CIS远程办公和小型办公室网络安全指南#4基本网络设置

　　继续是CIS（互联网安全中心）专门制定的面向远程办公和小型办公室的安全指南，连载第四部分：基本网络设置。

笔者：国际认证信息系统审计师、软考系统分析师

　　基本网络设置完全是面向无线路由器这一种产品去描述。这也是目前SOHO办公室最常见的网络设备。

　　一个新的无线网络设备通电后，该设备可能会自动启动并开始广播两个WiFi网络。这两个WiFi网络通常会被标记为相同的网络名称，也就是SSID，它们的工作频率可能被附加在名称的末尾。例如，5千兆赫(GHz)的网络名称通常看起来像“网络名称-5Ghz”。

　　现在的WiFi设备会在两个不同的频率上运行，即2.4 GHz和5 GHz，并且在每个频率上都可以有一个单独的网络名称进行广播。如果用户拥有WiFi设备的登录管理账户凭据，就可以根据需要去修改和管理这两个网络。

设备安装位置

　　网络设备的物理位置和安全性有很大关系。网络设备应保持在一个远离公众或任何访客的区域。如果能对路由器进行物理接触访问，意味着有人可以在没有无线网络密码的情况下获得网络的访问权限，也就是直接通过以太网电缆接入网络设备，然后通过计算机去访问设备的管理门户。

　　另外，不是所有的内部网络接口都总是能够更改其密码。因此路由器的适当的物理安全就非常重要。

命名WiFi网络

　　对无线网络进行命名是互联网上常见的故事。适当的命名可以帮助使用者快速找到社区或办公空间中的个人或组织。对于拥有独立建筑的组织来说，网络命名不算是个问题。但如果是在人口密集的城市地区的SOHO办公室人员来说，适当起名还是很重要的。

　　但无论如何，路由器提供的默认名称都应该修改不用，这是因为默认名称大多数带上了网络设备类型或者MAC地址之类信息，这些信息不适应公开。

　　另外，SOHO办公室来说也不应该让网络名称能清晰地定位自己的地址。

　　在之前的年代，隐藏无线网络名称（或称为隐藏SSID）被认为是安全的做法，但随着各种无线嗅探设备和技术的发展，隐藏SSID已经毫无意义，攻击者可以很容易地探测出网络。而且隐藏SSID对于新加入网络的使用者来说并不友好

创建来宾网络

　　对于SOHO办公室来说，来宾网络也是有用的。它的作用是把网络上有敏感数据的设备和不可信的设备隔离开来。来宾网络的实现方式有多种，包括路由器本身提供这个功能特性，又或者简单地用两个路由器分开两条线路。

　　要注意有些无线路由器支持广播多个无线网络名称，但通过不同名称连接路由器后的终端之间并不分割，这种情况就不算是实现了来宾网络。

　　如果预算允许，还可以考虑采购使用支持临时密码、时间表限制等功能的路由器，实现更灵活和更安全的来宾设备接入管理。

启用自动更新

　　网络设备的软件更新（或称为固件更新），对于保证网络安全非常重要。软件基本上不可能避免没有缺陷和漏洞，而网络设备软件的缺陷和漏洞形成了不安全因素。解决问题就必须依靠于设备制造商的更新。

　　早期的设备大多数没有自动更新功能，需要手工下载安装升级包。现在的设备基本上都有更新功能，但就取决于厂家是否认真对待产品的缺陷，并经常提供更新。所以严谨地应该考察一下设备厂家对设备提供更新的历史记录。

　　务必不能忘记的是，还要设置网络设备能自动更新。因为作为没有网络运维经验的SOHO办公室人员，多半会忘了这一件和网络安全息息相关的事。

笔者注：

　　现在稍好一点的无线路由器都提供了加装软件插件功能，比如笔者在用的某品牌路由器：

在以上功能插件中，也不乏有和网络安全相关的功能，比如“IP与MAC地址绑定”、“DMZ主机”等。如果适用也应该开启和使用这些功能。

本页网址二维码：