我听说过很多关于从内到外保护网络的说法,认为人们无论如何都能访问网络。显然,可以采取一些简单的措施来阻止偶然的过路人,但如果有人真的想要进来,能阻止他们吗?
假设没有,一旦有人访问路由器,可以做什么(使用硬件或软件)来保护系统免受滥用?例如,我可以保护我的 Windows 机器免受他人攻击,同时仍能访问互联网和共享文件吗?
答案1
这是一个非常大的话题,涉及很多层次。最简单/最简单的解决方案是使用 VPN 或 SSL 隧道加密通过 wifi 的流量(无论使用 wep/wpa)。我能想到的最简单的方法是使用免费的Putty终端客户端建立一个SSH 隧道/代理通过陆线连接到互联网的某个系统(例如通过以太网连接到路由器的 Linux 机器)。
除此之外,您还可以/应该做许多其他事情,例如使用 VLAN 或 DMZ 来保持 LAN 和无线 LAN 之间的边界,以及其他常识性安全措施,例如确保您的所有系统都受到具有强密码的用户帐户的保护等。
答案2
你必须假设,如果有人想加入,他们就会加入——而不仅仅是无线网络。那么,从这个角度来看,无线网络有什么不同呢?
它们会广播,所以你必须加密所有内容。目前,WPA2 被认为可以胜任这项工作,但 WPA 和之前的 WEP 也是如此。攻击不断,每个“足够好”的解决方案最终都会被打破。对于家庭解决方案,使用 TKIP 的 WPA 可能很好,但对于更敏感的环境,你可能希望在 WLAN 上使用 VPN - 就像你在互联网上扩展 LAN 一样;它为你提供了端点之间的加密。
您会发现的另一个问题是可用性 - 无线网络很容易受到干扰,因此 DOS 是真实存在的;如果附近有东西在正确的频段产生 RF 信号,它甚至可能意外发生。因此,如果您想要一个强大的解决方案,无线可能不适合。
答案3
这就是为什么您需要实施纵深防御安全。尽可能保护接入点。如果有互连组件(网桥和路由器),请保护它们。使用防火墙锁定 PC,更新软件,教育您自己和使用家庭网络的其他人。使用安全协议。使用加密,即使在内部网络上的系统之间也是如此。尽可能保护您的软件,例如使用 Firefox 扩展,如 NoScript(许多(如果不是大多数)浏览器漏洞实际上都是 javascript 漏洞,几乎所有“驱动”下载都是)。