Quão seguro a minha rede do Windows realmente precisa ser? [fechadas]

Question

Quão seguro a minha rede do Windows realmente precisa ser? [fechadas]

#1 resposta do (3 votos)
#2 resposta do (3 votos)
#3 resposta do (0 votos)
#4 resposta do (0 votos)
#5 resposta do (0 votos)
#6 resposta do (0 votos)

1

Eu tenho o que eu suspeito que é bem próximo da configuração doméstica "padrão" dos nerds atualmente - eu tenho um PC com Windows ou dois, um PC de mídia ligado à minha TV e um par de iPhones, tudo sentado atrás de um roteador sem fio / NAT / DSL Modem. Nenhum servidor e nenhum domínio, apenas a rede peer-to-peer do Windows.

Como esta é uma rede doméstica, não há nada muito mais valioso do que os episódios de Doctor Who e documentos de processadores de texto nos sistemas. Na melhor das hipóteses, não teríamos nenhuma segurança, então minha esposa e eu poderíamos mover arquivos e coisas assim sem problemas, mas, na verdade, também não teríamos chapéus pretos decidindo colocar o sistema no lugar.

Atualmente, temos a segurança total ativada com o sistema sem fio - e é isso. As contas padrão no box de janelas são contas de nível de administrador sem senhas. As pastas compartilhadas na rede são totalmente compartilhadas sem precisar de credenciais.

Então, a questão é: quanto eu realmente preciso em casa? Posso desligar o Firewall do Windows? Posso ativar a área de trabalho remota, pois todas as contas têm uma senha de <enter> ?

De forma sucinta, para uso doméstico, eu realmente preciso de algo mais strong do que apenas uma senha de roteador sem fio WPA2 e um NAT de hardware?

windows security

por Electrons_Ahoy 09.06.2009 / 22:36

6 respostas

Tags windows security

A máquina Linux não consegue encontrar sua unidade de fita Configuração do gzip do Apache

score 3 · Answer 1

Era uma vez, eu estava andando pelo meu pobre roteador Linksys em uma tarde de domingo, e notei que as luzes de atividade estavam piscando como loucas. Como ninguém na casa estava usando ativamente um PC na época, achei que merecia alguma investigação.

Configuração de rede nesse momento: Modem DSL - > Roteador sem fio Linksys com chave WEP e filtragem de Mac - > 2 caixas do Windows XP sem a área de trabalho remota ativada e um PII-333 pobre e sofrido executando o FreeBSD na DMZ.

Uma revisão adicional dos logs no sistema FreeBSD indicou que eu estava sendo portado em um canal bastante entusiasticamente de cerca de 12 IPs diferentes de dois códigos de país diferentes.

Pontos de dor de cabeça de bônus: o um amigo que eu dei uma conta de shell, para que ele pudesse SSH no seu local de trabalho? Sim, ele usou uma senha ruim. Tola eu.

Passos que tomei no momento: - Parou de transmitir o SSID para o wireless - Implementou filtragem MAC no roteador sem fio Eu uso o wireless tão raramente, e de apenas um dispositivo que isso fazia sentido para mim.

Desligado sem fio por padrão ... não é muito mais esforço chutar uma das crianças de um desktop WinXP e habilitar o wireless no AP através da interface de administração antes de me retirar para o sofá com o laptop.
Disse-me repetidamente que essas coisas não precisam viver na DMZ sem uma boa razão

Quem sabia que era tão fácil abrir portas no meu Linksys para poder aproveitar um jogo do Team Fortress? LEIA A DOCUMENTAÇÃO DO SEU ROUTER.

O SSH movido para uma porta não padrão na minha caixa UNIX

Ainda vejo pelo menos dois portscans por dia na minha conexão DSL doméstica, e os amigos da vizinhança que possuem o mesmo provedor também indicaram que estão vendo portscans regularmente. Graças à preguiça, eles estão apenas digitalizando portas comumente usadas.

Movido para usar chaves SSH em vez de senhas na caixa UNIX. Se eles encontrarem minha porta SSH, eles precisarão da minha chave SSH.

Etapas que pretendo fazer quando tiver tempo: - Configurar um firewall / roteador baseado em pfsense novamente. O anterior tinha uma falha de HD e eu coloquei os linksys de volta ao serviço como o roteador.

score 3 · Answer 2

Meus pensamentos ...

1- Roteador DSL: NAT padrão, desative o acesso externo ao administrador da web, desative o Universal Plug-n-Play, use ShieldsUp para ter certeza de que você está bloqueado.

2- Sem fio: se você usar sem fio, criptografe com WPA2. Não se preocupe em esconder o SSID; isso é conforto inútil. Use o bloqueio de endereço MAC se você não adicionar dispositivos com freqüência. Eu tenho amigos e as crianças amigas muito, então eu não faço.

3- Acesso Externo: Eu usaria uma VPN em vez de apenas furos de firewall para SSH ou outro acesso remoto. Alguns roteadores de consumidores os têm (ou veja minha nota sobre o Astaro abaixo).

4- Senhas: Eu colocaria senhas relativamente strongs nos sistemas, mesmo que sejam todas a mesma coisa ou todas conhecidas pela família.

5- Nível de Admin: Venha agora .. com certeza você sabe melhor! Eu evitaria que evitasse ser executado no nível de administrador para uso regular, mesmo que todos saibam a senha.

6- Backups: o que você está protegendo? Você indicou que tudo que você tem a perder é alguma mídia. Eu desafiaria isso. Você faz suas finanças? Você tem fotos de família? Você precisa ter o backup processado ... consulte esta pergunta para uma discussão sobre backups residenciais.

Se você quiser se divertir e se tornar ainda mais seguro e granular, obtenha o (gratuito para uso doméstico) Astaro Security Gateway e colocá-lo em um PC antigo com duas placas de rede.

score 0 · Answer 3

É uma questão "superuser.com", mas os mesmos princípios se aplicam a uma rede doméstica com respeito a privilégios mínimos, mantendo backups, etc.

Lembre-se de que todos os programas que você executa (seja de propósito ou quando um bug faz com que um código arbitrário seja executado em seu computador) obtém os direitos que você possui. Isso pode fazer você pensar em usar contas de usuários sem privilégios.

Se você se preocupa em manter seus dados quando acidentalmente executa um worm, um cavalo de tróia, etc, você também pode considerar manter backups off-line. O cavalo de Tróia pode esmagar todos os arquivos aos quais sua conta de usuário com menos privilégios tem acesso, mas não pode tocar arquivos em uma unidade de disco rígido desconectada em uma prateleira (ou melhor, em algum outro prédio que não queime / inundação quando sua casa faz).

Talvez você não tenha nenhum dado de que tenha interesse em se tornar público, mas pense no que os ladrões obterão quando roubarem seus computadores. Você pode repensar o uso de criptografia com senhas strongs para pelo menos alguns de seus arquivos.

score 0 · Answer 4

Gostaria de deixar nos firewalls do Windows e adicionar exceções, se necessário. Tem várias camadas de segurança. Você atualiza seu firmware de modem / roteador regularmente?

a área de trabalho remota pode ser aberta, mas com certeza use autenticação.

Felicidades, -Mateu

score 0 · Answer 5

Sua configuração é muito parecida com a minha. As únicas diferenças são que deixo firewalls ativados (com exceções adicionadas) e adiciono filtragem de endereço MAC à segurança sem fio WPA2.

score 0 · Answer 6

Eu não executo um firewall em nenhum dos meus computadores domésticos, mesmo que eles tenham endereços IP totalmente roteáveis, principalmente porque eu tenho um firewall na frente deles, o que permite apenas a menor quantidade de tráfego necessária.

Eu também não criptografo minha rede, porque ela está em uma sub-rede separada da minha rede principal e está com o endereço MAC bloqueado para acessar a Internet.

É uma questão de como você está feliz com a sua proteção e quanto dano alguém pode causar. Quão importante é seus dados? É feito backup? Quanto trabalho seria recuperá-lo?