[uanog] dual homing дома с надежным WiFi

Igor Sviridov sia at uanog.sink.nest.org
Fri May 21 03:48:56 EEST 2021 

hi,
On Thu, May 20, 2021 at 06:46:41PM +0300, Dmitry Kohmanyuk wrote:
> > On 20 May 2021, at 14:11, Stesin <stesin at gmail.com> wrote:
> > 
> > ???On Tue, 18 May 2021 at 16:36, Oleksandr Moskalenko
> > <alexander.moskalenko at gmail.com> wrote:
> >> 
> >> Ваши агрументы понятны и в какой-то степени даже обоснованы, но реальность она немного другая. Сразу хочу подчеркнуть что я говорю в основном про частные компании, которые могут себе позволить купить нужное оборудование. И никакие сертификации ISO27001 не мешают этим компаниям делать у себя Wi-Fi основным каналом подключения.
> > 
> > Это они зря... Тот случай, когда я согласен с Васильичем на 100%.
> > Wi-Fi в офисе? Да пожалуйста. Но а) не для работы (для использования с
> > личных мобильных устройств сотрудников и гостей), б) zero trust -
> > собственный вайфай трактуем как априори угрожающую, "чужую" сеть. И

В целом оно часто так и есть, хотя разница между WPA2 Enterprise + 802.1x и розеткой, в которой тот же 802.1x немного.
Ну и конечно чтобы попасть куда дальше публичного интернета - VPN.
 
> все сети лучше считать zero trust. неужели сотруднику или гостю, который вынул кабель из другого компьютера и вставил его в свой (ноутбук, айпад, телефон - адаптер есть) существенно доверяем? 
 
Ну так там же 802.1x с сертификатом - без него он попадет на гостевую сеть, если вообще не в captive portal.

> а офис - за последние 12 месяцев исчез как место работы многих компаниях.
> wifi - просто транспорт. разумно внедрить клиентские сертификаты. разумно так же отключить на нем legacy IPv4  и использовать только IPv6 и NAT64. заодно появится дополнительная точка фильтрации (DNS64.). и да, без DNS v4.
> 
> > соответственно мониторим и файрволлим, и IDS в ней постоянно держим
> > начеку, и пароль доступа регулярно меняем.
> 
> пароль доступа менять не слишком поможет, все равно это shared secret. 

Какой такой пароль?
Даже для дома - Ubiquiti UniFi - WPA2 Enterprise, Radius, у каждого пользователя (или у каждого устройства) свой login/password, а дальше сессионные ключи на ходу.

> Гораздо лучше 802.11x - он по идее и по ethernet может работать.  

yep, таки работает; только для управление требуется какой Clearpass :-(

--igor

More information about the uanog mailing list