[uanog] dual homing дома с надежным WiFi

Oleksandr Moskalenko alexander.moskalenko at gmail.com
Thu May 20 18:51:33 EEST 2021 

On Thu, May 20, 2021 at 5:46 PM Dmitry Kohmanyuk <dk at farm.org> wrote:

> hi,
>
> > On 20 May 2021, at 14:11, Stesin <stesin at gmail.com> wrote:
> >
> > On Tue, 18 May 2021 at 16:36, Oleksandr Moskalenko
> > <alexander.moskalenko at gmail.com> wrote:
> >>
> >> Ваши агрументы понятны и в какой-то степени даже обоснованы, но
> реальность она немного другая. Сразу хочу подчеркнуть что я говорю в
> основном про частные компании, которые могут себе позволить купить нужное
> оборудование. И никакие сертификации ISO27001 не мешают этим компаниям
> делать у себя Wi-Fi основным каналом подключения.
> >
> > Это они зря... Тот случай, когда я согласен с Васильичем на 100%.
> > Wi-Fi в офисе? Да пожалуйста. Но а) не для работы (для использования с
> > личных мобильных устройств сотрудников и гостей), б) zero trust -
> > собственный вайфай трактуем как априори угрожающую, "чужую" сеть. И
>
> все сети лучше считать zero trust. неужели сотруднику или гостю, который
> вынул кабель из другого компьютера и вставил его в свой (ноутбук, айпад,
> телефон - адаптер есть) существенно доверяем?
>
> да, это современный тренд, но не все пока его применют


> а офис - за последние 12 месяцев исчез как место работы многих компаниях.
>
> wifi - просто транспорт. разумно внедрить клиентские сертификаты. разумно
> так же отключить на нем legacy IPv4  и использовать только IPv6 и NAT64.
> заодно появится дополнительная точка фильтрации (DNS64.). и да, без DNS v4.
>
> никто в здравом уме такого делать не будет, есть куча всего что просто не
умеет IPv6


> > соответственно мониторим и файрволлим, и IDS в ней постоянно держим
> > начеку, и пароль доступа регулярно меняем.
>
> пароль доступа менять не слишком поможет, все равно это shared secret.
> Гораздо лучше 802.11x - он по идее и по ethernet может работать.

как правило требование частой смены пароля приводят к обратному
относительно ожидания результата , OTP таки намного лучше
тот же Гугл заявляет что активно работает над решениями которые бы избавили
от паролей
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://mailman.uanog.kiev.ua/pipermail/uanog/attachments/20210520/aa849cfe/attachment.html>

More information about the uanog mailing list