Questão Preocupações de segurança para a montagem de um telefone Cisco 7911 montado em uma caixa à prova de intempéries


Fui solicitado a procurar hardware para montar um telefone perto da doca de carregamento no trabalho. Temos muitos dos Cisco 7911s. A preocupação é que alguém conecte a placa de rede do telefone.

É o suficiente para

  • ative a segurança da porta MAC na interface da Cisco para essa porta, de forma que o único dispositivo permitido seja o telefone e desative-a se alguém conectar outra coisa a ela

  • danificar fisicamente a conexão RJ45 onde alguém poderia conectar um computador na conexão do PC da passagem NIC

  • desativar a tela do telefone para que alguém não possa navegar no diretório da empresa

Acho que essas medidas são suficientes, mas há mais alguma coisa que eu possa fazer para proteger minha rede contra acesso externo a esse telefone exposto?


0


origem




Respostas:


Existem pontos fracos em sua solução proposta que muitos administradores de rede poderiam subverter.

As fraquezas óbvias são que os endereços MAC podem ser clonados e o switch não seria o mais sábio. Na verdade, eu provavelmente poderia construir um dispositivo barato para clonar o endereço MAC, permitir que o telefone continue a funcionar e permitir que eu conecte outros dispositivos.

Se eu estivesse tentando fazer isso, eu configuraria uma VLAN separada e colocaria esse telefone naquela VLAN - dando acesso apenas para falar com os dispositivos com os quais ele precisa falar. (É teoricamente possível quebrar a segurança da VLAN, mas é um jogo totalmente diferente - provavelmente fora do alcance da grande maioria dos adversários). Configurá-lo de modo que exija um acesso VPN é provavelmente um exagero, mas teoricamente mais seguro.

Você também pode querer limitar a velocidade da conexão se estiver extremamente paranóico - o que significaria que, mesmo que a rede seja violada, a velocidade com que os dados podem ser exfiltrados pode ser lenta - isto é, você pode limitá-la apenas a UDP e a 100kbit por segundo ou mais. (Provavelmente não vale a pena o esforço IMHO)

Em vez de desativar a tela do telefone, por que não obter um telefone sem uma tela para que ele não possa ser ativado. (Se você está preocupado com um adversário tecnicamente habilidoso, os US $ 100 que custaria não seriam um problema). Uma alternativa ainda mais segura seria eliminar o VOIP para o telefone e conectar um telefone comum a um ATA através da fiação existente. Isso praticamente limitaria a porta ao suporte a um telefone, embora a qualidade e a funcionalidade da voz possam ser afetadas.


1



Obrigado. Estou ciente de que os endereços mac podem ser clonados. Mas, se bem me lembro, a segurança da porta desativa a interface quando o telefone é removido. Para obter o endereço MAC, um invasor teria que desconectar o telefone. Conectá-lo novamente não funcionaria porque a interface ainda estaria no modo de desligamento. - user38537
E sobre a obtenção de um novo telefone, nós literalmente temos dezenas de 7911s. Eu só estou olhando para fazer isso de tal forma que poderíamos substituir o telefone imediatamente se um driver danificá-lo. - user38537
A maioria dos dispositivos tem seu endereço MAC impresso em uma etiqueta no dispositivo. Mesma etiqueta que diz que foi inspecionada pelos vários órgãos do governo - Ramhound
Eu não sou uma pessoa CISCO, então você pode estar certo - mas você tem certeza disso? Isso significa que, se a porta estiver conectada ao desktop ou laptop, o dispositivo não poderá ser reinicializado sem ficar bloqueado. A leitura que acabei de fazer implica (omitindo qualquer referência a como configurar essa funcionalidade) que ela só permite endereços mac específicos [e pode bloquear em um MAC diferente], mas não tem uma opção para a porta desça e volte a subir - tudo o que é necessário se eu conseguir clonar o mac. - davidgo
Eu experimentei com port-security para os interruptores que temos e o port-security comandos não funcionam em conjunto com switch voice vlan X. Mesmo que o switch aceite a configuração, a interface entrará em err-disabled Estado. depois de alguns momentos e o telefone diz algo como "Ethernet desconectada". - user38537