我的家庭 Windows 网络到底需要多安全？

有一次，星期天下午，我路过我那台可怜的 Linksys 路由器，发现活动指示灯疯狂闪烁。由于当时家里没人在使用电脑，我觉得应该调查一下。

当时的网络设置：DSL 调制解调器 -> 带有 WEP 密钥和 Mac 过滤的 Linksys 无线路由器 -> 2 个未启用远程桌面的 Windows XP 盒子，以及位于 DMZ 中运行 FreeBSD 的可怜的、长期受苦的 PII-333。

进一步检查 FreeBSD 系统上的日志表明，我正受到来自两个不同国家代码的大约 12 个不同 IP 的激烈端口扫描。

额外的头痛点：一我给了一个朋友一个 shell 帐户，让他可以从他的工作场所通过 SSH 登录？是的，他使用了错误的密码。我真傻。

我当时采取的步骤： - 停止广播无线的 SSID - 在无线路由器上实施 MAC 过滤 我很少使用无线，并且只在一个设备上使用，所以这对我来说很有意义。

• 默认关闭无线功能...在我带着笔记本电脑回到沙发上之前，将一个孩子踢出 WinXP 桌面并通过管理界面启用 AP 上的无线功能并不需要花费太多精力。

• 我反复告诉自己，如果没有充分的理由，东西就不需要留在 DMZ 中

谁知道打开 Linksys 上的端口是如此简单，让我可以好好享受《军团要塞》游戏？阅读路由器的文档。

• 将 SSH 移至我的 UNIX 机器上的非默认端口

我每天仍然会在家用 DSL 连接上看到至少两次端口扫描，附近使用同一提供商的朋友也表示他们经常看到端口扫描。由于懒惰，他们只扫描常用端口。

• 在 UNIX 机器上，改为使用 SSH 密钥而不是密码。如果他们找到我的 SSH 端口，他们就需要我的 SSH 密钥。

我有时间时计划执行的步骤： - 再次设置基于 pfSense 的防火墙/路由器。之前的那个出现了 HD 故障，我重新将 linksys 用作路由器。

我的想法 ...

1- DSL 路由器：标准 NAT，关闭对 Web 管理的外部访问，关闭通用即插即用，使用盾牌升起以确保您已被锁定。

2- 无线：如果您使用无线，则使用 WPA2 加密。不必费心隐藏 SSID；那只是无用的安慰。如果您不经常添加设备，请使用 MAC 地址锁定。我的朋友和孩子的朋友经常来我家，所以我不会这样做。

3- 外部访问：我会使用 VPN，而不是仅仅为 SSH 或其他远程访问而钻防火墙的空子。一些消费级路由器有这些功能（或者参见下面我关于 Astaro 的说明）。

4- 密码：我会在系统上设置相对较强的密码，即使它们都是相同的或都是家人都知道的。

5- 管理员级别：来吧.. 你肯定更了解！我会避免以管理员级别运行以供常规使用，即使每个人都知道密码。

6- 备份：你要保护什么？你表示你唯一会丢失的就是一些媒体。我对此表示质疑。你有财务记录吗？你有家庭照片吗？你需要备份……参见这个问题进行有关家庭备份的讨论。

如果您想获得一些乐趣并获得更安全和更细致的服务，请获取（免费供家庭使用）Astaro 安全网关软件并将其放在带有两个网卡的旧电脑上。

这是“superuser.com”的问题，但同样的原则也适用于家庭网络，包括最小特权、保存备份等。

请记住，您运行的所有程序（无论是故意运行，还是由于错误导致计算机上执行任意代码）都会获得您拥有的任何权限。这可能会让您考虑使用非特权用户帐户。

如果您在意外运行蠕虫、特洛伊木马等病毒时担心数据丢失，您也可以考虑保留离线备份。特洛伊木马可以破坏您最低权限用户帐户可以访问的所有文件，但它无法触及架子上的断开连接的硬盘驱动器上的文件（或者更好的是，放在其他不会像您的房子一样被烧毁/吹走/淹没的建筑物中）。

也许您并不想让任何数据被公开，但请考虑一下窃贼窃取您的计算机后会得到什么。您可能要重新考虑至少对部分文件使用强密码加密。

您的设置与我的非常相似。唯一的区别是，我保留防火墙（添加了例外），并在 WPA2 无线安全中添加了 MAC 地址过滤。