如今,互联网连接的典型设置是您的家庭拥有一个 路由器,通常是一个位于您家中的小物理盒子,充当通往外部世界的网关。路由器创建一个本地网络,您将设备连接到该网络,包括您的计算机、手机、电视、游戏机以及任何其他需要连接到互联网或彼此连接的设备。很容易让人觉得这种设置就像路由器的两个“侧面”:一侧是互联网,另一侧是您的设备。但这是一种糟糕的口语说法,因为实际上,路由器的一侧是整个全球性的计算机网络,另一侧是您的数字生活。当您直接使用互联网时,您是在登录到别人的计算机的共享区域。当您不使用互联网时,它不会消失,并且有许多脚本和程序旨在访问数百万个路由器,试图找到开放端口或服务。随着物联网 (IoT) 的普及,您的家庭网络上运行的服务有时比您意识到的还要多。以下是您可以采取的三个步骤,以审计和保护您的家庭网络免受不必要的流量侵扰。
[ 相关阅读 使用开源软件运行您的网络 ]
1. 考虑协议
路由器的工作之一是将互联网与您的家庭网络分隔开来。但是,当您访问互联网时,您会将互联网的某些部分引入您的家中。您正在对互联网应该远离您的网络这一普遍规则做出例外。
在许多网站上,允许通过路由器的只是文本。例如,当您访问您最喜欢的博客网站以阅读最新的科技新闻时,您正在下载一两页文本。您阅读文本,然后继续。这是一个简单的一对一交易。
然而,HTTPS 协议是强大的,并且互联网上运行的应用程序种类繁多。例如,当您访问 Opensource.com 时,您不仅仅是在下载文本。您会获得图形,甚至可能获得备忘单或电子书。您还在后台下载 Cookie,这有助于网站管理员了解谁访问了该网站,从而改进了移动支持、为提高可访问性而设计的新设计以及读者喜欢的内容。当您在互联网上时,您可能不会将 Cookie 或流量分析视为与您交互的东西,但由于 HTTPS 协议旨在广泛且在许多方面具有高度信任度,因此它会被“偷偷地”添加到页面交互中。当您通过 HTTPS(即在 Web 浏览器中)访问网站时,您是在隐式地同意自动下载您可能没有意识到的文件,但您相信这些文件是有用且不引人注目的。对于为降低信任而设计的文件共享模型,您可以尝试 Gemini 或 Gopher 空间。
当您加入视频会议时,您也会做出类似的协议。您不仅在页面上下载文本、用于流量监控的 Cookie,还在下载视频和音频流。
有些网站的设计用途更多。有些网站旨在允许人们共享他们的计算机屏幕,有时甚至可以控制他们的计算机。在最好的情况下,这可以帮助远程技术人员修复某人计算机上的问题,但在实践中,用户可能会被诱骗访问网站,最终导致财务凭证和个人数据被盗。
如果一个提供文本文章的网站要求您授予其权限,以便在您阅读时查看您的网络摄像头,您理所当然地会感到怀疑。当家电需要互联网访问时,您应该培养同样的怀疑程度。当您将设备连接到您的网络时,重要的是要考虑您正在做出的隐含协议是什么。旨在控制您家中照明的设备不应该需要互联网访问才能运行,但许多设备确实需要,并且许多设备没有明确说明您正在授予该设备哪些权限。许多物联网设备想要访问互联网,以便您可以在离家时通过互联网访问该设备。这是“智能家居”吸引力的一部分。但是,不可能知道许多这些设备运行什么代码。在可能的情况下,使用开源和可信的软件,例如 Home Assistant 来与您的生活空间交互。
[ 另请阅读 如何为家庭自动化选择无线协议 ]
2. 创建访客网络
许多现代路由器使创建第二个网络(通常在配置面板中称为“访客网络”)变得非常容易。您可能不觉得您需要第二个网络,但实际上,拥有访客网络可能很有用。其同名且最明显的用例是,访客网络为访问您家的人提供了互联网访问权限,而无需您告诉他们您的网络密码。在我家门厅,我有一个标牌,上面标明了访客网络名称和密码。任何访客都可以加入该网络以访问互联网。
另一个用例是用于物联网、边缘设备和我的家庭实验室。去年,当我购买“可编程”圣诞灯时,我惊讶地发现,为了连接到灯,它们必须连接到互联网。当然,来自不知名工厂的 50 美元灯不附带源代码,也没有任何方法来与嵌入在电源砖中的固件接口或检查,因此我不确定通过将它们连接到互联网我同意了什么。它们已被永久降级到我的访客网络。
每个路由器供应商都不同,因此没有关于如何在您的路由器上创建“沙盒化”访客网络的单一说明。通常,您通过 Web 浏览器访问您的家庭路由器。您的路由器的地址有时会印在路由器的底部,并且以 192.168 或 10 开头。
导航到您的路由器地址并使用您获得互联网服务时提供的凭据登录。通常就像 admin 和数字密码一样简单(有时,此密码也印在路由器上)。如果您不知道登录名,请致电您的互联网提供商并询问详细信息。
在图形界面中,找到“访客网络”面板。此选项在我的路由器的 高级 配置中,但它可能在您的路由器上的其他位置,甚至可能不称为“访客网络”(或者甚至可能不是一个选项)。
(Opensource.com,CC BY-SA 4.0)
可能需要大量点击和阅读。如果您发现您有该选项,那么您可以为访客设置访客网络,包括穿过您前门的人和在灯泡上运行的应用程序。
3. 防火墙保护您的防火墙
您的路由器可能默认运行防火墙。防火墙阻止不需要的流量进入您的网络,通常通过将传入数据包限制为 HTTP 和 HTTPS(Web 浏览器流量)以及一些其他实用程序协议,并拒绝您未发起的流量。您可以通过登录到您的路由器并查找“防火墙”或“安全”设置来验证防火墙是否正在运行。
但是,许多设备都可以运行自己的防火墙。这很重要,因为网络之所以是网络,是因为设备彼此连接。在设备“之间”放置防火墙就像锁上您家中房间的门一样。访客可以在大厅里漫游,但没有正确的钥匙,他们不会被邀请进入您的办公室。
在 Linux 上,您可以使用 firewalld 接口和 firewall-cmd 命令配置您的防火墙。在其他操作系统上,防火墙有时位于标记为“安全”或“共享”的控制面板中(有时两者都有)。大多数默认防火墙设置仅允许传出流量(即您通过例如打开浏览器并导航到网站来发起的流量)和响应您的请求的传入流量(即响应您的导航的 Web 数据)。您未发起的传入流量将被阻止。
如果需要,您可以自定义此设置,如果您想允许特定流量,例如 SSH 连接、VNC 连接 或 游戏服务器 主机。
监控您的网络
这些技术有助于提高您对周围发生的事情的意识。下一步是 监控您的网络。您可以从简单的开始,例如在您的访客网络上的测试服务器上运行 Fail2ban。查看日志(如果您的路由器提供日志)。您不必了解有关 TCP/IP 和数据包以及其他高级主题的所有内容,即可看到互联网是一个繁忙而嘈杂的地方,并且亲眼看到这一点对于在您设置新设备(无论是物联网、移动设备、台式机或笔记本电脑、游戏机还是 Raspberry Pi)时采取预防措施是一个很好的启发。
评论已关闭。