Argumentaré por el mismo argumento que Cameron Miller : la confianza es probablemente tu mejor apuesta. Se deriva de una de mis citas favoritas:
En un mundo en red, la confianza es la moneda más importante. - Eric Schmidt
(no es extremadamente relevante para redes de computadoras, pero bueno)
Teoría
Básicamente, la opción perfecta para la seguridad de la red es tener ambas:
- una red que sea lo más segura que puedas hacer (por supuesto que nunca será 100% segura);
- y también tienen una alta confianza en todos los miembros de la red.
Este es a menudo un escenario posible en una organización: tiene personas de seguridad de la red que se aseguran activamente de que la red esté funcionando bien y tiene empleados competentes (que trata bien para reducir los riesgos de un empleado deshonesto). En palabras sencillas: en este entorno, los dispositivos de seguridad de red no reducen la confianza que las personas en la red tienen del administrador de red .
Aplicado a la casa
En un hogar, argumentaría que agregar dispositivos de seguridad de red reducirá la confianza de su compañero de piso en usted (lo que a su vez reduce su confianza en él). Acabamos de tener a pregunta sobre tal situación .
Esto puede no ser algo malo, si los dispositivos de seguridad de red funcionan mejor que la confianza, entonces es una buena inversión. Sin embargo, si tuviera un compañero de piso en el que confiaría tan poco para comprar equipos costosos para proteger la red, me mudaría . El modelo de amenaza más atractivo es el malware en la computadora de sus compañeros de piso, pero si ustedes confían el uno en el otro, podrían hablar de seguridad de la red. Esto es análogo al entrenamiento de seguridad de red en una organización.
Todo esto y lo siguiente está bajo el siguiente supuesto:
Tu compañero de piso no es un adolescente que iría a sitios web de pornografía al azar y luego se avergonzaría de admitir que lo hizo.
Finalmente, contemos los costos de renunciar a la confianza e ir con una solución de hardware + software:
- Intentar implementar una VLAN en tres NIC es una situación desesperada, no hay absolutamente ninguna forma de realizar esto. Necesitará equipo adicional.
- Un enrutador de grado industrial que tiene más de dos NIC (uno para LAN uno para WAN) es bastante caro, y realmente me refiero a lo costoso. Incluso la mayoría de las organizaciones (no relacionadas con la seguridad) no utilizan dichos enrutadores. Por ejemplo, mi universidad (la red principal de la misma) conecta a todos los estudiantes y al personal de 10k en la misma red a través de varios AP, luego monitorea la red, no VLAN.
- Es probable que sea más barato comprar tres enrutadores de grado de cliente y conectarlos entre sí.
Tenga en cuenta que bajo el modelo de amenaza de malware en su computadora de compañeros de piso, lo anterior tampoco es muy seguro. Suponiendo que el malware tiene el control total de su máquina, se convierte en un atacante interno. Un usuario interno puede, por ejemplo, forzar las interfaces de administración del enrutador.
Conclusión
Es mucho más fácil conversar con tu compañero de piso por la mañana y preguntar:
Amigo, tu máquina está intentando enviar paquetes a la mía. Te infectaste con algo, ¿quieres que eche un vistazo más tarde?
Agregar toda la seguridad de la red encima de tu red actual reducirá las posibilidades de que tu compañero de piso responda:
Sí, hagámoslo
En términos de administración de riesgos, esa reducción es una reducción en la seguridad de su red.
Por lo tanto, los costos de agregar hardware adicional (y software) a la red para asegurarla mejor superan con creces los beneficios adicionales, ya que los beneficios se reducen enormemente por la reducción de la confianza.
Notas adicionales
- Mata a Comcast, en serio, mata eso con fuego.
- Esta respuesta no se aplica en absoluto a un entorno profesional