From: "Peter V. Saveliev" <peet@altlinux.ru> To: hardware@altlinux.ru Subject: Re: [Hardware] wi-fi vs ethernet Date: Wed, 13 Apr 2005 16:17:49 +0400 Message-ID: <200504131617.49800.peet@altlinux.ru> (raw) In-Reply-To: <200504131501.17515.serge@ukr-fin.com.ua> В сообщении от Среда 13 Апрель 2005 16:01 Serge Polkovnikov написал(a): <skip /> > > Каким образом? > Что именно? Каким образом eth лишён недостатка в виде широковещательного траффика. См. ниже. > > Или во всех кабельных сетях траффик жёстко идёт только через > > раутер? > Думаю, что в большенстве своем да. С трудом представляю себе офисную сеть, где > все компы прямо глядят в инет... Если админ конечно хоть немного озабочен > безопасностью. Я имею в виду ходить через раутер _между_ локальными машинами. > >Вланами, на каждую машину? Кто мешает трояну поднять ещё один eth? > Смысл если трафик фильтруется рутером? Если в раутер воткнут провод от свича, а не k проводов от машин, то нельзя гарантировать отстутствие нежелательно траффика между машинами. Вот я про что. Да, можно поставить раутер, проложить кабель и думать, что все трояны остались "за бортом". Можно также вырвать все дисководы, cdrom'ы, заклеить пластырем usb и irda, com и lpt. Вирус скачают и установят руками. Проходили уже сто раз это. Поэтому, если сеть кабельная, то можно только гарантировать отсутствие нежелательного вещания с неизвестных машин за стенкой. Никто не гарантирует, что троян на машине в кабельной сети не сможет "постучаться" на все остальные машины этой сети -- за исключением аппаратного p2p only между локальной машиной и шлюзом, когда все локальные машины изолированы друг от друга. Ну неужели не понятно, что трояны не только с "левых" машин появляются? Привести примеры, когда пользователи сами запускали вирусы, которые ещё не были известны антивирусам? А те, кто клали кабель, ставили шлюз и думали, что их сеть отгорожена шлюзом от всей остальной сети, уже столько раз убеждались, что основная беда приходит "изнутри" -- против пользователей может устоять только жёсткое изолирование всех ото всех. Именно про это я и начинал, и только про это. Что таки да, шлюз на выходе из кабельной сети даёт иллюзию безопасности. Но только в том случае эта иллюзия приближается к реальности, когда во внутренней сети заведомо нет не только "левых" машин ("вклинивание" в wi-fi), но и "левых" пользователей, а опыт показывает, что все пользователи, кроме сисадмина являются врагами сети. А при неизбожном зле работы с такими пользователями не стоит утешаться могучим шлюзом на выходе. Внутренняя политика безопасности играет не меньшую роль. Как вариант -- всех на терминалы через туннели до терминального сервера. Весь локальный софт сводится к ядру и скриптам поднятия ipsec. После чего будь то X, будь то rdesktop -- получаем сервер, который очень просто контролировать, просто поддерживать и бэкапить, а ещё его можно задублировать. И при таком подходе -- без разницы, можно "вклиниться" в сеть изнутри, или нет. Пусть слушают на здоровье. <skip /> -- Peter V. Saveliev
next prev parent reply other threads:[~2005-04-13 12:17 UTC|newest] Thread overview: 19+ messages / expand[flat|nested] mbox.gz Atom feed top 2005-04-13 9:23 Michael Isachenkov 2005-04-13 10:04 ` Genix 2005-04-13 10:09 ` Serge Polkovnikov 2005-04-13 10:55 ` Michael Isachenkov 2005-04-13 11:07 ` Genix 2005-04-13 11:01 ` Peter V. Saveliev 2005-04-13 11:16 ` Serge Polkovnikov 2005-04-13 11:18 ` Peter V. Saveliev 2005-04-13 11:36 ` Serge Polkovnikov 2005-04-13 11:38 ` Peter V. Saveliev 2005-04-13 11:51 ` Genix 2005-04-13 11:50 ` Peter V. Saveliev 2005-04-13 12:01 ` Serge Polkovnikov 2005-04-13 12:17 ` Peter V. Saveliev [this message] 2005-04-13 12:32 ` Serge Polkovnikov 2005-04-13 12:39 ` Peter V. Saveliev 2005-04-13 11:43 ` Re[2]: " Maksim Otstavnov 2005-04-13 10:07 ` Denis Ovsienko 2005-04-13 17:33 ` Denis Smirnov
Reply instructions: You may reply publicly to this message via plain-text email using any one of the following methods: * Save the following mbox file, import it into your mail client, and reply-to-all from there: mbox Avoid top-posting and favor interleaved quoting: https://en.wikipedia.org/wiki/Posting_style#Interleaved_style * Reply using the --to, --cc, and --in-reply-to switches of git-send-email(1): git send-email \ --in-reply-to=200504131617.49800.peet@altlinux.ru \ --to=peet@altlinux.ru \ --cc=hardware@altlinux.ru \ /path/to/YOUR_REPLY https://kernel.org/pub/software/scm/git/docs/git-send-email.html * If your mail client supports setting the In-Reply-To header via mailto: links, try the mailto: link
ALT Linux hardware support This inbox may be cloned and mirrored by anyone: git clone --mirror http://lore.altlinux.org/hardware/0 hardware/git/0.git # If you have public-inbox 1.1+ installed, you may # initialize and index your mirror using the following commands: public-inbox-init -V2 hardware hardware/ http://lore.altlinux.org/hardware \ hardware@altlinux.ru hardware@lists.altlinux.org hardware@lists.altlinux.ru hardware@lists.altlinux.com hardware@altlinux.org public-inbox-index hardware Example config snippet for mirrors. Newsgroup available over NNTP: nntp://lore.altlinux.org/org.altlinux.lists.hardware AGPL code for this site: git clone https://public-inbox.org/public-inbox.git