Tenho uma situação em que sou obrigado a instalar um switch em um local fisicamente inseguro e com convidados indo e vindo. Está no rack de áudio de uma mesa de som em uma instalação que possui muitos membros que não são da equipe e têm acesso físico a ela.
É um comutador HP ProCurve. Planejo tomar as seguintes precauções, mas estou procurando por brechas que talvez eu tenha esquecido:
- Desative os botões de redefinição do dispositivo físico na frente do comutador (no software), não com epóxi
- Desabilitar todas as portas que não estão em uso ativo
- VLAN baseada em porta para as portas ativas que as tiram da rede principal e entram em uma rede menos confiável (mas não podem acessar uma rede totalmente não confiável no estilo dmz)
- Deixe duas portas ativadas que vão imediatamente para um portal cativo em uma VLAN de convidado para, bem, convidados. (o uso dessas portas será documentado publicamente)
- Autenticação 802.1X baseada em porta, com base em endereços MAC conhecidos para as portas ativas e não convidadas
- A porta de uplink usará o entroncamento 802.1q com uma VLAN nativa que não é utilizada.
O cabeamento será estático. Praticamente nunca mudará, além das duas portas de convidado.
Sei que, devido ao tipo de pessoa que chega ao local, eles ficarão curiosos para ver o que está no comutador, e não quero que eles entrem na parte protegida da rede, a menos que tentem ativamente subverter a segurança. (E se eles fizerem isso, é uma pergunta para security.se)