什么是家庭网络安全,为什么要关心它?
家庭网络安全是指保护将设备(例如路由器、计算机、智能手机和支持Wi-Fi的婴儿监视器和相机)相互连接并连接到家中互联网的网络。
许多家庭用户对其网络安全有两个常见的误解:
他们的家庭网络太小,不会面临网络攻击的风险。
他们的设备开箱即用“足够安全”。
大多数攻击本质上都不是针对具体哪个人的,并且可能发生在任何类型的网络上——无论大小、家庭还是企业。如果网络连接到Internet,本质上就更容易受到攻击,并且容易受到外部威胁的影响。
如何提高家庭网络的安全性?
通过遵循以下一些简单但有效的技术,可以明显减少家庭网络的攻击面,并使恶意网络攻击者更难发起成功的攻击。
定期更新软件。定期软件更新是可以采取的最有效步骤之一,以改善家庭网络和系统的整体网络安全状况,对于安全从业人员来说,这已经是老生常谈了。除了添加新特性和功能外,软件更新通常还包括针对新发现的威胁和漏洞的关键补丁和安全修复程序。大多数现代软件应用程序会自动检查新发布的更新。如果自动更新不可用,请考虑购买识别和集中管理所有已安装软件更新的软件程序。
删除不必要的服务和软件。禁用所有不必要的服务以减少网络和设备(包括路由器)的攻击面。未使用或不需要的服务和软件可能会在设备系统上产生安全漏洞,这可能会导致网络环境的攻击面增加。对于新的计算机系统来说尤其如此,供应商通常会在这些系统上预安装大量用户可能认为没有用的试用软件和应用程序(称为“膨胀软件”)。美国网络安全和基础设施安全局(CISA)建议研究并删除任何不经常使用的软件或服务。这点在网络安全等级保护基本要求里也有明确,对于家庭用户同样适用。
调整软件和硬件的出厂默认配置。许多软件和硬件产品都是“开箱即用”的,出厂默认配置过于宽松,旨在使其易于使用并减少客户服务的故障排除时间。不幸的是,默认配置并不面向安全。在安装后默认启用设备可能会为攻击者创造更多的利用途径。用户应采取措施强化默认配置参数,以减少漏洞并防止入侵。
更改默认登录密码和用户名。大多数网络设备都预先配置了默认管理员密码以简化设置,默认凭据并不安全,可能很容易在Internet上获得,或者甚至可能在设备本身上进行物理标记。保持这些不变为恶意网络参与者创造了未经授权访问信息、安装恶意软件和导致其他问题的机会。
使用强而独特的密码。选择强密码以帮助保护我们的设备。此外,不要对多个账户使用相同的密码。如果我们的一个账户遭到入侵,攻击者将无法破坏我们的任何其他账户。
运行最新的防病*软件。信誉良好的防病*软件应用程序是抵御已知恶意威胁的重要保护措施,可以自动检测、隔离和删除各种类型的恶意软件,例如病*、蠕虫和勒索软件。许多防病*解决方案非常易于安装且使用直观。建议家庭网络上的所有计算机和移动设备都运行防病*软件。此外,请务必启用自动病*定义更新,以确保最大限度地抵御最新威胁。注意:因为检测依赖于签名——可以将代码识别为恶意软件的已知模式——即使是最好的防病*软件也无法提供足够的保护来抵御新的和高级威胁,例如零日漏洞和多态病*。
安装网络防火墙。在家庭网络的边界安装防火墙以抵御外部威胁。防火墙可以阻止恶意流量进入家庭网络,并提醒我们注意潜在的危险活动。正确配置后,还可以作为内部威胁的屏障,防止不需要的或恶意软件访问互联网。大多数无线路由器都带有一个可配置的内置网络防火墙,其中包括额外的功能——例如访问控制、网络过滤和拒绝服务(DoS)防御,可以根据自己的网络环境进行定制。切记!默认情况下可能会关闭某些防火墙功能,包括防火墙本身。确保防火墙已打开并且所有设置都已正确配置将加强我们网络的网络安全。注意:Internet服务提供商(ISP)可能能够帮助我们确定防火墙是否具有最适合特定设备和环境的设置。
在网络设备上安装防火墙。除了网络防火墙之外,请考虑在连接到网络的所有计算机上安装防火墙,通常被称为基于主机或基于软件的防火墙,根据预先确定的策略或规则集检查和过滤计算机的入站和出站网络流量。大多数现代Windows和Linux操作系统都带有内置、可定制且功能丰富的防火墙。此外,大多数供应商将其防病*软件与额外的安全功能捆绑在一起,例如家长控制、电子邮件保护和恶意网站拦截。
定期备份数据。使用外部媒体或基于云的服务制作和存储设备上所有有价值信息的定期备份副本。考虑使用第三方备份应用程序,可以简化和自动化该过程。务必加密备份以保护信息的机密性和完整性。如果数据丢失、损坏、感染或被盗,数据备份对于最大限度地减少影响至关重要。
提高无线安全性。按照以下步骤提高无线路由器的安全性。注意:有关如何更改设备上的特定设置的具体说明,请参阅路由器的说明手册或联系ISP。
使用最强大的加密协议。建议使用Wi-FiProtectedAccess3(WPA3)个人高级加密标准(AES)和临时密钥完整性协议(TKIP),这是目前可供家庭使用的最安全的路由器配置。包含AES并能够使用、和位的加密密钥。该标准已获得美国国家标准与技术研究院(NIST)的批准。
更改路由器的默认管理员密码。更改路由器的管理员密码以帮助保护设备免受使用默认凭据的攻击。
更改默认服务集标识符(SSID)。有时也称为“网络名称”,SSID是标识特定无线局域网(WLAN)的唯一名称。无线局域网(WLAN)上的所有无线设备必须使用相同的SSID才能相互通信。由于设备的默认SSID通常标识制造商或实际设备,攻击者可以使用它来识别设备并利用其任何已知漏洞。使我们的SSID唯一且与我们的身份或位置无关,这将使攻击者更容易识别我们的家庭网络。
禁用Wi-Fi保护设置(WPS)。WPS为无线设备加入Wi-Fi网络提供了简化机制,无需输入无线网络密码。但是,WPSPIN身份验证规范中的一个设计缺陷大大减少了网络攻击者强行破解整个PIN所需的时间,因为它会在八位数PIN的前半部分正确时通知他们。许多路由器在尝试猜测PIN失败一定次数后缺乏适当的锁定策略,这使得暴力攻击更有可能发生。
降低无线信号强度。Wi-Fi信号经常会传播到我们家的范围之外。这种扩展的发射允许网络边界外的入侵者窃听。因此,请仔细考虑天线放置、天线类型和传输功率水平。通过试验路由器放置和信号强度水平,可以减少Wi-Fi网络的传输覆盖范围,从而降低这种攻击风险。注意:虽然这会降低我们的风险,但有动机的攻击者可能仍然能够拦截覆盖范围有限的信号。
不使用时关闭网络。虽然频繁关闭和打开Wi-Fi信号可能不切实际,但请考虑在旅行期间或长时间不需要在线时禁用它。此外,许多路由器提供配置无线计划的选项,该计划将在指定时间自动禁用Wi-Fi。当我们的Wi-Fi被禁用时,我们可以防止外部攻击者利用我们的家庭网络。
不需要时禁用通用即插即用(UPnP)。UPnP是一项方便的功能,允许联网设备在网络上无缝地发现和建立彼此之间的通信。然而,虽然UPnP功能简化了初始网络配置,但它也存在安全风险。最近的大规模网络攻击证明,网络中的恶意软件可以使用UPnP绕过路由器的防火墙,允许攻击者远程控制我们的设备,并将恶意软件传播到其他设备。因此,除非我们有特殊需要,否则我们应该禁用UPnP。
升级固件。检查我们的路由器制造商的网站,以确保运行的是最新的固件版本。固件更新可增强产品性能、修复缺陷并解决安全漏洞。注意:有些路由器可以选择开启自动更新。
禁用远程管理。大多数路由器都提供通过互联网查看和修改其设置的选项。关闭此功能以防止未经授权的个人访问和更改路由器配置。
监控未知设备连接。使用路由器制造商的网站来监控是否有未经授权的设备加入或试图加入我们的网络。
降低电子邮件威胁。网络钓鱼电子邮件仍然是恶意软件传送和凭据收集所采用的最常见的初始攻击媒介之一。攻击人为因素,被认为是每个网络中最薄弱的部分,仍然非常有效。要感染系统,攻击者只需说服用户单击链接或打开附件即可。好消息是,可以使用许多指标来快速识别网络钓鱼电子邮件。抵御这些攻击的最佳方法是成为受过教育且谨慎的用户,并熟悉网络钓鱼攻击的最常见元素。
参考来源:美国CISA