ludvik Já samozřejmě trochu plavu v tom v jakém vztahu je selic vůči tomu napadenému prvku, vůči tomu mikrotiku (resp. těm mikrotikům do kterých píše že přidal pravidla) a vůči notebookům uživatelů které chce skenovat.
Vycházím ze spekulace že je tam v roli ISP, jeho jsou ty Mikrotiky, dále TPLinky a notebooky jsou zákazníka, i když to skenování notebooků do toho nesedí.
Potom ale v dotazu chybí popis co je vlastně čí.
Zero trust mi ve vztahu k vlastní infrastruktuře přijde přiléhavý, nakonec existuje jeden predecent - Terminátor u CETINu - to je přesně to jak by mělo CPE od slušného provdiera vypadat-prostě dělá jen to co nezbytně nutné, není důvod aby to jakkoli interagovalo s vnitřkem sítě. Potom se nikdy nestane že by kdokoli z CETINu brečel že se mu něco zevnitř sítě zákazníka dobývá do Terminátoru. (Ano, i já brečím že z Terminátoru nevytáhnu ani SNMP údaje o rychlosti linky, ale ty nevytáhnu ze spousty jiných CPE. tak jsem to nějak obrečel). Asi si někdo z CETINu vzal do roku kalkulačku a spočítal si že takto to bude pro ISP nákladově nejlepší, i se započtením toho že komu se to nelíbí, může jít ke konkurenci. Snažil jsem se naznačit že selic by mohl provést podobnou kalkulaci a osvobodit se tím od řešení co mu kam leze.
ludvik Je to doma, ne v "enterprise".
Jasně, ale buď to prohlásím za domácnost, potom se nesmím divit ani nijak řešit že je to spinavé, infekční a celkově fuj, nebo přestanu tvrdiž že je to "jenom domácnost" a potom se mi tam alespoň některé enterprise prvky holt musí objevit.
Já i "domácnosti" jedu zerotrust a tam kde jsou hloupé krabičky tak holt tvrdé rozsegmentování na VLANy a filtrace mezi nimi (není výjimkou domácnost kde je 10VLAN), a jestli je jedna z nich infekční, je mi to jedno - zbytek domácnosti neohrozí. Naposledy třeba jakási ohavná činská rekuperace - má svou VLAN a že se snaží pořád lozit ven způsobem ze kterého by se Whalebone osypal ... whocares, nemá šanci. A mám klid, neřeším to, nekazím si spánek tím že někde něco bruteforcuje své okolí-to se bude dít vždycky, tedy dokud se nestanu diktátorem a nezakážu komplet Čínu, Huawei, nezkušené usery, TPLinky, IPv4 a další.
A nakonec - dělat domácnost "jako enterprise" nakonec vyjde pohodlněji než přemýšlet zda jsem zrovna v SOHO nebo enterprise. Je to dražší, ale mí zákazníci to unesou. Pokud ne, rád je nechám konkurenci, na trhu je místo pro všechny.
Long story short: Pokud jsi ISP a nikoli správce vnitřní sítě, udělej to jako CETIN a přestaň řešit že ti zákazník leze do CPE. Řešil by CETIN něco takového? Neřešil. Zhoršilo to jeho prosperitu? Nezhoršilo. Tak proč bys to měl dělat ty?