[Hardware] wi-fi vs ethernet

Peter V. Saveliev peet на altlinux.ru
Ср Апр 13 16:17:49 MSD 2005 

В сообщении от Среда 13 Апрель 2005 16:01 Serge Polkovnikov написал(a):
<skip />
> > Каким образом? 
> Что именно?

Каким образом eth лишён недостатка в виде широковещательного траффика.
См. ниже.

> > Или во всех кабельных сетях траффик жёстко идёт только через 
> > раутер? 
> Думаю, что в большенстве своем да. С трудом представляю себе офисную сеть, где 
> все компы прямо глядят в инет... Если админ конечно хоть немного озабочен 
> безопасностью.

Я имею в виду ходить через раутер _между_ локальными машинами.

> >Вланами, на каждую машину? Кто мешает трояну поднять ещё один eth?
> Смысл если трафик фильтруется рутером? 

Если в раутер воткнут провод от свича, а не k проводов от машин, то нельзя
гарантировать отстутствие нежелательно траффика между машинами. Вот
я про что. Да, можно поставить раутер, проложить кабель и думать, что все
трояны остались "за бортом". Можно также вырвать все дисководы, cdrom'ы,
заклеить пластырем usb и irda, com и lpt. Вирус скачают и установят руками.
Проходили уже сто раз это.

Поэтому, если сеть кабельная, то можно только гарантировать отсутствие
нежелательного вещания с неизвестных машин за стенкой. Никто не гарантирует,
что троян на машине в кабельной сети не сможет "постучаться" на все остальные
машины этой сети -- за исключением аппаратного p2p only между локальной
машиной и шлюзом, когда все локальные машины изолированы друг от друга.

Ну неужели не понятно, что трояны не только с "левых" машин появляются?
Привести примеры, когда пользователи сами запускали вирусы, которые ещё
не были известны антивирусам?

А те, кто клали кабель, ставили шлюз и думали, что их сеть отгорожена
шлюзом от всей остальной сети, уже столько раз убеждались, что основная
беда приходит "изнутри" -- против пользователей может устоять только
жёсткое изолирование всех ото всех.

Именно про это я и начинал, и только про это. Что таки да, шлюз на выходе из
кабельной сети даёт иллюзию безопасности. Но только в том случае эта 
иллюзия приближается к реальности, когда во внутренней сети заведомо нет
не только "левых" машин ("вклинивание" в wi-fi), но и "левых" пользователей,
а опыт показывает, что все пользователи, кроме сисадмина являются врагами
сети. А при неизбожном зле работы с такими пользователями не стоит утешаться
могучим шлюзом на выходе. Внутренняя политика безопасности играет не 
меньшую роль. Как вариант -- всех на терминалы через туннели до терминального
сервера. Весь локальный софт сводится к ядру и скриптам поднятия ipsec.
После чего будь то X, будь то rdesktop -- получаем сервер, который очень просто
контролировать, просто поддерживать и бэкапить, а ещё его можно
задублировать. И при таком подходе -- без разницы, можно "вклиниться" в сеть
изнутри, или нет. Пусть слушают на здоровье.

<skip />


-- 
Peter V. Saveliev

Подробная информация о списке рассылки Hardware