You are using an unsupported browser. Please update your browser to the latest version on or before July 31, 2020.
close
You are viewing the article in preview mode. It is not live at the moment.
clear search
Casa > Tech Hub > Conceptos básicos sobre la seguridad de los conmutadores de red
Conceptos básicos sobre la seguridad de los conmutadores de red
print icon

Proteger un conmutador de red no requiere soluciones complicadas. Con las prácticas de seguridad adecuadas, las organizaciones pueden reducir en gran medida el riesgo de acceso no autorizado y ataques a la red.


Seguridad del conmutador de red


Lo siguiente resume las prácticas clave que ayudan a proteger un conmutador de red y mantener un entorno de red seguro.

 

Desactive los puertos no utilizados – Los puertos son puntos de entrada comunes para ataques. Apague los puertos del conmutador que no estén en uso actualmente para evitar que alguien conecte un dispositivo malicioso.

 

Active la seguridad de puertos – Restrinja qué dispositivos pueden conectarse a cada puerto del conmutador. Esto protege contra dispositivos maliciosos y ataques de inundación MAC.

 

Utilice autenticación 802.1X – Solicite a los dispositivos o usuarios que verifiquen su identidad antes de obtener acceso a la red. Esto restringe el acceso no autorizado, incluso en casos de proximidad física.


Asegure el acceso de administración – Para evitar una toma de control no autorizada, asegúrese de que sus herramientas de administración (CLI, Web UI, SNMP) estén protegidas:

  • Use cifrado: Utilice solo HTTPS y SSH (deshabilite HTTP y Telnet).
  • Restringir el acceso: Bloquee el acceso a VLAN o direcciones IP de administración específicas.
  • Fortalezca las contraseñas: Implemente y rote contraseñas complejas. Cifre su conexión y limite quiénes pueden iniciar sesión para evitar que los atacantes roben sus credenciales.

Cree una VLAN de administración dedicada – Separe el tráfico de administración del tráfico regular de usuarios para proteger el acceso administrativo. Esto evita que los atacantes lleguen fácilmente a la configuración del conmutador.

 

Active DHCP Snooping – Permita que el conmutador identifique servidores DHCP confiables y bloquee los no autorizados. Esto protege su red marcando puertos confiables para servidores autorizados y enlaces ascendentes, mientras bloquea automáticamente respuestas DHCP maliciosas de puertos no confiables.

 

Utilice Dynamic ARP Inspection (DAI) – DAI actúa como una segunda capa de defensa que evita el "robo de identidad" en la red local.

  • Utiliza la base de datos creada por DHCP Snooping para verificar la dirección MAC e IP de cada dispositivo.
  • Si un atacante intenta engañar a otras computadoras para que le envíen datos (suplantación de ARP), DAI nota que las credenciales del dispositivo no coinciden con la base de datos y bloquea el tráfico.

Active IP Source Guard (IPSG) – Asegúrese de que los dispositivos utilicen solo sus direcciones IP asignadas. IPSG actúa como un punto de control digital que verifica las "credenciales" de cada paquete de datos, permitiendo que el tráfico pase solo si su combinación específica de IP, dirección MAC y puerto físico coincide con una lista preaprobada. Este riguroso proceso de validación evita que usuarios maliciosos "suplanten" o se hagan pasar por otros dispositivos.

 

Segmente la red utilizando VLANs – Divida la red en grupos más pequeños para mejorar la seguridad y el control. La segmentación de VLAN funciona como agregar paredes internas y cerraduras a una oficina abierta.

  • Para una máxima protección, las VLAN privadas actúan como cubículos aislados que evitan que los dispositivos se comuniquen con los vecinos, mientras que un firewall monitorea todo el tráfico entre estas áreas. Esto atrapa las amenazas en una zona y evita que un solo dispositivo infectado comprometa todo el negocio.

Asegure el Protocolo de Árbol de Expansión (STP) – STP actúa como un controlador de tráfico que evita que los datos queden atrapados en bucles infinitos.

  • Para evitar que dispositivos maliciosos secuestren este sistema e intercepten o colapsen su tráfico, use bloqueos digitales como Root Guard y BPDU Guard para asegurar que solo los conmutadores autorizados mantengan el control.
  • Al agregar herramientas como BPDU Filter y Loop Guard, crea un sistema de alarma que evita que personas externas o errores accidentales tomen el control del "cerebro" de su red.

Desactive servicios y protocolos no utilizados – Apague las funciones innecesarias que podrían crear vulnerabilidades. Piense en su conmutador como un edificio seguro; cada función activa es una ventana abierta.

  • Fortalezca las defensas cerrando puntos de entrada innecesarios, como herramientas de descubrimiento de fondo (LLDP/CDP) en puertos de usuario y el trunking de VLAN innecesario.
  • Elimine protocolos de enrutamiento antiguos y actualice a SNMPv3 seguro para reducir su "superficie de ataque".

Monitoree los registros y use servidores syslog – Revise regularmente la actividad de la red para detectar comportamientos inusuales.

  • Mantenga su red bajo vigilancia constante activando alertas automáticas. Al habilitar registros de actividad para violaciones de seguridad, intentos de inicio de sesión y errores del sistema, su conmutador puede notificarle inmediatamente sobre comportamientos sospechosos. Este "rastro de papel digital" le permite detectar y detener amenazas de manera temprana.

Actualice el firmware y respalde las configuraciones – Mantenga actualizado el software del conmutador y mantenga copias de seguridad de los ajustes de configuración.

  • Instale actualizaciones de software periódicamente para corregir debilidades ocultas.
  • Mantenga copias de seguridad cifradas de sus configuraciones para asegurar una recuperación rápida ante una emergencia. El uso de sistemas automatizados para guardar estas versiones elimina el riesgo de error humano.

Asegure físicamente los conmutadores de red – Coloque los conmutadores en habitaciones o gabinetes cerrados con llave para evitar el acceso físico no autorizado.

  • Utilice credenciales de seguridad o cerraduras biométricas para asegurar que solo el personal autorizado pueda acceder al equipo.
  • Asegure los puertos de consola físicos para evitar que alguien eluda sus defensas digitales. La seguridad física es esencial porque el acceso directo puede permitir que un intruso evite todas las demás protecciones de la capa de red.

Seguir estas mejores prácticas ayuda a garantizar que los conmutadores de red permanezcan seguros, confiables y capaces de soportar una red resistente.


Más información:


Guía de conmutadores de red y su montaje
Comprender la tecnología Power over Ethernet (PoE) en los conmutadores de red

¿ Le ha resultado útil este artículo?
0 de 0 encontraron útil

Contáctenos
Llámenos  Acceda a nuestra lista de números de asistencia mundial
Reddit  Únase y suscríbase a nuestra comunidad oficial de Reddit
Chatee con nosotros  Estamos aquí para ayudarle con todas las preguntas que tenga
close button
Linksys
NowSupport
desplazarse al icono superior