我怀疑现在我的家庭设置非常接近“标准”的书呆子家庭设置 - 我有一台或两台 Windows PC、一台连接到电视的媒体 PC 和一对 iPhone,所有这些都位于无线路由器/NAT/DSL 调制解调器后面。没有服务器,没有域,只有经典的 Windows 对等网络。
由于这是家庭网络,所以系统上没有什么比《神秘博士》剧集和文字处理文档更有价值的东西了。在最好的情况下,我们完全没有任何安全措施,这样我和我的妻子就可以毫不费力地移动文件等,但我们真的不希望有任何黑帽决定破坏系统。
目前,我们已经开启了无线的全面安全保护 - 仅此而已。Windows 机器上的默认帐户是管理员级别帐户,无需密码。网络上的共享文件夹完全共享,无需任何凭据。
那么,问题是,我在家里到底需要多少?我可以关闭 Windows 防火墙吗?考虑到所有帐户的密码都是 ,我可以打开远程桌面吗<enter>
?
简而言之,对于家庭使用,我真的需要比 WPA2 无线路由器密码和硬件 NAT 更强大的东西吗?
答案1
有一次,星期天下午,我路过我那台可怜的 Linksys 路由器,发现活动指示灯疯狂闪烁。由于当时家里没人在使用电脑,我觉得应该调查一下。
当时的网络设置:DSL 调制解调器 -> 带有 WEP 密钥和 Mac 过滤的 Linksys 无线路由器 -> 2 个未启用远程桌面的 Windows XP 盒子,以及位于 DMZ 中运行 FreeBSD 的可怜的、长期受苦的 PII-333。
进一步检查 FreeBSD 系统上的日志表明,我正受到来自两个不同国家代码的大约 12 个不同 IP 的激烈端口扫描。
额外的头痛点:一我给了一个朋友一个 shell 帐户,让他可以从他的工作场所通过 SSH 登录?是的,他使用了错误的密码。我真傻。
我当时采取的步骤: - 停止广播无线的 SSID - 在无线路由器上实施 MAC 过滤 我很少使用无线,并且只在一个设备上使用,所以这对我来说很有意义。
默认关闭无线功能...在我带着笔记本电脑回到沙发上之前,将一个孩子踢出 WinXP 桌面并通过管理界面启用 AP 上的无线功能并不需要花费太多精力。
我反复告诉自己,如果没有充分的理由,东西就不需要留在 DMZ 中
谁知道打开 Linksys 上的端口是如此简单,让我可以好好享受《军团要塞》游戏?阅读路由器的文档。
- 将 SSH 移至我的 UNIX 机器上的非默认端口
我每天仍然会在家用 DSL 连接上看到至少两次端口扫描,附近使用同一提供商的朋友也表示他们经常看到端口扫描。由于懒惰,他们只扫描常用端口。
- 在 UNIX 机器上,改为使用 SSH 密钥而不是密码。如果他们找到我的 SSH 端口,他们就需要我的 SSH 密钥。
我有时间时计划执行的步骤: - 再次设置基于 pfSense 的防火墙/路由器。之前的那个出现了 HD 故障,我重新将 linksys 用作路由器。
答案2
我的想法 ...
1- DSL 路由器:标准 NAT,关闭对 Web 管理的外部访问,关闭通用即插即用,使用盾牌升起以确保您已被锁定。
2- 无线:如果您使用无线,则使用 WPA2 加密。不必费心隐藏 SSID;那只是无用的安慰。如果您不经常添加设备,请使用 MAC 地址锁定。我的朋友和孩子的朋友经常来我家,所以我不会这样做。
3- 外部访问:我会使用 VPN,而不是仅仅为 SSH 或其他远程访问而钻防火墙的空子。一些消费级路由器有这些功能(或者参见下面我关于 Astaro 的说明)。
4- 密码:我会在系统上设置相对较强的密码,即使它们都是相同的或都是家人都知道的。
5- 管理员级别:来吧.. 你肯定更了解!我会避免以管理员级别运行以供常规使用,即使每个人都知道密码。
6- 备份:你要保护什么?你表示你唯一会丢失的就是一些媒体。我对此表示质疑。你有财务记录吗?你有家庭照片吗?你需要备份……参见这个问题进行有关家庭备份的讨论。
如果您想获得一些乐趣并获得更安全和更细致的服务,请获取(免费供家庭使用)Astaro 安全网关软件并将其放在带有两个网卡的旧电脑上。
答案3
这是“superuser.com”的问题,但同样的原则也适用于家庭网络,包括最小特权、保存备份等。
请记住,您运行的所有程序(无论是故意运行,还是由于错误导致计算机上执行任意代码)都会获得您拥有的任何权限。这可能会让您考虑使用非特权用户帐户。
如果您在意外运行蠕虫、特洛伊木马等病毒时担心数据丢失,您也可以考虑保留离线备份。特洛伊木马可以破坏您最低权限用户帐户可以访问的所有文件,但它无法触及架子上的断开连接的硬盘驱动器上的文件(或者更好的是,放在其他不会像您的房子一样被烧毁/吹走/淹没的建筑物中)。
也许您并不想让任何数据被公开,但请考虑一下窃贼窃取您的计算机后会得到什么。您可能要重新考虑至少对部分文件使用强密码加密。
答案4
您的设置与我的非常相似。唯一的区别是,我保留防火墙(添加了例外),并在 WPA2 无线安全中添加了 MAC 地址过滤。