¿Los clientes que bloquean todas las conexiones entrantes son seguros?

No, en realidad el comportamiento de los usuarios en línea es su mayor riesgo. Si solo estuviera ejecutando programas descargados de Internet o recibidos en archivos adjuntos de correo electrónico que serían fáciles, podría educar a los usuarios o utilizar medios técnicos para evitar la descarga de archivos y los archivos adjuntos de correo electrónico.

El problema es que sus usuarios contraerán malware simplemente visitando sitios web o simplemente abriendo archivos PDF. ¡Y esto es mucho más difícil de tratar!

En primer lugar, se sorprendería de cuántos puertos TCP / UDP se dejan deliberadamente abiertos en los enrutadores y las PC, independientemente de la mayoría de las configuraciones de firewall; a fin de permitir servicios básicos de red del sistema operativo. Si se conecta desde su computadora, se habilita una interfaz de red, lo que implica la aceptación de ciertos paquetes entrantes no solicitados para mantener esa red (DHCP, ARP, etc.).

Tenga en cuenta que el comportamiento de "llamada telefónica a casa" de muchas aplicaciones modernas requiere que bloquee el tráfico saliente o confíe en los servidores de terceros de cada aplicación. Esto incluye las aplicaciones que normalmente instala y mantiene actualizada para tener un conjunto mínimo de funciones en una computadora normal (herramientas de oficina, editores de imágenes, navegadores, etc.).

Por lo general, se confía en las computadoras dentro de la red de área local de una empresa con configuraciones de enrutador y firewall sólidas pero razonables. Después de todo, si no tiene empleados, tiene un problema completamente separado.

Entonces, para responder a su pregunta, si quiere que las computadoras de su empresa se comuniquen entre sí, nunca estarán 100% seguras (no air gap ). Pero los principios básicos de navegación / higiene del correo electrónico, antivirus de rutina, copias de seguridad de rutina, enrutadores configurados correctamente y cifrado de archivos importantes cubrirán la mayoría de los escenarios de alto riesgo.

Si solo hace una cosa por motivos de seguridad, obtenga una solución de copia de seguridad decente en su lugar que utilice . Como el robo de datos con empleados que no son de confianza es un problema mucho más difícil y merece un libro completo o la contratación de un especialista.

  

¿Estamos (casi) 100% seguros?   Tal vez excluyendo cosas tontas, como cuando el usuario ejecuta algo en su PC que encontró en línea o recibió un correo electrónico de una fuente desconocida. Agregue a esto, manteniendo las PC actualizadas.

Nada es 100% seguro. Esto hace que sea una pregunta difícil de responder, ¿qué se define como "cosas tontas"? ¿Qué pasa con las vulnerabilidades de XSS y CSRF en los sitios web visitados por sus clientes? Si los clientes están encendidos y conectados a Internet y nadie los usa, están probablemente seguros: sería difícil obtener una conexión entrante con ellos en su configuración predeterminada. El problema es que cuando los usuarios comienzan a usarlos, podrían estar haciendo cualquier cosa. Tan pronto como alguien usa un cliente para algo útil, entonces los datos utilizados se convierten en un riesgo.

  

¿Sería esta una política de seguridad efectiva para una pequeña empresa?

Parece un paso razonable para tomar. Como se dijo, esto no cubre todos los riesgos, pero aislaría a cada cliente de las conexiones externas y evitaría que los virus se propaguen localmente.

  

¿Los clientes dentro de esta red pueden atacar / hackear a otros clientes?

Sí, si están conectados directamente entre sí: si hay puertos abiertos, podrían ser vulnerables y posiblemente ser explotados por otro cliente (por ejemplo, si alguien ha hecho clic accidentalmente en Yes en el indicador del Firewall de Windows para un oyente del servicio) . También existe la posibilidad de ataques MITM contra otros clientes en la red. Si desea seguridad adicional, puede configurar su red para aislar a cada cliente (algunos enrutadores tienen esta opción para la red wifi), pero con una red cableada, esto sería más difícil.