-15), establecer time-out de sesión y crear banners legales.

 Servicios de red: desactivar servicios de red innecesarios.

 Port security: "aprende" y deja comunicarse a un número de MACs especificado

(máx. 132) evitando la conexión de hubs y protegiendo la tabla CAM (Content-
addressable memory).

 Disponibilidad: establecer el tiempo de procesador para procesos (scheduler

interval y allocate), desactivar el flow control, desactivar UDLD globalmente para
que no se utilice en interfaces que no lo requieran, configurar tiempos de espera
para establecer una conexión TCP (ip tcp synwait-time) y establecer QoS.
  VLANs: asignar una VLAN para administración, no utilizar la VLAN por defecto
(VLAN 1) y asignar todos los interfaces inactivos a una VLAN no utilizada (por ej.
VLAN 999).

 PVLANs (Private VLANs): implementar VACLs en la PVLAN primaria para filtrar el

tráfico del segmento.

 VTP (Virtual Trunking Protocol): desactivar VTP globalmente si no se utiliza. Caso

contrario, configurar adecuadamente los dominios VTP de administración y
asignarles una contraseña robusta. Activar VPN pruning y usarlo en los puertos
apropiados. Configurar VPN en modo transparente.

 DTP (Dynamic Trunking Protocol): no usar DTP si es posible. Asignar interfaces de

trunk a una VLAN específica (que no sea la 1) y ponerlos en modo trunking sin
negociacion. Configurar el resto de interfaces en modo non-trunking sin
negociación. Especificar todas las VLANs que son parte del trunk. Usar una VLAN
única para cada trunk del switch.

 VLAN Hopping: desactivar CDP, VTP y DTP en cada switch si es posible. Asignar una
VLAN shutdown como la VLAN nativa de cada trunk.

 STP (Spanning Tree Protocol): Activar BPDU Guard globalmente o en puertos

específicos para definir que dispositivos pueden influir en la topología y
activar Root Guard para limitar los puertos en que puede ubicarse el raíz o Root
Bridge.

 ACLs: considerar el uso de Port Access Control List (PACL), Router Access Control
List (RACL) y VLAN Access Control List (VACL).

 Logging y Debugging: activar el logging en cada switch, configurar el nivel de trap

y utilizar log hosts. Configurar la sincronización horaria por NTP.

 AAA (Authentication, Authorization, and Accounting): utilizarlo si tenemos

disponible un servidor RADIUS, TACACS+ o Kerberos.

En definitiva, todas estas medidas se consideran como buenas prácticas y deberían

evaluarse concienzudamente para su implantación. No obstante, recordar que existen
otras medidas adicionales como DHCP Snooping, DAI o Source Guard, que podrían
añadirse a esta lista...
Habilitación de SSH

 Paso 1: Configuración de IP de administración

Switch#conf t
Switch(config)#interface vlan 1
Switch(config-if)#ip address 192.168.0.10 255.255.255.0
Switch(config-if)#no shutdown

 Paso 2: Configuración de default Gateway apuntando al Router

Switch(config)#ip default-gateway 192.168.0.1

 Paso 3: Configuración de hostname y nombre de dominio

Switch(config)#hostname XXXX
eclassvirtual-sw(config)#ip domain-name eclassvirtual.com

 Paso 4: Generación de llaves RSA

eclassvirtual-sw(config)# crypto key generate rsa
The name for the keys will be: eclassvirtual-sw.eclassvirtual.com Choose the
size of the key modulus in the range of 360 to 2048 for your General Purpose
Keys. Choosing a key modulus greater than 512 may take a few minutes. How
many bits in the modulus [512]: 2048 % Generating 2048 bit RSA keys, keys
will be non-exportable…[OK] eclassvirtual-sw(config)# 1024

 Paso 5: Cambiar SSH versión 1 a la 2 (la versión 2 es más segura)

eclassvirtual-sw(config)#ip ssh version 2

 Paso 6: Configuración de Line VTY

eclassvirtual-sw(config)# line vty 0 15
eclassvirtual-sw(config-line)# transport input ssh
eclassvirtual-sw(config-line)# login local
 Paso 7: Crear nombre de usuario y password
eclassvirtual-sw(config)# username eclassvirtual privilege 15 secret cisco123

 Paso 8: Habilitar enable secret

eclassvirtual-sw(config)# enable secret cisco123

 Paso 9: Realizar pruebas de SSH desde el PC

C:\>ssh -l eclassvirtual 192.168.0.10 Open Password:

 Paso 10: Revisión de conexión SSH en el Switch

eclassvirtual-sw# show ssh