La società afferma che le connessioni su cavo sono un problema di sicurezza

Attenzione: congettura, perché nessuno di noi conosce la loro effettiva configurazione.

È molto probabile che l'organizzazione abbia una propria rete, che è cablata, così come una rete ospite, che è solo wireless. I due sono reti separate. Questo è un layout comune perché la posa dei cavi per le scrivanie è costosa, ma ne vale la pena, per i propri dipendenti; la trasmissione wireless è economica e vale ogni centesimo di spesa per i tuoi ospiti.

Quando hai chiesto una connessione cablata, stanno rispondendo alla domanda quale rete saresti invece di come ti connetti alla rete . E poiché i due sono intrecciati nelle loro menti ("hard-wire è la nostra rete, wireless è rete ospite") stanno rispondendo in modo molto semplice.

Dal loro punto di vista, non vogliono macchine non dell'organizzazione sulla loro rete, solo sulla rete ospite - a causa di virus e cose. Tutti noi possiamo capire che non vorremmo visitatori casuali sulle nostre reti interne, giusto? Quindi questo sarebbe un contesto in cui la loro risposta ha un senso.

Suggerirei di spiegare la tua preoccupazione a loro e vedere se loro possono venire con una soluzione, invece di chiedere loro la soluzione che ti aspetteresti di lavorare. Può darsi che si aspettino solo che gli ospiti abbiano bisogno di una connettività sufficiente per l'email e la navigazione web leggera. Se spieghi che Jane ha bisogno di più larghezza di banda per le sue esigenze di studio e può convincerli che è una richiesta ragionevole, è probabile che troverà un modo per aiutare, anche se sta semplicemente spostando Jane in una stanza più vicina all'AP wireless.

Dipende molto da come hanno impostato la loro rete, quindi possiamo solo speculare. Ma posso fornire un aneddoto simile.

La mia biblioteca locale ha una connessione wifi a cui puoi accedere usando la tua tessera della biblioteca. Diverse sale hanno porte Ethernet nel muro, ma quando ho chiesto se potevo collegarmi, mi è stato detto che Ethernet va direttamente alla rete di back-end con accesso ai database della biblioteca, alle stampanti, ecc. Non destinato ai clienti.

È prassi comune mantenere reti separate per macchine "attendibili" che utilizzano l'antivirus fornito dalla società, ecc. e una rete separata che il pubblico può utilizzare. Credo che wifi vs ethernet sia un buon modo per dividerlo.

Vengo a questo da un punto di vista ingegneristico di rete (completa divulgazione: CCNA / N +, lavoro su sistemi di rete di livello enterprise che includono argomenti complessi di cui parleremo qui, come aver fatto ingegneria di rete per un'università privata).

Ogni rete è diversa e ogni dispositivo di rete è diverso, ma ci sono alcuni punti in comune:

• Molti dispositivi (switch) di livello aziendale offrono una sorta di "VLAN" ("Virtual-LAN"), per chi non ha familiarità, pensa che sia un modo per dire che "Questo switchport è in LAN X, mentre quest'altro switchport è in LAN Y. ", questo ci consente di separare i dispositivi logicamente, in modo che tu e io possiamo essere collegati allo stesso switch, ma non ci vediamo nemmeno attraverso il targeting MAC;
• Molti dispositivi (switch) a livello aziendale offrono il targeting / triggering / ping "trap" SNMP per commutare le porte tra diverse VLAN basate su cose come indirizzi MAC e simili;

Ecco il problema delle connessioni Ethernet / RJ-45 / 100M / 1000M: in genere utilizziamo dispositivi di fascia bassa, perché spesso "semplicemente" abbiamo bisogno di una connessione di base al router. Spesso sono meno avanzati e non offrono caratteristiche di buona qualità di cui sopra. Di norma, la segregazione "VLAN" avviene praticamente su ogni switch ora a un giorno, ma l'attivazione e il targeting SNMP sono sostanzialmente più difficili da trovare per un buon prezzo.)

Quando lavoravo per l'Università, usavamo un software che guardava a uno switchport e all'indirizzo MAC (un identificatore hardware unico per la tua porta Ethernet) che decideva su quale "VLAN" eri su: Guest, Staff, Faculty, Student, Lab, ecc. Questo è straordinariamente costoso, sia in termini di licenze che di implementazione. Mentre ci sono buoni strumenti gratuiti là fuori per fare ciò, è ancora difficile da configurare e potrebbe non valerne la pena a seconda di quali siano gli obiettivi dell'azienda. (Questo software è notoriamente inaffidabile). Un altro problema è che, con un lavoro sufficiente, un indirizzo MAC può essere contraffatto, il che rende la sicurezza più sicura che usare il nome completo di qualcuno.

Quindi , dobbiamo prendere una decisione, supportare connessioni cablate che potrebbero essere instabili, non sicure e perdite di accesso a risorse privilegiate, o no?

Nessuna rete è perfettamente sicura, anche se abbiamo tutte le risorse sulla rete "protetta" bloccate, c'è ancora il rischio di collegare un dispositivo estraneo alla rete. Pertanto, spesso prendiamo decisioni come "qualsiasi BYOD si connette a questa rete wireless". Possiamo trasformare la rete wireless in una rete "Ospite" / "Sicura", tramite diversi SSID e meccanismi di autenticazione. Ciò significa che possiamo avere entrambi gli ospiti e i dipendenti connessi al punto di accesso wireless one . Il costo dell'infrastruttura è inferiore e otteniamo lo stesso vantaggio di sicurezza.

Come altre risposte, questa è una congettura o una speculazione, ma dalla mia esperienza (professionale) questa sarebbe la spiegazione probabile. Il costo dell'infrastruttura per supportare connessioni cablate era troppo alto per essere giustificato. (E dal momento che quasi tutti i dispositivi che le persone utilizzano hanno funzionalità wireless in questi giorni, è difficile da giustificare). Considerando che anche Apple sta lasciando cadere le porte Ethernet dal MacBook Pro di default, entriamo in un "vale la pena?" situazione.

TL; DR ;: Ethernet è troppo costoso per essere eseguito su tutta la linea e protetto correttamente, mentre Wireless sta diventando molto più comune, sicuro e più facile da distribuire l'accesso per.

Sembra che questo sia stato risolto, ma volevo inserire la discussione su "Wireless AP Isolation", che è un clic con un pulsante sulla distribuzione di piccole e medie dimensioni della maggior parte dei fornitori, come piccole scuole e hotel.

Potrei facilmente vedere un "campo estivo" basato sull'isolamento AP, piuttosto che sulla segmentazione della rete hardware per tenere fuori "virus e cose".

Ciò che non so è se questa sia effettivamente una buona difesa, o se sia facilmente risolvibile.

Sospetto che la VERA risposta non sia un problema di sicurezza per "virus e cose", ma piuttosto che sia troppo difficile e costoso eseguire il cavo Ethernet per tutti i camper. Configurare un router wifi è abbastanza economico e semplice: si esegue un cavo dal modem al router, lo si installa in un punto in cui dà un buon segnale in tutta l'area desiderata e il gioco è fatto. La messa a punto del cavo Ethernet richiede molto lavoro: è necessario eseguire un cavo su ogni workstation. A seconda di quanto vuoi che siano i risultati, è possibile strappare muri per incordare il cavo.

Wifi ha il buco di sicurezza intrinseco che chiunque possa ottenere all'interno della gamma di segnali con un computer potrebbe ipoteticamente hackerare nella tua rete. Raccolgo segnali da una dozzina di miei vicini ogni volta che accendo il mio computer. Con una rete solo cablata, dovrebbero entrare nel tuo edificio. Non riesco a pensare a nessuna ragione per cui Ethernet sarebbe MENO sicura del wifi, anche se confesso di non essere un esperto di sicurezza.

Molti altri hanno affermato che potrebbero avere una rete cablata con un accesso maggiore rispetto alla rete wifi. Possibile. Il problema non è in realtà filo-wifi, ma quella rete "per coincidenza" ha un accesso maggiore di un'altra, ma è certamente possibile che sia quello a cui qualcuno stava pensando quando hanno risposto alla domanda.

Se il collegamento del cavo fisico è un bypass per la password della connessione wireless come indicato da altri poster, è necessario collegare un cavo fisico a un router wireless in una casella bloccata solo per quella posizione. In questo modo hai sia l'affidabilità e l'estensibilità di una connessione cablata, ma la sicurezza (elementi in sospeso di seguito) di accesso non fisico. Puoi quindi facilmente servire molti altri utenti all'interno di un'area più remota.

Ovviamente le connessioni cablate hanno vulnerabilità come l'intercettazione fisica (via cavo) e router / hub vulnerabili / ecc.

Il mio pensiero immediato quando ho letto l'OP era l'ACCESSO FISICO. (L'OP stava cercando possibili scenari in cui il rame (cavo UTP) poteva essere più un rischio per la sicurezza che il WiFi ...)

La prima cosa (beh, una delle prime cose) che si impara sulla sicurezza IT è che i dispositivi fisici di rete devono essere collocati dove non possono essere accessibili da "solo chiunque".

La ragione di questo, in generale, è perché ci sono brutte cose che puoi fare su un dispositivo (come abbattere l'intera rete) se puoi "toccarlo fisicamente". Cose che non puoi fare su una connessione remota.

Esempio: su un dispositivo Cisco nuovo di zecca, è necessario connettersi fisicamente al dispositivo tramite un "cavo console" per iniziare la procedura di configurazione di base. Nozioni di base come l'impostazione dell'accesso remoto, l'impostazione delle password, ecc. Puoi anche cancellare l'intera immagine IOS, eliminare la configurazione di esecuzione, ecc.

Quindi, per ridurre certi rischi per la sicurezza, metti i dispositivi dietro porte bloccate e concedi l'accesso ai dispositivi solo a chi ne ha bisogno.

Quindi tornando alla domanda dell'OP, potresti dire che avresti bisogno di un accesso fisico a un dispositivo per collegare un cavo patch, mentre non avresti bisogno dell'accesso fisico per effettuare una connessione wireless.

In questo scenario di base, la connettività wireless rappresenterebbe meno rischi per la sicurezza.

E sì, sì, sì ..., so che la maggior parte delle connessioni fisiche sono fatte tramite il wall jack e quindi non è necessario l'accesso diretto al dispositivo di rete stesso, ma sto fornendo uno scenario SEMPLICE che soddisfi il La domanda originale di OP.