Cisco Router/Switch Optimización &

Estándares de Seguridad

Autor: Leo Cifuentes.

Elementos de Configuración
Los comandos que se van a aplicar a los dispositivos están en negrita

ITEM 1 – Habilitar TCP mensajes keep alive

service tcp-keepalives-in
service tcp-keepalives-out

TCP mantiene vivos los mensajes tanto para las sesiones entrantes como salientes
de Telnet y SSH siempre que sea posible. Habilitar TCP keep alives hace que el
enrutador genere mensajes periódicos de mantenimiento periódico, permitiéndole
detectar y eliminar las conexiones rotas de Telnet.
Se aplica a routers y switches.

ITEM 2 – Habilitar marcas de tiempo y números de secuencia

service timestamps debug datetime msec localtime show-timezone

service timestamps log datetime msec localtime show-timezone
service sequence-numbers

Habilite números de secuencia y marcas de tiempo en todos los mensajes de

depuración y registro siempre que sea posible. Las marcas de tiempo en los
mensajes de depuración y de registro indican la hora y la fecha en que se generó el
mensaje. Los números de secuencia indican la secuencia en la que se generaron
mensajes que tienen sellos de tiempo idénticos. Conocer el tiempo y la secuencia
que generan los mensajes es una herramienta importante para diagnosticar
posibles ataques.
Se aplica a routers y switches.

ITEM 3 – Encriptar contraseñas

service password-encryption
Habilite el cifrado de contraseña siempre que sea posible. El cifrado de contraseñas
dirige al software Cisco IOS para cifrar las contraseñas, los secretos de CHAP
(Challenge Handshake Authentication Protocol) y los datos similares que se
guardan en su archivo de configuración. Esto es útil para evitar que los
observadores casuales lean las contraseñas, por ejemplo, cuando pasan a mirar la
pantalla por encima del hombro de un administrador.
Se aplica a routers y switches

ITEM 4 – Deshabilitar DHCP cuando sea posible

no service dhcp

Desactiva la función de cliente DHCP en el conmutador o enrutador. Este servicio

es necesario si el enrutador / conmutador debe suministrar los parámetros de
direccionamiento IP O si el switch tiene direcciones IP HELPER configuradas en los
vlans.
Se aplica a routers y switches

ITEM 5 – Proteger contra intentos de autenticación malintencionada

security authentication failure rate 5 log

Bloquear el acceso después de 5 intentos fallidos de inicio de sesión. Un método de

craqueo de contraseñas, llamado "ataque de diccionario", es usar un software que
intenta iniciar sesión usando cada palabra en un diccionario. Esta configuración
hace que el acceso al enrutador se bloquee durante un período de 15 segundos
después de 5 intentos fallidos de inicio de sesión, deshabilitando el método de
ataque del diccionario. Además de bloquear el acceso al enrutador, esta
configuración provoca que se genere un mensaje de registro después de 5 intentos
fallidos de inicio de sesión, advirtiendo al administrador de los intentos fallidos de
inicio de sesión.
Se aplica solo para routers.

ITEM 6 – Nombres específicos en los equipos activos

hostname SWMIXC01-01

Aplica para routers y switches.

ITEM 7 – Enable logging in accordance with Policy

logging buffered 16384 informational
logging rate-limit all 100
no logging console
logging console critical
no logging monitor
logging trap informational
logging count
logging event link-status global
logging event trunk-status global
logging source-interface gig0/0
logging 151.162.239.158
logging on

Habilite el registro con sellos de tiempo y números de secuencia siempre que sea
posible. Dado que proporciona información detallada sobre eventos de red, el
registro es fundamental para reconocer y responder a eventos de seguridad. Los
sellos de tiempo y los números de secuencia proporcionan información sobre la
fecha y la hora y la secuencia en la que se producen los sucesos de red. El registro
en el búfer local está activado. Si el registro llega a ser demasiado grande, los
sucesos serán sobre escritos. Se pueden habilitar parámetros específicos de
registro si el dispositivo tiene funciones y funciones específicas como VPN. Si un
enrutador NO está realizando una función VPN, no habilite el registro VPN.
NO habilite el registro de estado de enlace en un conmutador de closet. La interfaz
de fuente de registro debe ser la interfaz de administración de vlan si no hay
disponible un bucle de retorno.
Se aplica a routers y switches.

ITEM 8 – Protección de contraseñas

enable secret ********

enable secret 4 ************************

Configure el comando enable Cisco IOS secreto para obtener una protección de
contraseña más segura siempre que sea posible. El comando enable secret se
utiliza para establecer la contraseña que otorga acceso administrativo privilegiado
al sistema Cisco IOS. El comando enable secret utiliza un hash criptográfico
unidireccional (MD5). Esto se prefiere a las contraseñas de habilitación de nivel 7
que utilizan un algoritmo de cifrado débil, bien conocido y fácilmente reversible.
Tenga en cuenta que la línea de base está en un estado de cambio y SHA256 es la
evolución más reciente del almacenamiento de contraseña secreta pero no
disponible en todas las plataformas. SHA256 es preferido y MD5 es alternativo
(mayo de 2013).
Se aplica a routers y switches.

ITEM 9 – Deshabilitar servicios inseguros

no service udp-small-servers
no service tcp-small-servers
no service config
no service finger
no ip http server
no ip source-route
no ip http secure-server
no logging snmp-authfail
no logging console
no ip ftp passive
no ip dhcp conflict logging
no service pad
no ip bootp server
no ip identd
no scripting tcl init
no scripting tcl encdir

Deshabilitar servicios y secuencias de comandos que se pueden utilizar para

exploits
Se aplica a routers y switches.

ITEM 10 – Estandarizar las zonas horarias de los dispositivos Cisco IOS

clock timezone UTC 0

clock summer-time UTC recurring
clock set hh:mm:ss month day year (not needed with NTP)

Ajuste el reloj para UTC (GMT / Zulu) en el enrutador o switch. Los registros son
inútiles si el reloj no se establece correctamente y los certificados de seguridad (se
utiliza) puede ser inválido.
Se aplica a routers y switches.

ITEM 11 – Maintain accurate time keeping for Cisco IOS devices

ntp update-calendar
ntp server 151.162.165.17
ntp server 151.162.165.16 prefer
ntp source GigabitEthernet0/0

Las claves de autenticación y cifrado deben establecerse para los servidores NTP.
Las claves deben configurarse como confiables para que el enrutador acepte el
tráfico cifrado NTP que lo usa. Las llaves se deben fijar para todos los servidores
NTP configurados. El protocolo de tiempo de red utiliza el puerto udp 123. El
tiempo preciso es crítico para los certificados de registro y PKI.
Se aplica a routers y switches.

ITEM 11 – Disable source routing and gratuitous arps

no ip source-route
no ip gratuitous-arps

Deshabilita el enrutamiento especificado por paquete

Se aplica a routers y switches.

ITEM 12 –Habilitar el reenvío de Cisco Express (Nota: este comando cambia en

diferentes versiones)

ip cef

Habilite el reenvío de Cisco Express (CEF). No es necesario crear entradas de

caché cuando el tráfico comienza a llegar a nuevos destinos, CEF se comporta más
previsiblemente que otros modos cuando se presentan con grandes volúmenes de
tráfico dirigidos a muchos destinos. Los enrutadores configurados para CEF tienen
un mejor rendimiento en ataques SYN que los enrutadores que usan el caché
tradicional. Si la VPN está en uso, es posible que necesite apagar la función CEF.
Si un enrutador NO tiene CEF activado, compruebe con ingeniería antes de activar.
Sólo se aplica a los routers y switches capa 3.

ITEM 13 – Deshabilitar los servicios heredados de la obtención de direcciones IP

no ip bootp server

Inhabilita los servicios heredados para obtener direcciones IP

Se aplica a routers y switches capa 3.

ITEM 14 – Disable DNS service

no ip domain-lookup
ip domain name ko.net

Este es el nombre de dominio utilizado para el certificado auto-firmado. El enrutador

no participa en DNS. Sólo es localmente significativo para el certificado.
Se aplica a routers y switches.

ITEM 15 – Activar la protección de ataque TCP SYN

ip tcp synwait-time 10

Establezca el tiempo TCP synwait en 10 segundos siempre que sea posible. El TCP
synwait tiempo es un valor que es útil para derrotar SYN ataques de inundación,
una forma de Denial-of-Service (DoS) ataque. Una conexión TCP requiere un
handshake trifásico para establecer inicialmente la conexión. Una petición de
conexión es enviada por el originador, un acuse de recibo es enviado por el receptor,
y luego una aceptación de ese acuse de recibo es enviada por el originador. Una
vez que este handshake trifásico esté completo, la conexión estará completa y la
transferencia de datos puede comenzar. Un ataque de inundación SYN envía
peticiones de conexión repetidas a un host, pero nunca envía la aceptación de
confirmaciones que completan las conexiones, creando conexiones cada vez más
incompletas en el host. Debido a que el búfer para las conexiones incompletas suele
ser más pequeño que el búfer para las conexiones completadas, esto puede
abrumar y deshabilitar el host. Si se establece el tiempo de sincronización TCP a 10
segundos, el enrutador cerrará una conexión incompleta después de 10 segundos,
evitando la acumulación de conexiones incompletas en el host.
Se aplica a routers y switches.

ITEM 16 – Habilitar SSH con la configuración adecuada

ip ssh timeout 30
ip ssh authentication-retries 5
ip ssh version 2
crypto key generate rsa general-keys modulus {2048}

La función SSH Server permite a un cliente SSH establecer una conexión segura y
cifrada con un enrutador Cisco. Esta conexión proporciona una funcionalidad similar
a la de una conexión Telnet entrante. Antes de SSH, la seguridad se limitaba a la
seguridad de Telnet. SSH permite utilizar un cifrado sólido con la autenticación del
software Cisco IOS. El servidor SSH en el software Cisco IOS funcionará con
clientes SSH públicos y disponibles comercialmente.
Cómo generar una clave RSA para certificados y ssh
http://www.cisco.com/es/US/docs/ios/12_2/security/configuration/guide/scfssh.html
Se aplica a routers y switches.

ITEM 17 – Habilitar el hundimiento de paquetes

interface null0
no ip unreachables

Dado que la interfaz nula es un receptor de paquetes, los paquetes reenviados

siempre se descartarán y A menos que esté deshabilitado, generará mensajes
inaccesibles de host. En ese caso, si se utiliza la interfaz nula para bloquear un
ataque de denegación de servicio, estos mensajes inundan la red local con estos
mensajes. La inhabilitación de estos mensajes impide esta situación. Además,
debido a que todos los paquetes bloqueados se reenvían a la interfaz nula, un
atacante que recibe mensajes inaccesibles del host podría utilizar esos mensajes
para determinar la configuración de la Lista de control de acceso (ACL). Una
práctica recomendada común es crear un agujero del fregadero para el tráfico que
no tiene un destino válido. Se utiliza una interfaz nula sin ip unreachables.

ITEM 18 – Deshabilitar redireccionamientos ICMP

no ip redirects

Los mensajes de redireccionamiento ICMP le indican a un nodo final que utilice un

enrutador específico como su ruta a un destino determinado. En una red IP que
funcione correctamente, un enrutador enviará redireccionamientos sólo a los hosts
en sus propias subredes locales, ningún nodo final enviará nunca una redirección y
ninguna redirección nunca se recorrerá más de un salto de red. Sin embargo, un
atacante puede violar estas reglas; Algunos ataques se basan en esto. Deshabilitar
redireccionamientos ICMP no causará ningún impacto operacional a la red y elimina
este posible método de ataque.
Se aplica a las interfaces y vlans de capa 3 en routers y switches.

ITEM 19 – Desactivar la difusión dirigida por IP

no ip directed-broadcast

Una difusión dirigida IP es un datagrama que se envía a la dirección de difusión de

una subred a la que la máquina emisora no está conectada directamente. La
difusión dirigida se enruta a través de la red como un paquete de unidifusión hasta
que llega a la subred de destino, donde se convierte en una transmisión de capa de
enlace. Debido a la naturaleza de la arquitectura de direccionamiento IP, sólo el
último enrutador de la cadena, el que está conectado directamente a la subred de
destino, puede identificar de manera concluyente una difusión dirigida.
Se aplica a las interfaces y vlans de capa 3 en routers y switches.

ITEM 20 – Deshabilitar los mensajes inaccesibles del host ICMP

no ip unreachables

Los mensajes inaccesibles de host ICMP se envían si un enrutador recibe un

paquete no difundido que utiliza un protocolo desconocido o si el enrutador recibe
un paquete que no puede entregar al destino final porque no conoce ninguna ruta a
la dirección de destino. Estos mensajes pueden ser utilizados por un atacante para
obtener información de mapeo de red.
Se aplica a las interfaces y vlans de capa 3 en routers y switches. Utilice este
comando SOLAMENTE en interfaces externas o traceroute se deshabilitará.

ITEM 21 – Deshabilitar mensajes de respuesta de máscara ICMP

no ip mask-reply

Los mensajes de respuesta de máscara de ICMP se envían cuando los dispositivos

de red deben conocer la máscara de subred para una subred particular en la red.
Los mensajes de respuesta de máscara ICMP se envían al dispositivo que solicita
la información por dispositivos que tienen la información solicitada. Estos mensajes
pueden ser utilizados por un atacante para obtener información de mapeo de red.
Se aplica a las interfaces y vlans de capa 3 en routers y switches.

ITEM 22 – Deshabilitar proxy ARP

no ip proxy-arp

ARP es utilizado por la red para convertir direcciones IP en direcciones MAC.

Normalmente, ARP se limita a una sola LAN, pero un enrutador puede actuar como
un proxy para las solicitudes ARP, haciendo que las consultas ARP estén
disponibles en varios segmentos LAN. Debido a que rompe la barrera de seguridad
de la LAN, el proxy ARP debe utilizarse sólo entre dos LAN con un nivel de
seguridad igual, y sólo cuando sea necesario. Se aplica a las interfaces y vlans de
capa 3 en routers y switches.

ITEM 23 – Disable MOP

no mop enabled

MOP se utiliza para proporcionar información de configuración al enrutador cuando

se comunica con redes DECNet. MOP es vulnerable a varios ataques.
Se aplica a las interfaces de capa 3 en routers.

ITEM 24 – Deshabilitar puertos Http y Https

no ip http server
no ip http secure-server

Deshabilite el servicio HTTP y HTTP SECURE en el enrutador. El servicio HTTP

permite la configuración remota y la supervisión utilizando un navegador web, y no
debe ser habilitado.
Se aplica a routers y switches

ITEM 25 – Habilitar asignación de CPU para administración remota

scheduler allocate 20000 1000

Cuando un enrutador está cambiando rápidamente un gran número de paquetes,

es posible que el enrutador pase tanto tiempo respondiendo a las interrupciones de
las interfaces de red que ningún otro trabajo se hace. Algunas inundaciones de
paquetes muy rápidas pueden causar esta condición. Puede detener el acceso
administrativo al enrutador, que es muy peligroso cuando el dispositivo está bajo
ataque. El comando scheduler allocate garantiza un porcentaje de los procesos de
la CPU del enrutador para las actividades distintas de la conmutación de red, como
los procesos de gestión. Si un dispositivo está preconfigurado con un valor
predeterminado, NO lo cambie.
Se aplica a routers.

ITEM 26 – Enable SSH

line vty 0 4
exec-timeout 30 0
transport input ssh
transport output none

El acceso Telnet al enrutador se ha deshabilitado. Sólo Secure Shell se puede

utilizar. A diferencia de telnet, SSH envía el nombre de usuario, la contraseña y el
contenido de la sesión a través del cable cifrado. Telnet es todo texto claro, esto
puede ser interceptado, capturado o alterado.
Se aplica a los routers y switches.

ITEM 27 – Habilitar contraseña de línea de respaldo para conexiones remotas

line vty 0 4
password *****
exec-timeout 30 0

Se aplica a routers y switches.

ITEM 28 – Deshabilitar tcp- y udp-small-servers

no service tcp-small-servers
no service udp-small-servers

Estos servicios, especialmente sus versiones UDP (User Datagram Protocol), se

usan con poca frecuencia para propósitos legítimos, pero pueden ser usados para
lanzar DoS y otros ataques que de otro modo serían evitados por el filtrado de
paquetes.
Se aplica a routers y switches.

ITEM 29 – Deshabilitar la identificación del puerto TCP

no ip identd

El soporte de identificación le permite consultar un puerto TCP para su

identificación. Esta característica permite que un protocolo no seguro informe la
identidad de un cliente que inicia una conexión TCP y un host que responde a la
conexión. Con soporte de identificación, puede conectar un puerto TCP en un host,
emitir una cadena de texto simple para solicitar información y recibir una respuesta
simple de texto.
Se aplica solo para routers.

ITEM 30 – Deshabilitar CDP

no cdp run

CDP es un protocolo propietario que los routers de Cisco usan para identificarse
entre sí en un segmento de LAN. Esto es peligroso porque permite que cualquier
sistema en un segmento conectado directamente se entere que el enrutador es un
dispositivo de Cisco y para determinar el número de modelo y la versión del software
Cisco IOS que se está ejecutando. Esta información se puede utilizar para diseñar
ataques contra el enrutador.
Se aplica a routers y switches.

ITEM 31 – Definir traps en Cpu

snmp-server enable traps cpu threshold

Defina las opciones de captura de la CPU.

Se aplica a routers y switches.

ITEM 32 – Establecer umbral del Cpu

process cpu threshold type process rising 60 interval 10 falling 40 interval 10

Establece el umbral de cpu para los traps de cpu.

Se aplica al router y switch.

ITEM 33 – Definir opciones de puente trap

snmp-server enable traps bridge new root topology change

Defina las opciones de la trampa del puente. Se aplica solo al cambio.

Aplica solo para switches.
ITEM 34 – Disable linkup linkdown where appropriate

no snmp trap link-status

Deshabilitar linkup y linkdown en las interfaces no-uplink o no críticas (usadas en la

interfaz y la configuración de la interfaz vlan, aplica solamente para switches.

ITEM 35 - Definir interfaz para la fuente de los paquetes de traps

snmp-server trap-source gig0/0

Defina la interfaz para la fuente de los paquetes de traps.

Esto es típicamente una interfaz de bucle invertido. Si un loopback no está
definido, utilice la interfaz de administración o vlan de administración.
Se aplica a routers y switches.

ITEM 36 – Habilitar port-security traps

snmp-server enable traps port-security trap-rate 5

Habilita traps para infracciones de seguridad de puerto.
Se aplica solo para swtiches.

ITEM 37 – Habilitar opciones de configuración de switchport por directiva (1)

interface FastEthernet1/0/3
switchport access vlan xxx
switchport voice vlan xxx
switchport mode access
switchport nonegotiate
speed xxxx
duplex full
spanning-tree portfast

Esta configuración para switchport es ÚNICAMENTE para una estación de trabajo

o teléfono, normalmente se encuentra en un interruptor de piso, armario o borde. La
VLAN DE VOZ no debe ser configurada en puertos individuales en un centro de
datos. 'Portfast' desactiva el trunking y acelera el proceso de negociación del
spanning tree. Si no se está utilizando un switchport, emita el comando
SHUTDOWN bajo la interfaz.
Se aplica solo a switches.

ITEM 38 - Habilitar opciones de configuración de switchport por directiva

Interface FastEthernet1/0/3
switchport port-security maximum 5
switchport port-security aging time 2
switchport port-security violation protect
switchport port-security aging type inactivity
switchport port-security mac-address sticky
switchport port-security

Esta configuración para switchport es ÚNICAMENTE para una estación de trabajo

o teléfono, normalmente se encuentra en un interruptor de piso, armario o borde. La
configuración de seguridad de puerto anterior no funcionará en 45xx. Si no se está
utilizando un switchport, emita el comando SHUTDOWN bajo la interfaz.
Se aplica a switches.

ITEM 39 - Enable switchport configuration settings per Policy

interface FastEthernet1/0/3
switchport port-security maximum 5
switchport port-security aging time 2
switchport port-security violation restrict
switchport port-security aging type inactivity
switchport port-security mac-address sticky
switchport port-security

Esta configuración para switchport es SOLO para un switch 45xx con una estación
de trabajo o un teléfono, que normalmente se encuentra en un interruptor de piso,
armario o borde. Si no se está utilizando un switchport, emita el comando
SHUTDOWN bajo la interfaz.
Se aplica solo a switch.

ITEM 40 – Deshabilitar vlan 1 según corresponda

interface vlan 1
shutdown

Shutdown vlan 1 si no se está utilizando.

Se aplica a conmutadores y routers con módulos de conmutador integrados.

ITEM 41 – Deshabilitar Vlan Trunk protocol

vtp mode transparent

OR
vtp mode off

Deshabilite el Protocolo de Troncal VLAN en la red TCCC. Esto se aplica a los

switches Cisco en todos los entornos. Haga esto ANTES de conectar el switch a la
red.
Se aplica solo a switches.

ITEM 42 –Establecer un banner de advertencia de acuerdo con la política

corporativa.

banner motd & banner exec

banner motd &

***************** Advertencia – Advertencia – Advertencia – Advertencia
*********************
Este sistema y todos los sistemas de comunicaciones electrónicas son propiedad de Industrias Licoreras de
Guatemala y su uso están restringido a usuarios autorizados para propósitos de negocios. No hay expectativa
de privacidad y su uso está sujeto a auditoría y monitoreo donde lo permita la ley. El intento real o no autorizado
Acceso, uso, modificación o copia de sistemas informáticos es una violación de leyes federales y estatales.

Si viaja fuera de su oficina principal, el tráfico de su red utilizará el Sistemas locales y estarán sujetos a monitoreo
local. Al continuar, usted reconoce que alguna información personal sobre usted, como su dirección IP, dirección
de correo electrónico, datos y horas, pueden ser registradas por Industrias Licoreras de Guatemala

***************** Advertencia – Advertencia – Advertencia – Advertencia

*********************

banner exec &

**************************************************************

Device Location: [Site Name, Room Name, Rack]

Device Name: [Hostname]

Device Type: [Model-Processor-Software Version]

ALL ACCESS ATTEMPTS AND CHANGES ARE LOGGED!!!

**************************************************************

&

ITEM 43 – Deshabilitar el proceso EXEC en el puerto auxiliar

line aux 0
no exec
transport input none

El puerto auxiliar, si no se utiliza, debe estar deshabilitado. Algunos dispositivos

incluyen un puerto auxiliar y de consola que puede utilizarse para conectarse
localmente y configurar el dispositivo. El puerto de consola es normalmente el
puerto principal utilizado para configurar el dispositivo; Incluso cuando es remota,
la administración de respaldo se requiere vía el servidor de la consola o el hardware
de KVM.

ITEM 44 – Requiere VTY ACL

access-list <vty_acl_number> permit tcp <vty_acl_block_with_mask> any

access-list <vty_acl_number> permit tcp host <vty_acl_host> any
deny ip an any log

Compruebe que existe la lista de controles de acceso de VTY (ACL) necesaria para
restringir las sesiones de administración de entrada para todas las líneas VTY

ip access-list extended MGT

permit ip 10.192.0.0 0.0.255.255 any
permit ip 151.162.80.0 0.0.0.255 any
permit ip 151.162.138.0 0.0.0.255 any
permit ip 151.162.242.0 0.0.0.255 any
permit ip 151.162.18.0 0.0.0.255 any
permit ip 151.162.32.0 0.0.15.255 any
permit ip 151.162.48.0 0.0.15.255 any
permit ip 151.162.84.0 0.0.3.255 any
permit ip 151.162.92.0 0.0.3.255 any
permit ip 10.250.100.0 0.0.0.255 any
permit ip 151.162.250.0 0.0.0.255 any
permit ip 151.162.108.0 0.0.0.255 any
deny ip any any log

ITEM 45 – Require VTY Access Control

access-class <vty_acl_number> in

Configure el control de acceso para restringir el acceso remoto a los sistemas

autorizados para administrar el dispositivo para evitar que usuarios no autorizados
accedan al sistema.
 line vty 0 4

access-class MGT in
exec-timeout 30 0
password 7 xxxxxxxxxxxxxxx
logging synchronous
transport preferred none
transport input ssh
transport output none
line vty 5 15
access-class MGT in
exec-timeout 30 0
password 7 xxxxxxxxxxxxxxxxx
logging synchronous
transport preferred none
transport input ssh
transport output none

ITEM 46 – Requerir contraseñas de línea cifradas

password <LINE PASSWORD>

Requiere que se establezca una contraseña en cada línea. Dado el uso de nombres
de usuario (nivel 1) o TACACS + (nivel 2), las contraseñas de línea no se utilizarán
para la autenticación. Se incluyen como un sistema a prueba de fallos.

ITEM 47 – Requerir contraseñas de usuario cifradas

username <LOCAL_USERNAME> secret <LOCAL_PASSWORD>

La configuración predeterminada del dispositivo no reutiliza la autenticación fuerte

del usuario, lo que potencialmente permite un acceso sin restricciones a un
atacante que puede llegar al dispositivo.

ITEM 48 – Prohibir SNMP sin ACL

snmp-server community <community_string> {ro | rw} <snmp_access-

list_number>
Si las ACL no se aplican, cualquier persona con una cadena de comunidad SNMP
válida puede supervisar y administrar el enrutador.

ITEM 49 – Definir una ACL para SNMP

access-list <snmp_acl_number> permit <snmp_access-list>

access-list deny any log
access-list 99 permit 10.192.0.0 0.0.255.255
access-list 99 permit 151.162.80.0 0.0.0.255
access-list 99 permit 151.162.138.0 0.0.0.255
access-list 99 permit 151.162.242.0 0.0.0.255
access-list 99 permit 151.162.18.0 0.0.0.255
access-list 99 permit 151.162.32.0 0.0.15.255
access-list 99 permit 151.162.48.0 0.0.15.255
access-list 99 permit 151.162.84.0 0.0.3.255
access-list 99 permit 151.162.92.0 0.0.3.255
access-list 99 permit 10.250.100.0 0.0.0.255
access-list 99 permit 151.162.250.0 0.0.0.255
access-list 99 permit 151.162.108.0 0.0.0.255
access-list 99 permit 10.95.0.0 0.0.255.255
access-list 99 permit 151.162.0.0 0.0.255.255
access-list 99 deny any log

Configure SNMP ACL para restringir el acceso al dispositivo. Establezca estaciones

de administración autorizadas segmentadas en una zona de gestión confiable.

ITEM 50 – Prohibir la configuración de inicio remoto

no boot network
no service config

Inhabilite la carga automática de archivos de configuración remota desde un

servidor de red.

ITEM 51 – Prohibir servidor TFTP

no tftp-server flash: <name_of_ios>.bin

no tftp-server flash: vlan.dat
no tftp-server nvram: startup-config
no tftp-server nvram: private-config

Deshabilitar servicio de servidor de protocolo de transferencia de archivos trivial

(TFTP)
ITEM 52 – Bloquear acceso temporal por intentos fallidos de autenticación.

login blockfor 900 attempts 3 within 45

Deshabilita temporalmente el acceso a la gestión de un equipo activo por intentos

fallidos durante la autenticación al mismo.
Se aplica a routers y switch.

ITEM 53 – Establecer una longitud mínima de caracteres para las contraseñas.

Security password min-lenght 12
Establece una longitud mínima de caracteres para las contraseñas que se creen
localmente en el equipo activo.
Aplica solo a routers.

ITEM 54 – Habilitar la autenticación, la autorización y la contabilidad de Cisco IOS -

Autenticación

aaa new-model
!
!
aaa group server tacacs+ ACS
server-private 151.162.239.239 single-connection key 7 051D55190B7E5A1903
!
aaa authentication login default group ACS local
aaa authorization console
aaa authorization config-commands
aaa authorization exec default group ACS if-authenticated
aaa authorization commands 1 default group ACS if-authenticated
aaa accounting exec admins start-stop group ACS
aaa accounting commands 1 admins start-stop group ACS
aaa accounting commands 15 admins start-stop group ACS
aaa accounting system default start-stop group ACS

Autenticación, autorización y contabilidad (AAA) de Cisco IOS es un marco

arquitectónico para configurar un conjunto de tres funciones de seguridad
independientes de manera coherente. AAA proporciona una forma modular de
realizar servicios de autenticación, autorización y contabilidad. La configuración
propuesta permite la autenticación y autorización de todas las líneas (consola, vty,
etc) y todos los niveles de privilegios predeterminados. Configure las líneas de
gestión para que requieran iniciar sesión utilizando la lista predeterminada o una lista
de autenticación AAA con nombre. Esta configuración debe configurarse
individualmente para todas las líneas. La contraseña secreta de habilitación se utiliza
para la autenticación y autorización de repliegue si no se puede encontrar el servidor
tacacs.
Se aplica a routers y switches.
ITEM 55 – Habilitar BPDU GUARD

spanning-tree portfast bpduguard default

OR Can also enable per interface
interface FastEthernet1/0/3
spanning-tree bpduguard enable

Habilite BPDU GUARD globalmente en switches de armario, piso y borde. NO

habilite el núcleo o el switch de distribución sin instrucciones específicas para
hacerlo. El switchport se cerrará si otro switch o dispositivo que envía BPDUs está
conectado al interruptor del armario, del piso o del borde.
Se aplica solo a switches.

ITEM 56 - Establecer la configuración para una QoS adecuada

class-map match-any medium-priority-in

match dscp af21
match dscp af22
class-map match-any high-priority-in
match dscp af31
match dscp af32
class-map match-any AF41-in
match dscp af41
class-map match-any EF-in
match dscp ef
class-map match-any low-priority-in
match dscp af11
match dscp af12
!
policy-map trust-in
class EF-in
set dscp dscp
set cos 5
class AF41-in
set dscp dscp
set cos 4
class medium-priority-in
set dscp dscp
set cos 3
class high-priority-in
set dscp dscp
set cos 2
 class low-priority-in
set dscp dscp
!
vlan configuration 40,43,400,405,800-811,846,848,1100-1111,1144-1146,1148
service-policy input trust-in

QoS no se aplica a las interfaces en la distribución / núcleo. La política de servicio

se aplica a los vlans de datos y voz.