CIS远程办公和小型办公室网络安全指南#6网络管理

作者:Sender  来源:WaveCN.com  发布日期:2022-07-10  最后修改日期:2022-07-10

  继续是CIS(互联网安全中心)专门制定的面向远程办公和小型办公室的安全指南,连载第六部分:网络管理。

笔者:国际认证信息系统审计师、软考系统分析师

  注:本文内容并不是完全和简单地重复CIS的指南。

  网络管理是一个可以扩展得非常庞大的话题。不同的设备厂家有不同的功能设计,涉及各种层次的网络协议,无法避免其中的专业性。作为商品性质的SOHO办公室网络设备基本上都对这些设置进行了简化,这里依然主要是面向路由器进行概括性的介绍。

设备类型和配置的关系

  对于商品化的路由器来说,一般会提供以下的功能:

  • DNS(域名解释服务)代理

  • 通用即插即用

  • 防火墙

  • MAC地址过滤白名单

DNS代理

  DNS(域名解释服务)是将IP地址与网站名称关联起来的方法。域名一般就是指网站名称。当内部网络中的计算机需要打开网站时,首先就需要通过DNS服务器查找定位互联网上网站的位置,也就是把域名解释为IP地址。

  SOHO办公室的网络环境一般通过ISP获得DNS服务器,且大多数ISP的DNS服务器只为自己的客户服务。

  但互联网上还存在一些公共的DNS服务器,在ISP不提供DNS服务器,或者不适合使用ISP提供的DNS服务器时可以使用。

  有些公共DNS服务器还带有DNS过滤功能,可以阻止计算机访问已知的恶意网站。

  常见的公共DNS服务器包括:

IP地址 运营商
114.114.114.114 南京信风
119.29.29.29 腾讯 DNS
223.5.5.5 阿里 DNS
9.9.9.9 Quad9
8.8.4.4 Google
8.8.8.8 Google

  对于SOHO办公室来说,一般都只需要把设备配置为自动获得IP地址和DNS服务器即可。特殊情况,比如需要在SOHO办公室之外的网络环境使用的移动设备,可以考虑把DNS服务器配置为固定的公共DNS服务。

UPnP(通用即插即用)

  通用即插即用是一种网络协议,通过该协议可以使网络上的设备轻松地进行相互通信。它通常用于在设备之间共享数据,如电脑、打印机,甚至是游戏设备,而不需要任何配置。

  但随着时间发展,UPnP协议中发现了许多安全问题。这些关键安全缺陷的数量和严重程度意味着UPnP功能应该始终被禁用,即使某些依赖于这个协议的设备会因此而停止正常运行。

  这是因为UPnP的本质功能是自动在防火墙上开启端口,使设备或软件之间能直接连接。

  如果必须使用UPnP协议,则应确保相关的软硬件都是最新的版本。但这比较难在购买设备前进行验证。

  如果非要在路由器设备上对互联网开放端口,可以通过DMZ或者NAT等手动配置功能去实现,而不需要启动UPnP功能。

防火墙

  防火墙用于防止恶意网络流量和试图进入网络的其他信息到达内部的设备。对于当前商品化的无线路由器来说,防火墙功能基本上都被整合实现,但不同的产品其实现的具体功能有很大差别。

  某些较先进的无线路由器其防火墙是通过专用芯片实现,而其它一些是通过路由器内的CPU实现。这些不同的实现,具体就会体现到防火墙的效率和灵活性的不同上,并进而体现到设备的价格上。

  一般来说,如果SOHO办公室网络规模较大,且需要对互联网开放端口服务的,应该考虑带有较强功能防火墙的路由器产品。

  一些商品化路由器为了方便用户,会简化防火墙的配置为若干个安全级别。CIS方面建议在一开始就使用最严格的安全级别进行配置。如果该级别妨碍了正常使用网络,再逐步降低,直到满足SOHO办公室网络运行需要为止。

  大多数路由器防火墙都提供了被称为网络地址转换(NAT)的功能。NAT的工作模式是双向的,在一般使用时,用于隐藏位于路由器后面的设备和网络,从而使其更难以攻击。而另一个方向则用于使路由器后面的设备向互联网开放特定的端口。NAT功能应始终启用。

MAC地址过滤白名单

  MAC(媒体访问控制)地址过滤白名单功能可用于限制设备访问WiFi或有线网络。

  MAC地址是每一台网络设备都必须具备的,类似于序列号的唯一性数字标记。因此可以通过MAC地址去区分每一台设备。

  MAC地址过滤白名单是通过在路由器内登记可以访问网络的设备的MAC地址,并过滤掉MAC地址不在名单中的网络设备而实现控制设备能否上网。

  但是,MAC地址是可以伪造的,所以实际上这个白名单并不完全可靠。尤其是在WiFi无线网络中,侦听和伪造MAC地址进行入侵无线网络是非常常见的行为。因此,CIS不推荐对无线网启用MAC地址过滤白名单来实现接入安全性。

  从笔者角度认为,对于没有特别价值的SOHO办公室来说,MAC地址过滤功能还是有一定意义。如果是需要严格控制无线接入的环境,则应该使用无线网络登录验证等更灵活的措施去控制无线接入。

  最后需要提到“设备硬化”的概念。设备硬化是指关闭计算机终端设备上没有必要开放的任何端口和服务。对于不具备网络安全管理和技术防御能力的SOHO办公室环境来说,不建议向互联网开放任何网络设备、计算机终端的任何端口和服务。

本栏目相关
  •  2024-03-05 点评软件供应链安全框架 in-toto 的审计结果
  •  2022-05-11 CIS-CAT 配置评估工具介绍及操作实践
  •  2022-03-16 Windows 系统安全基线及软件工具介绍
  •  2022-08-28 网络攻防中的色彩象征
  •  2022-03-11 安装RHEL/CentOS时如何选择配置安全策略?
  •  2022-03-17 详细了解微软安全合规工具包(SCT)
  •  2022-03-25 从甲方角度介绍“CIS互联网安全中心”
  •  2022-03-28 如何应用CIS互联网安全中心发布的《CIS关键安全控制措施集》之一:总览
  •  2023-01-06 MSSQL数据库自动备份和自动复制转移备份
  • 微信订阅号二维码

    本页网址二维码: