Tabla de contenido
Publicidad
Cambiar todas las contraseñas de los conmutadores de red que puedan tener varias cuentas
■
de usuario y contraseñas de forma predeterminada.
Gestionar conmutadores fuera de banda (separados del tráfico de datos). Asignar un
■
número de red de área local virtual (VLAN) separado para la gestión en banda, si la
gestión fuera de banda no es posible.
Utilizar la capacidad de duplicación de puertos del conmutador de la red para el acceso del
■
sistema de detección de intrusos (IDS).
Mantener un archivo de configuración del conmutador fuera de línea y limite el acceso
■
sólo a administradores autorizados. El archivo de configuración debe contener comentarios
descriptivos para cada opción.
Implementar la seguridad de los puertos para limitar el acceso basándose en las direcciones
■
MAC. Desactivar la función de enlace troncal automático en todos los puertos.
Utilizar estas funciones de seguridad para puertos si están disponibles en el conmutador:
■
■
■
■
Seguridad de VLAN
Si configura una red de área local virtual (VLAN), recuerde que las VLAN comparten el ancho
de banda de la red y requieren medidas de seguridad adicionales.
Al usar VLAN, separe los clusters sensibles de sistemas del resto de la red. De esta
■
manera, se reduce la probabilidad de que los usuarios tengan acceso a la información
almacenada en esos clientes y servidores.
Asigne un número de VLAN nativo único a los puertos de enlace troncal.
■
Limite las VLAN que se pueden transportar mediante un enlace troncal a las que son
■
estrictamente necesarias.
Desactive el protocolo de enlace troncal (VTP) de VLAN, si es posible. De lo contrario,
■
configure lo siguiente para el VTP: dominio de gestión, contraseña y eliminación. A
continuación, defina VTP en modo transparente.
Utilice configuraciones de VLAN estáticas, cuando sea posible.
■
Desactive los puertos de conmutador no utilizados y asígneles un número de VLAN que no
■
esté en uso.
El bloqueo de MAC consiste en asociar una dirección MAC (Media Access Control)
de uno o más dispositivos conectados a un puerto físico en un conmutador. Si bloquea
un puerto del conmutador a una dirección MAC en particular, los superusuarios no
pueden crear las puertas traseras en su red con peligrosos puntos de acceso.
El bloqueo de MAC desactiva la conexión de una dirección MAC especificada a un
conmutador.
El aprendizaje MAC utiliza el conocimiento sobre las conexiones directas de cada
puerto del conmutador de manera que el conmutador de red pueda definir la seguridad
en función de las conexiones actuales.
Seguridad de VLAN
Planificación de un entorno seguro
15
Publicidad
Tabla de contenido
