La société affirme que les connexions câblées sont un problème de sécurité
Quelqu'un à qui je suis lié est dans un camp d'étude pour la profession souhaitée. Cette personne, appelons-la Jane, est censée étudier rigoureusement pendant deux mois. Le logement fourni offre des connexions Internet sans fil, qui sont inégales et ne permettent pas la diffusion fluide de vidéos même de faible qualité, ou d'autres tâches utiles à étudier. Étant donné que Jane veut étudier pendant ses temps d'arrêt et rechercher des ressources comme référence au matériel, elle doit accéder à ces matériaux et souffrir d'une connexion lente. Il n'y a pas de modems fournis ou d'autres moyens de se connecter via Ethernet, et l'étudiant devrait avoir une certaine forme d'ordinateur de connexion sans fil, probablement.
Maintenant, je veux que Jane ait la meilleure expérience d'étude possible, et je comprends qu'ils pourraient juger cette expérience "la meilleure pour étudier", alors j'ai appelé et affirmé que j'étais intéressé à participer au camp moi-même, mais je n'ai qu'un ordinateur de bureau sans carte sans fil, et je m'attends à une connexion filaire. Après quelques heures, j'ai reçu une réponse disant ce qui suit:
"Nous ne fournissons pas de connexions câblées à notre réseau à cause des virus et autres"
Il était clair pour moi que les informations que je relayais étaient de seconde main, mais reconnaissant que je ne pourrais changer d'avis sur cette politique, je viens ici pour poser cette question:
Quels sont exactement les avantages en termes de sécurité qui pourraient être obtenus en proposant uniquement une connexion sans fil?
Dans ce cas, je suppose que la réponse qui m'a été donnée était authentique et pas seulement une excuse pour qu'ils ne fassent pas de travail supplémentaire ou quoi que ce soit de ce genre.
Avertissement: conjecture, car aucun de nous ne connaît sa configuration réelle.
Il est très probable que l'organisation possède son propre réseau, qui est câblé, ainsi qu'un réseau invité, qui est uniquement sans fil. Les deux sont des réseaux distincts. Il s'agit d'une disposition courante car la pose de câbles sur les bureaux est coûteuse, mais en vaut la peine, pour vos propres employés; la diffusion sans fil est bon marché et vaut chaque centime pour vos invités.
Lorsque vous avez demandé une connexion câblée, ils répondent à la question de sur quel réseau vous seriez connecté plutôt que comment vous vous connectez au résea. Et comme les deux sont intimement liés dans leur esprit ("le fil dur est notre réseau, le sans fil est le réseau invité"), ils répondent très simplement.
De leur point de vue, ils ne veulent pas de machines non organisationnelles sur leur réseau, uniquement sur le réseau invité - à cause des virus et autres choses. Nous pouvons tous comprendre que nous ne voudrions pas de visiteurs aléatoires sur nos réseaux internes, non? Ce serait donc un contexte dans lequel leur réponse prend tout son sens.
Je suggérerais de leur expliquer votre inquiétude et de voir si ils peuvent trouver une solution, au lieu de leur demander quelle solution vous attendez à travailler. Il se peut qu'ils s'attendent uniquement à ce que les clients aient besoin d'une connectivité suffisante pour la messagerie électronique et la navigation Web légère. Si vous expliquez que Jane a besoin de plus de bande passante pour ses besoins d'étude et que vous pouvez les convaincre que c'est une demande raisonnable, ils trouveront probablement un moyen d'aider - même si cela déplace simplement Jane dans une pièce plus proche de l'AP sans fil.
Cela dépend vraiment de la façon dont ils ont configuré leur réseau, nous ne pouvons donc que spéculer. Mais je peux fournir une anecdote similaire.
Ma bibliothèque locale dispose d'un wifi auquel vous pouvez vous connecter en utilisant votre carte de bibliothèque. Plusieurs chambres ont des ports Ethernet dans le mur, mais quand j'ai demandé si je pouvais me connecter, on m'a dit que l'Ethernet va directement au réseau principal avec accès aux bases de données de la bibliothèque, aux imprimantes, etc. Non destiné aux clients.
Il est courant de conserver des réseaux distincts pour les machines "de confiance" qui utilisent un antivirus fourni par l'entreprise, etc., et un réseau distinct à l'usage du public. Je suppose que le wifi vs Ethernet est aussi bon que n'importe quel autre pour diviser cela.
Je vais y arriver d'un point de vue de l'ingénierie de réseau (divulgation complète: CCNA/N +, je travaille sur des systèmes de réseau au niveau de l'entreprise qui incluent des sujets complexes que nous discuterons ici, ainsi que d'avoir fait ingénierie de réseau pour une université privée).
Chaque réseau est différent et chaque périphérique réseau est différent, mais il existe des points communs:
- De nombreux périphériques (commutateurs) au niveau de l'entreprise offrent une sorte de "VLAN" ("Virtual-LAN"), pour ceux qui ne sont pas familiers, pensez-y comme une façon de dire que "ce port de commutation est en LAN X, tandis que cet autre port de commutation est en LAN Y. ", cela nous permet de séparer les appareils de manière logique, afin que vous et moi puissions être connectés au même commutateur, mais ne nous voyons même pas via le ciblage MAC;
- De nombreux périphériques (commutateurs) au niveau de l'entreprise offrent un ciblage/déclenchement/"piège" SNMP pour basculer les ports entre différents VLAN en fonction de choses comme les adresses MAC et similaires;
Voici la chose à propos des connexions Ethernet/RJ-45/100M/1000M: nous utilisons généralement des appareils bas de gamme pour cela, car nous avons souvent "juste" besoin d'une connexion de base au routeur. Souvent, ils sont moins avancés et n'offrent pas de fonctionnalités de bonne qualité de ce qui précède. (Vous trouverez généralement une ségrégation "VLAN" sur à peu près tous les commutateurs de nos jours, mais le déclenchement et le ciblage SNMP sont beaucoup plus difficiles à trouver pour un bon prix).
Lorsque je travaillais pour l'Université, nous avons utilisé un logiciel qui examinerait un port de commutation et l'adresse MAC (un identifiant matériel unique pour votre port Ethernet) qui déciderait sur quel "VLAN" vous étiez: invité, personnel, faculté, étudiant , Lab, etc. C'était extraordinairement cher, tant en licence qu'en implémentation. Bien qu'il existe de bons outils gratuits pour le faire, il est toujours difficile à configurer et peut ne pas en valoir la peine en fonction des objectifs de l'entreprise. (Ce logiciel est notoirement peu fiable.) Un autre problème est qu'avec un travail suffisant, une adresse MAC peut être usurpée, ce qui la rend à peu près aussi sûre que l'utilisation du nom complet de quelqu'un.
Donc , nous devons prendre une décision, prendre en charge les connexions câblées qui peuvent être instables, non sécurisées et avoir accès à des ressources privilégiées, ou non?
Aucun réseau n'est parfaitement sécurisé, même si toutes les ressources du réseau "protégé" sont verrouillées, il existe toujours un risque de connexion d'un appareil étranger au réseau. Par conséquent, nous prenons souvent des décisions comme "tout BYOD se connecte à ce réseau sans fil". Nous pouvons transformer le réseau sans fil en réseau "Invité"/"Sécurisé", via différents SSID et mécanismes d'authentification. Cela signifie que nous pouvons avoir les deux les invités et les employés connectés à un point d'accès sans fil. Le coût de l'infrastructure est plus faible et nous bénéficions des mêmes avantages en termes de sécurité.
Comme ces autres réponses, il s'agit de conjectures ou de spéculations, mais d'après mon expérience (professionnelle), ce serait l'explication probable. Le coût de l'infrastructure pour prendre en charge les connexions câblées était trop élevé pour être justifié. (Et comme presque tous les appareils que les gens utilisent ont une capacité sans fil ces jours-ci, il est difficile de le justifier.) Considérant même Apple supprime les ports Ethernet du MacBook Pro par défaut, nous entrons dans une situation "ça vaut le coup?".
TL; DR;: Ethernet coûte trop cher à faire dans tous les domaines et à sécuriser correctement, tandis que le sans fil devient de plus en plus courant, sécurisé et plus facile à distribuer.
Il semble que cela soit résolu, mais je voulais insuffler une discussion sur "l'isolement des points d'accès sans fil", qui est un clic sur un bouton sur la plupart des déploiements de petite à moyenne échelle des fournisseurs tels que les petites écoles et les hôtels.
Je pouvais facilement voir un "camp d'été" reposant sur l'isolement des AP plutôt que sur la segmentation du réseau matériel pour empêcher les "virus et autres".
Ce que je ne sais pas, c'est si c'est vraiment une bonne défense, ou si cela peut être facilement éliminé.
Si le branchement du câble physique est une dérivation pour le mot de passe de connexion sans fil comme d'autres affiches l'ont mentionné, alors connectez un câble physique à un routeur sans fil dans une boîte verrouillée juste pour cet emplacement. De cette façon, vous avez à la fois la fiabilité et l'extensibilité d'une connexion filaire mais la sécurité (éléments en attente ci-dessous) d'un accès non physique. Vous pouvez ainsi également servir facilement de nombreux autres utilisateurs dans cette zone plus éloignée.
Bien sûr, les connexions câblées présentent des vulnérabilités telles que l'interception physique (câble) et des routeurs/concentrateurs/etc. vulnérables.
Je soupçonne que la VRAIE réponse n'est pas un problème de sécurité concernant les "virus et autres", mais plutôt qu'il est trop difficile et coûteux d'exécuter un câble Ethernet pour tous les campeurs. Mettre en place un routeur wifi est assez bon marché et simple: vous passez un câble du modem au routeur, le placez quelque part où il donne un bon signal dans toute la zone souhaitée, et vous avez terminé. Enfiler un câble Ethernet demande beaucoup de travail: vous devez faire passer un câble sur chaque poste de travail. Selon la façon dont vous voulez que les résultats soient beaux, cela peut signifier de déchirer les murs pour enfiler le câble.
Le Wi-Fi a le trou de sécurité inhérent que toute personne pouvant atteindre la portée du signal avec un ordinateur pourrait éventuellement pirater votre réseau. Je capte les signaux d'une douzaine de mes voisins chaque fois que j'allume mon ordinateur. Avec un réseau câblé uniquement, ils devraient s'introduire dans votre immeuble. Je ne vois aucune raison pour laquelle Ethernet serait moins sûr que le wifi, bien que j'avoue que je ne suis pas un expert en sécurité.
Plusieurs autres ont mentionné qu'ils pourraient avoir un réseau câblé avec un meilleur accès que le réseau wifi. Possible. Le problème n'est pas vraiment le fil vs le wifi, mais qu'un réseau a "par coïncidence" un meilleur accès qu'un autre, mais il est certainement possible que c'est ce à quoi quelqu'un pensait quand il a répondu à la question.