家庭网络设计 - 第二部分

Ethan Robish //

为什么需要网络分段？

快速回顾第一部分：典型的家庭网络是平坦的，这意味着所有设备都连接到同一个路由器并处于同一子网。每个设备可以在网络级别无限制地相互通信。

这种网络的第一道防线是消费级路由器1。它还包括你的智能门铃[3]、门锁46、灯泡7和所有其他物联网设备8。更不用说你的所有PC、平板电脑和智能手机，当然，你肯定会用最新的安全更新来修补它们10，对吧？Windows 7现已不再支持，大多数移动设备最多只能接收2-3年的操作系统和安全更新。客人带来的设备呢？你确保它们也都是最新的吗？

一旦攻击者在你的网络上站稳脚跟，他们传播到其他设备的难度有多大？许多路由器漏洞可供攻击者从路由器防火墙内部利用。你的路由器是所有其他设备互联网流量的网关，使你容易受到恶意DNS、恶意路由甚至TLS剥离中间人攻击的影响。一些最具破坏性的勒索软件攻击11通过利用SMB等服务中的漏洞或通过密码认证传播到同一网络段上的可访问系统。说到密码，你的密码都至少15个字符（最好是随机的），对吧12？勒索软件还以尝试默认或常见密码甚至尝试暴力破解13而闻名。你最好确保在可能的地方启用多因素认证，因为恶意软件也可以从你的浏览器和电子邮件中窃取密码14。

分段意味着分离你的设备，使它们不能自由相互通信。这可能是完全隔离它们，或者只允许某些流量但阻止其他所有流量。

分段如何帮助解决上述问题？首先要认识到没有人是完美的。即使你有安全意识并积极修复问题，总会有安全漏洞和弱点。

你可能运行着无法控制制造商是否修补安全问题的物联网设备。 你可能拥有不再接收更新的移动设备。 你可能设置了默认密码的设备，仅仅是因为你没有意识到添加了默认账户。

一旦我们意识到无法完美，拥有不同安全层并实践深度防御的理念就开始有意义了。 https://en.wikipedia.org/wiki/Defense_in_depth_(computing) 你可能已经实施了一些层。

你家路由器上的边缘防火墙阻止随机入站流量。 你的个人设备可能激活了软件防火墙。 你的设备可能强制执行认证以防止匿名使用。 你可能安装了防病毒软件，防止常见和已知的恶意软件感染你的系统。

这些层中的每一层都是易错的，但添加更多层使得攻击者越来越难以构建绕过所有层的利用路径。它们还可以限制一层被破坏时的损害。例如，假设攻击者以某种方式突破了你的边缘防火墙。你的安全层可以防止或延迟进一步入侵其他设备。网络分段是添加到深度防御策略中的一个优秀层。

网络分段方法

你可以将分段视为一个线性尺度。 在尺度的一端，每个设备都在同一网络上。这与无分段相同，但一切都是可互操作的（包括恶意软件）。你不需要设置说明，因为这是地球上每个网络设备的默认设置。这就像一碗糖果，每一块都可以自由移动并接触所有其他块。

在尺度的另一端，每个设备完全相互隔离。这类似于给每个设备一个公共IP地址并使其在互联网上可用。这并不像听起来那么疯狂，因为IPv6使这完全可能，并迫使你将一切视为不可信。一切都有防火墙规则，只允许访问某些服务。可访问的服务强制执行认证和加密（可能是SSO和TLS）。这类似于一盒巧克力，每一块都与其他块隔离。

值得注意的是，谷歌在所谓的BeyondCorp中实现了这一点。 https://cloud.google.com/beyondcorp https://security.googleblog.com/2019/06/how-google-adopted-beyondcorp.html https://thenewstack.io/beyondcorp-google-ditched-virtual-private-networking-internal-applications/ 谷歌的BeyondCorp有研究论文提供指导和解