我们主要分支机构之一的文化非常开放和松散。从历史上看,当人们在他们的空间中需要更多端口时,他们可以从可以访问我们机房的人那里获取一个开关,这对管理来说是可以的。
这对我来说不好。我有大约 30 台各种风格的小型桌面级交换机,它们通过接线板连接到 Cisco 3750 等主要访问级设备。我想集中分配小型交换机并防止无证蔓延,但需要有关解决此问题的最佳方法的建议。
我考虑进入每个桌面交换机,关闭所有未使用的端口,然后将使用中的端口限制为单个 MAC。问题不是所有的桌面风格都像思科企业设备上的端口安全一样支持这一点。我考虑在 3750 的上游进行端口安全,但总的来说,我想知道更大的办公室如何处理这种问题,以及是否有更简单的方法来跟踪新交换机是否在未经适当授权的情况下插入某处?
提前致谢!
社会工程是与网络安全相关的最大风险之一。您的首要目标是将访问网络资源和设备的便利性作为安全风险。根据贵公司处理的数据类型,您可以安排一次 PCI 审核,或者您可以将这一想法出售给上级,作为对贵公司客户的好处。
您的第二个任务应该是统一所有交换机/路由器架构并采用滚动密码实施。我的意思是,每隔一段时间,有人需要进入所有思科设备并更改密码才能进入配置模式。
启用端口安全!如果没有端口安全性,您将面临有人造成环路、插入未经授权的设备以及在内部设置服务器的风险,这些服务器很容易跨越或破坏流量!
清除 mac-table 动态
全部清除端口安全
然后让 mac-add-table 填充。确认哪些端口具有双 mac 地址,并在适合端口上的 mac 的数字上启用 switchport port-security max。
然后,您可以使用以下命令强制交换机向您选择的 SNMP 程序发送陷阱:
snmp-server 启用陷阱端口安全陷阱速率
用于开关。这里有更多信息:http ://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst4500/12-2/20ewa/configuration/guide/conf/port_sec.html 请注意, doc 适用于催化剂 4500。您必须查找专门针对您要处理的交换机的命令。
如果您的环境使用 Active Directory 进行域身份验证,您可以研究设置测试平台来实现 dot1x 和 freenac。看