AK>>> затем, что если у тебя на самом деле есть что шифровать, чаще AK>>> всего наиболее интересно оно твоим собственным сотрудникам, да и AK>>> не-сотрудникам проще найти подход либо к ним, либо к твоему AK>>> офису. VS>> Hо при этом атака вряд ли будет заключаться в перехвате трафика VS>> локалки. AK> почему же нет? Подбросить тебе в розетку за столом мелкую платку, хер AK> ты ее найдешь.
По-моему это какой-то movie-plot threat, как выразился бы Шнайер. Т.е. в шпионском фильме выглядит мощно, а на практике встречается ли?
VS>> как ты справедливо заметил, найти подход к сотрудникам и компам, AK> к сотрудникам опасно - могут сдать или сами засыпаться, если на AK> самом деле разводить их на кражу данных, а вот напроситься на чай - AK> вполне, к компам не на один раз - тут у всех в общем есть всякие AK> автоматические средства контроля. А вот автоматических средств AK> контроля сетевой инфраструктуры (чтоб поднять истошный вой если AK> внезапно в розетку воткнули что-то лишнее) нет почти ни у кого.
Видимо потому что реально оценивают риски. Вот в случае Wifi риск несанкционированного подключения к сети реальный, так и отношение другое.
VS>> Судя по тому, что а) тотальный transport-mode IPSec в виндовых VS>> локальных сетях включают нечасто, а б) VPN между удалёнными VS>> офисами шифровать обычно принято и описано в многочисленных VS>> учебниках, AK> можно сделать только один вывод - дерьмо эти учебники.
AK> собственно, "учебник" "cisco trusted security" издан в 2010м году, AK> только это a) не учебник, а методичка страниц так на 500 b) не AK> работает без жесткой связки it с безопасниками и сетевым AK> подразделением (а там, где это вообще можно сделать, это разные AK> подразделения) с) там длинный печальный список багов и глюков в разных AK> ios, лишь частично побежденный еще через год, более современного AK> статуса я просто не знаю.
"Но других ведь нет"
VS>> представленная тобой модель угроз если не VS>> спорная, то как минимум не единственная. AK> угу, угу - инженер какого-нибудь ростелекома (на заметку: на все что AK> на север и на запад от СПБ - такой инженер _один_. Как думаешь, AK> дорожит он своей работой?) спит и видит, как спереть и подороже AK> продать траффик конторки по торговле скрепками ее конкуренту.
VS>> Шифровать свой внешний трафик даже хотя бы слабым, VS>> оппортунистическим шифрованием IMHO уже полезно, от всяких VS>> транзитных любителей понарушать сетевой нейтралитет или что-нибудь VS>> пофильтровать. AK> не поможет, а то и помешает. AK> То есть он непонятный ему мусор как раз и опустит в конец очереди. AK> Говнопровайдер с перегруженным каналом борется за сиськи и котиков, AK> вот им и даст приоритет.
Сиськи и котики нынче все передаются внутри https, внутрь особо не заглянешь, разве что приоритизировать по IP серверов ютюба и порнхаба, если сможешь.
AK> А твой udp отправит туда, к торрентам, в AK> random drop prob 90% - "еще никто не пожаловался". Причем и AK> нешифрованный тоже.
Конечно никто и не пожаловался, просто ногами проголосуют от такого говнопровайдера, у которого плохо качаются торренты и лагают онлайн-игрушки и скайп, потому что говнопровайдер отправил в random drop prob 90% всё кроме того, что показалось ему котиками.