我被要求查看在工作装卸码头附近安装电话的硬件。我们有很多思科 7911。令人担心的是有人会插入电话的直通 NIC。
这足够吗
在该端口的 Cisco 接口上启用 MAC 端口安全性,以便唯一允许的设备是电话,并且如果有人将其他设备插入该端口,则禁用它
物理损坏 RJ45 连接,有人可能会将计算机插入直通 NIC 的 PC 连接
禁用手机屏幕,这样别人就无法浏览公司目录
我认为这些措施已经足够了,但是我还能做些什么来保护我的网络免受这部暴露的手机的外部访问呢?
答案1
您提出的解决方案存在许多网络管理员能够破解的弱点。
明显的缺点是 MAC 地址可以被克隆,而交换机却一无所知。事实上,我可能会制造一个便宜的设备来克隆 MAC 地址,让手机继续工作,并允许我插入其他设备。
如果我想这样做,我会设置一个单独的 VLAN,并将这部手机放在该 VLAN 上 - 使其只能与需要通信的设备通信。(理论上可以破坏 VLAN 安全性,但难度完全不同 - 可能超出绝大多数对手的承受范围)。将其设置为需要 VPN 访问可能有点过头了,但理论上更安全。
如果您非常偏执,您可能还想限制带宽的连接速度 - 这意味着即使网络被攻破,数据泄露的速度也可能很慢 - 即您可以将其限制为仅 UDP 和每秒 100kbit 左右。(在我看来可能不值得付出努力)
与其禁用手机屏幕,为什么不买一部没有屏幕的手机,这样它就无法启用了。(如果您担心技术娴熟的对手,那么 100 美元左右的费用就不是问题了)。一个更安全的替代方案是完全放弃电话的 VOIP,并通过现有线路将普通电话连接到 ATA。这几乎会限制端口仅支持电话 - 尽管语音质量和功能可能会受到影响。