Antes de mais nada, existe um link da cisco com muitas informaçòes sobre segurança no caso de duvidas. aqui ( http://www.cisco.com/en/US/netsol/ns954/index.html )
Principais recomendações
1 - Desabilitar CDP e DTP sempre que possivel.
2 - Deixar as portas sempre como access ports.
3 - Ativar BPDU Guard e Root Guard (spanning-tree { guard root | bpduguard ena }) em access ports
4 - Ativar o port security:
O port security não encaminha frames quando o numero de endereços MAC é excedido ou ele não está autorizado.
A limitação dos endereços pode ser:
-Estática
-Dinamica (Até o limite configurado) mas ele não salva os endereços no caso de um reload.
-Dinamica e o sw salva os endereços na running-config (Chamado de stick learning)
switchport port-secutity mac-address xxxx.xxxx.xxxx
switchport port-secutity maximum valor
switchport port-secutity mac-address sticky
switchport port-secutity [aging] [violation {protect | restrict | shutdown}]
*protect: faz o PS, restrict: faz o PS, log e envia traps snmp, shutdown poe a porta em err-disable
5 - Habilitar o dhcp snooping e o ip verify source
6 - Utilizar a autenticação 802.1X
Existem outras recomendações na documentação do SAFE.
Assinar:
Postar comentários (Atom)
Nenhum comentário:
Postar um comentário