Добрый день. Имеем в сети больше 1000 коммутаторов.

Вопрос в следующем. Все коммутаторы установлены в антивандальный ящик под замком.

Теперь рассмотрим ситуацию, когда ящик вскрывается (а если он стоит на крыше мало кто об этом узнает)
Злоумышленник подключается к COM-порту, скидывает пароль от коммутатора (да,да это возможно, но эту тему поднимать тут не буду). Перегружает его.
И получает полный доступ, к конфигу и прочему, да в конце концов сделать зеркало с магистрали и зарулить себе в порт.

Так вот сам вопрос. Как от этого защититься?

Конечно можно настроить так, чтобы летели постоянно трапы, кто и как подключался к коммутаторам. Но их нужно как то фильтровать....

Есть какие то предложения? Или может кто то уже защитился от этой проблемы?
Заранее спасибо за ответ.

Во-первых, видимо, не такие уж ящики и антивандальные, если вскрыть их можно без шума и не привлечь при этом внимание жильцов.
Во-вторых, если кто-то и вскроет ящик - то скорее он просто вынесет коммутатор с целью перепродажи.
В-третьих, даже если красть коммутатор не будут - а это как то совсем сомнительно - что дает злоумышленнику конфиг коммутатора без учетных записей админа и пр?
Зарулит он его к себе на порт - будет жить на чердаке и снифить трафик?
Ну и в конце концов, процедуры по сбросу паролей в любом случае будут сопровождаться перезагрузкой устройства - а трап/сообщение сислога по этому поводу можно отловить и проверить, что там с настройками коммутатора - все ли в порядке.

PS для некоторых серий есть прошивки с отключенным инженерным меню. Подробности можете обсудить в региональном офисе

У вас скорее сопрут свич, чем будут сниферить трафик и что-то там пытаться сделать в ваших, только вам известных, управляющих вланах.

Цены ворованного железа:
24 абонентских порта - 3 000 рублей
48 абонентских портов - 6 500 рублей

Работа вменяемого сетевика над задачей - от 10 000 рублей за 2-3 часа, и то, он мало что сможет сделать.