История изменений

Это когда в локалке исключено появление устройства, работающего с незапланированными настройками сети и айпи-адрес можно считать достаточным для авторизации по нему. В интернете же таких (непонятных) устройств почти все - ты не можешь контролировать ни глобальный роутинг, ни наличие всяких mitm-ов.

Способы организации безопасной локалки разные бывают, общие направления такие:

1) на механическом уровне - запереть всё железо под замок, чтобы посторонние люди не могли куда-нить воткнуть патч-корд или ещё как-то подключиться

2) на уровне сетевого железа - фильтровать все пакеты, у которых айпи-адрес отправителя не соответствует разрешённому для данного физического порта

3) на уровне ОС - операционная система не даст приложению слать пакеты с незапланированными для данного приложения адресами отправителя (настройкой интерфейса, файрволлом по uid или контейнеру если айпи-адресов у компа несколько, главное чётко разграничить урезанные права пользовательских процессов от административных прав настройки сети)

Это когда в локалке исключено появление устройства, работающего с незапланированными настройками сети и айпи-адрес можно считать достаточным для авторизации по нему. В интернете же таких (непонятных) устройств почти все - ты не можешь контролировать ни глобальный роутинг, ни наличие всяких mitm-ов.

Способы организации безопасной локалки разные бывают, общие направления такие:

1) на механическом уровне - запереть всё железо под замок, чтобы посторонние люди не могли куда-нить воткнуть патч-корд или ещё как-то подключиться

2) на уровне сетевого железа - фильтровать все пакеты, у которых айпи-адрес отправителя не соответствует разрешённому для данного физического порта

3) на уровне ОС - операционная система не даст приложению слать пакеты с незапланированными для данного приложения адресами отправителя (настройкой интерфейса, файрволлом по uid или контейнеру если айпи-адресов у компа несколько, главное чётко разграничить урезанные права пользовательских процессов от административных