@zhasulan Nov 23 at 18:20

Wi-Fi наружу, LAN внутрь: лучшее решение для работы в корпоративной сети

Hard

6 min

12K

IT-companiesIT Infrastructure * Network hardwareDevelopment for Linux * Configuring Linux *

From sandbox

Comments 10

@iamkisly Nov 23 at 20:08

Медь внутри, медь снаружи

Из меди рождается LAN,
Из LAN рождается сигнал,
Из сигнала рождается Wi-Fi,
Из Wi-Fi рождается сеть,
Из сети рождается медь.

@Viktor-T Nov 23 at 20:36

А зачем здесь нужен Policy Routing, если проще (что в Linux, что в Windows) добавить персистентные маршруты до внутренних адресов через LAN, а дефолтный роут пустить через Wi-Fi?

@sekuzmin Nov 23 at 21:17

лучшее решение для работы в корпоративной сети

Это VPN Split Tunneling - для работы из офиса, из дома и откуда угодно, если нет Geo-blocking. Кабель не нужен.

@kenomimi Nov 24 at 04:46

С этой схемой вся безопасность контура превращается в тыкву. Разработчик может и не будет скачивать голая_катя.ехе (хотя тоже не факт), но вот зараженые пакеты в репах никто не отменял. Да и на страницах сайтов вполне себе есть браузерные 0-day. Один ловит гадость - и всё, злоумышленник в такой сети сходу король, у него свободный выход наружу, и его никто не видит. Дальше закрепляемся на незащищенном деве, и ломаем/сливаем все, что душе угодно.

@askhats Nov 24 at 06:56

Жасулан, скажите, из какого вы банка, чтобы деньги там не держать.

@Shaman_RSHU Nov 24 at 07:44

В крупных компаниях, остобенно в банках вместо:

DPI (Deep Packet Inspection),
SSL-инспекция,
корпоративные прокси,
фильтрация DNS,
сквозной мониторинг,
ограничение доступа к внешним ресурсам

используется обычно NGFW и ничего там обычно не тормозит. А за docker pull из Интернета можно очень сильно получить по рукам, т.к. по требованиям ЦБ должен быть локальный проверенный репозиторий. А если артефакты в него попадают с тормозами, то это уже проблемы безопасников.

@Itkir Nov 24 at 13:54

Мини-FAQ, как проделать дыру в системе безопасности родного банка.

@Dalas_DV Nov 25 at 05:53

Все что касается рабочего процесса должно ходить через корп системы с настроенными средствами безопасности. Как вы будете ловить вредоносные сигнатуры, ioc в трафике корпоративного ноутбука, если его трафик во внешку идет через провод провайдера?

Как фильтровать доступ к вредоносным или нежелательным ресурсам? А как с инсайдерами быть?

Там еще вопросы есть, это первое что в голову пришло. Вы просто бесконтрольный доступ сделали, и стрельнули себе в ногу. Ну и пользователям банка, чьи данные улетят на гугл диск потому что пользователям было «удобно». А потом будут им зеленханы звонить по 5 раз в день

@lllamnyp Nov 25 at 10:51

Используют системный trust store — ничего дополнительно делать не нужно.

Только не на линуксах.

@MicROBB Nov 26 at 05:10

Вообще не понятная схема. Все внутренние ресурсы и так настраивается и работают внутри сети, будь ты в VPN-е или офисе. Соответственно они не попадают ни под SSL инспекции, ни под прокси, ни под фильтрации ДНС, только если вы не кассир, который решил взломать dev подсеть. В тех же проки указывается что это внутренние ресурсы и их не нужно гонять через него. А вы открываете полный доступ со своей машины. Первый же аудит который это обнаружит, отправит вашему предприятию отличный отчёт! В компании абсолютно все сотрудники должны работать через средства безопасности, только так риски будут минимальны.