继续是CIS(互联网安全中心)专门制订的面向远程办公和小型办公室的安全指南,连载第三部分:基本设备设置。
笔者:国际认证信息系统审计师、软考系统分析师
基本设备设置
新设备到手,第一件事是考虑向制造商注册。现在大多数的设备制造商通过设备注册过程实现设备生命周期的跟踪管理过程,简单说就是管理设备的保修期。
同时,新设备的所有购买凭证、说明书、序列号标签、默认密码等信息都应该妥善保管。对于企业SOHO办公室,应将此类信息转交企业组织中的IT运维部门。这样可以在需要对设备进行维护时节省下时间,比如需要重置路由器密码。
互联网接入服务运营商(ISP)方面,现在一般都会提供接入设备并进行预先配置。作为SOHO办公室,建议向ISP询问获取设备的管理账户(即使拿不到管理员,也起码是操作员级别)。通过管理账户,才能在ISP的原有设置基础上进行符合自身需要的配置,比如开启或关闭无线网络、停用或启用以太网口等常规配置操作,以及(如果设备有提供)安全配置操作。
初始访问
设备的用户手册通常会指定一种访问设备自带的管理门户的方法。用户通过登录管理门户进行设备的配置调整修改操作。当前的商品化设备基本上都是通过浏览器访问设备的默认页面(比如指定是192.168.1.1这样的IP地址)实现上述管理门户。
从安全性出发,首次配置时用以太网线连接到设备,而不是通过WiFi去连接设备,会更安全一些。个别设备为了弥补这一问题,会提供使用了自签名证书加密的HTTPS页面而不是HTTP。但对于没有经验的用户来说,浏览器对自签名加密证书的警告信息也还是会产生困扰。
内部和外部网络接口
调制解调器、路由器等设备一般都会配备有多个以太网口。尤其是路由器,一般都会带有至少一个外部网络接口和多个内部网络接口,实现外网和多个内网(子网)的相互连接。
不同的路由器厂家对用户场景的理解不尽相同,进而使得在配置设备时的侧重点、易用性都不相同。比如密码可能会分离外部网络和内部网络接口不同密码。这些都要通过说明书详细了解。另外,路由器可能带有防火墙,必须启用并进行恰当配置,以防止外部网络对内网的未授权访问。
密码
网络设备的用户名和密码,是验证管理员身份,允许管理员控制网络设备的关键凭据。密码必须有足够的强度,至少8个字符,包含大小写、数字和符号。
必须摒弃设备的出厂密码,自己配置一个唯一的密码。唯一的,是指这个密码不应该和其它任何设备、服务或者网络平台的密码相同。这一点在企业组织内尤其重要,但如果对于家庭则没那么强的要求。
计算机网络世界密码的种类很多,要注意区分比如路由器的管理密码、WiFi接入的密码等,具体可能包括有:
WiFi网络密码:用于接入无线网络。此密码很可能会与其他人共享。
路由器内部管理密码:用于访问路由器内部配置仪表板,或用于路由器的移动应用程序(APP)。
ISP密码:如果ISP提供,可用于登录到ISP的在线门户网站并管理自己的帐户。如果该密码只是用于拨号上网,ISP一般不会提供。
管理应用程序密码:一些厂家的路由器会提供移动应用程序来控制路由器,可以的话应设置密码保护。
关键警告:许多路由器都预先配置了出厂密码。大多数路由器的出厂密码可以通过网络搜索获得,所以,不使用默认出厂密码,设备开箱通电后就马上改密码,是确保安全的必要操作。
设备和网络管理应用程序
如前所述,一些路由器制造商还提供了具有管理功能的网络管理移动应用程序。这类应用程序允许使用密码来远程访问路由器。这虽是方便,但也是引入了不安全因素。
因此,如果可行,启用多因素验证(2FA)是明显更安全的措施。对这个APP也要实施保护措施,比如切换后台时隐藏屏幕,超时自动退出等,视乎手机操作系统和软件本身的设计。
最后,无论是这个管理APP,抑或是设备本身,都应该确保所使用的软件是最新的。
本站微信订阅号:
本页网址二维码: