2017 год на дворе. Проще принять за данность что периметр безопасности нарушен, чем отказаться от WiFi. Ну если ты не Касперский и в твоей модели нарушителя нет Моссада :D
> 2017 год на дворе. Проще принять за данность что периметр безопасности нарушен, чем отказаться от WiFi.
Во-во. Не по wifi залезут, так воткнут что-нить в свободный порт в коридоре. Внутренние ресурсы не должны отличаться в плане безопасности от внешних. К этому, по-хорошему, все должны были давно прийти.
Чтобы воткнуть что-то куда-то - нужно минимум в офис попасть и еще знать куда ткнуть. А чтобы через wifi лезть - можно в километре-паре на машине с антенной сидеть (практика).
Немного разные способы по сложности проникновения, да?
В этом случае речь скорее о решетке, иначе закончится плачевно - весь смысл wifi потеряется. Но много клеток Фарадея видели на офисных зданиях на окнах? Особенно, когда вся стена - стекло?
Уборщицу найти, подкупить надо и т.д.
А здесь - просто ездишь и сканишь (практика). Вообще можешь даже не знать кто и что, узнать по факту. Ого - страховая. Ого - банк. И т.д.
Сравните затраты на выяснение уборщиц в подобных местах. И стоимость операций и опасность. Отсутствие взаимодействия с людьми и физ контакта vs полное погружение
> В этом случае речь скорее о решетке, иначе закончится плачевно - весь смысл wifi потеряется.
Ну в смысле клетку на весь дом. Я такое видел раз.
> Сравните затраты на выяснение уборщиц в подобных местах. И стоимость операций и опасность. Отсутствие взаимодействия с людьми и физ контакта vs полное погружение
Ого - здание за прикольным забором. Ого - вас уже тормозят.
При этом в здании за забором даже 1000BASE-LX протянуть хотели лет несколько назад, чтобы совсем уж обезопаситься. Потом посмотрели на смету и расстреляли^Wсказали - да вы ебанитесь с такими ценами. А если только по периметру? Мда. Ну чорт с ним, пусть шпионят, у нас все равно сейчас все Cat6 STP протянуто. Вы же Cat6 нам поставили, не Cat5? STP? А то смотрите мне.
facepalm.jpg
а так-то да, у меня на текущем месте работы Wi-Fi не только air-gapped, но еще и mac-controlled, пришел с новой мобилкой в кармане, оформляй заявку на доступ. Жизнь научила, что называется.
В "подобных местах", где приходится проверять уборщиц (а не просто "клининговая компания" мамой клянется, что они лично проверили через полицию, ФБР, НСА и АБЦ), наверное, стоит задуматься о том, чтобы вайфая не было бы вообще, а девайсы бы подключались только известные и только в специально активированные порты на свичах. Последнее у нас лет 10 тому делали - хз почему бы не продолжать делать. А кому надо читать всякий емейл с телефонов - то за личным пусть через личную симку и ходят, а для рабочего - всякие разные опять же впны и вся фигня.
Это я - об обычных. В одной из которых таки делали как я написал (но в те времена вайфая еще было не очень много), а в другой (был простейший стартап) (но чуваки были реально профессионалы и умные) через вайфай во внутреннюю сеть пускали лишь через openvpn с вручную установленным ключом, а в интернет - на здоровье.
Reply
Во-во. Не по wifi залезут, так воткнут что-нить в свободный порт в коридоре. Внутренние ресурсы не должны отличаться в плане безопасности от внешних. К этому, по-хорошему, все должны были давно прийти.
Reply
Чтобы воткнуть что-то куда-то - нужно минимум в офис попасть и еще знать куда ткнуть.
А чтобы через wifi лезть - можно в километре-паре на машине с антенной сидеть (практика).
Немного разные способы по сложности проникновения, да?
Reply
А внутрь пролезть может любая уборщица.
Reply
Но много клеток Фарадея видели на офисных зданиях на окнах? Особенно, когда вся стена - стекло?
Уборщицу найти, подкупить надо и т.д.
А здесь - просто ездишь и сканишь (практика). Вообще можешь даже не знать кто и что, узнать по факту.
Ого - страховая.
Ого - банк.
И т.д.
Сравните затраты на выяснение уборщиц в подобных местах. И стоимость операций и опасность.
Отсутствие взаимодействия с людьми и физ контакта vs полное погружение
Reply
Ну в смысле клетку на весь дом. Я такое видел раз.
> Сравните затраты на выяснение уборщиц в подобных местах. И стоимость операций и опасность.
Отсутствие взаимодействия с людьми и физ контакта vs полное погружение
Да, согласен.
Reply
При этом в здании за забором даже 1000BASE-LX протянуть хотели лет несколько назад, чтобы совсем уж обезопаситься. Потом посмотрели на смету и расстреляли^Wсказали - да вы ебанитесь с такими ценами. А если только по периметру? Мда. Ну чорт с ним, пусть шпионят, у нас все равно сейчас все Cat6 STP протянуто. Вы же Cat6 нам поставили, не Cat5? STP? А то смотрите мне.
facepalm.jpg
а так-то да, у меня на текущем месте работы Wi-Fi не только air-gapped, но еще и mac-controlled, пришел с новой мобилкой в кармане, оформляй заявку на доступ. Жизнь научила, что называется.
Reply
P.S. MAC-то вроде мобилки всем подряд показывают, какой толк контролировать по нему?
Reply
Reply
Последнее у нас лет 10 тому делали - хз почему бы не продолжать делать.
А кому надо читать всякий емейл с телефонов - то за личным пусть через личную симку и ходят, а для рабочего - всякие разные опять же впны и вся фигня.
Reply
Reply
Ого - банк."
- hardly обычные.
Это я - об обычных. В одной из которых таки делали как я написал (но в те времена вайфая еще было не очень много), а в другой (был простейший стартап) (но чуваки были реально профессионалы и умные) через вайфай во внутреннюю сеть пускали лишь через openvpn с вручную установленным ключом, а в интернет - на здоровье.
Reply
Leave a comment