Tenho uma situação em que sou obrigado a instalar um switch em um local fisicamente inseguro e com convidados indo e vindo. Está no rack de áudio de uma mesa de som em uma instalação que possui muitos membros que não são da equipe e têm acesso físico a ela.
É um comutador HP ProCurve. Planejo tomar as seguintes precauções, mas estou procurando por brechas que talvez eu tenha esquecido:
- Desative os botões de redefinição do dispositivo físico na frente do comutador (no software), não com epóxi
- Desabilitar todas as portas que não estão em uso ativo
- VLAN baseada em porta para as portas ativas que as tiram da rede principal e entram em uma rede menos confiável (mas não podem acessar uma rede totalmente não confiável no estilo dmz)
- Deixe duas portas ativadas que vão imediatamente para um portal cativo em uma VLAN de convidado para, bem, convidados. (o uso dessas portas será documentado publicamente)
- Autenticação 802.1X baseada em porta, com base em endereços MAC conhecidos para as portas ativas e não convidadas
- A porta de uplink usará o entroncamento 802.1q com uma VLAN nativa que não é utilizada.
O cabeamento será estático. Praticamente nunca mudará, além das duas portas de convidado.
Sei que, devido ao tipo de pessoa que chega ao local, eles ficarão curiosos para ver o que está no comutador, e não quero que eles entrem na parte protegida da rede, a menos que tentem ativamente subverter a segurança. (E se eles fizerem isso, é uma pergunta para security.se)
fonte
Respostas:
Eu usaria um protetor de painel de remendo se a segurança da porta fosse um problema real.
Obviamente, isso depende do acesso necessário, da frequência das alterações físicas na porta e da composição do restante do rack / gabinete.
fonte
Você também precisa considerar a segurança da porta do console - ou seja, garantir que o AAA esteja ativado no console. Se o ProCurve não suportar AAA na porta do console, verifique se a senha de login da linha do console é forte (e talvez seja alternada a cada 90 dias).
fonte