Tôi có một tình huống tôi bắt buộc phải cài đặt một công tắc ở một vị trí không an toàn về mặt vật lý và có khách đến và đi. Nó nằm trong giá âm thanh của một bàn âm thanh tại một cơ sở có rất nhiều thành viên không phải là nhân viên có quyền truy cập vật lý vào nó.
Nó là một công tắc HP ProCurve. Tôi dự định thực hiện các biện pháp phòng ngừa sau đây, nhưng tôi đang tìm kiếm bất kỳ sơ hở nào tôi có thể đã bỏ lỡ:
- Vô hiệu hóa các nút đặt lại thiết bị vật lý ở mặt trước của công tắc (trong phần mềm), không phải bằng epoxy
- Vô hiệu hóa tất cả các cổng không được sử dụng
- Vlan dựa trên cổng cho các cổng hoạt động đưa chúng ra khỏi mạng chính và vào mạng kém tin cậy hơn (nhưng không thể truy cập mạng hoàn toàn không tin cậy theo kiểu dmz)
- Để lại hai cổng được bật mà đi ngay đến một cổng bị khóa trên Vlan của khách, tốt, khách. (việc sử dụng các cổng này sẽ được ghi lại công khai)
- Xác thực 802.1X dựa trên cổng dựa trên các địa chỉ MAC đã biết cho các cổng không hoạt động, không dành cho khách
- Cổng đường lên sẽ sử dụng trung kế 802.1q với Vlan gốc không được sử dụng.
Cáp sẽ tĩnh. Nó hầu như sẽ không bao giờ thay đổi, ngoài hai cổng khách.
Tôi biết một thực tế là do có nhiều người đi qua địa điểm mà họ sẽ tò mò muốn xem những gì trên công tắc, và tôi không muốn họ vào phần được bảo vệ của mạng trừ khi họ chủ động cố gắng lật đổ bảo vệ. (Và nếu họ làm điều đó, thì đó là một câu hỏi cho security.se)