Administración e Implementación de seguridad en los switches
La seguridad en los switches es muy importante en la infraestructura de una red, permitiendo garantizar la confiabilidad al usuario de enviar y recibir información protegida y denegar el acceso a usuarios no autorizados, así evitar ataques maliciosos en la red.
En la actualidad existen muchos estándares y protocolos de seguridad permitiendo una red confiable, en este post hablaremos del funcionamiento SSH y la seguridad en los puertos del switch.
SSH
Un protocolo que permite la conexión remota es el SSH que nos permite utilizar técnicas criptográficas para garantizar que todas las comunicaciones sean de manera encriptada.
Existe también el protocolo telnet, pero no es seguro ya que transmite sin cifrar. Así que en mi opinión os recomendaría utilizar el protocolo ssh.
Podemos reforzar nuestra seguridad con un comando que permite configurar la longitud mínima de una contraseña #security passwords min-length
SEGURIDAD DE PUERTO
Al implementar el switch en una red, debemos de de asegurarnos de:
- Configurar todos los puertos del switch.
- Limitar el número de host que se pueden conectar a un puerto.
- Acción a tomar cuando un host no permitido se conecta al puerto.
- Establecer un único host en un puerto.
todos estos puntos lo veremos a continuación con su respectiva configuración.
Modos de violación de seguridad
Cuando un host desconocido intenta conectarse a un puerto del switch, este actuará del modo que nosotros tengamos configurado:
- Shutdown (Desactivar): Este modo viene por defecto, este puerto se deshabilitará cuando el switch reconozca una MAC distinta.
- Protect (Proteger): Este modo tenemos que configurar en el puerto, con el comando #switchport port-security violation protect , el puerto seguirá habilitado pero no permitirá el paso de trafico de dicha MAC intrusa.
- Restrict (Restringir):Este modo tenemos que configurar en el puerto, con el comando #switchport port-security violation restrict, el puerto hará lo mismo que el protect pero con la diferencia que este notificará que se produjo una violación de seguridad.
Así también tenemos un comando que nos permite limitar la cantidad máxima de MAC que queremos que el puerto aprenda, utilizaremos el comando #switchport port-security maximum [cantidad de MAC permitidas], y con eso le decimos por ejemplo al switch que solo aceptamos 2 MAC como máximo.
Para que el switch aprenda que MAC tiene que permitir lo podemos hacer de manera manual o también lo podemos hacer de manera automática con el comando #switchport port-security mac-address sticky
RECOMENDACIÓN
Con todos estos comando y pautas que hemos hablado, os recomendaría configurar los puertos en modo Restrict, ya que el puerto no se cae, sigue funcionando y notifica que hay un intruso. Recomendaros también saber cuántas MAC serán conectadas en ese puerto y con dicha cantidad configurar la cantidad máxima para reforzar la seguridad esto nos ayudara a que el riesgo de vulnerabilidad del switch sea menor y dar confiabilidad al usuario.
Autor/a: Gary Joel Robladillo Gomez
Curso: Cisco CCNA Routing&Switching
Centro: Tajamar
Año académico: 2018-2019