Protección de la LAN

Según lo indicado al comienzo de este capítulo, la seguridad es tan sólida como el eslabón más débil del sistema, y la capa 2 se considera el enlace más débil. Por lo tanto, deben implementarse soluciones de seguridad de capa 2 para proteger la red.

Muchos protocolos de administración de red como Telnet, syslog, SNMP, TFTP, y FTP no son seguros. Hay varias estrategias para proteger la Capa 2 de la red:

• Usar siempre variantes seguras de estos protocolos, como SSH, SCP, SSL, SNMPv3 y SFTP.

• Usar siempre contraseñas sólidas y cambiarlas a menudo.

• Habilitar CDP solo en ciertos puertos.

• Proteger el acceso de Telnet.

• Usar una VLAN de administración dedicada que solo aloje el tráfico de administración.

• Usar ACL para filtrar el acceso no deseado.

La figura resalta cuatro soluciones de seguridad de switches de Cisco para mitigar los ataques de capa 2.

Este tema cubre varias soluciones de seguridad de Capa 2:

• Mitigación de ataques de saturación de tablas de direcciones MAC mediante seguridad de puertos

• Mitigación de ataques de VLAN

• Mitigación de ataques de DHCP mediante detección de DHCP

• Protección del acceso administrativo con AAA

• Protección de acceso a dispositivos con autenticación de puertos 802.1X

Nota: La protección de IP de origen (IPSG) y la inspección dinámica de ARP (DAI) son soluciones de seguridad de switch avanzadas que se analizan en el curso de Seguridad CCNA (CCNA Security).