Docela cumim, ze se tu objevila zprava o (ne)sifrovanych aplikacich. Spolehat se na toto, jako ISP, a s tim se i vymlouvat je naprosto spatne.
1) ISP je dodavatel L1-L3 vrstev, pokud neni sjednano jinak (ruzne DDoS pracky aj. ktere z principu musi sahat i na vrstvy vyse). Z toho duvodu nema ISP co zajimat, jaka vyssi vrstva co jak sifruje nebo nesifruje a ma se zamerit konkretne na bezpecnost sve cinnosti. At uz je to zabezpecena a zprojektovana pokladka kabelu, nebo uzamceny rack, VLANy na switchi s L2 isolation nebo sifrovani provozu ve vzduchu, at se drzim kontextu, a tak dale az k routerum.
2) Pustit do eteru packety bez sifrovani, si muze dovolit leda tak McDonald protoze je mu u pr*ele, co dela jeho zakaznik. Omezi mu porty na 80/443, rychlost shapne na 5Mb/s a sbohem. Od ISP povazuju za nutnost, aby pochopil, ze v ten moment nesifrovane behaji vzduchem broadcast, multicast, treba i takove veci jako mDNS pokud to neni vylozene "last-mile" ale napriklad nejaka interni sit (viz zkusenost kolegy s nesifrovanym Rocketem). O access listech s MAC ani nemluvim, to nebyla prekazka ani v dobe WEP klicu, ani WPA, ani WPA2, proste nikdy. MAC adresy zarizeni z principu 802.11 hlavicky behaji nezasifrovane a neni tedy problem si je odposlechnout v promiskuitnim rezimu dopredu.
3) Veci jako KRACK nebo Deauth attack v pripade otevrene site budou vase smrt. Zatimco WPA3 (a snad krkolomne trochu i WPA2) resi PMF a chrani pripojene zarizeni pred temito utoky, na otevrene siti budou klienti vypadavat a mit timeouty stejne jako v dobach 802.11b a spatne naladenych RTS/CTS (jen si pekne zavzpominejte, kolik dnes mame usetreny prace 🙂)
Jeste bych asi pochopil otevrenou sit, kam dvere otevira Radius server, ale i v tomto pripade to neni dobre (nechci rict, ze je to spatne - urcite to tak hromada z vas provozuje, protoze je to kompromis mezi shared key a treba neustalou obmenou studentu/zamestnancu/...)