I client bloccano tutte le connessioni in entrata?

No, in realtà il comportamento degli utenti online è il più grande rischio. Se si limitassero a eseguire programmi scaricati da Internet o ricevuti con allegati e-mail che sarebbero facili, è possibile educare gli utenti o utilizzare mezzi tecnici per impedire il download dei file e gli allegati e-mail.

Il problema è che i tuoi utenti contrarranno malware semplicemente visitando siti Web o semplicemente aprendo file PDF! E questo è molto più difficile da gestire!

In primo luogo, rimarrai sorpreso di quante porte TCP / UDP siano deliberatamente lasciate aperte su router e PC indipendentemente dalla maggior parte delle impostazioni del firewall; in modo da consentire i servizi di rete di base del sistema operativo. Se si connettono in uscita dal computer, viene abilitata un'interfaccia di rete, il che si traduce nell'accettare determinati pacchetti in ingresso non richiesti per mantenere tale rete (DHCP, ARP, ecc.).

Tieni presente che il comportamento di "telefonata a casa" di molte app moderne richiede il blocco del traffico in uscita o la fiducia dei server di terze parti di ciascuna applicazione. Ciò include le applicazioni che di solito si installano e si aggiornano per avere un set di funzionalità minimo su un normale computer (strumenti di ufficio, editor di immagini, browser, ecc.).

Solitamente i computer all'interno di una rete locale di un'azienda sono affidabili con configurazioni affidabili e affidabili di router e firewall. Dopotutto, se non fai parte dei tuoi dipendenti, hai un problema completamente separato.

Quindi, per rispondere alla tua domanda, se vuoi che i tuoi computer aziendali parlino tra loro, non saranno mai al 100% sicuri (no spazio aereo ). Ma i principi base dell'igiene di navigazione / email, l'anti-virus di routine, i backup di routine, i router configurati correttamente e la crittografia dei file importanti copriranno la maggior parte degli scenari ad alto rischio.

Se fai solo una cosa per motivi di sicurezza - trova una soluzione di backup decente in posto che usi . Poiché il furto di dati con dipendenti non fidati è un problema molto più difficile e merita un intero libro o l'assunzione di uno specialista.

are we (almost) 100% secure? Maybe excluding silly stuff, like when the user runs something in his PC that he found online, or got through email from an unknown source. Add to it, keeping the PCs updated.

Nulla è mai sicuro al 100%. Questo rende difficile rispondere a una domanda definita "roba stupida"? Che dire delle vulnerabilità XSS e CSRF sui siti Web visitati dai tuoi clienti. Se i client sono accesi e connessi a Internet e nessuno li usa, sono probabilmente sicuri - sarebbe difficile ottenere una connessione in entrata con le loro impostazioni predefinite. Il problema è che quando gli utenti iniziano a usarli potrebbero fare qualsiasi cosa. Non appena qualcuno utilizza un client per qualcosa di utile, i dati utilizzati diventano un rischio.

Would this be an effective security policy for a small company?

Sembra un passo ragionevole da prendere. Come detto, questo non copre tutti i rischi, ma isolerebbe ogni client dalle connessioni esterne e impedirebbe la propagazione locale di eventuali virus.

Could clients within this network attack/hack other clients?

Sì, se sono direttamente connessi l'uno all'altro - se ci sono porte aperte potrebbero essere vulnerabili e potenzialmente sfruttate da un altro client (ad esempio se qualcuno ha accidentalmente fatto clic su Yes al prompt di Windows Firewall per un listener di servizio) . C'è anche la possibilità di attacchi MITM contro altri client sulla rete. Se vuoi maggiore sicurezza, puoi configurare la tua rete per isolare ogni client (alcuni router hanno questa opzione per la rete wifi), ma con una rete cablata sarebbe più difficile.