Algunas cosas que hay que tener en cuenta a la hora de configurar un switch (de cisco, pero extensible a casi cualquier fabricante). Muhcas veces nos centramos solo en securizar maquinas olvidandonos de lo que tenemos detras.Dado que ahora lo swtiches hace bastantes mas cosas (entre ellas cosas a nivel 3 que te pueden complicar la vida).
Antes de nada deberias leerte las Best Practices de Cisco sobre el tema.
Hay algunas cosas que se pueden hacer para mejorar la seguridad en estos equipos:
– Todos los puertos que no se usen se asignaran a una vlan que no se utlice (y no uses la nativa).
La configuración quedaría asi:
Interface xx xx/xx
Description puerto_no_usado
switchport
switchport access vlan xxx
switchport access mode access
shutdown
spanning-tree portfast
spanning-tree bpuguard enable (para evitar que el puerto se levante si te pinchan otro switch).
– Utiliza un identificados distinto para la VLAN nativa. La VLan nativa (la 1)
Switchport access vlan xxx
switchport trunk encapsulation dot1q
switchport trunk allowd vlan xx,xx,xx (todos los puertos trunk tienen que ir en esta vlan).
– Port security: Limitamos las macs que puede aprender el puerto (ojo con las maquinas virtuales), se puede configurar tambien el modo «violation» que impide que una mac que ha aprendido en un puerto se empiece a ver en otro (estamos hablando de switches grandes, por lo que no es normal andar cambiado de puertos las cosas, aun asi, esto puede crearte quebraderos de cabeza).
La configuración sería la siguiente:
switchport port-security maximum 5
switchport port-security
switchport port-security violation restrict
Como norma puedes activar los logs, ojo con poner el nivel muy alto porque dejan la maquina bastante tostada, puedes mirar en la documentación de cisco todos los tipos de logs que se pueden configurar.
Para algunos problemas es util utilizar la herramienta que proporciona cisco (Cisco network assistant), carga la maquina, pero te muestra graficos y, a veces es mas rapido utilizarlos que generarlos a mano desde la linea de comandos.
Utiliza SNMP para tener monitorizado el cacharro, un aviso a tiempo te puede evitar un marron.