Su solución propuesta presenta puntos débiles que muchos administradores de red podrían subvertir.
Las debilidades obvias son que las direcciones MAC se pueden clonar y el cambio no sería lo más inteligente. De hecho, probablemente podría construir un dispositivo barato para clonar la dirección MAC, permitir que el teléfono continúe funcionando Y me permite conectar otros dispositivos.
Si intentara hacer esto, configuraría una VLAN separada y pondría este teléfono en esa VLAN, dándole acceso solo para hablar con los dispositivos con los que necesita hablar. (En teoría, es posible romper la seguridad de la VLAN, pero es un juego de pelota completamente diferente, probablemente fuera del alcance de la gran mayoría de los adversarios). Configurarlo para que requiera un acceso VPN es probablemente excesivo, pero teóricamente más seguro.
Es posible que también desee limitar el ancho de banda a la velocidad de la conexión si es extremadamente paranoico, lo que significaría que incluso si la red no cumple con la norma, la velocidad a la que se pueden filtrar los datos podría ser lenta, es decir, podría limitarla a UDP y 100 kbit. por segundo o así. (Probablemente no vale la pena el esfuerzo IMHO)
En lugar de desactivar la pantalla del teléfono, ¿por qué no comprar un teléfono sin pantalla para que no se pueda activar? (Si le preocupa un adversario técnicamente capacitado, el costo de $ 100 o más no sería un problema). Una alternativa aún más segura sería deshacerse del VOIP para el teléfono y conectar un teléfono normal a un ATA a través del cableado existente. Esto limitaría el puerto a la compatibilidad con un teléfono, aunque la calidad de voz y la funcionalidad podrían verse afectadas.
port-security
para los interruptores que tenemos y elport-security
Los comandos no funcionan en conjunto conswitch voice vlan X
. Aunque el conmutador aceptará la configuración, la interfaz entrará en unerr-disabled
estado. después de unos momentos y el teléfono dice algo así como "Ethernet desconectado".