Средства и методы разработки

По мотивам поста SciFi -> До меня только что дошло, что все наши сети - дырявые. http://caxapa.ru/728118.html
1. Все наши сети (мелких и средних предприятий) имеют firewall, NAT и прочие описанные в учебниках приблуды для "сетевой безопасности". 2. Реальность нашей жизни требует, чтобы в сети были клиенты, за NAT, у которых работает Скайп, Watsap, Viber и еще кучка подобного говна. И каждое такое приложене умеет открывать доступ для себя для неких сущностей в сети. Причем диапазон адресов и диапазон портов, которые это приложение использует, нигде не задокументирован и может постоянно меняться. Если струдникам запретить иметь доступ к корпоративной почте с сотика и (или) планшета - то для фирм, которые что-то продают, это сильно понизит эффективность работы самой ценной части сотрудников - коммуникаторов с внешним миром. Причем часто надо не только почту, но и CRM и много чего еще - раздолье для куль хацкеров. 3. Если в сеть попадает умный троян, который использует те же механизмы работы своего протокола, что и скайп (но имеет другое наполнение пакетов и другие ключи для шифрования), то на уровне NAT отсечь это невозможно. 4. Если этот троян не начинает сразу пытаться выкачать все содержимое Вашей сети наружу, то даже чисто статистически его будет крайне трудно найти. 5. Можно пытаться делать умную защиту в виде некоего контрольного центра, который будет получать лог (в начале на уровне факта прохождения пакета) от NAT, анализировать таблицу трансляции адресов в реальном времени и прочая, но! Сложность такого решения будет большой => сложность не способствует надежности, да и стоимость такого решения будет такой, что малая и средняя фирмы могут и не захотеть его приобретать. 6. Можно внутреннюю сеть разбить на несколько подсетей, на каждом рабочем месте иметь несколько виртуальных машин (для инета, для работы), для сотиков и планшетов сделать отдельную точку доступа WiFi - но экономика далеко не всякого предпиятий вынесет такое. Для начала надо админа с ЗП {для нерезиновой} 200к - а много ли таких фирм даже в Москве? 7. Ноуты и виртуальные машины уживаются плохо. Есди мы имеем ноут с 10-й, на которую ставим VM, и именно в ней идет работа с "закрытыми материалами" - то это легко, но бесполезно, ибо клавиатурные логгеры и сники экрана. Во взамодействии с описанным выше умным трояном, и если атакующие не будут спешить - шансов у Вас нет. Никаких. Если же ставить на ноут Linux, изолировать его от сети (стобы сеть шла на виртуальный коммутатор VM - в линухе такое делается), в нем поднимать парочку VM - для инета и для "конфиденциальной работы с Windows" - то такой ноут сейчас стоит 150-200кр. Ибо ОЗУ надо минимум 16Г для такого, и ядер проца желательно 4. И да, у нас не только мегаадмин будет стоить 200кр, но и "полевые админы" будут уже по 100кр - это чем же надо заниматься, чтобы такое прокормить? 8. Наверное где-то есть современные учбники по сетевой безопасности, наверное все это можно выкурить - но это уже работа для профи. Для непрофессонала в сетевых технологиях это скорее всего нереально. 9. По эту лавочку расплодилась куча фирм, которые продают средства "продвинутой защиты". Но! Они никогда полностью не раскроют, как именно работают их системы. В итоге банальный рэкет - плати или согласись быть хакнутым. Да, и ответственности за то, что Вы заплатили, а Вас хакнули, эти ребята никогда не несут. Получается как-то полный пи... Все изложенное мной очевидно и без моих рассусоливаний - но под таким углом я на ситуацию никогда не смотрел.