Routers
username test secret 0 cisco >>>>>>>>>> El 0 puedo no ponerlo es lo mismo.
username test secret 5 $okjnioio$iuhiuh$IiniN$ >>>>> 5 me permite poner la clave ya encriptada.
ip http server >>>>>>>>> Habilito la interface web HTTP(SDM).
no ip http server >>>>>>>>> Se recomienda deshabilitar la interface web HTTP (SDM).
ip http secure-server >>>>>>>>>>>>>>> Habilito la interface web HTTPS.
ip http authentication enable >>>>>>>>> Para utilizar el password de enable
ip http authentication local >>>>>>>> Me habilita el uso de los usuarios locales
line vty 0 4
privilege level 15 >>>>>>>>> 15 is full privilege access en vty le da a todos los que acceden via vty full access.
0 user mode.
1 a 14 es customizable
username test privilege 15 >>>>> le da a este usuario full access.
o todo en uno:
username test privilege 15 secret 0 cisco
line vty 0 4 >>>>>> OJO
no login >>>>>>>> Si dejo la linea no me pide nada y entra a modo full access.
login local >>>>>>> uso la base local.
router#auto secure >>>>>>>> same as SDM lockdown. Step by step like audit on SDM
SSH on router
I need
Hostname and domain name for CERT
ip domain-name gsgf.com
crypto key generate rsa >>>> step by step
1024 bits >>>> good option
Need User
AAA
Radius OPEN
Tacacs+ CISCO proprietario
aaa new-model OJO no bloquearse el acceso al router
Switch security
Defauld at switch
switchport mode dynamic desirable - Acepta todo PC, switchs, etc.
Para PCs:
Spanning Tree Security:
Root Guard
SW(config-if)#spanning-tree guard root
SW(config-if)#spanning-tree bpduguard enable
SW(config-if)#spanning-tree portfast
o a nivel global se puede hacer asi:
SW(config)#spanning-tree portfast bpduguard default
DHCP Server Security:
SW(config)#ip dhcp snooping ######## Lo activa nada mas
SW(config)#ip dhcp snooping vlan 20,30
SW(config-if)#ip dhcp snooping trust ##### Lo aplico en la IF que tiene el server de DHCP
SPAN Port Monitor
SW(config)#monitor session 1 source interface fa 0/1 - 20 rx ####Desde donde
SW(config)#monitor session 1 destination interface fa 0/24 ###### a donde mando la info
Storm Control:
SW(config-if)#storm-control action shutdown
SW(config-if)#storm-control broadcast level 70 #### Es el % maximo antes del shutdown
Best practices:
Use secure maangement: SSH, OOB, access-class
Make an audit list!!!!!!!!
Try ti eliminate vlan 1
Eliminate dynamic ports
Lock down snmp, only RO community
NAC: Cisco lo llamaba IBNS. 802.1x
NAC=802.1x is EAP over LAN. "EAPOL"
EAP:Pequeño encabezado que permite luego autenticar y validar la PC.
CSA:
Cisco Security Agent. IDS/IPS agent and also AV.
username test secret 0 cisco >>>>>>>>>> El 0 puedo no ponerlo es lo mismo.
username test secret 5 $okjnioio$iuhiuh$IiniN$ >>>>> 5 me permite poner la clave ya encriptada.
ip http server >>>>>>>>> Habilito la interface web HTTP(SDM).
no ip http server >>>>>>>>> Se recomienda deshabilitar la interface web HTTP (SDM).
ip http secure-server >>>>>>>>>>>>>>> Habilito la interface web HTTPS.
ip http authentication enable >>>>>>>>> Para utilizar el password de enable
ip http authentication local >>>>>>>> Me habilita el uso de los usuarios locales
line vty 0 4
privilege level 15 >>>>>>>>> 15 is full privilege access en vty le da a todos los que acceden via vty full access.
0 user mode.
1 a 14 es customizable
username test privilege 15 >>>>> le da a este usuario full access.
o todo en uno:
username test privilege 15 secret 0 cisco
line vty 0 4 >>>>>> OJO
no login >>>>>>>> Si dejo la linea no me pide nada y entra a modo full access.
login local >>>>>>> uso la base local.
router#auto secure >>>>>>>> same as SDM lockdown. Step by step like audit on SDM
- terminal monitor
- line vty 0 4
- logging buffer ####
SSH on router
I need
Hostname and domain name for CERT
ip domain-name gsgf.com
crypto key generate rsa >>>> step by step
1024 bits >>>> good option
Need User
- line vty 0 4
- login local
- transport input ssh
- ip ssh version 2
- ip ssh time-out
- ip ssh authentication-retries <0 5="">
- show ip ssh
- show users
AAA
Radius OPEN
Tacacs+ CISCO proprietario
aaa new-model OJO no bloquearse el acceso al router
Switch security
Defauld at switch
switchport mode dynamic desirable - Acepta todo PC, switchs, etc.
Para PCs:
- switchport mode access
- switchport port-security
Habilita las opciones de seguridad. Debo configurarlas.
- switchport port-security Maximun 1-xxx - Cantidad de macs permitidas. Si tengo un telefono y una PC necesito poner 2
- switchport port-security violation protect - Solo permite la primera mac. Pero no me entero de lo que pasa.
- switchport port-security violation restrict - Solo permite la primera mac. Y loguea lo que pasa.
- switchport port-security violation shutdown - Deshabilita el puerto.
Spanning Tree Security:
Root Guard
SW(config-if)#spanning-tree guard root
SW(config-if)#spanning-tree bpduguard enable
SW(config-if)#spanning-tree portfast
o a nivel global se puede hacer asi:
SW(config)#spanning-tree portfast bpduguard default
DHCP Server Security:
SW(config)#ip dhcp snooping ######## Lo activa nada mas
SW(config)#ip dhcp snooping vlan 20,30
SW(config-if)#ip dhcp snooping trust ##### Lo aplico en la IF que tiene el server de DHCP
SPAN Port Monitor
SW(config)#monitor session 1 source interface fa 0/1 - 20 rx ####Desde donde
SW(config)#monitor session 1 destination interface fa 0/24 ###### a donde mando la info
Storm Control:
SW(config-if)#storm-control action shutdown
SW(config-if)#storm-control broadcast level 70 #### Es el % maximo antes del shutdown
Best practices:
Use secure maangement: SSH, OOB, access-class
Make an audit list!!!!!!!!
Try ti eliminate vlan 1
Eliminate dynamic ports
Lock down snmp, only RO community
NAC: Cisco lo llamaba IBNS. 802.1x
NAC=802.1x is EAP over LAN. "EAPOL"
EAP:Pequeño encabezado que permite luego autenticar y validar la PC.
CSA:
Cisco Security Agent. IDS/IPS agent and also AV.
No comments:
Post a Comment