Door Anoniem:NATUURLIJK moet je geen telnet over internet gebruiken, maar dat zegt niks over de risico's bij het gebruik van telnet over het management VLAN.
Precies zo'n houding zorgt voor ellende. Effe lekker een risico-acceptatie eruit gooien en onveilige oplossingen implementeren. Zit toch standaard in het OS. Lever het nou eens veilig op. First Time Right, zeker bij security! Als je risico-profiel na 6 maanden verandert, b.v. doordat je een disgruntled engineer hebt of je iets over het hoofd hebt gezien bij de acceptatie van deze onveilige oplossing (en ik spreek uit ervaring dat heel veel mensen dingen over het hoofd zien bij een risico-acceptatie, vooral doordat ze zeer sturend naar een voor hun wenselijke oplossing toe kletsen), dan kun je weer opnieuw beginnen met testen, implementeren en documenteren. Oh de werkplek van de network engineer is gecompromitteerd, en nu kan met het telnet wachtwoord de complete backup worden versleuteld? Maar we hadden toch een risico-acceptatie waar zo goed over nagedacht is?
Sommige dingen hebben regels, juist omdat je daardoor niet meer na hoeft te denken over andere maatregelen. Kijk naar auto's. Waarom hebben we regels voor gebruik van een gordel? "Als ik 20 kilometer per uur rijd en goed uitkijk, dan maakt dat toch helemaal niets uit?". Doe die gordel om en je bent van een hoop risico's verlost, net zoals je van een hoop risico's verlost bent waar de meeste mensen niet eens aan denken bij Telnetgebruik.
Nee, blind opvolgen van regels is zeker niet goed en zal ik niet promoten, maar als de regel is "niet door rood rijden", dan vinden we het ineens raar als je daar vragen over stelt. "Ja, dat zijn mensenlevens", heb ik vaker horen zeggen. Op die manier kun je alles wel wegredeneren. First Time right, de belangrijkste les binnen security. Daarom is het ook zo'n security-chaos bij de meeste bedrijven.... doordat niet is nagedacht over veiligheid van oplossingen.