Domanda:
L'azienda afferma che le connessioni cablate sono un problema di sicurezza
Erin B
2018-08-28 23:14:26 UTC
view on stackexchange narkive permalink

Qualcuno con cui sono imparentato è in un campo di studio per la professione desiderata. Questa persona, chiamiamola Jane, dovrebbe studiare rigorosamente per due mesi. L'alloggiamento fornito offre connessioni Internet wireless, che sono imprevedibili e non consentono lo streaming fluido anche di video di bassa qualità, o altre attività utili per lo studio.Essendo che Jane vuole studiare nei suoi tempi morti e cercare risorse come riferimento al materiale, ha bisogno di accedere a questi materiali e soffrire di una connessione lenta. Non sono forniti modem o altri modi per connettersi tramite Ethernet e lo studente dovrebbe avere una qualche forma di computer con connessione wireless, presumibilmente.

Ora, voglio che Jane abbia la migliore esperienza di studio possibile e Capisco che potrebbero considerare questa esperienza "la migliore in cui studiare", quindi ho chiamato e ho affermato che ero interessato a partecipare al campo da solo, ma ho solo un computer desktop senza scheda wireless e mi aspetto una connessione cablata. Dopo alcune ore, ho ricevuto una risposta che diceva quanto segue:

"Non forniamo connessioni cablate alla nostra rete a causa di virus e roba"

Mi era chiaro che le informazioni che mi venivano trasmesse erano di seconda mano, ma riconoscendo che non sarei stato in grado di far cambiare idea a nessuno su questa politica, vengo qui per porre questa domanda:

Esattamente quali vantaggi in termini di sicurezza si potrebbero ottenere offrendo solo una connessione wireless?

In questo caso, presumo che la risposta che mi è stata data fosse autentica e non solo una scusa per non fare lavori extra o altro del genere.

Bene, per usare termini altamente ufficiali, "Virus e roba" sono molto dannosi per i computer.Spero sinceramente che non sia stato IT a rispondere (:
Hanno davvero detto "* virus e cose del genere *"?
Non è la cosa più stupida che abbia mai sentito dire da qualcuno in informatica (sono vecchio, c'è molto / tra cui scegliere) ma va bene lassù ...
Sono stato in case dove hanno raccontato una storia simile.Di solito hanno una buona ragione ma una terribile spiegazione.
Sono un po 'sorpreso che abbiano scelto quella risposta dato che gli adattatori Wi-Fi USB costano circa $ 10 o potresti metterne uno nel tuo PC anche per circa $ 10.La loro risposta è probabilmente il culmine di cose che sono stati in grado di ricordare che i loro ragazzi IT hanno parlato durante l'addestramento / orientamento, quindi deve essere stata la risposta immediata più conveniente.
@Schwern sì, l'hanno fatto, ho dovuto soffocare una risata su chiamata con loro.
"Presumo che la risposta che mi è stata data fosse genuina e non solo una scusa per non fare un lavoro extra o qualcosa del genere" - mai "presumere", fa un "culo" di "U" e "me` :-)
Com'è la connessione dati sul telefono di Jane?Potrebbe creare un hotspot?
@Mawg stavo facendo questa ipotesi ai fini della discussione, piuttosto che per accreditare l'azienda.Mi sento come se sarebbe stato più facile respingere questa domanda semplicemente dicendo "oh, sono solo pigri" se non fosse stato dato.
@Mawg mi dispiace che il secondo commento sia arrivato giusto mentre avevo finito di digitare.Jane ha una connessione dati limitata con la sua famiglia, presumo che potrebbe acquistare più dati, ma mi sembra davvero che non dovresti farlo in nessuna città consolidata.
ci si potrebbe anche aspettare che il campo di studio fornisca le strutture richieste, soprattutto è che il corso deve essere pagato.
Questo potrebbe sembrare un po 'scortese, ma posso vedere come la risposta che hai ottenuto è al 99% colpa loro e l'1% colpa tua, in realtà.Fondamentalmente hai posto un problema XY (https://meta.stackexchange.com/questions/66377/what-is-the-xy-problem).Hai anche pensato di conoscere la soluzione, anche se potrebbe non essere stato così facile.Hai anche pensato che la tua e-mail fosse stata letta da una persona tecnica.Entrambe queste ipotesi sono molto probabilmente sbagliate.
Un po 'fuori tema, ma c'è un motivo per presumere che avrebbe più larghezza di banda anche se si collegasse via ethernet?
@FINDarkside Almeno, di solito è più stabile.Il Wi-Fi ha molte perdite di pacchetti da affrontare e quando 20 persone invadono un singolo punto di accesso, Ethernet si sentirà semplicemente più veloce a causa della sua affidabilità.I punti di accesso potrebbero anche essere ostacolati per fornire un certo limite di velocità per connessione che richiede anche la potenza di elaborazione per regolare.
Come soluzione al tuo problema reale (connessione senza interfaccia wireless nel tuo laptop) controlla questa risposta sul Tethering Android: https://superuser.com/questions/881932/using-a-smartphone-as-a-wireless-router
Forse volevano dire "Le connessioni cablate sono riservate agli utenti fidati / interni perché sono collegati alla rete interna e il tuo utente non soddisfa quello stato".Che potrebbe essere riformulato come "Non vogliamo che i tuoi utenti potenziali virus nella nostra rete interna"
Sette risposte:
#1
+199
gowenfawr
2018-08-28 23:37:11 UTC
view on stackexchange narkive permalink

Avviso: congettura, perché nessuno di noi conosce la configurazione effettiva.

È molto probabile che anche l'organizzazione abbia la propria rete, che è cablata come rete ospite, che è solo wireless. I due sono reti separate. Questo è un layout comune perché la posa dei cavi sulle scrivanie è costosa, ma ne vale la pena, per i propri dipendenti; la trasmissione wireless è economica e vale ogni centesimo per i tuoi ospiti.

Quando hai chiesto informazioni su una connessione cablata, hanno risposto alla domanda su su quale rete saresti piuttosto che come ti connetti alla rete . E poiché i due sono intrecciati nelle loro menti ("hard-wire è la nostra rete, wireless è la rete ospite") stanno rispondendo in modo molto semplice.

Dal loro punto di vista, non vogliono che macchine dell'organizzazione sulla loro rete, solo sulla rete ospite, a causa di virus e altro. Possiamo tutti capire che non vorremmo visitatori casuali sulle nostre reti interne, giusto? Quindi quello sarebbe un contesto in cui la loro risposta ha senso.

Suggerirei di spiegare loro la tua preoccupazione e vedere se loro possono trovare una soluzione, invece di chiedere loro sulla soluzione che ti aspetti che funzioni. È possibile che si aspettino solo che gli ospiti abbiano bisogno di connettività sufficiente per la posta elettronica e la navigazione web leggera. Se spieghi che Jane ha bisogno di più larghezza di banda per le sue esigenze di studio e riesci a convincerle che si tratta di una richiesta ragionevole, è probabile che trovino un modo per aiutare, anche se sta semplicemente spostando Jane in una stanza più vicina all'AP wireless.

Quindi, in questo caso, tratterebbero funzionalmente i loro clienti (studenti) come meno importanti di qualunque cosa stiano usando la loro rete principale? Sto solo cercando di determinare se è qualcosa per cui vale la pena combattere.
Una volta sono riuscito a smantellare il Moscone Center (centro congressi di San Francisco) circa 10 anni fa perché non isolavano la rete del loro ufficio dalle difficoltà che avevano creato per le persone.Ho chiesto perché diavolo l'hanno fatto e la loro scusa era che quando Cisco e altri erano presenti, avevano bisogno dell'accesso completo.Al mondo esterno, forse ... ma proteggi la rete del tuo ufficio.(Stavo inviando DHCP e le loro macchine ricevevano indirizzi IP errati)
@ErinB: Più precisamente, la capacità dei dipendenti di accedere a tutte le apparecchiature sulla rete interna è infinitamente più importante delle esigenze dei clienti, poiché quest'ultima è zero.
È qui che entra in gioco l'implementazione della segregazione di rete tramite subnetting, una DMZ e un ACL.Sarebbe utile anche impiegare l'autenticazione 802.1x sulla rete affidabile.
@ErinB essere un cliente importante non significherebbe ricevere la chiave di ogni stanza chiusa a chiave o cassaforte a cui i dipendenti hanno regolarmente accesso, no?
Questa è speculazione ... ma plausibile.
@Joe Molto strano.Ero IT per un'organizzazione di gestione di un centro congressi e la rete dell'organizzazione (che si trovava nel centro congressi) era completamente separata dalla rete disponibile negli spazi espositivi, anche con connessioni Internet separate.Inoltre, l'unica organizzazione esterna che ha avuto accesso illimitato a ciò che volevano era il servizio segreto degli Stati Uniti.
Ho visto questa implementazione ... dove non c'era sicurezza aggiuntiva sul cavo, quindi si è rivelata molto interessante quando alcuni studenti si sono collegati da soli!
#2
+28
Mike Ounsworth
2018-08-28 23:39:20 UTC
view on stackexchange narkive permalink

Dipende davvero da come hanno impostato la loro rete, quindi possiamo solo speculare. Ma posso fornire un aneddoto simile.

La mia biblioteca locale ha un wifi a cui puoi accedere usando la tua tessera della biblioteca. Diverse stanze hanno porte ethernet nel muro, ma quando ho chiesto se potevo collegarmi, mi è stato detto che la rete ethernet va direttamente alla rete di back-end con accesso ai database, alle stampanti, ecc. Della biblioteca. Non destinato ai clienti.

È pratica comune mantenere reti separate per macchine "fidate" che utilizzano antivirus fornito dall'azienda, ecc., e una rete separata per il pubblico. Immagino che wifi vs ethernet sia un buon modo per dividerlo.

"[...] Mi è stato detto che la rete Ethernet va direttamente alla rete di back-end con accesso ai database, alle stampanti, ecc. Della libreria. Non destinata ai clienti."<- ... Questo è ... sconcertante;Spero che inseriscano nella whitelist i MAC?
@redyoshi49q Ne dubiti.Presumo che chiunque abbia progettato le reti presumesse che ci sarebbero stati solo drop ethernet negli uffici, non nelle aree pubbliche.
@redyoshi49q Si spera che queste porte non siano collegate al pannello di permutazione.
Per curiosità, hai mai provato a collegarti a quei punti nelle stanze?Potrebbero essere "pensati" solo per il personale, ma sono estremamente curioso di sapere se c'è qualche autenticazione o sicurezza oltre a "ha o non ha cavo Ethernet" ....
@RoboBear Sì, internet era _waaayy_ più veloce del wifi.Poi un bibliotecario mi ha detto di non farlo.Immagino che non dovrei dirti dove vivo ...
@AndrewMorton O disabilitato sull'interruttore.
#3
+11
Der Kommissar
2018-08-29 19:33:41 UTC
view on stackexchange narkive permalink

Arriverò a questo da un punto di vista dell'ingegneria di rete (divulgazione completa: CCNA / N +, lavoro su sistemi di rete a livello aziendale che includono argomenti complessi che discuteremo qui, pure come aver fatto ingegneria di rete per un'università privata).

Ogni rete è diversa e ogni dispositivo di rete è diverso, ma ci sono alcuni punti in comune:

  • Molte imprese I dispositivi di livello (switch) offrono una sorta di "VLAN" ("Virtual-LAN"), per coloro che non hanno familiarità, pensalo come un modo per dire che "Questo switchport è in LAN X, mentre questo altro switchport è in LAN Y . ", questo ci consente di separare i dispositivi in ​​modo logico, in modo che tu ed io possiamo essere collegati allo stesso switch, ma senza nemmeno vederci l'un l'altro attraverso il targeting MAC;
  • Molti dispositivi (switch) di livello aziendale offrono Targeting / trigger / ping "trap" SNMP per cambiare le porte tra diverse VLAN in base a cose come indirizzi MAC e simili;

Ecco la cosa su Ethernet / RJ-45 / 100M / 10 Connessioni 00M: in genere utilizziamo dispositivi di fascia bassa per questo, perché spesso abbiamo "solo" bisogno di una connessione di base al router. Spesso sono meno avanzati e non offrono le funzionalità di buona qualità di cui sopra. (Di solito troverai la segregazione "VLAN" su quasi tutti gli switch oggigiorno, ma l'attivazione e il targeting SNMP sono sostanzialmente più difficili da trovare per un buon prezzo.)

Quando lavoravo per l'Università usavamo un software che guardava una porta di commutazione e l'indirizzo MAC (un identificatore hardware univoco per la tua porta Ethernet) che avrebbe deciso su quale "VLAN" ti trovavi: ospite, personale, Facoltà, Studente, Laboratorio, ecc. Questo era straordinariamente costoso, sia in termini di licenze che di implementazione. Sebbene ci siano buoni strumenti gratuiti per farlo, è ancora difficile da configurare e potrebbe non valerne la pena a seconda degli obiettivi dell'azienda. (Questo software è notoriamente inaffidabile.) Un altro problema è che, con un lavoro sufficiente, un indirizzo MAC può essere falsificato, il che lo rende sicuro quanto l'utilizzo del nome completo di qualcuno.

Così , dobbiamo prendere una decisione, supportare connessioni cablate che possono essere instabili, insicure e perdere l'accesso a risorse privilegiate oppure no?

Nessuna rete è perfettamente sicura, anche se abbiamo tutte le risorse sulla rete "protetta" bloccate, c'è ancora il rischio di connettere un dispositivo estraneo alla rete. Pertanto, spesso prendiamo decisioni come "qualsiasi BYOD si connette a questa rete wireless". Possiamo trasformare la rete wireless in una rete "Ospite" / "Protetta", tramite diversi SSID e meccanismi di autenticazione. Ciò significa che possiamo avere sia gli ospiti e i dipendenti connessi a un punto di accesso wireless. Il costo dell'infrastruttura è inferiore e otteniamo lo stesso vantaggio in termini di sicurezza.

Come queste altre risposte, questa è congettura o speculazione, ma dalla mia esperienza (professionale) questa sarebbe la probabile spiegazione. Il costo dell'infrastruttura per supportare le connessioni cablate era troppo alto per essere giustificato. (E poiché quasi tutti i dispositivi che le persone usano hanno funzionalità wireless in questi giorni, è difficile da giustificare.) Considerando che anche Apple sta eliminando le porte Ethernet dal MacBook Pro per impostazione predefinita, entriamo in un "ne vale la pena?" situazione.


TL; DR ;: Ethernet è troppo costoso da fare su tutta la linea e da proteggere adeguatamente, mentre il wireless sta diventando molto più comune, sicuro e più facile da distribuire l'accesso.

Penso che sarei d'accordo con questo approccio per un'azienda, a patto che le velocità del wi-fi siano accettabili (ad es. Video in streaming) e un riconoscimento anticipato che ciò viene fatto in primo luogo. Penso di avere più problemi con questa soluzione perché sembra ingannevole attirare le persone in "un luogo di studio" e poi dire loro che i loro strumenti di apprendimento sono limitati.
@ErinB Bene, devi chiederti: come fai a sapere che le velocità del Wifi _ sono_ scarse?Se stai chiedendo informazioni sullo streaming di video e simili, quante _altre_ persone sul Wifi pensi che stiano riproducendo video in streaming?In genere, in questi ambienti, utilizziamo punti di accesso roaming multicanale, il che significa che possiamo bilanciarli con il carico, ma forse forse le connessioni Wi-Fi / Internet vengono tassate dal numero di utenti.(Tutte le speculazioni / ipotetiche, ma offrono un'altra spiegazione.)
E ha senso che sia così, ma poi, non ti aspetteresti questo dato che un dipartimento IT degno di questo nome?Se i tuoi clienti non sono in grado di fare l'unica cosa per cui stanno frequentando la tua azienda, ciò sembra avere un impatto ampiamente negativo sul business.Fornire sistemazioni (come ad esempio, connessioni Ethernet) sarebbe una misura adatta in questo caso.
@ErinB Ah, sei entrato nel "quali compromessi facciamo".Sono stato anche dal lato Business (di solito sono il ponte tra Network / Software Engineering e business) e otteniamo sempre un "beh, non importa, non vogliamo farlo perché ___", dove"___" è quasi sempre $$$.L'esecuzione di Ethernet è _economica_, la sua sicurezza è _economica_, apprezziamo i vantaggi derivanti da tali spese?Certo, ma c'è abbastanza valore in esso?Più Ethernet = più hardware, più manutenzione, per tutta la vita.
Abbastanza giusto, posso solo sperare di averli resi consapevoli di questi presupposti aziendali chiamando e chiedendo in modo specifico, quindi!
@ErinB Mi sono appena reso conto che il commento è formattato in modo strano, sostituisci `perché", dove '' è` con `perché ", dove è`.
L'università in cui lavoravo è arrivata al punto in cui tutti gli studenti in arrivo dovevano portare i loro computer per essere scansionati alla ricerca di virus prima che la loro macchina fosse autorizzata nelle reti del dormitorio (filtro basato su MAC in modo da non poter andare da nessuna parte fino a quandofatto)
@Joe Il nostro era un software che hai installato e che scansiona regolarmente il tuo PC alla ricerca di un antivirus valido.L'unica cosa che potevi fare sulla nostra rete senza il software era installare il software.
Noto negli ambienti Microsoft come Protezione accesso alla rete, si imposta un criterio di accesso alla rete sul server che richiede ai client di soddisfare tale criterio o essere limitato in ciò che il client può fare su quella rete, fino a quando il client non rispetta il criterio.Il criterio può anche essere impostato per eseguire la riparazione automatica sul client per forzare la conformità.
@Davidw Ciò ancora non mitiga il rischio principale, che è l'accesso del dispositivo guest alla stessa LAN dei dispositivi protetti.Potrebbe funzionare bene per me che accedo a una condivisione di file, ma per quanto riguarda l'accesso al computer dei dipendenti nella stanza accanto?È qui che entra in gioco il trapping SNMP, ma è purtroppo inaffidabile, costoso e difficile da mantenere.
Quello era più un commento generale e meno inteso come una soluzione per la domanda.Per inciso, NAP è stato deprezzato / ritirato, Windows 10 non lo supporta più.
Non sono CCNE, ma avrei immaginato che tutte le porte nelle stanze del dormitorio sarebbero state collegate a uno switch che si trovava sulla VLAN ospite.Perché le camere degli ospiti avrebbero bisogno di qualcos'altro?Pertanto, non è necessario cambiare VLAN o anche registrazioni MAC: ti colleghi lì, sei nella rete ospite (senza eccezioni).Nel caso in cui ci sia una telecamera CCTV o qualcosa del genere, a quella porta specifica potrebbe essere assegnata una VLAN (o inserita nella tecnologia di commutazione VLAN).Tuttavia, come notato, il cablaggio delle stanze è più costoso rispetto al lancio di un AP wireless.
@RalphBolton OP ha indicato che non c'erano porte Ethernet nei dormitori o nelle aree di studio e ha chiesto perché potrebbe essere così.Ti manca ancora che eseguire tutta quell'Ethernet, proteggerla e mantenerla è ancora costosa e un compromesso costo / valore.
Sono sorpreso che tu abbia avuto solo un'opzione "straordinariamente costosa e notoriamente inaffidabile" per quello che essenzialmente è un server RADIUS e switch con 802.1X ...
#4
+9
dnavinci
2018-08-29 19:07:36 UTC
view on stackexchange narkive permalink

Sembra che questo sia risolto, ma volevo inserire una discussione sull '"isolamento AP wireless", che è un clic con un solo pulsante sulle implementazioni su scala medio-piccola della maggior parte dei fornitori, come piccole scuole e hotel.

Potrei facilmente vedere un "campo estivo" che si basa sull'isolamento AP, piuttosto che sulla segmentazione della rete hardware per tenere fuori "virus e roba".

Quello che non so è se si tratta effettivamente di un buona difesa, o se è facilmente risolvibile.

Meraki ha l'isolamento di rete attivo per impostazione predefinita.In realtà è abbastanza carino perché protegge gli utenti gli uni dagli altri.È bello finché non provi a creare una condivisione di stampa o qualche altra risorsa condivisa, quindi ti chiedono un aggiornamento.
#5
  0
Jay
2018-08-30 21:54:26 UTC
view on stackexchange narkive permalink

Sospetto che la VERA risposta non sia un problema di sicurezza su "virus e roba", ma piuttosto che sia troppo difficile e costoso far passare il cavo Ethernet a tutti i campeggiatori. Configurare un router wifi è piuttosto economico e semplice: fai passare un cavo dal modem al router, lo metti da qualche parte dove fornisce un buon segnale in tutta l'area desiderata e il gioco è fatto. L'incordatura del cavo ethernet è molto faticosa: devi collegare un cavo a ogni workstation. A seconda di quanto grazioso desideri siano i risultati, ciò può significare strappare i muri per tendere il cavo.

Il Wi-Fi ha il buco di sicurezza intrinseco in cui chiunque possa entrare nel raggio del segnale con un computer potrebbe presumibilmente violare la tua rete. Ricevo segnali da una dozzina dei miei vicini ogni volta che accendo il computer. Con una rete solo cablata, dovrebbero entrare nel tuo edificio. Non riesco a pensare a nessun motivo per cui Ethernet sia MENO sicuro del wifi, anche se confesso di non essere un esperto di sicurezza.

Molti altri hanno affermato che potrebbero avere una rete cablata con maggiore accesso rispetto alla rete wifi. Possibile. Il problema lì non è davvero il cavo o il wifi, ma che una rete "casualmente" ha un accesso maggiore di un'altra, ma è certamente possibile che questo sia ciò a cui qualcuno stava pensando quando ha risposto alla domanda.

#6
  0
SaltySub2
2018-09-02 13:08:56 UTC
view on stackexchange narkive permalink

Se il collegamento del cavo fisico è un bypass per la password della connessione wireless, come menzionato da altri poster, è necessario collegare un cavo fisico a un router wireless in una scatola chiusa a chiave solo per quella posizione. In questo modo hai sia l'affidabilità che l'estendibilità di una connessione cablata ma la sicurezza (in sospeso di seguito) di nessun accesso fisico. In questo modo puoi anche servire facilmente molti altri utenti all'interno di quell'area più remota.

Ovviamente le connessioni cablate hanno vulnerabilità come l'intercettazione fisica (via cavo) e router / hub vulnerabili / ecc.

#7
-1
spam spam bacon spam
2018-09-01 07:22:08 UTC
view on stackexchange narkive permalink

Il mio pensiero immediato quando ho letto l'OP è stato ACCESSO FISICO. (L'OP stava cercando possibili scenari in cui il rame (cavo UTP) potesse essere più un rischio per la sicurezza rispetto al WiFi ...)

La prima cosa (beh, una delle prime cose) che impari sull'IT sicurezza è che i dispositivi di rete fisica devono essere posizionati dove non possono essere acceduti da "chiunque".

La ragione di questo, generalmente, è perché ci sono cose brutte che puoi fare a un dispositivo (come abbattere l'intera rete) se puoi "toccarlo fisicamente". Cose che non puoi fare su una connessione remota.

Esempio: su un dispositivo Cisco nuovo di zecca, devi connetterti fisicamente al dispositivo tramite un "cavo console" per iniziare il processo di configurazione di base. Nozioni di base come la configurazione dell'accesso remoto, l'impostazione delle password, ecc. Puoi anche cancellare l'intera immagine IOS, eliminare la configurazione in esecuzione, ecc.

Quindi, per ridurre alcuni rischi per la sicurezza, inserisci i tuoi dispositivi dietro le porte chiuse e concedi l'accesso ai dispositivi solo a chi ne ha bisogno.

Quindi, tornando alla domanda dell'OP, potresti dire che avresti bisogno dell'accesso fisico a un dispositivo per collegarti in un cavo patch, mentre non è necessario l'accesso fisico per effettuare una connessione wireless.

In quello scenario più semplice, la connettività wireless rappresenterebbe un rischio minore per la sicurezza.


E sì, sì, sì ..., so che la maggior parte delle connessioni fisiche sono realizzato tramite presa a muro e quindi non è necessario l'accesso diretto al dispositivo di rete stesso, ma sto fornendo uno scenario SEMPLICE che soddisfa la domanda originale dell'OP.

https://meta.stackexchange.com/questions/28005/can-i-prevent-others-from-editing-my-question


Questa domanda e risposta è stata tradotta automaticamente dalla lingua inglese. Il contenuto originale è disponibile su stackexchange, che ringraziamo per la licenza cc by-sa 4.0 con cui è distribuito.
Loading...