Las conexiones de cableado de la compañía son un problema de seguridad

Advertencia: Conjetura, porque ninguno de nosotros conoce su configuración real.

Es muy probable que la organización tenga su propia red, que está cableada, así como una red invitada, que es solo inalámbrica. Los dos son redes separadas. Este es un diseño común porque colocar cables en los escritorios es caro, pero vale la pena, para sus propios empleados; La transmisión inalámbrica es barata y vale cada centavo para sus invitados.

Cuando preguntaste acerca de una conexión por cable, responden a la pregunta de en qué red estarías en lugar de cómo te conectas a la red . Y como los dos están entrelazados en sus mentes ("el cableado es nuestra red, la inalámbrica es la red de invitados"), responden de manera muy sencilla.

Desde su punto de vista, no quieren máquinas no organizativas en su red, solo en la red invitada, debido a virus y otras cosas. Todos podemos entender que no queremos visitantes aleatorios en nuestras redes internas, ¿verdad? Entonces ese sería un contexto en el que su respuesta tiene sentido.

Sugeriría explicarles su preocupación y ver si ellos pueden encontrar una solución, en lugar de preguntarles sobre la solución que espera que funcione. Es posible que solo esperen que los invitados necesiten suficiente conectividad para el correo electrónico y la navegación web ligera. Si explica que Jane necesita más ancho de banda para sus necesidades de estudio, y puede convencerlos de que es una solicitud razonable, es probable que encuentren alguna manera de ayudar, incluso si se está mudando a Jane a una habitación más cercana al punto de acceso inalámbrico.

Realmente depende de cómo hayan configurado su red, por lo que solo podemos especular. Pero puedo proporcionar una anécdota similar.

Mi biblioteca local tiene un wifi en el que puedes iniciar sesión usando tu tarjeta de biblioteca. Varias salas tienen puertos Ethernet en la pared, pero cuando pregunté si podía conectarme, me dijeron que Ethernet iba directamente a la red de back-end con acceso a las bases de datos de la biblioteca, impresoras, etc. No está diseñado para clientes. / p>

Es una práctica común mantener redes separadas para máquinas "confiables" que usan antivirus suministrados por la empresa, etc., y una red separada para que la use el público. Supongo que wifi vs Ethernet es una forma tan buena como cualquiera de dividir eso.

Llegaré a esto desde un punto de vista de ingeniería de redes (divulgación completa: CCNA / N +, trabajo en sistemas de redes de nivel empresarial que incluyen temas complejos que también discutiremos aquí) (habiendo hecho ingeniería de redes para una universidad privada).

Cada red es diferente, y cada dispositivo de red es diferente, pero hay algunos puntos en común:

• Muchos dispositivos de nivel empresarial (conmutadores) ofrecen algún tipo de "VLAN" ("LAN virtual"), para aquellos que no están familiarizados, piense en esto como una manera de decir que "este puerto de conmutación está en LAN X, mientras que este otro switchport está en LAN Y. ", esto nos permite separar los dispositivos de forma lógica, de modo que usted y yo podamos estar conectados al mismo conmutador, pero ni siquiera vernos a través de la orientación MAC;
• Muchos dispositivos (conmutadores) de nivel empresarial ofrecen un enfoque / activación / captura "SNMP" de SNMP para cambiar los puertos entre diferentes VLAN basadas en cosas como direcciones MAC y similares;

Esto es lo que pasa con las conexiones Ethernet / RJ-45 / 100M / 1000M: normalmente usamos dispositivos de gama baja para esto, porque a menudo "solo" necesitamos una conexión básica con el enrutador. A menudo son menos avanzados y no ofrecen las características de buena calidad de las anteriores. (Por lo general, encontrará la segregación de "VLAN" en casi todos los conmutadores hoy en día, pero la activación y la orientación de SNMP son mucho más difíciles de encontrar a un buen precio).

Cuando trabajé para la Universidad, usamos un software que buscaría un switchport y la dirección MAC (un identificador de hardware único para su puerto Ethernet) que decidiría en qué "VLAN" estaba: Invitado, personal, Facultad, Estudiante, Laboratorio, etc. Esto era extraordinariamente caro, tanto en la licencia como en la implementación. Si bien existen buenas herramientas gratuitas para hacer esto, aún es difícil de configurar, y puede que no valga la pena, dependiendo de cuáles sean los objetivos de la empresa. (Este software es notoriamente poco confiable.) Otro problema es que, con suficiente trabajo, se puede falsificar una dirección MAC, lo que lo hace tan seguro como usar el nombre completo de alguien.

Entonces , debemos tomar una decisión, admitir conexiones cableadas que puedan ser inestables, inseguras y tener acceso a recursos privilegiados, o no?

Ninguna red es perfectamente segura, incluso si tenemos todos los recursos en la red "protegida" bloqueados, todavía existe el riesgo de que se conecte un dispositivo externo a la red. Por lo tanto, a menudo tomamos decisiones como "cualquier BYOD se conecta a esta red inalámbrica". Podemos convertir la red inalámbrica en una red "Invitada" / "Asegurada", a través de diferentes SSID y mecanismos de autenticación. Esto significa que podemos tener ambos a los invitados y empleados conectados a un punto de acceso inalámbrico. El costo de la infraestructura es menor y obtenemos el mismo beneficio de seguridad.

Al igual que en otras respuestas, esta es una conjetura o especulación, pero desde mi experiencia (profesional) esta sería la explicación más probable. El costo de infraestructura para soportar conexiones por cable era demasiado alto para justificarse. (Y como casi todos los dispositivos que usan las personas tienen capacidad inalámbrica en estos días, es difícil de justificar). Teniendo en cuenta que incluso Apple está eliminando los puertos Ethernet del MacBook Pro de forma predeterminada, nos metemos en un "¿vale la pena?" situación.

TL; DR ;: Ethernet es demasiado costoso de hacer en general y es seguro, mientras que la tecnología inalámbrica es cada vez más común, segura y más fácil de distribuir el acceso para.

Parece que esto se resolvió, pero quería inyectar la discusión sobre "Aislamiento de AP inalámbrico", que es un clic en un botón en las implementaciones de pequeña a mediana escala de la mayoría de los proveedores, como escuelas pequeñas y hoteles.

Podría ver fácilmente un "campamento de verano" basado en el aislamiento de AP, en lugar de la segmentación de la red de hardware para evitar "virus y otras cosas".

Lo que no sé es si esta es realmente una buena defensa, o si se puede romper fácilmente.

Sospecho que la respuesta REAL no es ninguna preocupación de seguridad sobre "virus y otras cosas", sino que es demasiado difícil y costoso llevar el cable Ethernet a todos los participantes. La configuración de un enrutador wifi es bastante barata y simple: ejecuta un cable desde el módem hasta el enrutador, póngalo en algún lugar donde emita una buena señal en toda el área deseada y listo. Unir un cable Ethernet requiere mucho trabajo: debe instalar un cable para cada estación de trabajo. Dependiendo de lo bonito que quieras que sean los resultados, eso puede significar arrancar las paredes para tender el cable.

Wifi tiene el agujero de seguridad inherente que cualquier persona que pueda obtener dentro del rango de la señal con una computadora podría hackear su red. Recibo las señales de una docena de mis vecinos cada vez que enciendo mi computadora. Con una red de cable solamente, tendrían que irrumpir en su edificio. No puedo pensar en ninguna razón por la que Ethernet sea MENOS segura que wifi, aunque confieso que no soy un experto en seguridad.

Varios otros han mencionado que podrían tener una red cableada con mayor acceso que la red wifi. Posible. El problema no es realmente cableado frente a wifi, pero esa red "casualmente" tiene mayor acceso que otra, pero ciertamente es posible que eso es lo que alguien estaba pensando cuando respondieron la pregunta.

Si conectar el cable físico es un bypass para la contraseña de la conexión inalámbrica, como se menciona en otros carteles, entonces conecte un cable físico a un enrutador inalámbrico en una caja bloqueada para esa ubicación. De esta manera, tiene la confiabilidad y la extensibilidad de una conexión por cable, pero la seguridad (elementos pendientes a continuación) de acceso no físico. Por lo tanto, también puede servir fácilmente a muchos otros usuarios dentro de esa área más remota.

Por supuesto, las conexiones cableadas tienen vulnerabilidades como la intercepción física (por cable) y los enrutadores / concentradores / etc. vulnerables

Mi pensamiento inmediato cuando leí el OP fue ACCESO FÍSICO. (El OP estaba buscando posibles escenarios donde el cobre (cable UTP) podría ser más un riesgo de seguridad que WiFi ...)

Lo primero (bueno, una de las primeras cosas) que aprendes acerca de la seguridad de TI es que los dispositivos de red físicos deben colocarse donde "nadie más pueda acceder a ellos"

El motivo de esto, generalmente, es que hay desagradables que puedes hacer con un dispositivo (como desactivar toda la red) si puedes "tocarlo físicamente". Cosas que no puedes hacer con una conexión remota.

Ejemplo: en un nuevo dispositivo Cisco, debe conectarse físicamente al dispositivo a través de un "cable de consola" para comenzar el proceso de configuración básica. Conceptos básicos como configurar el acceso remoto, configurar contraseñas, etc. También puede borrar fácilmente toda la imagen de IOS, eliminar la configuración en ejecución, etc.

Por lo tanto, para reducir ciertos riesgos de seguridad, puede poner sus dispositivos detrás de puertas cerradas y otorgar acceso a los dispositivos solo a aquellos que lo necesitan.

Entonces, volviendo a la pregunta del OP, podría decir que necesitaría acceso físico a un dispositivo para conectar un cable de conexión, mientras que no necesita acceso físico para hacer una conexión inalámbrica.

En ese escenario más básico, la conectividad inalámbrica representaría un riesgo de seguridad menor.

Y sí, sí, sí ..., sé que la mayoría de las conexiones físicas se realizan a través de la toma de pared y, por lo tanto, no necesita acceso directo al dispositivo de red en sí, pero estoy brindando un escenario SIMPLE que cumple con los requisitos La pregunta original de OP.