Preocupações de segurança para a montagem de um telefone Cisco 7911 montado em uma caixa à prova de intempéries

0

Pediram-me para procurar hardware para montar um telefone perto da doca de carregamento no trabalho. Temos muitos dos Cisco 7911s. A preocupação é que alguém conecte a placa de rede do telefone.

É o suficiente para

  • ative a segurança da porta MAC na interface da Cisco para essa porta, de forma que o único dispositivo permitido seja o telefone e desative-a se alguém conectar algo a ela

  • danifica fisicamente a conexão RJ45, onde alguém pode conectar um computador à conexão do PC da passagem NIC

  • desative a tela do telefone para que alguém não possa navegar no diretório da empresa

Acho que essas medidas são suficientes, mas há mais alguma coisa que eu possa fazer para proteger minha rede contra acesso externo neste telefone exposto?

    
por user38537 21.04.2017 / 09:52

1 resposta

1

Existem pontos fracos em sua solução proposta que muitos administradores de rede poderiam subverter.

As fraquezas óbvias são que os endereços MAC podem ser clonados e o switch não seria o mais sábio. Na verdade, eu provavelmente poderia criar um dispositivo barato para clonar o endereço MAC, permitir que o telefone continuasse a funcionar e permitir que eu conectasse outros dispositivos.

Se eu estivesse tentando fazer isso, eu configuraria uma VLAN separada e colocaria esse telefone nessa VLAN - dando-lhe acesso apenas para falar com os dispositivos com os quais precisa falar. (É teoricamente possível quebrar a segurança da VLAN, mas é um jogo totalmente diferente - provavelmente fora do alcance da grande maioria dos adversários). Configurá-lo de modo que exija um acesso VPN é provavelmente um exagero, mas teoricamente mais seguro.

Você também pode querer limitar a velocidade da conexão se você for extremamente paranóico - o que significa que mesmo que a rede seja violada, a velocidade com que os dados podem ser exfiltrados pode ser lenta - por exemplo, você pode limitá-la ao UDP. apenas e 100kbit por segundo ou mais. (Provavelmente não vale a pena o esforço IMHO)

Em vez de desativar a tela do telefone, por que não comprar um telefone sem tela para que ele não possa ser ativado. (Se você está preocupado com um adversário tecnicamente habilidoso, os US $ 100 que custaria não seriam um problema). Uma alternativa ainda mais segura seria eliminar o VOIP para o telefone e conectar um telefone comum a um ATA através da fiação existente. Isso praticamente limitaria a porta ao suporte a um telefone, embora a qualidade e a funcionalidade da voz possam ser afetadas.

    
por 21.04.2017 / 10:48