Chuyển đổi bảo mật khi ở một vị trí không an toàn


7

Tôi có một tình huống tôi bắt buộc phải cài đặt một công tắc ở một vị trí không an toàn về mặt vật lý và có khách đến và đi. Nó nằm trong giá âm thanh của một bàn âm thanh tại một cơ sở có rất nhiều thành viên không phải là nhân viên có quyền truy cập vật lý vào nó.

Nó là một công tắc HP ProCurve. Tôi dự định thực hiện các biện pháp phòng ngừa sau đây, nhưng tôi đang tìm kiếm bất kỳ sơ hở nào tôi có thể đã bỏ lỡ:

  1. Vô hiệu hóa các nút đặt lại thiết bị vật lý ở mặt trước của công tắc (trong phần mềm), không phải bằng epoxy
  2. Vô hiệu hóa tất cả các cổng không được sử dụng
  3. Vlan dựa trên cổng cho các cổng hoạt động đưa chúng ra khỏi mạng chính và vào mạng kém tin cậy hơn (nhưng không thể truy cập mạng hoàn toàn không tin cậy theo kiểu dmz)
  4. Để lại hai cổng được bật mà đi ngay đến một cổng bị khóa trên Vlan của khách, tốt, khách. (việc sử dụng các cổng này sẽ được ghi lại công khai)
  5. Xác thực 802.1X dựa trên cổng dựa trên các địa chỉ MAC đã biết cho các cổng không hoạt động, không dành cho khách
  6. Cổng đường lên sẽ sử dụng trung kế 802.1q với Vlan gốc không được sử dụng.

Cáp sẽ tĩnh. Nó hầu như sẽ không bao giờ thay đổi, ngoài hai cổng khách.

Tôi biết một thực tế là do có nhiều người đi qua địa điểm mà họ sẽ tò mò muốn xem những gì trên công tắc, và tôi không muốn họ vào phần được bảo vệ của mạng trừ khi họ chủ động cố gắng lật đổ bảo vệ. (Và nếu họ làm điều đó, thì đó là một câu hỏi cho security.se)


1
Tôi sẽ xem xét cáp tĩnh cho các cổng khách hoặc sử dụng bảng vá cho chúng để tránh hao mòn trên các cổng chuyển đổi vật lý.
some_guy_long_gone

1
Tôi cho rằng một mỏ Claymore nằm ngoài câu hỏi này.
generalnetworkerror

Có câu trả lời nào giúp bạn không? nếu vậy, bạn nên chấp nhận câu trả lời để câu hỏi không xuất hiện mãi mãi, tìm kiếm câu trả lời. Ngoài ra, bạn có thể cung cấp và chấp nhận câu trả lời của riêng bạn.
Ron Maupin

Câu trả lời:


5

Tôi sẽ sử dụng một bộ bảo vệ bảng vá nếu bảo mật cổng là một vấn đề thực sự.

Tất nhiên, điều này phụ thuộc vào quyền truy cập cần thiết, tần suất thay đổi cổng vật lý và thành phần của phần còn lại của giá / vỏ.

nhập mô tả hình ảnh ở đây


Cách tiếp cận này không cung cấp bất kỳ sự bảo vệ nào cả. Nó có thể ngăn chặn một số người độc hại không thể biết được nhưng nó thực sự mang lại cảm giác an toàn sai lầm. Sẽ khá dễ dàng để mở loại bao vây này bằng cách chọn khóa hoặc thậm chí là khoan / búa / nêm.
ponsfemony

@ponsfemony trong câu hỏi tôi nói rằng phạm vi hiện tại của tôi là để tránh các bên tò mò. Tôi nghĩ rằng điều này sẽ làm khá tốt để giữ chúng ra. Tôi không quan tâm đến những người muốn chủ động lật đổ mạng trong phạm vi câu hỏi này.
Mark Henderson

4

Bạn cũng cần xem xét bảo mật cổng bàn điều khiển - tức là đảm bảo AAA được bật trên bàn điều khiển. Nếu ProCurve không hỗ trợ AAA trên cổng bảng điều khiển, thì hãy đảm bảo mật khẩu đăng nhập cho dòng bàn điều khiển mạnh (và có thể xoay vòng sau mỗi 90 ngày hoặc lâu hơn).


Điểm tốt. Dù sao chúng tôi cũng xác thực với máy chủ RADIUS nhưng thật tốt khi được ghi chú về mặt vật lý để tham khảo trong tương lai.
Mark Henderson
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.