安全でない場所にいるときにセキュリティを切り替える

7

物理的に安全ではなく、ゲストが行き来する場所にスイッチを設置する必要がある状況があります。これは、スタッフに物理的にアクセスできる多くの非スタッフメンバーがいる施設のサウンドデスクのオーディオラックにあります。

HP ProCurveスイッチです。次の予防策を講じる予定ですが、見逃した抜け穴がないか探しています。

  1. エポキシではなく、スイッチの前面にある物理デバイスのリセットボタンを(ソフトウェアで)無効にする
  2. アクティブに使用されていないすべてのポートを無効にする
  3. メインネットワークから信頼性の低いネットワークに移動するアクティブポート用のポートベースのVLAN(ただし、dmzスタイルの完全に信頼されていないネットワークにはアクセスできません)
  4. ゲストのゲストVLANのキャプティブポータルにすぐに移動する2つのポートを有効のままにします。(これらのポートの使用は公開文書化されます)
  5. アクティブな非ゲストポートの既知のMACアドレスに基づくポートベースの802.1X認証
  6. アップリンクポートは、未使用のネイティブVLANで802.1qトランキングを使用します。

ケーブルは静的です。2つのゲストポートを除いて、実質的に変更されることはありません。

ある場所を通り抜ける人たちがスイッチの内容を知りたがるので、彼らが積極的に破壊しようとしない限り、ネットワークの保護された部分に侵入したくないという事実を知っています。セキュリティ。(そして、彼らがそうするなら、それはsecurity.seの問題です)

security  hp-procurve 
マーク・ヘンダーソン
ソース
1
物理スイッチポートの摩耗を防ぐために、ゲストポートの静的ケーブルまたはパッチパネルを使用します。
some_guy_long_gone 14
1
クレイモア鉱山は問題外だと思います。
generalnetworkerror 2014
何か回答がありましたか?もしそうなら、質問が永遠にポップアップし続けないように答えを受け入れ、答えを探します。または、独自の回答を提供して受け入れることもできます。
Ron Maupin

回答:

5

ポートのセキュリティが実際に問題である場合は、パッチパネルプロテクターを使用します。

もちろん、これは必要なアクセス、物理ポートの変更頻度、および残りのラック/エンクロージャーの構成に依存します。

ここに画像の説明を入力してください

ewwhite
ソース
このアプローチでは、適切な保護がまったく行われません。一部の知らない悪意のある人々を阻止するかもしれませんが、それは本当に誤った安心感を与えます。ロックピッキングやドリル/ハンマー/ウェッジでさえ、このタイプのエンクロージャーを開くのは非常に簡単です。
ponsfonze 2014
質問の@ponsfonzeは、私の現在のスコープは好奇心の強いパーティーを締め出すことであると述べています。私はこれが彼らを締め出すのにかなりうまくいくと思います。この質問の範囲内でネットワークを積極的に破壊したい人には関心がありません。
Mark Henderson
4

また、コンソールポートセキュリティを考慮する必要があります。つまり、コンソールでAAAが有効になっていることを確認します。ProCurveがコンソールポートでAAAをサポートしていない場合は、コンソール回線のログインパスワードが強力であることを確認してください(おそらく90日ごとにローテーションされます)。

ジョン・ジェンセン
ソース
いい視点ね。とにかく、RADIUSサーバーに対して認証を行いますが、将来の参照用に物理的に記録しておくことをお勧めします。
Mark Henderson
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.