我在弄清楚保护 Cisco IP 电话的最安全方法是什么时遇到了一些麻烦。
我找不到有关如何使用菊花链计算机正确保护交换机端口和 Cisco IP 电话之间的链接的信息。
我特别害怕的是如何防止该端口上的双 VLAN 标记和 CDP 攻击。
我已经搜索了任何可能的资源来寻找答案,但没有找到任何有用的东西。
我也有一个关于交换机端口安全性的问题:你能否设置最小数量的活动 MAC 地址,然后限制特定交换机端口上 MAC 地址的老化期,这样如果有人断开电话并设置 Cisco交换机或其他 Rogue 设备,则端口应在老化周期内变为 Shutdown。
请告诉我,您建议如何最好地保护 Cisco IP 电话和交换机之间的线路。
最好的祝福
卡斯帕。
除了我知道 IP 电话能够将流量传递到超出它的工作站之外,我对 IP 电话并不太熟悉,所以虽然我很确定这个答案会起作用,但我不提供任何保证。
如何保护该端口免受双重 VLAN 标记和 CDP 攻击。
防止双重 VLAN 标记的最简单方法是正确配置交换机。
对于 CDP 攻击,(对我而言)最简单的方法是在接口上禁用 CDP。
switch(config-if)#没有启用cdp
正如 Mike 在对此答案的评论中提到的,Cisco IP 电话需要 CDP 才能运行。稍微研究一下之后,似乎对这一事实的普遍共识是,虽然在技术上让 CDP 运行会让您容易受到攻击,但通过最佳端口安全实践可以大大减轻威胁。因此,请确保您的端口免受流氓设备的侵害,理论上您应该永远不会遇到问题。
您能否设置最小活动 MAC 地址数量,然后限制特定交换机端口上 MAC 地址的老化时间...
对于连接到您的电话(和工作站)的每个交换机端口
switch(config-if)# switchport port-security
switch(config-if)# switchport port-security maximum #
switch(config-if)# switchport port-security mac-address sticky
如果您知道将拥有多少设备,则可以将最大值设置为该数量;如果您知道设备的实际 mac 地址,您也可以手动设置这些地址。
switch(config-if)# switchport port-security mac-address sticky AAAA.BBBB.CCCC
...这样,如果有人断开电话并设置 Cisco 交换机或其他 Rogue 设备,则端口应在老化期内关闭。
为了防止恶意交换机,我使用以下内容:
switch(config-if)# spanning-tree port fast bpduguard
一旦检测到 BPDU(它应该只来自交换机),这就会将端口置于 err-disabled 状态。
当然,最佳实践是对您的设备进行强大的物理控制,但我相信我们都知道有时这几乎是不可能的。正如我所说,我不熟悉 IP 电话设置,所以整个答案可能是错误的。如果我发现反驳这个答案或其他明智的东西,我会根据需要进行更新。
祝你好运!
每当有人问什么是最安全的做某事的方式时,我总是想知道如果他们考虑这样做的成本,这是否是他们真正想要的。实施安全控制会产生相关的成本——实施、维护和排除安全功能所需的额外时间和精力,以及它们对生产力、可靠性和可用性的影响。
并不总是清楚增加安全性的好处是否值得实施它们的成本。例如,考虑 mac-address sticky 命令。乍一看听起来不错,但是当手机或PC移动时会发生什么?有人必须更改交换机上的配置。根据组织的规模,这可能需要一段时间。我见过没有与网络团队协调的办公室搬迁。结果,在重新配置交换机之前,有数十人无法完成工作。服务台那天接到了很多愤怒的电话。你认为办公室搬家团队承担了责任吗?
最大 mac 地址值通常设置得太低 (IMO)。该命令的目的是防止地址表溢出。但是许多管理员将其设置得非常低(例如 3)以限制可以插入端口的内容。同样,如果有人移动计算机或更换电话,他们就会被锁定,服务台必须进行干预。如果您将最大值设置为 10 之类的值,您仍然可以保护交换机免于溢出,但您也可以消除大部分麻烦和用户投诉。
我并不是说不应该使用这些命令。相反,您应该考虑您获得的保护是否值得为您的用户付出代价。