クライアント(LinuxとWindowsの両方を使用している)がネットワーク内のすべての着信トラフィックをブロックし、ルーターもすべての着信トラフィックをブロックしている場合、(ほぼ)100%安全ですか?ユーザーが自分のPCでオンラインで見つけたものを実行したり、不明なソースからの電子メールを介して取得したりする場合など、ばかげたものを除外するかもしれません。それに追加して、PCを最新の状態に保ちます。
これは中小企業にとって効果的なセキュリティポリシーでしょうか?このネットワーク内のクライアントは他のクライアントを攻撃/ハッキングできますか?
いいえ、実際にはオンラインでのユーザーの行動が最大のリスクです。インターネットからダウンロードしたプログラムや、簡単な電子メールの添付ファイルで受信したプログラムを実行しているだけの場合は、ユーザーを教育したり、技術的な手段を使用してファイルのダウンロードや電子メールの添付ファイルを防止したりできます。
問題は、ユーザーがWebサイトにアクセスするか、PDFファイルを開くだけでマルウェアに感染することです。これは対処がはるかに困難です!
私たちは(ほぼ)100%安全ですか?ユーザーが自分のPCでオンラインで見つけたものを実行したり、不明なソースからの電子メールを介して取得したりする場合など、ばかげたものを除外するかもしれません。それに追加して、PCを最新の状態に保ちます。
100%安全なものはありません。これは、「愚かなもの」として定義されているものとして答えるのが難しい質問になりますか?クライアントがアクセスしたWebサイトのXSSおよびCSRFの脆弱性についてはどうでしょうか。クライアントの電源が入っていてインターネットに接続されていて、誰も使用していない場合、クライアントはおそらく安全です-デフォルト設定でクライアントへの着信接続を取得するのは困難です。問題は、ユーザーがそれらを使い始めると、何でもできるということです。誰かが何か有用な目的でクライアントを使用するとすぐに、その使用されたデータはリスクになります。
これは中小企業にとって効果的なセキュリティポリシーでしょうか?
とるべき合理的なステップのようです。前述のように、これはすべてのリスクをカバーするわけではありませんが、各クライアントを外部接続から分離し、ウイルスがローカルに伝播するのを防ぎます。
このネットワーク内のクライアントは他のクライアントを攻撃/ハッキングできますか?
はい、それらが互いに直接接続されている場合-開いているポートがある場合、それらは脆弱であり、別のクライアントによって悪用される可能性があります(たとえば、誰かが誤ってYes
をクリックしてサービスリスナーのWindowsファイアウォールプロンプトを表示した場合) 。ネットワーク上の他のクライアントに対するMITM攻撃の可能性もあります。追加のセキュリティが必要な場合は、各クライアントを分離するようにネットワークを構成できます(一部のルーターには、wifiネットワーク用にこのオプションがあります)が、有線ネットワークでは、これはより困難になります。
まず、ほとんどのファイアウォール設定に関係なく、ルーターとPCで意図的に開いたままになっているTCP/UDPポートの数に驚かれることでしょう。基本的なオペレーティングシステムのネットワークサービスを可能にするため。コンピューターから外部に接続すると、ネットワークインターフェイスが有効になります。これにより、特定の一方的な着信パケットを受け入れて、そのネットワーク(DHCP、ARPなど)を維持できます。
最近の多くのアプリの「電話をかける」動作では、発信トラフィックをブロックするか、各アプリケーションのサードパーティサーバーを信頼する必要があることに注意してください。これには、通常のコンピューターに最小限の機能セットを持たせるために通常インストールして最新の状態に保つアプリケーション(オフィスツール、イメージエディター、ブラウザーなど)が含まれます。
通常、企業のローカルエリアネットワーク内のコンピューターは、堅牢でありながら妥当なルーターとファイアウォールの構成で信頼されています。結局のところ、あなたがあなたの従業員でなければ、あなたは完全に別の問題を抱えています。
それであなたの質問に答えるために-あなたがあなたのビジネスコンピュータがお互いに話したいなら、それらは決して100%安全ではありません(いいえ エアギャップ )。ただし、ブラウジング/電子メールの衛生管理、定期的なウイルス対策、定期的なバックアップ、適切に構成されたルーター、重要なファイルの暗号化の基本原則は、ほとんどのリスクの高いシナリオをカバーします。
セキュリティの目的で1つだけ行う場合は、使用する適切なバックアップソリューションを用意します。信頼できない従業員によるデータの盗難ははるかに困難な問題であり、本全体または専門家を雇う価値があります。