Preocupaciones de seguridad para montar un teléfono Cisco 7911 montado afuera en una caja a prueba de intemperie

0

Me pidieron que mirara el hardware para montar un teléfono cerca del muelle de carga en el trabajo. Tenemos un montón de Cisco 7911s. La preocupación es que alguien se conecte a la NIC de paso del teléfono.

Es suficiente para

  • habilite la seguridad del puerto MAC en la interfaz de Cisco para ese puerto, de modo que el único dispositivo permitido sea el teléfono, y desactívelo si alguien conecta algo más

  • dañar físicamente la conexión RJ45 donde alguien podría conectar una computadora a la conexión de la NIC de paso a través de la PC

  • desactivar la pantalla del teléfono para que alguien no pueda navegar por el directorio de la empresa

Creo que estas medidas son suficientes, pero ¿hay algo más que pueda hacer para proteger mi red del acceso externo en este teléfono expuesto?

user38537
fuente

Respuestas:

1

Su solución propuesta presenta puntos débiles que muchos administradores de red podrían subvertir.

Las debilidades obvias son que las direcciones MAC se pueden clonar y el cambio no sería lo más inteligente. De hecho, probablemente podría construir un dispositivo barato para clonar la dirección MAC, permitir que el teléfono continúe funcionando Y me permite conectar otros dispositivos.

Si intentara hacer esto, configuraría una VLAN separada y pondría este teléfono en esa VLAN, dándole acceso solo para hablar con los dispositivos con los que necesita hablar. (En teoría, es posible romper la seguridad de la VLAN, pero es un juego de pelota completamente diferente, probablemente fuera del alcance de la gran mayoría de los adversarios). Configurarlo para que requiera un acceso VPN es probablemente excesivo, pero teóricamente más seguro.

Es posible que también desee limitar el ancho de banda a la velocidad de la conexión si es extremadamente paranoico, lo que significaría que incluso si la red no cumple con la norma, la velocidad a la que se pueden filtrar los datos podría ser lenta, es decir, podría limitarla a UDP y 100 kbit. por segundo o así. (Probablemente no vale la pena el esfuerzo IMHO)

En lugar de desactivar la pantalla del teléfono, ¿por qué no comprar un teléfono sin pantalla para que no se pueda activar? (Si le preocupa un adversario técnicamente capacitado, el costo de $ 100 o más no sería un problema). Una alternativa aún más segura sería deshacerse del VOIP para el teléfono y conectar un teléfono normal a un ATA a través del cableado existente. Esto limitaría el puerto a la compatibilidad con un teléfono, aunque la calidad de voz y la funcionalidad podrían verse afectadas.

davidgo
fuente
Gracias. Soy consciente de que las direcciones de mac pueden ser clonadas. Pero, si recuerdo correctamente, la seguridad del puerto desactiva la interfaz cuando se retira el teléfono. Para obtener la dirección MAC, un atacante tendría que desconectar el teléfono. Conectarlo de nuevo no funcionaría porque la interfaz aún estaría en modo de apagado.
user38537
Y sobre cómo obtener un nuevo teléfono, literalmente tenemos docenas de 7911s. Solo busco hacer esto para que podamos reemplazar el teléfono inmediatamente si un conductor lo daña.
user38537
La mayoría de los dispositivos tienen su dirección MAC impresa en una etiqueta en el dispositivo. La misma etiqueta que dice que fue inspeccionada por varios organismos gubernamentales
Ramhound
No soy una persona de CISCO, por lo que podría tener razón, pero ¿está seguro de esto? Eso significaría que si el puerto estuviera conectado a la computadora de escritorio o portátil, el dispositivo no se podría reiniciar sin bloquearse. La lectura que acabo de hacer implica (al omitir cualquier referencia sobre cómo configurar esta funcionalidad) que solo permite direcciones mac específicas [y puede bloquearse en un MAC diferente], pero no tiene una opción para que el puerto baja y luego vuelve a subir, todo eso es necesario si puedo clonar el mac.
davidgo
Experimenté con port-security para los interruptores que tenemos y el port-security Los comandos no funcionan en conjunto con switch voice vlan X. Aunque el conmutador aceptará la configuración, la interfaz entrará en un err-disabled estado. después de unos momentos y el teléfono dice algo así como "Ethernet desconectado".
user38537