Разрешать ли сотрудникам выходить в интернет с личных телефонов?

Question

[Velynder]

Я системный администратор на предприятии. Сотрудники просят разрешения установить в кабинете Wi-Fi роутер. Подскажите, как быть?
Вопрос не в том, что они будут использовать служебный интернет, а в том как это может повлиять на безопасность сети предприятия.

Comments

[Константин Нагибович]

Через Wi-Fi можно будет попасть в сеть предприятия?

[EVGENY T.]

А вот это тест для вас, на зрелость.

Можно сказать "ой нельзя", прикрыть зад веником, заручившись поддержкой руководства. Так проще.

А можно сделать вещь во имя свободы, взяв ответственность на себя.

Выбор чисто человеческий, не сильно профессиональный.

Answer 1

[АртемЪ]

как это может повлиять на безопасность сети предприятия.

Да никак.
Сотрудникам доступ нужен в интернет? Вот и дайте им доступ в интернет, зачем их пускать в сеть предприятия?
А если их не пускать в сеть предприятия - значит это никак не повлияет на безопасность сети предприятия.

В большинстве организаций обычно так -
Одна WiFi сеть является частью сети предприятия - там грамотно организована аутентификация, и безопасность.
Вторая WiFi сеть это доступ в интернет для гостей и частных нужд работников предприятия - вообще без пароля, и или с паролем 123.

Comments

[robux]

Верно, вторую wi-fi учетку можно сделать на том же самом роутере, например, в "Advanced-Guest zone". Там можно задать второе имя wifi и пароль, а ещё расписание работы (например, чтоб работало только в период 7:00-20:00).

Там же можно включить "Client isolation", а можно задать отдельный диапазон IP, и уже на маршрутизаторе ограничить доступ с этих IP на ресурсы локальной сети.

[Sergey Ryzhkin]

Без пароля нельзя уже никакой сети на предприятии делать. Должен быть учет даже гостевой. Закон то никто не отменял. А так да, две сети: одна с доступом к локальным ресурсах, вторая без.

[АртемЪ]

Sergey Ryzhkin,

Без пароля нельзя уже никакой сети на предприятии делать. Должен быть учет даже гостевой. Закон то никто не отменял

Можно поинтересоваться о каком именно законе идет речь?
Номер, дату принятия?

[Sergey Ryzhkin]

АртемЪ, Навскидку не помню, тот что о WiFi в публичных местах. Там уже куча постановлений было и правок.
Я консультировался на этот счет, его можно легко причислить к любом предприятию, где есть люди. Вам все равно нужна идентификация людей, в том числе и ваших же сотрудников. А так к вам может прийти курьер, заехать водитель, прийти люди в конференц зал для презентации чего либо, либо просто встать у забора где сигнал ловит и пользоваться услугами вашего интернета.
Ничего в открытом доступе быть не должно, строго по паролю и с логированием, чтобы даннные оставались.

[АртемЪ]

Sergey Ryzhkin, Ну в публичных местах да. Если там кафе, магазин и организовать там доступ к сети нужна идентификация.
А если это просто частный офис, где работают сотрудники - такого требования нет. Воспользоваться интернетом конечно могут, но каких-то требований со стороны закона тут нет.

[Sergey Ryzhkin]

АртемЪ, Я не собираюсь ничего никому доказывать. Вы вправе думать как вам угодно, я лишь сказал то, что знаю от людей, которые работают в этой сфере. Верить или нет ваше право.

[SaM1808]

Поддерживаю Sergey Ryzhkin...
Если вы создаете публичную Wi-Fi зону доступа в Интернет , вы обязаны об этом уведомить провайдера - это раз. И это прописано сейчас в большинстве типовых договоров с оператором.
Второе - учет пользователей должен быть обязательный, если wi-fi публичный... Я номера законов конечно не помню, но у правоохранительных органов логика следующая: вы _осознано_ создали публичный доступ в интернет, потенциальный террорист может подключиться и вести террористическую деятельность; т.к. вы осознано это сделали, попадаете под статью "содействие терроризму" ну и а дальше все по накатаной... Т. об., вам не запрещают делать публичную точку доступа... в ваших интересах ограничить доступ к этой точке только для известных вам лиц или регистрировать всех, подключаемых к данной точке.

[АртемЪ]

SaM1808,

Если вы создаете публичную Wi-Fi зону доступа в Интернет , вы обязаны об этом уведомить провайдера - это раз.

Разумеется, разве с этим кто-то спорит?

Второе - учет пользователей должен быть обязательный, если wi-fi публичный...

Да это 126ФЗ и правила оказания услуг связи, там все прописано.
Но разговор вроде не о публичных точках был, а о беспроводной связи в организации.

у правоохранительных органов логика следующая

Логика у них может быть какая угодно, ее может и не быть.
Надо законами руководствоваться, а не логикой.

[SaM1808]

Но разговор вроде не о публичных точках был, а о беспроводной связи в организации

Если у вас организация за высоким забором, с автоматчиками и блок постами - то welcome, можете пробовать, хотя я бы не стал. Если есть хоть один шанс гостевого доступа без ничего - то это уже публичный доступ, не важно в каком месте.

Логика у них может быть какая угодно, ее может и не быть. Надо законами руководствоваться, а не логикой.

Поверьте, в российском суде поверят _их_ логике, а не _вашим_ законам. Доказано не раз уже...

[АртемЪ]

SaM1808, Если у вас организация за высоким забором, с автоматчиками и блок постами - то открытый WiFi там нафиг не нужен.
А вот в обычном офисе, когда клиент приходит и ему иной раз надо с почты счет скинуть - не будешь же его заставлять проходить полноценную аутентификацию.
Либо скажешь пароль - 123, либо просто сообщишь что пароля нет.

Поверьте, в российском суде поверят

Ну в судя для начала должны указать закон который это дело запрещает.

Answer 2

[ТыжСисАдмин]

Соглашусь с АртемЪ и дополню Александр

Давно уже настали такие времена что интернет глубоко засел в нашу жизнь и вполне нормальная ситуация когда юзеры хотят иметь на работе стабильный и быстрый доступ.
Тут конечно можно долго рассуждать на тему "корп. ресурсов" и о том что не следует на работе отвлекаться на социалочки и т.п. но по большей части это сходит на нет ибо люди вполне по работе переписываются по вайберу и используют различные сервисы которые в результате приносят пользу предприятию. (не берем в расчёт режимные предприятия, там всё сложно)

Но!
Учитывая нынешние реалии и идиотизм в законодательстве, стоит помнить о том что в любой момент могут прийти дяди в погонах и предъявить какойнить "экстремистский" пост в социалочке, написанный с вашего ойпи и под псевдонимом.
Необходимо сразу задуматься над тем как решать эту проблему, дать сотрудникам на подпись бумажку что они несут ответственность это можно но как потом идентифицировать нарушителя из общей массы...

В общем, дать интернет это не плохо, плохо то что может за этим последовать (учитывая реалии).

Answer 3

[Александр]

Да как обычно - если обычное предприятие(не режимное), сеть роутеров изолирована VLAN - то нечего бояться.
А еще можно дать бумагу подписать что они сами отвечают за то куда лазят и содержимое своего телефона - и если вдруг чего - будут крайними. Чтобы понимали что рабочая сеть это не домашняя.

Answer 4

[EvgenyMorozov]

Я бы не стал пускать работников в сеть даже через VLAN. Сейчас мобильный интернет настолько дешев, что даже как-то странно, зачем людям wi-fi. И к тому же помните, что из сети предприятия они оставляют комменты на сайтах и в соцсетях от ip-адреса предприятия. Вдруг чего случится, придут разбираться к вам, и если у вас нет логов на каждого юзера, то...
И вообще, не камильфо смешивать рабочее и личное.

Comments

[NSA-bot]

Бесплатный WiFi дешевле чем дешевый мобильный интернет.

Answer 5

[Drno]

Зачем сотрудникам wifi ? Есть же lte у всех...
И вообще на работе надо работать, а не инстаграмм листать. Цитирую любое руководство))

Comments

[NSA-bot]

Смотря какая работа ;) И почему именно/только Инстаграм?

[NSA-bot]

Страна большая, LTE есть далеко не у всех, и даже если и есть, оно не везде ловится.

[Drno]

NSA-bot, потому что начальство обычно там зависает и выдает эти умные перлы про работу)

[NSA-bot]

Drno, понятно, везде своя специфика )) просттт я работаю в интернете и мне странно слушать про то, что вайфай не нужен )

[Drno]

NSA-bot, ну все рабоатю в интернете. Но сотрудником бухгалтерии например он особо ненужен. Если все ресурсы есть в сети и на ПК е инет...

Answer 6

[other_letter]

Перенесите эту головную боль на начальство.
Спросите или как там у вас положено.
Довод "за" - люди будут меньше заниматсья хернёй с рабочих компов. Довод "против" - понятен.
Технически ничего сложного в обслуживании нет, SLA низкие.

Answer 7

[Saboteur]

1. Либо вы ставите Wifi-роутер и пускаете всех с телефонов в локальную сеть.
2. Либо вы ставите Wifi-роутер в отдельном VLAN, и пускаете всех с телефонов сразу в инет, а не в локальную сеть.
3. Либо вы не ставите Wifi-роутер.

Answer 8

[CityCat4]

Подскажите, как быть?

Отправлять всех к руководству.