Cambie la seguridad cuando se encuentre en una ubicación no segura

7

Tengo una situación en la que debo instalar un interruptor en una ubicación que es físicamente insegura y que tiene invitados entrando y saliendo. Está en el estante de audio de un escritorio de sonido en una instalación que tiene muchos miembros que no son del personal que tienen acceso físico a él.

Es un conmutador HP ProCurve. Planeo tomar las siguientes precauciones, pero estoy buscando cualquier laguna que pueda haber pasado por alto:

  1. Deshabilite los botones de reinicio del dispositivo físico en la parte frontal del interruptor (en el software), no con epoxy
  2. Deshabilite todos los puertos que no están en uso activo
  3. VLAN basada en puertos para los puertos activos que los sacan de la red principal y los colocan en una red menos confiable (pero no pueden ir a una red totalmente no confiable de estilo dmz)
  4. Deje dos puertos habilitados que van inmediatamente a un portal cautivo en una VLAN invitada para, bueno, invitados. (el uso de estos puertos se documentará públicamente)
  5. Autenticación 802.1X basada en puertos basada en direcciones MAC conocidas para los puertos activos no invitados
  6. El puerto de enlace ascendente utilizará el enlace 802.1q con una VLAN nativa que no se utilice.

El cableado será estático. Prácticamente nunca cambiará, aparte de los dos puertos invitados.

Sé con certeza que, debido al tipo de personas que llegan a través de la ubicación, tendrán curiosidad por ver qué hay en el conmutador, y no quiero que entren en la parte protegida de la red a menos que intenten subvertir activamente la seguridad. (Y si hacen eso, entonces esa es una pregunta para security.se)

security hp-procurve Mark Henderson
fuente
1
Miraría los cables estáticos para los puertos invitados o usaría un panel de conexión para evitar el desgaste de los puertos físicos del conmutador.
some_guy_long_gone
1
Supongo que una mina Claymore está fuera de discusión.
generalnetworkerror
¿Alguna respuesta te ayudó? Si es así, debe aceptar la respuesta para que la pregunta no siga apareciendo para siempre, buscando una respuesta. Alternativamente, puede proporcionar y aceptar su propia respuesta.
Ron Maupin

Respuestas:

5

Usaría un protector de panel de parche si la seguridad del puerto fuera un problema real.

Por supuesto, esto depende del acceso necesario, la frecuencia de los cambios del puerto físico y la composición del resto del bastidor / gabinete.

ingrese la descripción de la imagen aquí

ewwhite
fuente
Este enfoque no brinda ninguna protección adecuada. Puede disuadir a algunas personas maliciosas desconocidas, pero realmente da una falsa sensación de seguridad. Sería bastante fácil abrir este tipo de cerramiento mediante la selección de cerraduras o incluso un taladro / martillo / cuña.
ponsfonze
@ponsfonze en la pregunta, afirmo que mi alcance actual es evitar las fiestas curiosas. Creo que esto haría bastante bien para mantenerlos fuera. No me preocupan las personas que desean subvertir activamente la red en el ámbito de esta pregunta.
Mark Henderson
4

También debe considerar la seguridad del puerto de la consola, es decir, asegurarse de que AAA esté habilitado en la consola. Si el ProCurve no es compatible con AAA en el puerto de la consola, asegúrese de que la contraseña de inicio de sesión para la línea de la consola sea segura (y tal vez se rote cada 90 días más o menos).

John Jensen
fuente
Buen punto. De todos modos, nos autenticamos contra un servidor RADIUS, pero es bueno tenerlo físicamente anotado para futuras referencias.
Mark Henderson