Seguridad en switches Cisco

Hoy en día existen numerosos ataques de nivel 2 que podrían llegar a comprometer el tráfico de nuestra red. Hace ya bastante tiempo, la NSA publicó una guía de configuración para la mejora de la seguridad de los switches Cisco (Cisco IOS Switch Security Configuration Guide) con una serie de contramedidas que en su mayoría siguen vigentes y que a continuación resumimos a modo de checklist:

- Jerarquía de red: mantener una jerarquía de red adecuada con tres niveles bien definidos:
. Nivel de acceso: donde van conectadas las máquinas de los usuarios.
. Nivel de distribución: donde van conectados los servidores locales, los routers, los switches de la LAN y otros switches con capacidad de enrutamiento.
. Nivel core o backbone: aquí estará la electrónica de mayores prestaciones para el switching de tráfico a mayor velocidad. Podrían conectarse servidores centrales, switch routers, high-speed routers e incluso switches de LAN.

- IOS: Instalar la última versión estable de la IOS en cada switch Cisco.

- Contraseñas: Configurar el cifrado básico de las contraseñas de usuario, la contraseña "enable" y la de la consola y terminal. Utilizar siempre contraseñas complejas.

- Puertos de administración: si es posible administrar el switch out-of-band, crear una cuenta para el acceso de cada administrador a la consola, configurar adecuadamente los niveles de privilegios (0-15), establecer time-out de sesión y crear banners legales.

- Servicios de red: desactivar servicios de red innecesarios.

- Port security: "aprende" y deja comunicarse a un número de MACs especificado (máx. 132) evitando la conexión de hubs y protegiendo la tabla CAM (Content-addressable memory).

- Disponibilidad: establecer el tiempo de procesador para procesos (scheduler interval y allocate), desactivar el flow control, desactivar UDLD globalmente para que no se utilice en los interfaces que no lo requieran, configurar tiempos de espera para establecer una conexión TCP (ip tcp synwait-time) y establecer QoS.

- VLANs: asignar una VLAN para administración, no utilizar la VLAN por defecto (VLAN 1) y asignar todos los interfaces inactivos a una VLAN no utilizada (por ej. VLAN 999).

- PVLANs (Private VLANs): implementar VACLs en la PVLAN primaria para filtrar el tráfico del segmento.

- VTP (Virtual Trunking Protocol): desactivar VTP globalmente si no se utiliza. En caso contrario, configurar adecuadamente los dominios VTP de administración y asignarles una contraseña robusta. Activar VPN pruning y usarlo en los puertos apropiados. Configurar VPN en modo transparente.

- DTP (Dynamic Trunking Protocol): no usar DTP si es posible. Asignar los interfaces de trunk a una VLAN específica (que no sea la 1) y ponerlos en modo trunking sin negociacion. Configurar el resto de interfaces en modo non-trunking sin negociación. Especificar todas las VLANs que son parte del trunk. Usar una VLAN única para cada trunk del switch.

- VLAN Hopping: desactivar CDP, VTP y DTP en cada switch si es posible. Asignar una VLAN shutdown como la VLAN nativa de cada trunk y no usar esta VLAN para cualquier otra cosa.

- STP (Spanning Tree Protocol): Activar BPDU Guard globalmente o en puertos específicos para definir que dispositivos pueden influir en la topología y activar Root Guard para limitar los puertos en los que puede ubicarse el raíz o Root Bridge.

- ACLs: considerar el uso de Port Access Control List (PACL), Router Access Control List (RACL) y VLAN Access Control List (VACL).

- Logging y Debugging: activar el logging en cada switch, configurar el nivel de trap y utilizar log hosts. Configurar la sincronización horaria por NTP.

- AAA (Authentication, Authorization, and Accounting): utilizarlo si tenemos disponible un servidor RADIUS, TACACS+ o Kerberos.

En definitiva, todas estas medidas se consideran como buenas prácticas y deberían evaluarse concienzudamente para su implantación. No obstante, recordar que existen otras medidas adicionales como DHCP Snooping, DAI o Source Guard, que podrían añadirse a esta lista...

Comentarios