Комментарии 11
Но главное, после массового перевода всех на удалённую работу, встаёт вопрос — зачем нам две инфраструктуры? Зачем нам этот недо-VPN в LAN? Пусть LAN будет просто такой же недоверенной сетью, как WiFi в coworking-е или дома у работников. Доступ — только к VPN-серверам и прочему необходимому минимуму, как из кафе. Конечно, отпадает необходимость в мега-железе и сертифицированных специалистах при нём, что может вызвать сопротивление, но бизнес рано или поздно поймёт выгоду, особенно на фоне пересмотра парадигмы офиса как такового — из места размещения рабо
Доступ ко внутренним ресурсам из сети офиса по VPN?
Это не будет слишком дорого с точки зрения нагрузки на VPN-шлюз? Одно дело - удалённые сотрудники, которые редко сгенерируют гигабит трафика, ибо редко интернет-канал в офисе компании такой ширины. Другое дело - внутренние хосты. Когда все массово перешли на удалёнку, одним из популярных сценариев стало обеспечение доступа по RDP на рабочие станции, а внутренний трафик остался.
Широкий канал к серверным ресурсам может быть нужен только для очень специфического набора задач, например, видеомонтаж. Для видеоконференций и просмотра обучающих роликов хватает 10 Мбит/с в пи́ке и 1 Мбит/с в среднем (а то и вовсе порядка 0.1 Мбит/с). Все АРМ и прочие задачи как раз уже перенесены в browser. Те, кто в своё время вложился в "gigabit to desktop" так и не дождались востребованности этих вложений, уже и поддержка тех коммутаторов заканчивается, а необходимость в гигабите так и не появилась.
И, в любом случае, всем работникам надо иметь доступ к работе из дома, а дома у них каналы отнюдь не гигабитные. Если у них всё работает из дома, будет работать и во время визитов в офис-"coworking" нового поколения. Возможно, перевод всех на удалённую работу потребует более широкого Internet-канала, ну так он так и так потребует. Стоимость VPN-серверов/шлюзов вряд ли сравнима со всем богатством (в прямом и переносном смысле), что описано в статье. Тут, скорее, от бедности логично заменить все эти технологии на пару виртуалок с бесплатным Strongswan, чем разориться на VPN-шлюзах и не разориться на недо-VPN на основе описанного в статье.
Я так и не понял, как это всё защитит от бриджа с с L2 NAT'ом. Сидят два пользователя, один легитимный, второй "присоединился на халяву", пользуются шаренным NAT'ом. Сессии разруливаются с помощью contrack'а, который L2 адреса перезаписывает (вместо L3, а может и вместе с L3). Всё, что видит сторонний наблюдатель - RTT стало повыше.
Так это же легитимный пользователь должен руками свой доступ к сети расшарить. Должен иметь права на это и осознанно это сделать.
В общем-то, да, ColdSUN прав — не давайте таких прав легитимным пользователям. Если это софтовая точка доступа Wi-Fi — за этим можно следить с помощью легитимных точек, если через провод раздаётся сеть — запрещать создавать новые сетевые интерфейсы и следить за аномалиями трафика с помощью NBA решений (те же nmap-сканы отлично ловятся).
На 2021 год появилась ли поддержка 802.1AE хоть в одной клиенткой ОС? Насколько я слышал ещё года 3 назад, у клиента Cisco AnyConnect есть такая фича. Альтернатив так и не появилось?
Обход 802.1х в LAN