====== Best Practices zabezpečení switchů ======
===== Konfigurace bezpečných(šifrovaných) hesel =====
  * Kde to je možné používat **enable secret**, používá silnější šifrování než obyč. enable password.
  * Pro centrální správu použít AAA server
  * Nakonec použít **service password-encryption** - i když je šifra slabá, je to lepší než nic
===== Použití systémových bannerů =====
  * Varování nežádoucích osob, že zde nemají co dělat
  * Nikdy v baneru zbytečně neprozrazovat informace o síti (prvku)

===== Zabezpečení WEBového rozhraní =====
  * Ideální je ho vypnout, příkaz **no ip http server** v globálním konf.módu
  * Když už ho nechat zaplý, tak alespoň jako HTTPS, příkaz **ip http secure server** namísto obyč. **ip http server** v glob.konf.módu
  * Posílit bezpečnost lze pomocí ACL povolujícím jen určité zdrojové adresy
<code>
Switch(config)# ip http secure server
Switch(config)# access-list 1 permit 10.100.50.0 0.0.0.255
Switch(config)# ip http access-class 1
</code>

===== Zabezpečení konzole =====
  * I přes to, že je zabezpečena fyzická bezpečnost prvků, je dobré konzolové porty zabezpečit stejně jako VTY linky.

===== Zabezpečení VTY =====
  * Vždy nastavit authentikaci všem VTY. Výpis všech VTY: **show user all**
  * Popř. použít ACL povolující jen určité zdrojové adresy
<code>
Switch(config)# access-list 10 permit 192.168.199.10
Switch(config)# access-list 10 permit 192.168.201.100
Switch(config)# line vty 0 15
Switch(config-line)# access-class 10 in
</code>

===== Použití SSH kde to jde =====
  * Používat SSH kde je to jen možné
  * Používat nejvyšší podporovanou verzi, pokud možno SSH v2 (v1 a v1.5 mají jisté nedostatky)

===== Zabezpečení SNMP přístupu =====
  * Zakázat jakýkoliv Read-Write přístup, tzn. vše kde je příkaz: **snmp-server community** //string// **RW**
  * Používat jen RO Read-only přístup
  * Omezit přístup pomocí ACL na konkrétní zdroj. adresy

===== Zabezpečení volných portů =====
  * Ideálně **shutdown**
  * Nastavit port **switchport mode access** a popř. jej přiřadit do nějaké "nesmyslné" VLANy
Použití makra **switchport host**:
<code>
Switch(config)# interface fastethernet 1/0/1
Switch(config-if)# switchport host
switchport mode will be set to access
spanning-tree portfast will be enabled
channel group will be disabled
Switch(config-if)#
</code>

===== Zabezpečení STP =====
  * Útočník může posílat falešná BPDU
  * Zapnout na access portech **bpdu-guard**

===== Zabezpečení CDP =====
  * Defaultně se šíří CDP všemi porty switche každých 60s
  * CDP zbytečně prozrazuje moc informací
  * Na access portech je dobré jej vypnout **no cdp enable**
  * POZOR na portech, kde je IP telefon, musí zůstat CDP zapnuté. Z telefonu do PC se už nešíří.