Tengo una situación en la que debo instalar un interruptor en una ubicación que es físicamente insegura y que tiene invitados entrando y saliendo. Está en el estante de audio de un escritorio de sonido en una instalación que tiene muchos miembros que no son del personal que tienen acceso físico a él.
Es un conmutador HP ProCurve. Planeo tomar las siguientes precauciones, pero estoy buscando cualquier laguna que pueda haber pasado por alto:
- Deshabilite los botones de reinicio del dispositivo físico en la parte frontal del interruptor (en el software), no con epoxy
- Deshabilite todos los puertos que no están en uso activo
- VLAN basada en puertos para los puertos activos que los sacan de la red principal y los colocan en una red menos confiable (pero no pueden ir a una red totalmente no confiable de estilo dmz)
- Deje dos puertos habilitados que van inmediatamente a un portal cautivo en una VLAN invitada para, bueno, invitados. (el uso de estos puertos se documentará públicamente)
- Autenticación 802.1X basada en puertos basada en direcciones MAC conocidas para los puertos activos no invitados
- El puerto de enlace ascendente utilizará el enlace 802.1q con una VLAN nativa que no se utilice.
El cableado será estático. Prácticamente nunca cambiará, aparte de los dos puertos invitados.
Sé con certeza que, debido al tipo de personas que llegan a través de la ubicación, tendrán curiosidad por ver qué hay en el conmutador, y no quiero que entren en la parte protegida de la red a menos que intenten subvertir activamente la seguridad. (Y si hacen eso, entonces esa es una pregunta para security.se)