Em Switches Catalyst Cisco você pode configurar e usar diferentes características. Você deve pensar sempre além do usuário, não pense que todos que estão conectados a sua rede terão boas intenções e seguiram todas as políticas de segurança implementadas por você administrador. Neste artigo falaremos sobre as melhores práticas para uma boa segurança nos switches da sua rede.

Configure senhas seguras: Sempre que possível você deve usar o comando "enable secret" no modo de configuração global, este comando ira setar uma senha para o modo privilegiado no switch. Esse comando usa uma criptografia mais forte do que o comando "enable password", outra dica é o comando "service password-encryption" a criptografia não é tão forte porem todas suas senhas ficaram escondidas atraves de uma máscara que o comando criará.
Eu não descartaria a possibilidade de usarmos autenticação em servidores externos, utilizar autenticação em algum tipo de AD ou LDAP autenticação em um servidor radius pelo método AAA. Assim sendo usuários ficariam armazenados em outro equipamento sendo mais seguro o controle dos mesmo.

Utilize banners: Sempre que possivel quando você estiver configurando algum equipamento use os banners. Os banners servem para avisar que aqueles que estão executando algum tipo de modificação nos equipamentos estarão sujeitos a as políticas de segurança da empresa. Os banners aparecem sempre que alguem conseguir se logar no equipamento servindo de aviso. A idéia é deixar avisado que qualquer usuário q não esteja autorizado e tenha acesso está sendo monitorado tudo o que ele fizer no equipamento. O comando a ser usado no modo de configuração global é o seguinte "banner motd" ou "banner login".

Desabilite serviços desnecessários ou não seguros: Equipamentos Cisco geralmente vem de fábrica com alguns serviços desnecessários habilitados. Para customizar sua segurança você deve habilitar somente o necessário. qualquer elemento habilitado a mais pode ser uma bercha a ser explorada. Um ponto importante a ser desabilitado é o serviço de http do switch ele serve para ser gerenciado pelo seu navegador web o comando para desabilitar essa característica é o "no ip http server". Lembre-se sempre de desabilitar estas outras características abaixo colocando a palavra "no" na frente:

service tcp-small-servers;
service udp-small-servers;
service finger;
service config;

Segurança na porta console: SEMPRE faça com que o usuário conectado a porta console tenha q se autenticar, geralmente equipamentos de rede ficam em Racks bem protegidos, mas temos que pensar sempre mais em frente, imagine que o usuário não autorizado consiga acesso a porta console do equipamento. A mesma premissa serve para portas virtuais (vty).

Segurança nos terminais virtuais: Como já foi mencionado anteriormente sempre habilitar autenticação nos terminais virtuais (vty) além disso deve ser implementada uma política básica de segurança que é colocar ACLs nestas interfaces virtuais. Abaixo segue um exemplo liberando acesso para somente certos endereços IPs.

Switch(config)# access-list 10 permit 192.168.10.2
Switch(config)# access-list 10 permit 192.168.10.7
Switch(config)# line vty 0 10
Switch(config-line)# access-class 10 in

SSH sempre que possível: Todos sabemos que o acesso a terminais via telnet é muito mais fácil, também é muito menos seguro e mais frágil, como boa politica de segurança use sempre o SSH. O metodo de criptografia usado por ele é muito mais robusto. Usando uma sessão telnet qualquer caracter que você escreve poder ser capturado por algum sniffer.

Desabilite portas não utilizadas: Sempre que possivel desabilite portas dos switches que não estejam sendo utilizadas, isso previne com que um usuário não autorizao acesse a rede sem que você saiba, você pode fazer isso através do comando "shutdown".

Uso do CDP: O CDP é o protocolo de descoberta da cisco, com ele conseguimos visualizar todos os elementos da rede que respondem ao CDP, assim sendo só deverá estar habilitado o CDP em portas que tenham equipamentos Cisco. O comando a ser utilizados na interface onde você deseja desabilitar o CDP é o "no cdp enable".