Parlerò dello stesso argomento di Cameron Miller : la fiducia è probabilmente la soluzione migliore. Deriva da una delle mie citazioni preferite:
In a networked world, trust is the most important currency. -- Eric Schmidt
(non estremamente rilevante per le reti di computer, ma hey)
Teoria
Fondamentalmente, l'opzione perfetta per la sicurezza della rete è avere entrambi:
- una rete che è sicura quanto puoi (non sarà mai sicura al 100%, ovviamente);
- e hanno anche grande fiducia in tutti i membri della rete.
Questo è spesso uno scenario possibile in un'organizzazione: si dispone di persone che si occupano della sicurezza della rete che assicurano attivamente che la rete funzioni bene e di dipendenti competenti (che tratti bene per ridurre i rischi di un dipendente canaglia). In parole semplici: in questo ambiente, le appliance di sicurezza di rete non riducono la fiducia che le persone nella rete hanno dell'amministratore di rete .
Applicato alla famiglia
In una famiglia direi che l'aggiunta di dispositivi di sicurezza di rete ridurrà la fiducia del tuo coinquilino in te (il che a sua volta riduce la tua fiducia in lui). Abbiamo appena avuto a domanda su tale situazione .
Questo potrebbe non essere un aspetto negativo, se le appliance di sicurezza della rete ottengono risultati migliori della fiducia, allora è un buon investimento. Tuttavia, se avessi un coinquilino di cui mi fiderei così poco per andare fino al punto di acquistare costose apparecchiature per proteggere la rete, mi sposterò . Il modello di minaccia più interessante è il malware sul computer dei tuoi coinquilini, ma se vi fidate l'uno dell'altro potreste parlare della sicurezza della rete. Questo è analogo alla formazione sulla sicurezza della rete in un'organizzazione.
Tutto questo e quanto segue sono i seguenti presupposti:
Your flatmate is not a teenager that would go to random porn websites and then be ashamed to admit he did.
Infine contiamo i costi di rinunciare alla fiducia e andare con una soluzione hardware + software:
- Cercare di implementare una VLAN su tre NIC è una situazione senza speranza, non c'è assolutamente alcun modo di farlo. Avrai bisogno di attrezzature extra.
- Un router di livello industriale che ha più di due NIC (uno per la LAN uno per la WAN) è piuttosto costoso, e intendo davvero il costoso. Anche la maggior parte delle organizzazioni (non correlate alla sicurezza) non utilizzano tali router. Ad esempio: la mia università (la sua rete principale) collega tutti gli studenti e il personale di 10k nella stessa rete attraverso diversi AP, quindi controlla la rete, senza VLAN.
- È probabile che sia più economico acquistare tre router di qualità cliente e collegarli tra loro.
Si noti che sotto il modello di minaccia del malware sul proprio computer flatmates, anche questo non è molto sicuro. Supponendo che il malware abbia il pieno controllo della sua macchina, diventa un insider attaccante. Ad esempio un insider può interfacciare le interfacce di amministrazione del router a forza bruta.
Conclusione
È molto più facile chiacchierare con il tuo coinquilino la mattina e chiedere:
Dude, your machine is trying to send packets to mine. You got infected with something, wanna me to have a look later?
L'aggiunta di tutta la sicurezza della rete sulla tua rete attuale ridurrà le possibilità che il tuo coinquilino risponderà:
Yeah, let's do it
In termini di gestione del rischio questa riduzione è una riduzione della sicurezza della tua rete.
Pertanto, i costi di aggiunta di hardware (e software) extra nella rete per proteggerli meglio superano di gran lunga i benefici aggiuntivi, poiché i benefici sono enormemente ridotti dalla riduzione della fiducia.
Note extra
- Uccidi Comcast, seriamente, uccidilo con il fuoco.
- Questa risposta non si applica affatto per un ambiente professionale