samiux.github.io

CyberSecurity Ninjas 网络空间安全忍者

View on GitHub
Home Projects Articles Apophthegm About

洋葱式防御 - 网络空间安全篇

网络空间安全防御有如洋葱一样,层层包裹着核心的设施。外来的攻击或入侵者必须要过五关斩六将,工程非常之浩大,目的是要增加其成本。

(一)流动装置篇

第一层

以「安卓」为例,由 Android 9 版本开始,已经可以设定「加密 DNS」(Secure DNS) 了。经过多番实验,在众多的供应商中,我觉得表现非常好的供应商就是 CleanBrowsing。其分为收费和免费两种产品,收费版本可以进行细緻的设定,而免费的是不可以的,基本上免费版本的功能已经足够了。免费版本又分为三个过滤模式,分别为 Family、Adult 和 Security。

Security 能够过滤恶意软件、恶意网站等。Adult 能够过滤 Security 的功能外,还能过滤色情网站或色情内容的网站。而 Family 除了有以上的所有功能外,还能过滤一些「代理伺服器」(Proxy) 和「虚拟私人网络」(VPN) 等,因为此等设备能够绕过其过滤功能的。

其设定分别为:

Family Filter - family-filter-dns.cleanbrowsing.org

Adult Filter - adult-filter-dns.cleanbrowsing.org

Security Filter - security-filter-dns.cleanbrowsing.org

当然,它能过滤的内容全部都是已知的,如果有一些不为人知的网站或恶意软件,它是不能够过滤的。

第二层

大多数的中国产的「安卓」手机或平板都预装防毒软件,当然都是只能够阻挡已知的病毒和恶意软件。

最好就是取消「谷歌」(Google) 的广告设定了,因为它实在非常烦忧。

第三层

「安卓」用户可以安装 Comodo Mobile Security Antivirus。其有免费的「防火墙」 (Firewall)、「安全上网」 (Safe Browsing) 和 「无綫网络安全」 (Wifi Security) 可供使用。「安全上网」能够增加在浏览网页时的安全性,而「无綫网络安全」能够在使用无綫网络时的安全性。当然又是只可以对付已知的威胁。

另一个要安装的是 Malwarebytes,它可以免费使用的恶意软件扫描器,但就需要人手每次进行扫描了。经常更新其资料库,并进行扫描整部手机或平板。

第四层

如果是使用「火狐」(Firefox Daylight) 版本的话,可以安装以下组件 (Add-on):uBlock Origin 和 Ghostery。这两个组件能够阻挡一些网页中的不受欢迎的脚本,例如 JavaScript 或广告 。

第五层

不连接公共无綫网络,不论是否需要密码与否,尤以无需密码的更为甚,利用 4G 或 5G 网络相对比较安全。

第六层

经常更新所有应用软件和系统软件,如果系统软件在半年至一年时间都不获更新,恳请阁下立即购买最新版本的手机。因为其所有漏洞 (Vulnerability) 都不会被修正,漏洞一旦被恶意黑客利用 (Exploit) 就会损失惨重。

第七层

不要点击来历不明的超连结 (Hyperlink),更不要好奇地浏览一些可疑的网站,因为有可能在你点击后,对方已经传递了其恶意软件;色情网站、侵犯版权网站、声称能提供优惠或折扣的网站或网址可疑的网站等都不应该浏览。

尽可能减少使用浏览器,在搜寻器找到的资料要看清楚其网址超连结是否有可疑,因为网络上已经充斥着很多恶意网站了,一不留神就会中招!

不要安装不明功能和来历的应用软件,须知道「应用市场」(Google Play) 内的软件未必全部都是安全的。

最后,不要随便相信任何来电者或发短讯、电邮者,应该必先核实才行动。尤以「保安码」(Security Code),一旦将有关「保安码」交与他人,阁下将会损失浩大。

(二)桌面电脑篇

第一层

安装及使用「牛角包」(Croissants) 防御入侵系统 (Intrusion Detection and Prevention System)。这个系统由我独力开发,是免费提供给每一个人使用。它安装后是基本上不需要再理会或维护的设备。它是「随插即用,并且可以忘记之」的高效开源 (Open Source) 产品。

它的特点是有效阻挡已知的恶意行为和有效阻挡已知的恶意软件,并且具有极低的延迟性能,可以播放 4K 多媒体和玩要求速度的网络游戏;它更会自动更新,并且兼容现有通用的所有作业系统 (Operating System)。

第二层

购买一台具有防御入侵系统和防毒软件的「路由器」(Router)。经常更新其固件 (Firmware) 和防毒资料库,并且确保其操作介面不会暴露于互联网 (Internet) 中,更加要更改预设的密码。如果是无綫路由器的话,一定要确保无綫密码要有足够的复杂和长度。

在路由器的 DHCP 选项中设定 DNS,这亦是 CleanBrowsing 的产品:

Family Filter - 185.228.168.168 和 185.228.169.168

Adult Filter - 185.228.168.10 和 185.228.168.11

Security Filter - 185.228.168.9 和 185.228.169.9

第三层

桌面电脑必须安装或启动防火墙和安装防毒软件。不要使用侵权的防毒软件,这是会有一定的风险的。如果是微软视窗系统的话,可以使用其预载的防毒软件。更加要经常更新防毒资料库。

第四层

如果是使用「火狐」的话,建议安装以下组件 (Add-on):uBlock Origin、Ghostery、Malwarebytes Browser Guard 和 Decentraleyes。这些组件都是能够减少浏览网页时的风险。

在「火狐」启动 DNS over HTTPS 设定。其设定亦为 CleanBrowsing 的产品,一样有分 Security、Adult 和 Family。

其设定为:

Family Filter - https://doh.cleanbrowsing.org/doh/family-filter/

Adult Filter - https://doh.cleanbrowsing.org/doh/adult-filter/

Security Filter - https://doh.cleanbrowsing.org/doh/security-filter/

第五层

经常更新所有应用软件和作业系统,一旦漏洞被利用就后果不敢想像了。紧记请不要使用侵权软件。

第六层

不要点击来历不明的超连结 (Hyperlink),更不要好奇地浏览一些可疑的网站,因为有可能在你点击后,对方已经传递了其恶意软件;色情网站、侵犯版权网站、声称能提供优惠或折扣的网站或网址可疑的网站等都应该不要浏览。

在搜寻器找到的资料要看清楚其网址超连结是否有可疑,因为网络上已经充斥着很多恶意网站了,一不留神就会中招!

第七层

最后,不要随便相信任何来电者或发短讯、电邮者,应该必先核实才行动。尤以「保安码」(Security Code),一旦将有关「保安码」交与他人,阁下将会损失浩大。基本上与使用流动装置的行为和习惯一样。

希望各位能够安心、安全和畅快地冲浪!

Samiux
OSCE OSCP OSWP
二零二一年六月廿六日,中国香港

参考连结:

Home Projects Articles Apophthegm About