Найти в Дзене
Мозги и Мир
2 подписчика

Безопасная "удаленка" из дома.

16
2 мин

Ну вот и сбылись для многих их мечты – просыпаюсь не в 6, а в 8:30, разминаюсь с эспандером и гантелями, бритва и душ, кофе, в 9 лениво включаю свой привычный, доставленный с рабочего места ноутбук или моноблок

Стоп.

Да. С привычного рабочего места. Где он работал в единообразной среде, подчиняющейся определенным правилам безопасности, с корпоративным сетевым экраном, обновлениями ПО и антивирусных баз, правами пользователей, сегментацией, с IDS и т.д., и т.п.

Из относительно безопасного уютного мирка – он прибыл в дикий лес. В котором «сын-двоечник» может легко и непринужденно скачать на свой ноутбук «патч для WoW» и радостно его запустить, где дочка может установить «приложение для накрутки в Инстаграм», и т.д., и т.п. Собственно, где все это уже может жить и процветать… Или же, висит в коридоре «маршрутизатор-от-провайдера». МГТС, например. Техподдержка которого имеет полный административный доступ к этому маршрутизатору («Алиса, стандартные пароли к роутерам МГТС...»), а, значит, и ко всей сети в вашем доме. По сути – и все.

Ну да, ваш «админ», наверное, постарался, и на вашем ноутбуке VPN и 2F авторизация, наверное, и токен, а не пароль на бумажке…Ну да, траффик зашифрован, и за обновлениями он уже ходит не к недоступному, возможно, корпоративному WSUS, …но где гарантия, что с ноутбука с «патчем для WoW» - к вам уже не лезет свежий SMB-червяк?.. А, собственно, и все… Потом все эти VPN и шифрования уже никакого значения не имеют.

Я не знаю, надолго ли этот карантин, или нет… Может – на две недели. Может – на месяц…

Но, как мне кажется, тем, кто работает у себя дома, уже сегодня (точнее, еще позавчера) имеет смысл купить хотя бы недорогой маршрутизатор, и строить свою «рабочую сеть дома», начиная от него, рассматривая всю вашу прочую домашнюю сеть – как некий аналог Интернет, как абсолютно небезопасную сеть.

Вот что-то такое. Маршрутизатор Mikrotik взят лишь как пример для "дешево и сердито". Не самый удобный аппарат для не-специалистов, но, по соотношению функциональности и стоимости - один из наилучших. Изображение взято с официального сайта Mikrotik.
Вот что-то такое. Маршрутизатор Mikrotik взят лишь как пример для "дешево и сердито". Не самый удобный аппарат для не-специалистов, но, по соотношению функциональности и стоимости - один из наилучших. Изображение взято с официального сайта Mikrotik.

Сегментация сети – не панацея, разумеется, но некоторое количество проблем, возникающих при миграции из «потенциально безопасной» сети в «безусловно опасную» - она снять позволяет.

Обновленная прошивка, хорошие пароли, и все ваши «устройства-из-офиса» уже выходят в мир через него. Только к нему будет подключаться ваш принесенный с рабочего места ноутбук, МФУ и прочее оборудование. Это как минимум. Дальше, при желании и необходимости, можно уже настроить на нем и VPN-клиент, подключающий весь ваш рабоче-домашний сегмент к корпоративным ресурсам, и т.д., и т.п…

Примерно так...
Примерно так...

Лучше всего, конечно, если этот вопрос будет решаться централизовано, вашим ИТ-департаментом (системным администратором и т.п.)

Bring Your Corporate Network At Home.