Compré un nuevo conmutador administrado Gigabit Ethernet de 10 puertos Cisco SG300 hace unos meses y ha sido una de las mejores inversiones para mi pequeña red doméstica. Los switches Cisco tienen tantas características y opciones que puede configurar para controlar granularmente su red. En términos de seguridad, destacan sus productos.
Dicho esto, es muy interesante ver cómo el cambio de Cisco no es seguro. Cuando lo conecta, toma una dirección IP de un servidor DHCP o se asigna una dirección IP (generalmente 192.168.1.254) y usa cisco para el nombre de usuario y la contraseña. ¡Ay!
Dado que la mayoría de las redes utilizan el ID de red 192.168.1.x, su conmutador es completamente accesible para cualquiera en la red. En este artículo, voy a hablar sobre cinco pasos inmediatos que debe seguir después de enchufar el interruptor. Esto asegurará que su dispositivo esté seguro y configurado correctamente.
Nota: este artículo está dirigido a usuarios domésticos o de pequeñas oficinas que son nuevos en los switches Cisco. Si eres ingeniero de Cisco, encontrarás todo esto muy simplista.
Paso 1 - Cambiar nombre de usuario y contraseña predeterminados
Este es obviamente el primer paso y el más importante. Una vez que inicie sesión en el conmutador, expanda Administración y luego haga clic en Cuentas de usuario .
Lo primero que querrá hacer es agregar otra cuenta de usuario para que luego pueda eliminar la cuenta de usuario de cisco original. Asegúrese de otorgar acceso completo a la nueva cuenta, que es acceso de administración de lectura / escritura (15) en el lenguaje de Cisco. Use una contraseña segura y luego cierre sesión en la cuenta de cisco e inicie sesión con su nueva cuenta. Ahora debería poder eliminar la cuenta predeterminada.
Probablemente también sea una buena idea habilitar el Servicio de recuperación de contraseña, en caso de que olvide la contraseña que estableció. Necesitará acceso a la consola del dispositivo para restablecer la contraseña.
Paso 2 - Asignar una dirección IP estática
De manera predeterminada, el conmutador ya debe tener una dirección IP estática, pero si no, debe configurarlo manualmente. También será necesario si no está utilizando la ID de red 192.168.1. Para hacer esto, expanda Administración - Interfaz de administración - Interfaz IPv4 .
Elija Estática para Tipo de dirección IP e ingrese una dirección IP estática. Esto hará que sea mucho más fácil administrar su conmutador también. Si conoce la puerta de enlace predeterminada para su red, continúe y agréguela también en Puerta de enlace administrativa predeterminada .
También vale la pena señalar que la dirección IP está asignada a una interfaz LAN virtual, lo que significa que puede acceder al dispositivo utilizando la dirección IP, independientemente de qué puerto esté conectado en el conmutador, siempre que esos puertos estén asignados a la VLAN de administración seleccionada en la parte superior . De forma predeterminada, esto es VLAN 1 y todos los puertos están predeterminados en VLAN 1.
Paso 3 - Actualiza el firmware
Dado que mi enrutador Netgear barato puede buscar en Internet una actualización de software y descargarlo e instalarlo automáticamente, usted pensaría que un elegante conmutador de Cisco podría hacer lo mismo. ¡Pero estarías equivocado! Probablemente sea por razones de seguridad por las que no hacen esto, pero sigue siendo molesto.
Para actualizar un conmutador Cisco con nuevo firmware, debe descargarlo del sitio web de Cisco y luego cargarlo en el conmutador. Además, debe cambiar la imagen activa a la nueva versión del firmware. Realmente me gusta esta característica, ya que proporciona un poco de protección en caso de que algo salga mal.
Para encontrar el nuevo firmware, simplemente busque en Google el modelo de su interruptor con la palabra firmware al final. Por ejemplo, en mi caso, acabo de googlear el firmware de Cisco SG300-10.
Escribiré otro artículo sobre cómo actualizar el firmware de un enrutador de Cisco, ya que hay algunas cosas que debes tener en cuenta antes de hacerlo.
Paso 4 - Configurar el acceso seguro
El siguiente paso que recomiendo es habilitar solo el acceso seguro a su conmutador. Si eres un profesional de la línea de comandos, deberías deshabilitar la GUI web por completo y activar el acceso SSH únicamente. Sin embargo, si necesita la interfaz GUI, al menos debe configurarla para que use HTTPS en lugar de HTTP.
Consulte mi publicación anterior sobre cómo habilitar el acceso SSH para su conmutador y luego inicie sesión con una herramienta como puTTY. Para mayor seguridad, puede activar la autenticación de clave pública con SSH e iniciar sesión con una clave privada. También puede restringir el acceso a la interfaz de administración por dirección IP, sobre la cual escribiré en una publicación futura.
Paso 5 - Copia de la configuración en ejecución a la configuración de inicio
Lo último a lo que desea acostumbrarse cuando usa cualquier dispositivo Cisco es copiar la configuración en ejecución en la configuración de inicio. Básicamente, todos los cambios que realice solo se almacenan en la memoria RAM, lo que significa que cuando reinicie el dispositivo, se perderán todos los ajustes.
Para guardar la configuración de forma permanente, debe copiar la configuración en ejecución en la configuración de inicio, la última de las cuales se almacena en NVRAM o RAM no volátil. Para hacer esto, expanda Administración, luego Administración de archivos y luego haga clic en Copiar / Guardar configuración .
La configuración predeterminada debe ser correcta, por lo que todo lo que tiene que hacer es hacer clic en Aplicar . Nuevamente, asegúrese de hacer esto cada vez que realice algún tipo de cambio en su conmutador.
Esos fueron algunos pasos de configuración realmente básicos para configurar y asegurar su conmutador inicialmente. Pronto publicaré tutoriales más avanzados sobre otros aspectos del cambio. Si tiene alguna pregunta, no dude en comentar. ¡Disfrutar!