家庭网络安全防御,如何做好家庭网络安全?

家庭防御的概念并不是什么新鲜事。军队使用这种策略来减缓敌对势力的推进。与其试图阻止敌人的所有前进,有时足以减缓他们的速度(希望他们投降或撤退)。网络安全也是如此。增加网络中的防御层可以降低整个网络受到威胁的可能性。当然,最终用户必须在安全性和可用性之间取得平衡(特别是如果您的最终用户是您的家人——让您的家人开心很重要!)

此外,与此同时,我们不想引入恶意行为者希望利用的新攻击媒介。虽然防病毒软件仍然是保护设备的重要工具,但此类软件实际上会增加网络的攻击面。如果防病毒公司的软件或供应链中的某些其他供应商遭到黑客攻击,您实际上可能会通过防病毒应用程序感染恶意软件!这有多讽刺?这种情况并非没有可能性。一个例子是CCleaner,它是一个类似于防病毒实用程序的 PC 维护实用程序。它试图从您的 PC 中删除不需要的垃圾。

更现实的是,纵深防御策略不会阻止所有入侵,即使该策略非常有用。您必须评估最重要的保护内容,并采取必要措施确保您的数据和系统受到保护。一个有用的文章,我发现提供了为什么在深度防御策略是不够的必要视角。您不应将所有希望都寄托在此策略上,您可能需要确保专注于保护适当的资产。您可能拥有世界上所有保护您资产的技术,但您最薄弱的环节可能是拥有访问数据特权的人。内部威胁与外部威胁同样重要。

同样,如果您的网络上的机器受到威胁,您不能总是信任内部网络上的设备。对于当前的威胁,仅保护网络外围是不够的。“不信任任何人”X-Files 类型的方法可以有益于提高您的网络安全性,只要您不要过于偏执,因为这可能会影响您家庭网络的可用性、性能和稳定性。

成功的衡量标准

出于家庭网络的目的,考虑您希望如何在不中断用户体验的情况下将安全控制分层到您的网络中是很有用的。简单地将 IoT 设备隔离到它们自己的网络上是一个好的开始,但您可以走得更远,仍然可以在您的家庭网络上获得出色的用户体验。当您的用户都对网络中断不满意或对复杂配置感到困扰时,您就会知道您在分层各种安全控制方面取得了成功。如果做得好,事情应该可以正常工作。您不应该仅仅因为您的家庭网络不是需要这种安全性和稳定性的企业网络而忽视这一事实——拥有一个安全、可靠、易于使用的家庭网络是很棒的!此外,您还有额外的好处,可以展示所有(技术人员)朋友!(我的妻子知道当我向某人展示我的家庭网络设置时,我可能会消失 45 分钟。)

示例场景 #1

当我第一次开始创建更先进的家庭网络的冒险时,我不知道在保护我的网络方面能走多远。它开始是根据功能和我希望某些设备在我的网络和 Internet 上拥有的访问级别来分离我网络上的设备的练习。一旦我使用 VLAN 分离了我的设备,我就开始建立防火墙规则来定义设备如何相互交互(VLAN 间通信)。我试图尽可能限制规则,但仍然允许我需要的功能。建立必要的防火墙规则后,我开始在我的网络交换机上使用端口隔离来进一步限制某些设备对我的网络的访问。特别是,我有一台较旧的 Apple TV 第 3 代,它只需要直接访问互联网,我的网络上没有其他任何东西。我将端口隔离配置为仅所有 Apple TV 3 以访问路由器连接到我的网络交换机上的端口。它不能与其他 VLAN 上的任何其他设备通信,甚至不能与同一 VLAN 上的任何设备通信。

在此示例中,应用了几层安全性:

  1. 为 IoT 设备创建 VLAN
  2. 防火墙规则允许 IoT 设备访问我网络的其他部分,例如我的 Plex 媒体服务器
  3. 在我的网络交换机上为某些仅限 Internet 的设备启用端口隔离

示例场景 #2

另一个更复杂的例子是我目前用作高质量婴儿监视器的 IP 安全摄像头。为了保护摄像机,我为它们创建了一个 VLAN。然后我阻止了对该 VLAN 的所有 Internet 访问。我的相机连接到网络,如果您不使用无线设备访问它们,这会增加额外的安全性,因为攻击者需要物理网络访问。但是,我使用较旧的 iPad mini 作为显示器,因为随身携带无线显示器比尝试将硬连线设备设置为婴儿显示器要方便得多。由于我使用的是 Ubiquiti 无线接入点,我可以为我的无线设备创建 VLAN(最多可以广播 4 个单独的 SSID)。我使用与有线摄像机相同的 VLAN ID 创建了一个无线 VLAN。由于它们在同一个 VLAN 上,应用了相同的防火墙规则,因此 iPad mini 也与 Internet 隔离。我有效地为我的婴儿相机监视器建立了一个封闭的网络,这是我出于安全目的所希望的。摄像头有自己的网络界面,我将其设置为使用 HTTPS 而不是 HTTP,以提高安全性。他们还拥有可以更改默认密码的密码,以及创建具有更有限权限的其他用户的能力。

后来,我为我的手机、我妻子的手机和旧的更大的 iPad 添加了访问相机网络的功能。我网络上的所有其他设备都被阻止访问摄像头。我在我所有的相机上创建了一个单独的非管理员帐户,并在我提到的 3 个其他设备上使用了这个限制更多的帐户。更严格的用户帐户不能平移、倾斜或缩放 (PTZ) 摄像机,也不能在麦克风中讲话。基本上只允许访问视频源。因此,如果有人可以设法破解我们的 3 台设备之一,则他们的访问权限将受到限制(假设他们不知道管理员帐户密码)。他们无法尖叫/骚扰我的家人,这是联网婴儿监视器的真正问题。我还安排了防火墙规则,以在晚上我们睡觉时禁止访问 3 个监控设备的摄像头。这增加了对可能在晚上每个人都睡着时试图入侵的黑客的更多安全性。

最后要注意的是,我添加了通过安装在我的 OPNsense 路由器上的 OpenVPN 服务远程访问我的相机的功能。我在 VPN 上使用证书启用了强加密,因此它应该相当安全,因为您通常不会听到很多关于 OpenVPN 漏洞的信息(当然,任何软件都不能保证)。此外,我应该能够发现异常的 VPN 活动,因为我只通过一台设备访问 VPN,所以如果我看到不止一台设备,那么我很可能有问题。

所以在这个场景中,我们实现了几个安全层:

  1. 为以太网连接的 IP 安全摄像机创建 VLAN
  2. 在我的无线 AP 上为与有线 VLAN 具有相同 VLAN ID 的 iPad 显示器创建了 VLAN
  3. 防火墙规则阻止 IP 摄像机和迷你 iPad 显示器访问互联网
  4. 防火墙规则允许我的 IoT 网络上的 3 个额外设备访问摄像头(但阻止所有其他 IoT 设备),这些摄像头计划在夜间不再需要时关闭
  5. 更改了摄像机的默认管理员密码
  6. 创建了一个非管理员用户,对 3 个特定设备的使用权限有限
  7. 在 IP 摄像机上设置允许的 IP/MAC 地址列表以强制哪些设备可以访问它们(防火墙规则是冗余的,但如果黑客可以访问防火墙规则无法访问的隔离 VLAN 上的设备,则仍然很有用申请,因为它在同一网络内)
  8. 只能通过强大的 OpenVPN 连接进行远程访问

这些只是关于如何分层安全控制以限制对设备或数据的访问的几个示例。攻击者可能必须穿透多层才能最终获取您的设备或数据。发生这种情况的难度越大,攻击者花时间进一步渗透到您的网络中的可能性就越小,特别是如果您不是家庭用户的大目标。这种策略应该有助于减少攻击的简单驱动,这些攻击会自动攻击任何具有暴露的、易受攻击的设备的用户。

但是,请记住,如果存在允许轻松“后门”访问的高风险安全漏洞(这是我在上面引用的文章中所说的潜在“陷阱”,因为它是不可能预测和阻止所有可能的漏洞)。不要让这种可能性吓跑您或让您觉得不值得在您的家庭网络中实施深度方法。您不必走极端,但一些简单的附加安全层可以对保护您的家庭网络产生重大影响。

Recommended Posts