APNIC文摘—如何保護您家中的網路設備安全

本APNIC文摘原標題為Common setups to secure your networks from home,由ANPIC資深網路分析師Tashi Phuntsho撰文。

作者表示自己最近收到很多來自社群的疑問,想知道如何設定網路,讓員工安全地使用網路服務。由於每個人的需求、使用環境不同,作者認為比起敘述性、按部就班的教學,直接分享網路設定方式及常見做法會更有助益。

以下便是作者統整、APNIC工程師及社群講師提供的網路設定及管理方式:

遠端網路存取

若需要存取網路節點,最常見的做法是讓使用者透過虛擬私人網路(Virtual Private Network,VPN)連結到「跳板」(jumphost),再從這個由AAA伺服器控管的跳板連結到網路。實際操作如下圖:

公司電腦的服務軟體存取

根據公司或員工的需求及現有資源,有很多種方式讓員工遠端存取公司電腦的商用服務軟體,其中架設VPN還是最簡單的方式。但作者也提醒,在設置前應先確認公司使用的VPN服務規格,以免VPN無法負荷公司所有人都在家上班的用量。

設定VPN也有不同做法,以下分享的兩種做法亦各有優劣。

第一種做法(如下圖)是讓遠端工作的員工透過VPN存取公司內部服務(不另外分割通道,也就是full-tunnel)。如此一來,所有訊務都會透過這個VPN進入公司網路,網路安全人員也能集中管理所有設備的網路安全。這個做法的問題是流通量可能會超過VPN負荷。

若想降低VPN負擔、加強性能,則可以如下圖架設分割通道。這樣就只有涉及公司機密的訊務會經過VPN,一般連網則仍透過員工家中的網路向外連結。然而缺點是員工仍可能在一般連網的過程中誤觸惡意連結,因此被惡意軟體攻擊。更糟的情況,攻擊者甚至可以利用員工的電腦連接到公司內網進行攻擊。

單一登入存取

單一登入(Single sign-on,SSO)是所有方法裡最麻煩的,但透過這種設定方式,使用者可以更輕鬆地存取常用的服務/軟體,而且也更安全。

下圖的範例是利用「安全判定標示語言」(Security Assertion Markup Language,SAML)設定SSO,並容許「多因子鑑別」(multi-factor autthentication)功能。用OpenID或OAuth技術設定SSO的做法也很常見。

除了網路設定之外,同事之間的溝通工具也很重要。根據社群講師們的分享,大家常用的通訊工具包括即時訊息軟體如Slack、WhatsApp、Telegram、Signal或Dnote,以及線上會議軟體如Jitsi、Wire、3CX、eduMEET、BigBlueButton和VMukti等。這些工具軟體的共同特點是具備點對點加密功能,而且通常是免費開源軟體。

*台灣網路資訊中心(TWNIC)與亞太網路資訊中心(APNIC)合作,定期精選APNIC Blog文章翻譯摘要,提供中心部落格讀者了解目前亞太地區網路發展之最新趨勢。原文標題為Common setups to secure your networks from home

Scroll to Top