Wechseln Sie die Sicherheit an einem ungesicherten Ort

7

Ich habe eine Situation, in der ich einen Switch an einem physisch unsicheren Ort installieren muss, an dem Gäste kommen und gehen. Es befindet sich im Audio-Rack eines Soundpultes in einer Einrichtung, in der viele Nicht-Mitarbeiter physischen Zugriff darauf haben.

Es ist ein HP ProCurve-Switch. Ich habe vor, die folgenden Vorsichtsmaßnahmen zu treffen, suche aber nach Lücken, die ich möglicherweise übersehen habe:

  1. Deaktivieren Sie die Reset-Tasten für physische Geräte an der Vorderseite des Schalters (in der Software), nicht mit Epoxidharz
  2. Deaktivieren Sie alle Ports, die nicht aktiv verwendet werden
  3. Portbasiertes VLAN für die aktiven Ports, die sie vom Hauptnetzwerk in ein weniger vertrauenswürdiges Netzwerk übertragen (kann jedoch nicht zu einem völlig nicht vertrauenswürdigen Netzwerk im dmz-Stil wechseln).
  4. Lassen Sie zwei Ports aktiviert, die sofort zu einem Captive-Portal in einem Gast-VLAN für Gäste führen. (Die Nutzung dieser Ports wird öffentlich dokumentiert.)
  5. Portbasierte 802.1X-Authentifizierung basierend auf bekannten MAC-Adressen für die aktiven Nicht-Gast-Ports
  6. Der Uplink-Port verwendet 802.1q-Trunking mit einem nativen VLAN, das nicht verwendet wird.

Die Verkabelung ist statisch. Abgesehen von den beiden Gastports wird sich dies praktisch nie ändern.

Ich weiß, dass sie aufgrund der Art von Menschen, die durch den Ort kommen, neugierig sind, was sich auf dem Switch befindet, und ich möchte nicht, dass sie in den geschützten Teil des Netzwerks gelangen, es sei denn, sie versuchen aktiv, sich zu untergraben die Sicherheit. (Und wenn sie das tun, dann ist das eine Frage an security.se)

Mark Henderson
quelle
1
Ich würde mir entweder statische Kabel für die Gastanschlüsse ansehen oder ein Patchfeld für sie verwenden, um Verschleiß an den physischen Switch-Anschlüssen zu vermeiden.
some_guy_long_gone
1
Ich nehme an, eine Claymore-Mine kommt nicht in Frage.
Generalnetworkerror
Hat dir eine Antwort geholfen? Wenn ja, sollten Sie die Antwort akzeptieren, damit die Frage nicht für immer auftaucht und nach einer Antwort sucht. Alternativ können Sie Ihre eigene Antwort bereitstellen und akzeptieren.
Ron Maupin

Antworten:

5

Ich würde einen Patchpanel-Schutz verwenden, wenn die Port-Sicherheit ein echtes Problem wäre.

Dies hängt natürlich vom erforderlichen Zugriff, der Häufigkeit der Änderungen des physischen Anschlusses und der Zusammensetzung des restlichen Racks / Gehäuses ab.

Geben Sie hier die Bildbeschreibung ein

ewwhite
quelle
Dieser Ansatz bietet überhaupt keinen angemessenen Schutz. Es könnte einige unerkennbare böswillige Menschen abschrecken, aber es gibt wirklich ein falsches Gefühl der Sicherheit. Es wäre ziemlich einfach, diese Art von Gehäuse durch Öffnen eines Schlosses oder sogar eines Bohrers / Hammers / Keils zu öffnen.
Ponsfonze
@ponsfonze in der Frage Ich sage, dass mein aktueller Umfang darin besteht, neugierige Parteien fernzuhalten. Ich denke, das würde ganz gut tun, um sie fernzuhalten. Ich beschäftige mich nicht mit Leuten, die das Netzwerk im Rahmen dieser Frage aktiv untergraben wollen.
Mark Henderson
4

Sie müssen auch die Sicherheit des Konsolenports berücksichtigen, dh sicherstellen, dass AAA auf der Konsole aktiviert ist. Wenn ProCurve AAA am Konsolenport nicht unterstützt, stellen Sie sicher, dass das Anmeldekennwort für die Konsolenleitung sicher ist (und möglicherweise alle 90 Tage oder so gewechselt wird).

John Jensen
quelle
Guter Punkt. Wir authentifizieren uns ohnehin bei einem RADIUS-Server, aber es ist gut, ihn zur späteren Bezugnahme physisch notieren zu lassen.
Mark Henderson