<div dir="ltr"><div dir="ltr"><br></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Thu, May 20, 2021 at 5:46 PM Dmitry Kohmanyuk <<a href="mailto:dk@farm.org">dk@farm.org</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">hi,<br>
<br>
> On 20 May 2021, at 14:11, Stesin <<a href="mailto:stesin@gmail.com" target="_blank">stesin@gmail.com</a>> wrote:<br>
> <br>
> On Tue, 18 May 2021 at 16:36, Oleksandr Moskalenko<br>
> <<a href="mailto:alexander.moskalenko@gmail.com" target="_blank">alexander.moskalenko@gmail.com</a>> wrote:<br>
>> <br>
>> Ваши агрументы понятны и в какой-то степени даже обоснованы, но реальность она немного другая. Сразу хочу подчеркнуть что я говорю в основном про частные компании, которые могут себе позволить купить нужное оборудование. И никакие сертификации ISO27001 не мешают этим компаниям делать у себя Wi-Fi основным каналом подключения.<br>
> <br>
> Это они зря... Тот случай, когда я согласен с Васильичем на 100%.<br>
> Wi-Fi в офисе? Да пожалуйста. Но а) не для работы (для использования с<br>
> личных мобильных устройств сотрудников и гостей), б) zero trust -<br>
> собственный вайфай трактуем как априори угрожающую, "чужую" сеть. И<br>
<br>
все сети лучше считать zero trust. неужели сотруднику или гостю, который вынул кабель из другого компьютера и вставил его в свой (ноутбук, айпад, телефон - адаптер есть) существенно доверяем? <br>
<br></blockquote><div>да, это современный тренд, но не все пока его применют<br> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
а офис - за последние 12 месяцев исчез как место работы многих компаниях.<br>
<br>
wifi - просто транспорт. разумно внедрить клиентские сертификаты. разумно так же отключить на нем legacy IPv4  и использовать только IPv6 и NAT64. заодно появится дополнительная точка фильтрации (DNS64.). и да, без DNS v4.<br>
<br></blockquote><div>никто в здравом уме такого делать не будет, есть куча всего что просто не умеет IPv6<br> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
> соответственно мониторим и файрволлим, и IDS в ней постоянно держим<br>
> начеку, и пароль доступа регулярно меняем.<br>
<br>
пароль доступа менять не слишком поможет, все равно это shared secret. Гораздо лучше 802.11x - он по идее и по ethernet может работать. </blockquote><div>как правило требование частой смены пароля приводят к обратному относительно ожидания результата , OTP таки намного лучше<br>тот же Гугл заявляет что активно работает над решениями которые бы избавили от паролей </div></div></div>