很久以前读过三体,其中提到我们的宇宙其实就是一个黑暗森林,一旦位置暴露,就会遭到毁灭性的打击。
在我看来,网络世界也是一个黑暗森林一样的存在,如果你的公网ip地址暴露,就会随时遭受到世界各个地方的嗅探或者攻击,当然家庭网络一般是局域网环境,所以网络安全目前主要针对的是企业级环境,当然也包括一些具备公网ip的家庭网络,而我家的宽带就具备动态公网ip,虽然动态ip可以通过重新获取来变更,但是运营商分配的动态ip是有一定范围的,而且谁也不会时不时重拨来变更ip地址,再加上家庭网络一般没有硬件防火墙设备,所以如果黑客真要攻击你的家庭服务器设备,是一件很轻松的事,不过黑客也要权衡利弊,谁都不希望发起一次无利可图的攻击,但是网络世界的嗅探(端口扫描)无处不在,一旦突破防御,你服务器中个人信息以及资料也就暴露了。
很多东西都有两面性,家庭nas等设备方便了自己,同时也带来了隐患,就像你家庭所开放的某些服务不使用https,那么在你或者你的朋友使用这些服务的过程中,这些数据到达的每一个节点(路由器、交换机)都是透明的,这也是为什么现代浏览器对于http站点会有很强烈的安全风险提示的原因,所以站点使用https不仅是使服务器单方面安全,而且也让访问者处于一个安全的环境中,比如在外面访问家庭nas的一些隐私信息的时候。
另外家庭网络中还有一大安全风险就是路由器wifi,你家ap的wifi信号可能覆盖整栋楼,然而有人通过一些手段破解了你的wifi密码进入了你的路由器(破解手段有暴力破解、社会工程学等),你局域网中的设备如果没有做vlan或者多路由进行网段隔离的话,后果就很难预料了,因为你可能为了方便,部分设备中的资料对整个局域网并没有设置访问权限,也就是局域网中的任何一台设备都能访问你的这些信息,这个时候你的隐私数据就有可能就泄露了。
对家庭网络的外部环境防护措施,我觉得最重要的一点就是将你对外服务的端口改掉,改成数值高一些的,反正65535个端口,只要你在10000以上,这些非常用端口,一般是不会遭受扫描的,即使扫描,数量也不会很多。其次就是你提供的非常重要的服务必须采用安全的方式,比如网站服务就使用https,ftp服务就使用ftps,ssh服务本身就是加密的,非重要的网站服务就无所谓了,毕竟部署证书也是要花时间的,而且免费的证书有三个月的有效期,不过端口要改,国内家庭你也用不了80、443, 那还不如搞个上万的端口。还有一点就是不要将自己服务的地址贴在互联网上,你可以将服务提供给足够信任的朋友,但却不能发微信群或者qq群里,因为网络世界就是一个黑暗森林。就像我个人部署了一个在线书城,书城中收藏了我想看或者已经看了的很多技术书籍,但我不能将它发到互联网上,有两个原因,一个是这些书籍都是电子书,如果我公开,就会涉及到侵权,还会遭到黑客的网络攻击,所以我这个服务我只能提供给自己和我身边值得信任的人。最后一点,有条件的朋友可以买硬件防火墙。
对家庭网络的内部环境防护措施,这个内部环境指物理层面的,比如别人通过wifi接入你的网络,或者溜进你家里,在你路由器中插一根网线,都是直接接入了你的内部网络。从发生的概率上,内部安全其实比外部安全要低非常多,因为你的周围未必会有黑客,但是一旦发生,后果可比外部环境更可怕,针对这点,wifi密码、以及路由器密码一定不要使用弱口令,网关地址改不改无所谓,因为真要连接了你的路由器,你的路由器ip就是透明的,所以第一层防御就是wifi密码,第二层防御才是路由器密码,你家庭中的服务器设备同样是第二层防御,不过如果你路由器做了vlan或者你有多级路由,那么你的服务器设备就成了第三层防御,所以内部网络划分vlan是很有必要的,但是划分vlan也就丧失了一些使用软件层面的便捷性,比如nas、打印机自主发现等。另外限定你的服务器服务管理主机、还有路由器的管理主机也是一个安全防护措施。总之,局域网环境的安全只能通过限制来解决,vlan是限制、一些安全策略也是限制,如何找到限制与便捷之间的平衡点,那就仁者见仁了。