Ubiquiti 基本安全指南

概述

本文介绍了我们建议的基本安全措施,这些措施必须在所有网络中作为最低限度的实施。

目录

  1. 介绍
  2. 使用密码管理器
  3. 定期更新设备
  4. 避免不必要地暴露设备

介绍

 

Ubiquiti 社区是一个庞大多样的家庭,其用户具有不同的知识水平,不同的网络需求和不同的应用程序。运营商是 Ubiquiti 用户中最大的群体之一:无线运营商为他们的客户提供互联网服务,并对这些客户的安全负责。我们了解这种关系的重要性及其带来的责任。我们希望让用户的客户满意,这也符合我们的最大利益。在网络中,安全性是提高客户满意度的关键。

本文介绍了所有用户都可以使用的简单且安全的基础知识并且适用所有用户。但是,除了这些措施之外,网络管理员的最佳武器就是适应性。网络安全是一个持续不断且不断变化的战斗:当管理员忙于确保网络安全时,另一边却有人正在努力寻找漏洞。网络安全性会一直处在变化中,管理员的工作是经常重新评估,不断进行调整和改进。

使用密码管理器

 

最近,大量 Ubiquiti 设备被恶意软件利用。可悲的是,大部分时候都可以通过诸如更强大的密码之类的简单操作来阻止这种情况。绝大多数情况下,被利用的客户端被发现使用用户默认密码或弱密码。通过一种非常简单的措施就可以轻松避免此类攻击:唯一和随机(强)密码。如果您仅依靠自己记忆力记住密码,那么您无法使用复杂的高强度密码。因此,我们建议您:

不要试图记住您的密码,请让您的计算机为您执行此操作。管理员在密码方面犯三个常见错误。这三个都是因为他们试图将这些密码记在心中,而不是放在密码管理器中。一些好用的密码管理器:LastPass,Dashlane 和 1Password。

  • 使用弱密码:常见的例子是键盘模式(从 Z 开始并依次递增为 1,然后递减为 X)。它很容易记住,也很容易被破解。最好的密码是没有人记得的密码  ,包括您自己。毫无意义的字符串几乎是不可能被破解的。
  • 对所有设备使用相同的密码: 为一个客户端管理 100 个设备的管理员通常将对所有客户端使用相同的密码,因为同样,谁能记住 100 个不同的密码?这样做的问题是,如果网络中的某个设备受到威胁,其余的 99 个设备也一样沦为攻击的牺牲品。 
  • 从不更改密码: 另一个常见的错误是长时间使用相同的密码。密码更改得越频繁,它们就越安全。避免使用相同的基本密码,也不要只更改最后两位数字。更改密码时,请完全更改。

定期更新设备

 

在网络世界中,存在着各种各样的漏洞。 即使拥有最强大的固件,也有数百人在任何时候都试图找到破解之道。一家强大的公司并不是创造无懈可击的设备的人,而是值得关注并努力工作的公司。 在发现这些漏洞时进行修复。 在 Ubiquiti,我们投入了大量资源来抵御这些攻击。 HackerOne 就是一个例子。

HackerOne 的工作方式是:世界各地的黑客向 Ubiquiti 报告漏洞,而不是利用这些漏洞,同时,他们会得到赏金。这也意味着,这些漏洞在已经发布时(无论是公开发行,beta 发行还是 alpha 发行)都会被发现。我们的研发人员会立即修补这些已知的漏洞。此漏洞的修复程序将在下一版本中提供,而不是在当前版本中提供。因此,知道这一点:最安全的版本将始终是最新的版本。升级对于网络安全至关重要。当用户不更新固件时,他们会将自己暴露给攻击者,他们可以轻松使用已知 的旧漏洞来破坏其设备。

避免不必要地暴露设备

 

保证网络安全重在预防。如果别人无法访问到您的设备,也就谈不上威胁。然而不幸的是,暴露于互联网(使用非私有IP地址)的 Ubiquiti 设备很普遍。如果不是必要的话,建议大家尽可能避免。

如果不需要通过 Internet 访问特定设备,则最好在暴露于 Internet 的接口上禁用远程管理。这就是为什么在我们所有的最新版本中,默认情况下都禁用远程管理。 

但是,如果您确实需要远程访问设备,则可以通过仅暴露网关 SSH 端口并关闭 SSH 客户端中的“ -D”参数来最大程度地减少暴露(在此处找到示例教程)。该参数可以创建一个“ Socks 代理”,允许用户从网关的角度访问网络,类似于 VPN。

你可以使用这种技术访问整个内网的设备,而在一台暴露于 Internet 的设备中只有一项服务。