it-swarm.com.de

Das Unternehmen behauptet, dass festverdrahtete Verbindungen ein Sicherheitsproblem darstellen

Jemand, mit dem ich verwandt bin, ist für seinen gewünschten Beruf in einem Studienlager. Diese Person, nennen wir sie Jane, soll zwei Monate lang rigoros lernen. Das mitgelieferte Gehäuse bietet drahtlose Internetverbindungen, die nur sporadisch sind und kein flüssiges Streaming von Videos mit geringer Qualität oder andere nützliche Aufgaben zum Lernen ermöglichen. Da Jane in ihrer Ausfallzeit studieren und Ressourcen als Referenz für das Material nachschlagen möchte, muss sie auf diese Materialien zugreifen und unter einer langsamen Verbindung leiden. Es gibt keine Modems oder andere Möglichkeiten, eine Verbindung über Ethernet herzustellen, und es wird erwartet, dass der Schüler über eine Art drahtlosen Verbindungscomputer verfügt.

Jetzt möchte ich, dass Jane die bestmögliche Lernerfahrung hat, und ich verstehe, dass sie diese Erfahrung als "die beste zum Lernen" erachten. Deshalb rief ich an und behauptete, dass ich daran interessiert wäre, selbst am Camp teilzunehmen, aber ich habe nur eine Desktop-Computer ohne WLAN-Karte, und ich erwarte eine Kabelverbindung. Nach einigen Stunden erhielt ich eine Antwort mit folgenden Worten:

"Wir bieten aufgrund von Viren und anderen Dingen keine Festnetzverbindungen zu unserem Netzwerk an."

Mir war klar, dass die Informationen, die mir übermittelt wurden, aus zweiter Hand stammten. Da ich jedoch anerkenne, dass ich die Meinung von niemandem zu dieser Richtlinie ändern kann, komme ich hierher, um diese Frage zu stellen:

Welche Sicherheitsvorteile könnten genau durch das Anbieten einer drahtlosen Verbindung erzielt werden?

In diesem Fall gehe ich davon aus, dass die mir gegebene Antwort echt war und nicht nur eine Entschuldigung für sie, keine zusätzliche Arbeit oder ähnliches zu leisten.

80
Erin B

Warnung: Vermutung, da keiner von uns den tatsächlichen Aufbau kennt.

Es ist sehr wahrscheinlich, dass die Organisation über ein eigenes Netzwerk verfügt, das fest verdrahtet ist, sowie über ein Gastnetzwerk, das nur drahtlos ist. Die beiden sind separate Netzwerke. Dies ist ein gängiges Layout, da das Verlegen von Draht zu Schreibtischen teuer ist, sich aber für Ihre eigenen Mitarbeiter lohnt. Das drahtlose Senden ist für Ihre Gäste billig und jeden Cent wert.

Wenn Sie nach einer fest verdrahteten Verbindung gefragt haben, beantworten sie die Frage in welchem ​​Netzwerk Sie sich befinden und nicht wie Sie eine Verbindung zum Netzwerk herstellen. Und da die beiden in ihren Gedanken verflochten sind ("Hard-Wire ist unser Netzwerk, Wireless ist Gastnetzwerk"), antworten sie sehr einfach.

Aus ihrer Sicht wollen sie keine nicht organisatorischen Maschinen in ihrem Netzwerk, sondern nur im Gastnetzwerk - wegen Viren und anderen Dingen. Wir können alle verstehen, dass wir keine zufälligen Besucher in unseren internen Netzwerken wollen, oder? Das wäre also ein Kontext, in dem ihre Antwort Sinn macht.

Ich würde vorschlagen, ihnen Ihr Anliegen zu erklären und zu prüfen, ob sie eine Lösung finden können, anstatt sie nach der Lösung zu fragen, von der Sie erwarten, dass sie funktioniert. Es kann sein, dass sie nur erwarten, dass Gäste genügend Konnektivität für E-Mail und leichtes Surfen im Internet benötigen. Wenn Sie erklären, dass Jane mehr Bandbreite für ihre Lernbedürfnisse benötigt und sie davon überzeugen kann, dass es sich um eine vernünftige Anfrage handelt, werden sie wahrscheinlich einen Weg finden, um zu helfen - selbst wenn Jane nur in einen Raum näher am drahtlosen AP gebracht wird.

199
gowenfawr

Es hängt wirklich davon ab, wie sie ihr Netzwerk eingerichtet haben, also können wir nur spekulieren. Aber ich kann eine ähnliche Anekdote liefern.

Meine lokale Bibliothek verfügt über ein WLAN, bei dem Sie sich mit Ihrem Bibliotheksausweis anmelden können. Einige Räume haben Ethernet-Ports in der Wand, aber als ich fragte, ob ich einstecken könnte, wurde mir gesagt, dass das Ethernet direkt zum Back-End-Netzwerk mit Zugriff auf die Datenbanken, Drucker usw. der Bibliothek gelangt. Nicht für Kunden bestimmt.

Es ist üblich, separate Netzwerke für "vertrauenswürdige" Computer zu verwenden, die von Unternehmen bereitgestelltes Antivirenprogramm usw. verwenden, und ein separates Netzwerk für die Öffentlichkeit zu verwenden. Ich denke, WiFi vs Ethernet ist so gut wie jeder andere Weg, um das zu teilen.

28
Mike Ounsworth

Ich werde dies aus netzwerktechnischer Sicht betrachten (vollständige Offenlegung: CCNA/N +, ich arbeite an Netzwerksystemen auf Unternehmensebene, die komplexe Themen enthalten, die wir hier diskutieren werden, sowie getan haben Netzwerktechnik für eine private Universität).

Jedes Netzwerk ist anders und jedes Netzwerkgerät ist anders, aber es gibt einige Gemeinsamkeiten:

  • Viele Geräte (Switches) auf Unternehmensebene bieten eine Art "VLAN" ("Virtual-LAN") an. Für Unbekannte ist dies eine Art zu sagen: "Dieser Switchport befindet sich in LAN X, während sich dieser andere Switchport in befindet." LAN Y. ", dies ermöglicht es uns, Geräte logisch zu trennen, so dass Sie und ich an denselben Switch angeschlossen werden können, uns aber nicht einmal durch MAC-Targeting sehen können.
  • Viele Geräte (Switches) auf Unternehmensebene bieten SNMP-Targeting/Triggering/"Trap" -Ping an, um Ports zwischen verschiedenen VLANs basierend auf MAC-Adressen und dergleichen zu wechseln.

Bei Ethernet/RJ-45/100M/1000M-Verbindungen gilt Folgendes: Wir verwenden normalerweise Geräte der unteren Preisklasse, da wir häufig "nur" eine grundlegende Verbindung zum Router benötigen. Oft sind sie weniger fortgeschritten und bieten keine qualitativ hochwertigen Funktionen wie oben. (Normalerweise findet man heutzutage bei fast jedem Switch eine "VLAN" -Segregation, aber das Auslösen und Targeting von SNMP ist für einen guten Preis wesentlich schwieriger zu finden.)

Als ich für die Universität arbeitete, verwendeten wir eine Software, die einen Switchport und die MAC-Adresse (eine eindeutige Hardware-ID für Ihren Ethernet-Port) untersuchte, um zu entscheiden, in welchem ​​"VLAN" Sie sich befanden: Gast, Mitarbeiter, Fakultät, Student , Lab, etc. Dies war außerordentlich teuer, sowohl bei der Lizenzierung als auch bei der Implementierung. Es gibt zwar gute, kostenlose Tools, um dies zu tun, aber es ist immer noch schwierig einzurichten und es lohnt sich möglicherweise nicht, je nachdem, welche Ziele das Unternehmen verfolgt. (Diese Software ist notorisch unzuverlässig.) Ein weiteres Problem besteht darin, dass bei ausreichender Arbeit eine MAC-Adresse gefälscht werden kann, was sie ungefähr so ​​sicher macht wie die Verwendung des vollständigen Namens einer Person.

Also müssen wir eine Entscheidung treffen, fest verdrahtete Verbindungen unterstützen, die möglicherweise instabil und unsicher sind und keinen Zugriff auf privilegierte Ressourcen haben, oder nicht?

Kein Netzwerk ist vollkommen sicher, selbst wenn alle Ressourcen im "geschützten" Netzwerk gesperrt sind, besteht immer noch das Risiko, dass ein fremdes Gerät mit dem Netzwerk verbunden wird. Daher treffen wir häufig Entscheidungen wie "Jeder BYOD stellt eine Verbindung zu diesem drahtlosen Netzwerk her". Wir können das drahtlose Netzwerk über verschiedene SSIDs und Authentifizierungsmechanismen in ein "Gast"/"gesichertes" Netzwerk verwandeln. Dies bedeutet, dass wir beide die Gäste und Mitarbeiter mit einem drahtlosen Zugangspunkt verbinden können. Die Infrastrukturkosten sind niedriger und wir erhalten den gleichen Sicherheitsvorteil.

Wie diese anderen Antworten ist dies eine Vermutung oder Spekulation, aber aus meiner (beruflichen) Erfahrung wäre dies die wahrscheinliche Erklärung. Die Infrastrukturkosten für die Unterstützung fest verdrahteter Verbindungen waren zu hoch, um gerechtfertigt zu sein. (Und da heutzutage fast alle Geräte über drahtlose Funktionen verfügen, ist dies schwer zu rechtfertigen.) In Anbetracht von sogar Apple löscht standardmäßig Ethernet-Ports vom MacBook Pro) eine "ist es das überhaupt wert?" Situation.


TL; DR;: Ethernet ist zu teuer, um es auf der ganzen Linie zu betreiben und ordnungsgemäß zu sichern, während Wireless immer häufiger, sicherer und einfacher zu verteilen ist.

11
Der Kommissar

Sieht so aus, als wäre dies gelöst, aber ich wollte die Diskussion über "Wireless AP Isolation" einleiten, bei der es sich um einen Ein-Knopf-Klick auf die kleinen bis mittleren Bereitstellungen der meisten Anbieter wie kleine Schulen und Hotels handelt.

Ich konnte leicht ein "Sommercamp" sehen, das sich eher auf die AP-Isolation als auf die Segmentierung des Hardware-Netzwerks stützte, um "Viren und andere Dinge" fernzuhalten.

Was ich nicht weiß, ist, ob dies tatsächlich eine gute Verteidigung ist oder ob dies leicht herausgebrochen werden kann.

9
dnavinci

Wenn das Einstecken des physischen Kabels ein Bypass für das Kennwort für die drahtlose Verbindung ist, wie auf anderen Postern erwähnt, muss ein physisches Kabel nur für diesen Standort mit einem drahtlosen Router in einer verschlossenen Box verbunden werden. Auf diese Weise haben Sie sowohl die Zuverlässigkeit als auch die Erweiterbarkeit einer Kabelverbindung, aber auch die Sicherheit (ausstehende Elemente unten), dass kein physischer Zugriff möglich ist. Auf diese Weise können Sie auch problemlos viele andere Benutzer in diesem entlegeneren Gebiet bedienen.

Kabelverbindungen weisen natürlich Schwachstellen wie physisches Abfangen (Kabel) und anfällige Router/Hubs usw. auf.

0
SaltySub2

Ich vermute, dass die WIRKLICHE Antwort keine Sicherheitsbedenken in Bezug auf "Viren und andere Dinge" enthält, sondern dass es zu schwierig und teuer ist, ein Ethernet-Kabel für alle Camper zu verlegen. Das Einrichten eines WLAN-Routers ist recht billig und einfach: Sie verlegen ein Kabel vom Modem zum Router, verlegen es an einem Ort, an dem es im gesamten gewünschten Bereich ein gutes Signal abgibt, und fertig. Das Verketten von Ethernet-Kabeln ist eine Menge Arbeit: Sie müssen ein Kabel zu jeder Workstation verlegen. Je nachdem, wie hübsch die Ergebnisse sein sollen, kann dies bedeuten, dass Wände herausgerissen werden, um das Kabel zu fädeln.

Wifi hat die inhärente Sicherheitslücke, die jeder, der mit einem Computer in den Signalbereich gelangen kann, möglicherweise in Ihr Netzwerk hacken könnte. Ich empfange Signale von einem Dutzend meiner Nachbarn, wenn ich meinen Computer einschalte. Mit einem reinen kabelgebundenen Netzwerk müssten sie in Ihr Gebäude einbrechen. Ich kann mir keinen Grund vorstellen, warum Ethernet WENIGER sicher ist als WLAN, obwohl ich gestehe, dass ich kein Sicherheitsexperte bin.

Einige andere haben erwähnt, dass sie möglicherweise ein kabelgebundenes Netzwerk mit größerem Zugang als das WLAN-Netzwerk haben. Möglich. Das Problem dort ist nicht wirklich Draht gegen WLAN, aber dass ein Netzwerk "zufällig" einen besseren Zugang hat als ein anderes, aber es ist sicherlich möglich, dass jemand daran gedacht hat, als er die Frage beantwortete.

0
Jay