Ich habe eine Situation, in der ich einen Switch an einem physisch unsicheren Ort installieren muss, an dem Gäste kommen und gehen. Es befindet sich im Audio-Rack eines Soundpultes in einer Einrichtung, in der viele Nicht-Mitarbeiter physischen Zugriff darauf haben.
Es ist ein HP ProCurve-Switch. Ich habe vor, die folgenden Vorsichtsmaßnahmen zu treffen, suche aber nach Lücken, die ich möglicherweise übersehen habe:
- Deaktivieren Sie die Reset-Tasten für physische Geräte an der Vorderseite des Schalters (in der Software), nicht mit Epoxidharz
- Deaktivieren Sie alle Ports, die nicht aktiv verwendet werden
- Portbasiertes VLAN für die aktiven Ports, die sie vom Hauptnetzwerk in ein weniger vertrauenswürdiges Netzwerk übertragen (kann jedoch nicht zu einem völlig nicht vertrauenswürdigen Netzwerk im dmz-Stil wechseln).
- Lassen Sie zwei Ports aktiviert, die sofort zu einem Captive-Portal in einem Gast-VLAN für Gäste führen. (Die Nutzung dieser Ports wird öffentlich dokumentiert.)
- Portbasierte 802.1X-Authentifizierung basierend auf bekannten MAC-Adressen für die aktiven Nicht-Gast-Ports
- Der Uplink-Port verwendet 802.1q-Trunking mit einem nativen VLAN, das nicht verwendet wird.
Die Verkabelung ist statisch. Abgesehen von den beiden Gastports wird sich dies praktisch nie ändern.
Ich weiß, dass sie aufgrund der Art von Menschen, die durch den Ort kommen, neugierig sind, was sich auf dem Switch befindet, und ich möchte nicht, dass sie in den geschützten Teil des Netzwerks gelangen, es sei denn, sie versuchen aktiv, sich zu untergraben die Sicherheit. (Und wenn sie das tun, dann ist das eine Frage an security.se)
quelle
Antworten:
Ich würde einen Patchpanel-Schutz verwenden, wenn die Port-Sicherheit ein echtes Problem wäre.
Dies hängt natürlich vom erforderlichen Zugriff, der Häufigkeit der Änderungen des physischen Anschlusses und der Zusammensetzung des restlichen Racks / Gehäuses ab.
quelle
Sie müssen auch die Sicherheit des Konsolenports berücksichtigen, dh sicherstellen, dass AAA auf der Konsole aktiviert ist. Wenn ProCurve AAA am Konsolenport nicht unterstützt, stellen Sie sicher, dass das Anmeldekennwort für die Konsolenleitung sicher ist (und möglicherweise alle 90 Tage oder so gewechselt wird).
quelle