物理保护有线网络

专门从事路由交换机的网络工程师会说，由于需要保护“整个”网络，他们的工作更加艰巨。一位专门从事无线网络的网络工程师会说，由于无线电波随处传播，他们的工作更加艰巨。

谁是对的？两者都没有。

问题的答案是，两个工作只是同一枚硬币的不同方面。

有线网络由打印机、座机和无数其他可怕的设备组成，我们从来不想在有线企业网络上看到，但无论如何，该组织都希望部署。在同一网络上，您也有数据中心和服务器，它们生活在网络的核心，也可能是整个组织的核心。允许所有这些设备都可以访问，但也限制谁和什么可以访问这些关键服务器及其包含的信息，这是一个挑战。

所有这些，我们甚至还没有将桌面和我们的日常用户引入混合。

别忘了，保护无线网络也不像是蛋糕行道；但我们会在好的时候到达那个方面。

现在，我们将重点介绍一些基本步骤和最佳实践，我们可以注意这些步骤和最佳实践，以确保我们的有线网络尽可能干净，因此，当部署NAC（网络访问控制）和其他酷功能的高级步骤出现时，我们至少对我们正试图保护的内容有很好的了解。

物理位置并不像听起来那么容易

我们名单上的第一个项目是关于我们交换机的物理位置，以及连接到我们交换机的墙壁插座的位置。

虽然这听起来很基本，但对于大型组织来说，不知道他们所有的交换机究竟在哪里生活并不罕见。是的，它实际上发生了。如果我们不知道所有网络设备在哪里，甚至不知道有多少网络设备，那么很难确保对这些设备的物理访问得到控制。您可以使用RUCKUS Cloud 和/或SmartZone 和/或控制器等工具来管理您的网络，从而为您自动生成库存。使用电子表格等其他工具来保留网络上活动的网络设备的库存，虽然这是不好的方法，但至少为组织提供了一个在网络上活动内容的战斗的起点。无论您选择哪种方式，按位置划分的准确资产列表都是安全网络的必备条件。

一旦知道这些位置，请确保这些设备的物理安全。不，把它们挂在浴室“设施”上方的浴室【^1】是不安全的。

在物理上，在交换机上，可能存在几个弱点，在熟练的黑客获得对设备的物理访问之前，这些弱点可能看起来不是一个弱点。其中一些东西甚至可能看起来没有用，直到你开始思考交换机上每个连接可能提供的各种用途。除了我们通常想到的所有端口外，今天我想专注于典型设备或流量不使用的端口。

下图是典型的开关。

图 1 RUCKUS ICX 7150-24F 交换机

好的，所以我明白这是一个单外形可插拔 （SFP） 交换机，但这是一个很好的图片，突出了我想谈论的内容。

对于需要支持这些设备的网络工程师来说，这些端口中的大多数都被视为交换机的工作部件；我们将在不同的帖子中介绍这些。目前，我想重点介绍此交换机日常运行中不使用的端口。但是，与其认为他们是网络工程师，只是走进一个壁橱来修复某些东西（比如在从桌面配置交换机后将管理 VLAN 添加到上行链路端口），不如从某个人的角度来考虑这个交换机，他希望在访问这个设备后做一些邪恶的事情。

例如，这些控制台端口呢？这里有两个：一个需要“特殊”控制台电缆的RJ45（任何值得他们盐的攻击者都会拥有）和一个USB-C控制台端口。这是两个访问端口，我们可能希望限制攻击者访问。

这里还有一个标准的 USB-A 端口。攻击者能够将自己的闪存驱动器插入其中，然后只需拉动电源线即可重启交换机，您会有多舒服？也许有点，但还不足以在你打电话时睡得好吗？（请注意，正确答案应该是“非常不舒服！”）

然后，有一个 RJ45 管理端口。是的，这应该与控制台端口在逻辑上锁定，但您是否确定已在您的所有交换机上配置？

最后是出厂重置按钮。虽然不是很有用（至少对我来说不是，但它可能对具有足够疯狂想象力的错误的人有用），但工厂重置开关可能会给组织带来各种问题。如果交换机由于重置而脱机或无法转发流量，那么安全摄像头、VoIP 电话、Wi-Fi® 和其他物理安全设备也会在该设备上运行。

因此，总而言之，您应该限制使用交换机对机柜的物理访问，并锁定交换机操作系统中的任何控制台端口。这是旨在相互支持的物理和逻辑安全措施的示例。分层防御。我们将在稍后的文章中介绍此防御的配置部分。

插孔也可以固定

交换机上的任何接入端口，无论是交换机本身还是连接回交换机的壁式插座，都将始终对安全构成最大的挑战。虽然标准交换机可能只是一个设备，甚至是同一房间内的多个交换机，但它仍然是一个相当集中的安全空间。然而，一个房间里的两个48端口开关可以意味着96连接的墙壁插孔，我想他们不会都在同一房间里。

这意味着进入网络和跟踪的96个可能点对任何组织来说都可能令人生畏。

不需要额外硬件的简单方法是从交换机上拔下任何未使用的墙壁插座。如果没有交换机到电缆的物理扩展，攻击者就没有任何东西可以连接。而且，如果您再次需要它，您没有拔出电缆；您只需将电缆重新连接到交换机，插座就会再次上线。

这种方法的缺点是，这意味着在不再需要墙壁插座时断开跳线的时间，然后，当再次需要时，需要返回并确保正确的墙壁插座连接到交换机上的正确端口。根据贵组织的风险接受程度，这可能是也可能不是选项。

保护这些未使用的端口的另一种方法是简单地在墙壁插孔或交换机端口本身上添加“锁定”盖。

图2 CommScope RJ45端口拦截器

虽然不是万无一失或100%的安全方法，但有时只需要简单而基本的东西，比如康普的塑料RJ45端口拦截器，就可以遏制攻击者并保护您的网络。

这种方法的缺点是，如果您认为很难找到网络中所有交换机的位置，墙壁插座就更难找到！

最终想法

虽然还有许多其他类型的物理访问控制可以实施，但这并不意味着是您必须做的事情的全面列表。相反，这是为了让你思考物理安全的重要性，并制定适合你和你的组织的计划。如果你从中得到一个更好的欣赏和思考过程，关于保护对有线网络和端口的物理访问，那么我们离清理可能影响我们网络安全性的东西更近一步。

请务必与我一起参加下一期，我将介绍一些关于逻辑配置的提示，您可以采取这些提示来帮助确保您的有线网络安全。

-----

【1】在我写的我希望不是一个真实的故事下归档这个，但它已经发生 - 而且不止一次。