Проблемы безопасности при установке телефона Cisco 7911, установленного снаружи в защищенном от непогоды поле

296
user38537

Меня попросили посмотреть аппаратное обеспечение для установки телефона возле погрузочной платформы на работе. У нас много Cisco 7911. Проблема заключается в том, что кто-то подключается к сквозной сетевой плате телефона.

Достаточно ли

  • включите защиту порта MAC на интерфейсе Cisco для этого порта так, чтобы единственным разрешенным устройством был телефон, и отключите его, если кто-то подключит к нему что-то другое

  • физическое повреждение соединения RJ45, когда кто-то может подключить компьютер к соединению ПК сквозной сетевой карты

  • отключить экран телефона, чтобы кто-то не мог просматривать каталог компании

Я думаю, что этих мер достаточно, но могу ли я что-то еще сделать, чтобы защитить свою сеть от внешнего доступа на этом незащищенном телефоне?

0

1 ответ на вопрос

1
davidgo

У вашего предлагаемого решения есть слабые стороны, которые многие сетевые администраторы могут подорвать.

Очевидными недостатками является то, что MAC-адреса могут быть клонированы и коммутатор не будет мудрым. Фактически, я мог бы, вероятно, создать дешевое устройство для клонирования MAC-адреса, позволить телефону продолжать работать И позволять мне подключать другие устройства.

Если бы я пытался сделать это, я бы настроил отдельную VLAN и включил этот телефон в эту VLAN - предоставляя ему доступ только для разговора с устройствами, с которыми он должен общаться. (Теоретически возможно нарушить безопасность VLAN, но это совершенно другая игра - вероятно, вне досягаемости подавляющего большинства противников). Настройка его так, чтобы он требовал VPN-доступа, вероятно, излишняя, но теоретически более безопасная.

Вы также можете захотеть ограничить полосу пропускания скорости соединения, если вы крайне параноидальны - это может означать, что даже если сеть нарушена, скорость, с которой данные могут быть отфильтрованы, может быть медленной - то есть вы можете ограничить ее только UDP и 100 кбит в секунду или около того. (Наверное, не стоит усилий ИМХО)

Вместо того, чтобы отключить экран телефона, почему бы не получить телефон без экрана, чтобы его нельзя было включить. (Если вы беспокоитесь о технически квалифицированном противнике, проблема в 100 долларов или около того не будет проблемой). Еще более безопасная альтернатива - отключить VOIP для телефона и подключить обычный телефон к ATA через существующую проводку. Это в значительной степени ограничит порт поддержкой телефона - хотя это может повлиять на качество и функциональность голоса.

Благодарю. Я знаю, что MAC-адреса могут быть клонированы. Но, если я правильно помню, защита порта отключает интерфейс при удалении телефона. Чтобы получить MAC-адрес, злоумышленнику придется отключить телефон. Подключить его обратно не получится, потому что интерфейс все еще будет в режиме выключения. user38537 7 лет назад 0
А о получении нового телефона у нас буквально десятки 7911-х. Я просто пытаюсь сделать это так, чтобы мы могли немедленно заменить телефон, если водитель повредит его. user38537 7 лет назад 0
У большинства устройств их MAC-адрес напечатан на этикетке на устройстве. Тот же ярлык, на котором написано, что его проверяли различные государственные органы Ramhound 7 лет назад 0
Я не человек CISCO, так что вы могли бы быть правы - но вы уверены в этом? Это будет означать, что, если порт был подключен к настольному компьютеру или ноутбуку, устройство не может быть перезагружено без блокировки. Чтение, которое я только что прочитал, подразумевает (опуская любые ссылки на то, как настроить эту функцию), что оно разрешает только определенные mac-адреса [и может блокироваться на другом MAC], но не имеет возможности для порта спуститесь и снова вернитесь - все, что нужно, если я смогу клонировать макинтош. davidgo 7 лет назад 0
Я экспериментировал с `port-security` для имеющихся у нас коммутаторов, а команды` port-security` не работают в сочетании с `switch voice vlan X`. Даже если коммутатор примет конфигурацию, интерфейс перейдет в состояние «err-disabled». через несколько секунд телефон говорит что-то вроде «Ethernet отключен». user38537 7 лет назад 0

Похожие вопросы