[uanog] dual homing дома с надежным WiFi

[Dmitry Kohmanyuk]

hi,

> On 20 May 2021, at 14:11, Stesin <stesin at gmail.com> wrote:
> 
> On Tue, 18 May 2021 at 16:36, Oleksandr Moskalenko
> <alexander.moskalenko at gmail.com> wrote:
>> 
>> Ваши агрументы понятны и в какой-то степени даже обоснованы, но реальность она немного другая. Сразу хочу подчеркнуть что я говорю в основном про частные компании, которые могут себе позволить купить нужное оборудование. И никакие сертификации ISO27001 не мешают этим компаниям делать у себя Wi-Fi основным каналом подключения.
> 
> Это они зря... Тот случай, когда я согласен с Васильичем на 100%.
> Wi-Fi в офисе? Да пожалуйста. Но а) не для работы (для использования с
> личных мобильных устройств сотрудников и гостей), б) zero trust -
> собственный вайфай трактуем как априори угрожающую, "чужую" сеть. И

все сети лучше считать zero trust. неужели сотруднику или гостю, который вынул кабель из другого компьютера и вставил его в свой (ноутбук, айпад, телефон - адаптер есть) существенно доверяем? 

а офис - за последние 12 месяцев исчез как место работы многих компаниях.

wifi - просто транспорт. разумно внедрить клиентские сертификаты. разумно так же отключить на нем legacy IPv4  и использовать только IPv6 и NAT64. заодно появится дополнительная точка фильтрации (DNS64.). и да, без DNS v4.

> соответственно мониторим и файрволлим, и IDS в ней постоянно держим
> начеку, и пароль доступа регулярно меняем.

пароль доступа менять не слишком поможет, все равно это shared secret. Гораздо лучше 802.11x - он по идее и по ethernet может работать.