Comments 4
Эта статья у вас тоже написана «на ногах»?
Пытаюсь понять вот это предложение:
Если устройство выданное, то оно — не корпоративное? А если корпоративное — то не выданное?
Или имеется в виду BYOD, то есть что можно подключаться со своих личных устройств? Если да — то каким образом устройство становится доверенным? На него надо ставить ваш админский софт? Или собирать MAC и отсылать службе безопасности, чтобы они добавили в «белый список»?
Пытаюсь понять вот это предложение:
у нас есть так называемый стандарт доверенного пользовательского устройства, который применяется к любому ноутбуку, смартфону или планшету, который подключается к нашей инфраструктуре. Независимо от того, является это устройство корпоративным или выданным.
Если устройство выданное, то оно — не корпоративное? А если корпоративное — то не выданное?
Или имеется в виду BYOD, то есть что можно подключаться со своих личных устройств? Если да — то каким образом устройство становится доверенным? На него надо ставить ваш админский софт? Или собирать MAC и отсылать службе безопасности, чтобы они добавили в «белый список»?
Статья написана точно не в офисе :-)
В фрагменте вы правы, я ошибся, когда писал. Речь о корпоративном и купленном за свои деньги.
Доверенное оно становится после соответствующей процедуры. На мобильных устройствах устанавливается соответствующий профиль, который подгружает нужные сертификаты, софт и т.п. На лэптопах схожая идея. Нужно установить необходимый софт и настроить комп
В фрагменте вы правы, я ошибся, когда писал. Речь о корпоративном и купленном за свои деньги.
Доверенное оно становится после соответствующей процедуры. На мобильных устройствах устанавливается соответствующий профиль, который подгружает нужные сертификаты, софт и т.п. На лэптопах схожая идея. Нужно установить необходимый софт и настроить комп
Если да — то каким образом устройство становится доверенным?
На него ставится специальный троян, который берёт устройство под свой полный контроль — управляет сетевым стеком, скачивает и запускает любые приложения из центра управления и так далее.
Если же пользователь не даёт согласие на установку трояна (хотя Cisco AnyConnect и не спрашивает об этом, скорее всего все эти условия прописаны в пользовательском соглашении самого AnyConnect и пользователь даёт согласие на любые действия фактом установки AnyConnect'а) или как-то мешает его работе, то устройство не считается доверенным и не может подключиться к сети.
Не уверен, что в самой Cisco это приложение называется именно трояном, но авторы OpenConnect (открытой реализации аналога AnyConnect) называют его именно «trojan binary»:
The 'Cisco Secure Desktop' is a bit of a misnomer — it works by downloading a trojan binary from the server and running it on your client machine to perform some kind of 'verification' and post its approval back to the server. This seems anything but secure to me, especially given their history of trivially-exploitable bugs.
www.infradead.org/openconnect/csd.html
Sign up to leave a comment.
Как Cisco уже 20 лет работает в режиме удаленного доступа и отсутствующего периметра?