现在,我希望Jane拥有最好的学习经验,而且我知道他们可能认为这种经历是“最好的学习途径”,因此我打电话并声称自己有兴趣参加该训练营,但是我只有一台台式机,没有无线网卡,并且希望有线连接。几个小时后,我收到如下答复:
“由于病毒和其他原因,我们不提供与网络的硬连线连接”
对我来说很明显,我所传达的信息是二手信息,但是由于意识到我无法改变任何人对此政策的看法,因此我来提出一个问题:
仅提供无线连接,究竟能获得什么安全好处?做额外的工作或类似的事情。
#1 楼
警告:推测,因为我们都不知道他们的实际设置。该组织很可能拥有自己的硬连线网络以及访客网络(无线网络)只要。两者是独立的网络。这是一种常见的布局,因为将电线铺设到办公桌上对于您自己的员工来说很昂贵,但值得。对于您的客人来说,广播无线价格便宜,而且值得一分钱。
当您问到硬连线连接时,他们正在回答您要使用哪个网络的问题,而不是问题所在您连接到网络。而且,由于两者相互缠绕(“硬线是我们的网络,无线是访客网络”),因此他们的回答非常简单。
从他们的角度来看,他们不想-组织计算机上的网络,仅在来宾网络上-由于病毒和其他东西。我们都知道,我们不希望随机访问我们的内部网络,对吗?这样一来,他们的回答才有意义。
我建议向您解释您对他们的关注,看看他们是否可以提出解决方案,而不是向他们询问您期望的解决方案去工作。可能是他们只希望客人需要足够的连接才能进行电子邮件和轻松的Web浏览。如果您解释说Jane需要更多的带宽来满足她的学习需求,并且可以说服他们这是一个合理的要求,那么他们可能会找到某种帮助的方法-即使这只是将Jane移到更靠近Wireless AP的房间。
评论
大约10年前,我曾经设法撤下了Moscone中心(位于旧金山的会议中心),因为他们没有将办公室网络与为人们设置的硬电话隔离开来。我问他们为什么这样做,他们的借口是当思科和其他公司在那里时,他们需要完全访问权限。对于外部世界,也许……但是您可以保护办公室网络。 (我正在发送DHCP,而他们的计算机获取的IP地址不正确)
–乔
18年8月29日在17:04
@ErinB:更重要的是,员工访问内部网络上所有设备的能力比客户的需求更重要,因为后者为零。
–超级猫
18年8月29日在18:25
@ErinB是一个重要的客户,这并不意味着要把它交给每间上锁的房间的钥匙,也不意味着将其交给员工常规提供的保险箱,不是吗?
–rackandboneman
18年8月30日在7:18
这是推测...但似乎是推测。
–杰伊
18年8月30日在16:46
@乔很奇怪。我当时是会议中心管理组织的IT人员,该组织的网络(位于会议中心)与展示厅的可用网络完全隔离-甚至具有独立的Internet连接。最重要的是,唯一可以不受限制地访问他们想要的东西的外部组织是美国特勤局。
– Todd Wilcox
18年8月31日在16:49
#2 楼
这实际上取决于他们如何建立他们的网络,因此我们只能推测。但是我可以提供类似的轶事。我的本地图书馆有一个wifi,您可以使用图书馆卡登录。几个房间的墙壁上有以太网端口,但是当我问我是否可以插入时,有人告诉我以太网直接进入后端网络,可以访问图书馆的数据库,打印机等。不适合客户使用。 br />
通常的做法是为使用公司提供的防病毒软件的“受信任”计算机保留单独的网络,并为公众使用单独的网络。我想wifi与以太网是将其拆分的好方法。
评论
“ [...]我被告知,以太网直接进入后端网络,可以访问图书馆的数据库,打印机等。不适合客户使用。” <-...那...令人不安;我希望他们将MAC列入白名单吗?
– redyoshi49q
18年8月29日在3:47
@ redyoshi49q对此表示怀疑。我假设设计网络的人都假设办公室中只有以太网,而公共区域中没有。
–麦克·恩斯沃思(Mike Ounsworth)
18年8月29日在4:12
@ redyoshi49q希望这些端口未在配线架上连接。
–安德鲁·莫顿(Andrew Morton)
18年8月29日在12:54
出于好奇-您是否曾经尝试插入房间中的这些位置?他们可能只对员工“很重要”,但是我非常好奇是否除了“是否有以太网电缆”之外还有任何身份验证或安全性。
–RoboBear
18年8月29日在20:15
@RoboBear是,互联网比wifi更快。然后,图书馆管理员告诉我不要这样做。我想我不应该告诉你我住的地方...
–麦克·恩斯沃思(Mike Ounsworth)
18年8月29日在21:16
#3 楼
我将从网络工程的角度(完全公开:CCNA / N +,来解决这个问题,我正在研究企业级网络系统,其中包括我们将在此处讨论以及完成的复杂主题)每个网络都不同,每个网络设备都不同,但是有一些共性:
许多企业级别的设备(交换机)提供某种“ VLAN”(“虚拟LAN”),对于那些不熟悉的人,可以将其视为一种说法:“此交换端口在LAN X中,而另一个交换端口在LAN Y中。”,这使我们可以在逻辑上分离设备,以便您和我可以插入同一交换机,但甚至无法通过MAC定位看到彼此;
许多企业级设备(交换机)提供SNMP定位/触发/“陷阱”切换以基于MAC地址等事物在不同VLAN之间切换端口;
关于以太网/ RJ-45 / 100 M / 1000M连接:为此,我们通常使用低端设备,因为我们经常“只是”需要回到路由器的基本连接。通常,它们不够先进,并且不提供上述功能的高质量。 (现在,通常几乎在每个交换机上都会发现“ VLAN”隔离,但是要找到一个好的价格,SNMP触发和定位要困难得多。)
当我在大学工作时,我们使用了一个软件,该软件可以查看交换端口和MAC地址(以太网端口的唯一硬件标识符),该软件可以确定您所使用的“ VLAN”是:访客,教职员工,教职员工,学生,实验室等。这在许可和实施方面都非常昂贵。尽管有很好的免费工具可以执行此操作,但仍然很难设置,并且根据公司的目标可能不值得。 (众所周知,该软件不可靠。)另一个问题是,通过充分的工作,可以欺骗MAC地址,这使其与使用他人全名一样安全。
因此,我们必须一个决定,是否支持可能不稳定,不安全以及无法访问特权资源的硬连线连接?
即使我们将所有资源都保护在受保护的网络上,也没有绝对安全的网络。网络处于锁定状态,仍然存在将外部设备连接到网络的风险。因此,我们经常做出诸如“任何BYOD连接到该无线网络”之类的决策。我们可以通过不同的SSID和身份验证机制将无线网络转变为“访客” /“安全”网络。这意味着我们可以将来宾和员工都连接到一个无线接入点。基础架构成本较低,并且我们获得了相同的安全利益。
像其他答案一样,这是推测或推测,但是从我(专业)的经验来看,这可能是解释。支持硬连线连接的基础架构成本太高,无法证明是合理的。 (由于如今人们使用的几乎所有设备都具有无线功能,因此很难证明这一点。)考虑到甚至默认情况下,Apple也在MacBook Pro上丢弃了以太网端口,我们陷入“这是否值得?”。情况。
TL; DR ;:以太网太昂贵,无法全面实现并且无法正确保护,而无线正变得越来越普遍,安全且易于分配访问权限。
评论
@ErinB好吧,您必须问自己:您如何知道Wifi速度差?如果您询问流媒体视频之类的问题,那么您认为Wifi上还有多少其他人正在流媒体视频?通常,在这些环境中,我们使用多通道漫游访问点,这意味着我们可以负载均衡它们,但是可能是Wifi /互联网连接受到用户数量的负担。 (所有推测/假设,但提供另一种解释。)
– Der Kommissar
18年8月29日在14:46
这是有道理的,但是那么,您难道不希望任何IT部门都为此付出代价吗?如果您的客户无法完成他们要参加公司的一件事,那似乎会对业务造成很大的负面影响。在这种情况下,提供适应(例如以太网连接)将是一种合适的措施。
– Erin B
18年8月29日在14:51
@ErinB Aha,您已经进入“我们要做的取舍”。我也一直在业务方面(我通常是网络/软件工程与业务之间的桥梁),我们总是得到“请记住,我们不想这样做,因为”,“ '几乎总是$$。运行以太网很昂贵,而保护它又很昂贵,我们是否珍视这些费用带来的好处?当然可以,但是其中有足够的价值吗?更多的以太网=更多的硬件,更多的维护,以及整个生命周期。
– Der Kommissar
18年8月29日在14:53
@ErinB我刚刚意识到注释的格式很奇怪,请替换为“,其中”为
– Der Kommissar
18年8月29日在14:59
我不是CCNE,但我曾想过宿舍房间中的所有端口都将连接到来宾VLAN上的交换机。访客卧室为什么还需要其他东西?因此,无需进行VLAN交换甚至不需要MAC注册-您插入那里,就在访客网络中(无例外)。如果有CCTV摄像机或其他设备,则可以为该特定端口分配一个VLAN(或使用VLAN交换技术)。但是,如前所述,为房间布线比投入无线AP更为昂贵。
–拉尔夫·博尔顿(Ralph Bolton)
18年8月31日在10:56
#4 楼
看起来好像已经解决了,但是我想引入“无线AP隔离”的讨论,它是对大多数厂商的中小型部署(如小型学校和酒店)的一键式单击。 >我很容易看到依赖于AP隔离的“夏令营”,而不是依靠硬件网络分段来阻止“病毒和垃圾”。我不知道这是否真的是一个好选择防御,或者是否容易破解。
评论
Meraki默认情况下已启用网络隔离。实际上,这非常不错,因为它可以保护用户彼此之间。很好,直到您尝试创建打印共享或其他共享资源,然后他们为您升级为止。
–jorfus
18年8月30日,0:25
#5 楼
我怀疑真正的答案不是关于“病毒和东西”的任何安全问题,而是将以太网电缆连接到所有营员都太困难和太昂贵。设置wifi路由器非常便宜且简单:您将一根电缆从调制解调器连接到路由器,将其放在可以在所需区域内提供良好信号的位置,然后就完成了。以太网电缆的串接工作很多:您必须为每个工作站铺设电缆。取决于您希望得到的结果多么漂亮,这可能意味着要撕开墙壁以将电缆串起来。进入您的网络。每当我打开计算机时,我都会从十几个邻居那里接收信号。使用仅有线网络,他们必须闯入您的建筑物。尽管我承认我不是安全专家,但我想不出为什么以太网比wifi更安全。其他一些人提到他们的有线网络可能比wifi网络具有更大的访问权限。可能。这里的问题实际上并不是线与wifi,而是一个网络“碰巧”具有比另一个网络更大的访问权限,但是当有人回答问题时,这肯定是人们在想的。
#6 楼
如果像其他海报所述那样,插入物理电缆绕过了无线连接密码,则将物理电缆仅在该位置的锁定盒中连接至无线路由器。这样,您既具有有线连接的可靠性和可扩展性,又具有无物理访问的安全性(以下待处理的事项)。因此,您还可以轻松地为该偏远地区的许多其他用户提供服务。当然,有线连接具有诸如物理(电缆)拦截和易受攻击的路由器/集线器/等漏洞。
#7 楼
当我阅读OP时,我立即想到的是物理访问。 (OP一直在寻找铜缆(UTP电缆)比WiFi更具安全风险的可能方案...)您了解的第一件事(也是第一件事) IT安全性是,物理网络设备需要放置在“任何人都无法访问”的位置。
之所以这样,通常是因为您可以对设备执行某些令人讨厌的操作(例如关闭整个网络)是否可以“物理接触”。无法通过远程连接执行的操作。
示例:在全新的Cisco设备上,必须通过“控制台电缆”物理连接到该设备,以开始基本配置过程。设置远程访问,设置密码等基础知识。您也可以轻松擦除整个IOS映像,删除运行配置等。
因此,要降低某些安全风险,您可以将您的设备放在锁着的门后面,并仅向有需要的人授予对设备的访问权限。
所以回到OP的问题,您可以说需要顺序访问设备插入跳线,而无需物理访问即可建立无线连接。
在最基本的情况下,无线连接将带来较少的安全风险。
是的,是的,是的,我知道大多数物理连接是通过墙壁插孔进行的,因此您不需要直接访问网络设备本身,但是我提供的是一种简单的方案,它可以满足OP的原始问题。
评论
好吧,使用高度官方的术语,病毒和东西对计算机非常有害。老实说,我希望不是IT做出回应(:他们真的说“病毒和材料”吗?
这不是我听过有人在IT中说过的最愚蠢的事情(我已经老了,有一个/ lot /可供选择),但是就在那儿...
我去过旅馆,他们讲了类似的故事。他们通常有充分的理由,但解释很糟糕。
@Schwern是的,他们做到了,我不得不扼杀与他们通话的笑声。