Alterne a segurança quando estiver em um local não seguro

7

Tenho uma situação em que sou obrigado a instalar um switch em um local fisicamente inseguro e com convidados indo e vindo. Está no rack de áudio de uma mesa de som em uma instalação que possui muitos membros que não são da equipe e têm acesso físico a ela.

É um comutador HP ProCurve. Planejo tomar as seguintes precauções, mas estou procurando por brechas que talvez eu tenha esquecido:

  1. Desative os botões de redefinição do dispositivo físico na frente do comutador (no software), não com epóxi
  2. Desabilitar todas as portas que não estão em uso ativo
  3. VLAN baseada em porta para as portas ativas que as tiram da rede principal e entram em uma rede menos confiável (mas não podem acessar uma rede totalmente não confiável no estilo dmz)
  4. Deixe duas portas ativadas que vão imediatamente para um portal cativo em uma VLAN de convidado para, bem, convidados. (o uso dessas portas será documentado publicamente)
  5. Autenticação 802.1X baseada em porta, com base em endereços MAC conhecidos para as portas ativas e não convidadas
  6. A porta de uplink usará o entroncamento 802.1q com uma VLAN nativa que não é utilizada.

O cabeamento será estático. Praticamente nunca mudará, além das duas portas de convidado.

Sei que, devido ao tipo de pessoa que chega ao local, eles ficarão curiosos para ver o que está no comutador, e não quero que eles entrem na parte protegida da rede, a menos que tentem ativamente subverter a segurança. (E se eles fizerem isso, é uma pergunta para security.se)

Mark Henderson
fonte
11
Eu examinava os cabos estáticos das portas de convidado ou usava um painel de conexões para evitar desgaste nas portas físicas do switch.
some_guy_long_gone
11
Suponho que uma mina de Claymore esteja fora de questão.
generalnetworkerror 16/08
Alguma resposta o ajudou? Nesse caso, você deve aceitar a resposta para que a pergunta não apareça para sempre, procurando uma resposta. Como alternativa, você pode fornecer e aceitar sua própria resposta.
Ron Maupin

Respostas:

5

Eu usaria um protetor de painel de remendo se a segurança da porta fosse um problema real.

Obviamente, isso depende do acesso necessário, da frequência das alterações físicas na porta e da composição do restante do rack / gabinete.

insira a descrição da imagem aqui

ewwhite
fonte
Essa abordagem não oferece nenhuma proteção adequada. Isso pode impedir algumas pessoas maliciosas e desconhecidas, mas realmente dá uma falsa sensação de segurança. Seria muito fácil abrir esse tipo de gabinete por meio de trava ou mesmo uma broca / martelo / cunha.
Pessfonze
@ponsfonze na questão, afirmo que meu escopo atual é impedir a entrada de pessoas curiosas. Eu acho que isso faria muito bem em mantê-los fora. Não estou preocupado com pessoas que desejam subverter ativamente a rede no escopo desta pergunta.
Mark Henderson
4

Você também precisa considerar a segurança da porta do console - ou seja, garantir que o AAA esteja ativado no console. Se o ProCurve não suportar AAA na porta do console, verifique se a senha de login da linha do console é forte (e talvez seja alternada a cada 90 dias).

John Jensen
fonte
Bom ponto. Nós nos autenticamos em um servidor RADIUS de qualquer maneira, mas é bom anotá-lo fisicamente para referência futura.
Mark Henderson