From: "Peter V. Saveliev" <peet@altlinux.ru>
To: hardware@altlinux.ru
Subject: Re: [Hardware] wi-fi vs ethernet
Date: Wed, 13 Apr 2005 16:17:49 +0400
Message-ID: <200504131617.49800.peet@altlinux.ru> (raw)
In-Reply-To: <200504131501.17515.serge@ukr-fin.com.ua>
В сообщении от Среда 13 Апрель 2005 16:01 Serge Polkovnikov написал(a):
<skip />
> > Каким образом?
> Что именно?
Каким образом eth лишён недостатка в виде широковещательного траффика.
См. ниже.
> > Или во всех кабельных сетях траффик жёстко идёт только через
> > раутер?
> Думаю, что в большенстве своем да. С трудом представляю себе офисную сеть, где
> все компы прямо глядят в инет... Если админ конечно хоть немного озабочен
> безопасностью.
Я имею в виду ходить через раутер _между_ локальными машинами.
> >Вланами, на каждую машину? Кто мешает трояну поднять ещё один eth?
> Смысл если трафик фильтруется рутером?
Если в раутер воткнут провод от свича, а не k проводов от машин, то нельзя
гарантировать отстутствие нежелательно траффика между машинами. Вот
я про что. Да, можно поставить раутер, проложить кабель и думать, что все
трояны остались "за бортом". Можно также вырвать все дисководы, cdrom'ы,
заклеить пластырем usb и irda, com и lpt. Вирус скачают и установят руками.
Проходили уже сто раз это.
Поэтому, если сеть кабельная, то можно только гарантировать отсутствие
нежелательного вещания с неизвестных машин за стенкой. Никто не гарантирует,
что троян на машине в кабельной сети не сможет "постучаться" на все остальные
машины этой сети -- за исключением аппаратного p2p only между локальной
машиной и шлюзом, когда все локальные машины изолированы друг от друга.
Ну неужели не понятно, что трояны не только с "левых" машин появляются?
Привести примеры, когда пользователи сами запускали вирусы, которые ещё
не были известны антивирусам?
А те, кто клали кабель, ставили шлюз и думали, что их сеть отгорожена
шлюзом от всей остальной сети, уже столько раз убеждались, что основная
беда приходит "изнутри" -- против пользователей может устоять только
жёсткое изолирование всех ото всех.
Именно про это я и начинал, и только про это. Что таки да, шлюз на выходе из
кабельной сети даёт иллюзию безопасности. Но только в том случае эта
иллюзия приближается к реальности, когда во внутренней сети заведомо нет
не только "левых" машин ("вклинивание" в wi-fi), но и "левых" пользователей,
а опыт показывает, что все пользователи, кроме сисадмина являются врагами
сети. А при неизбожном зле работы с такими пользователями не стоит утешаться
могучим шлюзом на выходе. Внутренняя политика безопасности играет не
меньшую роль. Как вариант -- всех на терминалы через туннели до терминального
сервера. Весь локальный софт сводится к ядру и скриптам поднятия ipsec.
После чего будь то X, будь то rdesktop -- получаем сервер, который очень просто
контролировать, просто поддерживать и бэкапить, а ещё его можно
задублировать. И при таком подходе -- без разницы, можно "вклиниться" в сеть
изнутри, или нет. Пусть слушают на здоровье.
<skip />
--
Peter V. Saveliev
next prev parent reply other threads:[~2005-04-13 12:17 UTC|newest]
Thread overview: 19+ messages / expand[flat|nested] mbox.gz Atom feed top
2005-04-13 9:23 Michael Isachenkov
2005-04-13 10:04 ` Genix
2005-04-13 10:09 ` Serge Polkovnikov
2005-04-13 10:55 ` Michael Isachenkov
2005-04-13 11:07 ` Genix
2005-04-13 11:01 ` Peter V. Saveliev
2005-04-13 11:16 ` Serge Polkovnikov
2005-04-13 11:18 ` Peter V. Saveliev
2005-04-13 11:36 ` Serge Polkovnikov
2005-04-13 11:38 ` Peter V. Saveliev
2005-04-13 11:51 ` Genix
2005-04-13 11:50 ` Peter V. Saveliev
2005-04-13 12:01 ` Serge Polkovnikov
2005-04-13 12:17 ` Peter V. Saveliev [this message]
2005-04-13 12:32 ` Serge Polkovnikov
2005-04-13 12:39 ` Peter V. Saveliev
2005-04-13 11:43 ` Re[2]: " Maksim Otstavnov
2005-04-13 10:07 ` Denis Ovsienko
2005-04-13 17:33 ` Denis Smirnov
Reply instructions:
You may reply publicly to this message via plain-text email
using any one of the following methods:
* Save the following mbox file, import it into your mail client,
and reply-to-all from there: mbox
Avoid top-posting and favor interleaved quoting:
https://en.wikipedia.org/wiki/Posting_style#Interleaved_style
* Reply using the --to, --cc, and --in-reply-to
switches of git-send-email(1):
git send-email \
--in-reply-to=200504131617.49800.peet@altlinux.ru \
--to=peet@altlinux.ru \
--cc=hardware@altlinux.ru \
/path/to/YOUR_REPLY
https://kernel.org/pub/software/scm/git/docs/git-send-email.html
* If your mail client supports setting the In-Reply-To header
via mailto: links, try the mailto: link
ALT Linux hardware support
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/hardware/0 hardware/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 hardware hardware/ http://lore.altlinux.org/hardware \
hardware@altlinux.ru hardware@lists.altlinux.org hardware@lists.altlinux.ru hardware@lists.altlinux.com hardware@altlinux.org
public-inbox-index hardware
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.hardware
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git