大多数家庭和小型企业网络之所以能工作,“是因为你打开WiFi就能浏览网页”,但 没有人确切知道有多少设备连接到网络,哪些服务暴露在外,或者哪些门户对互联网敞开。令人担忧的是,在这种情况下,基本漏洞(例如端口未正确关闭或密码强度不足)比罕见情况更为普遍。您可以先使用一些工具来帮助您定位受感染的设备。 在您的本地网络上 找出它们之间的联系。
好消息是,今天你就可以做一件事。 无需花费一分钱购买许可证,即可获得一次性家庭网络流量和安全审计。少数人 免费工具 通过精心挑选的工具和清晰的方法,您可以了解您的网络上有什么、每个设备在做什么、哪些端口不应该打开以及您正在承担哪些风险,而无需建立专业的实验室或成为黑客。
家庭网络审计究竟是什么?
当我们谈到对家庭网络(或小型企业网络)进行审计时,我们指的不是耗时数周的渗透测试,而是指…… 对设备、流量和基本安全配置进行结构化审查目标是回答非常具体的问题:
- 哪些设备已连接 连接到我的网络(PC、手机、平板电脑、电视、IP摄像头、NAS、物联网设备……)的设备有哪些?还有哪些是我意想不到的?
- 哪些端口和服务已开放? 在网络内部以及面向互联网?
- 网络上正在传输哪些流量? 如果存在可疑或未加密的通信。
- 我的WiFi安全吗? (加密、密码、WPS、访客网络、隔离、路由器固件)?
对于家庭或微型企业来说,切实可行的方法是专注于…… 库存、服务暴露、WiFi 安全和基本漏洞你不需要利用漏洞或“破坏”任何东西;只需检测不应该出现在那里的危险配置和服务即可。
家庭网络和小型企业的主要风险
在家庭和小型企业环境中,这种情况很常见。 几乎所有审计中都会重复出现的非常基本的安全错误快速发现它们是降低风险而无需大量投资的关键。
- 默认或弱密码的WiFi密码路由器标签上印着宠物名字、公司名称、电话号码或工厂密钥。只要有本不错的词典,几分钟就能破解。
- 使用默认凭据的路由器管理面板 (admin/admin,1234)或可从任何设备访问而无需控制,允许更改 DNS、打开端口或重定向流量。
- WPS 已激活流行的快速配对按钮虽然方便,但存在已知的安全漏洞。在许多路由器上,它会在用户不知情的情况下保持激活状态。
- 访客网络划分不合理 或者根本不存在:访客、供应商甚至物联网设备与存储敏感数据的计算机共享同一网络。
- 路由器固件未更新许多模型都存在多年前就已修复的严重缺陷,但这些修复措施从未得到实施。 固件更新.
- 服务不必要地暴露 (RDP, Windows 上的 FTP 服务器(例如 SMB、Web 面板、摄像头)端口对互联网开放,甚至无需密码。
- 未加密流量 在应该全部使用 HTTPS、SSH 或 VPN 的环境中,却使用了 HTTP、FTP、Telnet 等协议。
所有这些都可以通过以下方式检测到: 家庭网络审计由免费扫描、流量分析和漏洞审查工具提供支持你不需要 SOC 或 SIEM,只需要订购和方法。
使用免费工具清点设备和服务
第一步总是 准确了解网络上连接了哪些设备以及哪些服务正在运行。无论是在家还是在小型办公室,Nmap 和类似的工具都是你最好的帮手。
Nmap:网络扫描领域的瑞士军刀
Nmap 是一款免费的跨平台软件工具,它允许…… 发现设备、扫描端口并检测操作系统。虽然听起来像黑客工具,但它却是合法审计网络的基本工具之一。
使用简单的 ping 扫描(或使用 高级命令 (例如使用 ipconfig 或 ping 命令)你可以得到一个 您家庭子网上所有活动设备的清单:
nmap -sn 192.168.1.0/24
下一步是深入研究端口和服务。更全面的扫描会告诉你…… 哪些端口是开放的?每个端口上分别有哪些服务正在监听?:
nmap -sV 192.168.1.0/24
在房屋审计中,您可以提取的最有用的信息包括:
- 活动设备列表 以及它的 IP 地址,通常还有主机名(例如,SmartTV-客厅,NAS-办公室)。
- 每个设备打开的端口 (HTTP/HTTPS、SSH、RDP、SMB、专有摄像头服务等)。
- 操作系统近似检测 (Windows、Linux、带有嵌入式固件的路由器、基于Linux的IP摄像头等)。
Nmap 还包含 NSE 脚本,允许 除了简单的端口扫描之外,还要检查已知的漏洞或危险配置。 在 Samba、FTP、SSH 等服务中,如果使用得当,它们是一种无需支付许可证费用即可检测问题的非常有效的方法。
更多可视化库存和扫描工具
如果您更喜欢带有图形界面的工具,也有一些专为企业环境设计的解决方案,它们同样可以作为图形界面工具使用。 家庭网络清单和基本审核:
- 扫地机它可以发现 Windows、Linux 和 macOS 系统上的资产和 IP 设备,并生成集中式清单。其免费版本足以满足小型网络的需求。
- Spiceworks、Total Network Inventory、Open-Audit 或 EMCO Network Inventory它们可以实现更经典的网络库存管理,虽然它们更偏向于商业用途,但它们也能为中小企业提供很高的可见性。
这些程序并不能取代 Nmap 扫描,但它们通过提供以下功能对其进行补充: 报告、资产分类以及在某些情况下提供的基本警报 关于变化或问题。
网络流量分析:了解电缆和空中的流量状况
了解你拥有哪些设备后,点击 监控网络中的流量,以检测不安全或可疑的通信。这时就需要用到协议分析仪了。
TCPDump 和 Wireshark:详细分析数据包
TCP转储 (在 Unix/Linux 及其变体中) WinDump的 对于 Windows 系统来说,这些是命令行工具,可以捕获并显示通过网络接口的流量。它们功能非常强大,但对于不熟悉命令行的人来说,使用起来可能有些繁琐。
因此,通常会诉诸于 Wireshark的它提供了一个基于相同理念的清晰图形界面: 捕获数据包并按协议对其进行剖析Wireshark 可以让你:
- 按协议过滤流量 (HTTP、HTTPS、DNS、FTP、Telnet 等)。
- 识别未加密通信 在应该受到保护的服务中(例如,看到凭据通过 HTTP 或 Telnet 传递)。
- 检测异常模式例如频繁连接到不寻常的目的地或来自特定设备的大量流量。
简单的家庭审计就足以…… 在正常使用时段内采集 15 至 30 分钟的交通数据。 并进行回顾:
- 如果有 不安全的协议 (HTTP、FTP、Telnet)应替换为它们的加密等效项(HTTPS、SFTP、SSH)。
- 如果任何设备生成 不断有流量流向陌生的IP地址 或者您不认识的域名。
- 如果 DNS 查询 它们指向您自己没有配置过的奇怪服务器(可能是路由器被篡改或感染了恶意软件)。
Wireshark 不仅仅用于安全:它对其他方面也很有用。 诊断性能问题、崩溃和延迟问题因为它能让你看到转发、丢包和重传情况。
WiFi网络审计:加密、密码和无线邻域
在大多数家庭和小型企业中,WiFi 是 最易受攻击且同时最容易被忽视的入口点如果任何人都能用极其弱的密码入侵无线网络,那么拥有一个完美无瑕的有线网络也毫无意义;这就是为什么建议…… 提升您的WiFi安全性 主动地。
家庭WiFi安全审计需要检查哪些内容
一个最基本的WiFi安全审计至少应该检查以下几个方面:
- 网络发现可见和隐藏的 SSID、信道、信号强度、活动接入点(包括可能无人记得安装的“幽灵”接入点)。
- 加密和身份验证:使用的安全类型(WEP、WPA、WPA2、WPA3)和密码强度。
- 路由器配置是否启用 WPS、管理员用户名和密码、固件、对外开放的服务。
- 分割:存在独立的访客网络,并与主网络和物联网设备隔离。如果您不知道如何进行网络分段, 配置您的 WiFi 网络 以先进的方式。
- 覆盖:信号盲区、重叠区域、信号逸出房屋或场所外的点。
- 连接的设备:对 WiFi 上的设备进行清点,并检测入侵者或未知设备。
适用于家庭环境的实用免费 WiFi 工具
要审核无线组件而无需花费许可证费用,您可以结合使用几个专用工具:
- 了Aircrack-NG一套用于 WiFi 审计的工具包,尤其适用于 Linux 系统。它包含以下工具: 捕获流量 (airodump-ng)、注入数据包 (aireplay-ng) 并分析握手它允许您通过对捕获的握手包执行字典攻击来检查 WPA/WPA2 密钥的强度。它是评估密码强度的基准。
- Wireshark的 再次扮演一个有趣的角色,因为它可以 在监控模式下分析 WiFi 流量 如果你的网卡支持,你就可以看到实际通过无线方式传输的内容。
- NMAP应用于无线网段(例如,192.168.1.0/24)可以帮助您 列出与您的 WiFi 关联的所有设备及其服务.
- 亚克力 WiFi(Windows)它以图形方式显示附近的网络、信道、加密类型和已连接的设备,并提供相当全面的免费版本。
- NetSpot(Windows/macOS):非常有用 地图覆盖范围 使用房屋或办公室的平面图来查找信号盲区或干扰区域。免费版本可满足基本需求。
从法律角度来看,必须强调的是: 您只能审核您已获得明确授权的网络。在西班牙,未经许可分析或试图破解他人的 WiFi 安全可能构成犯罪(根据刑法典第 197 条之二)。
免费开源漏洞扫描器
检测设备和流量只完成了一半的工作;另一半工作包括: 识别已知漏洞、错误配置和过时的软件这时漏洞扫描器就派上用场了。
OpenVAS:漏洞分析领域的经典之作
开放式增值服务 它是一款开源漏洞扫描器,允许 分析设备和服务是否存在已知漏洞、不安全配置和未打补丁的软件它很重,只适合家用,但在小型企业或专业办公室中表现非常出色。
它在基本审计中的典型功能是:
- 定义一个 目标 (家庭或办公室网络的 IP 地址或地址范围)。
- 运行一个 全面扫描 它将服务发现与漏洞检查结合起来。
- 检查 结果报告其中问题按严重程度(严重、高、中、低)分类列出,并附有解释和缓解措施说明。
OpenVAS 依赖于一个最新的故障数据库(与 CVE 标识符和 CVSS 评分关联),这对于以下方面非常有用: 确定优先修复的问题。例如,它可以提醒您注意嵌入在 NAS 中的 Web 服务器是否存在严重漏洞,或者 IP 摄像头固件是否存在已知漏洞。
其他渗透测试工具和补充分析
在网络审计生态系统中,有很多专为道德黑客设计的工具,这些工具在负责任的管理员手中也非常有效:
- Metasploit的:允许进行渗透测试的框架 利用已知漏洞在家庭环境中,通常没有必要做到这种程度,但在中小企业中,这样做有助于展示某些失败的真正影响。
- OWASP ZAP 和工具之类的 Burp Suite(免费版)、Vega、Nikto 或 Uniscan:面向 Web 应用程序和 HTTP 服务器的安全分析,如果您有内部 Web 服务或小型暴露门户,则非常有用。
- 幻影平台 协调多个扫描器(Nessus、OpenVAS、Nmap、ZAP……) 并自动执行定期审查,重点是检测扫描之间的变化(这对于服务持续增长的小公司来说非常有趣)。
- Aircrack-ng 套件、Hashcat 及类似产品除了评估 WiFi 安全性之外,它们还允许您在合法捕获哈希值或握手信息后,评估密码抵御字典攻击或暴力破解攻击的稳健性。
尽管许多此类工具也落入攻击者之手,但它们在审计中的合法用途包括: 模拟攻击者会如何抢占先机并弥补漏洞红线很明确:未经明确许可,绝不可将这些工具用于第三方系统或网络。
持续监控与控制:超越快照
一次性审计对于了解“你目前的状况”非常有用,但现实情况是: 网络瞬息万变新设备、更新、启用后又被遗忘的服务……如果您想长期保持一定的安全级别,就需要持续监控。
性能、可用性和流量监控
网络监控工具通常根据其主要功能分为以下几类:
- 性能这些工具可以测量网络设备的带宽、延迟、丢包率、CPU 使用率和内存使用率。例如 PRTG Network Monitor、SolarWinds Network Performance Monitor、ntopng 和 Datadog。如果您需要 测量局域网速度这些特定的工具或实用程序对您很有帮助。
- 可用性它们使用 ICMP(ping)、SNMP 或 HTTP/SMTP 检查来确认路由器、交换机、服务器和服务是否“在线”。例如:Nagios XI、Zabbix、WhatsUp Gold。
- 流量和带宽他们分析谁在何时何地消费了什么数据,以及数据流向何处,从而帮助…… 检测瓶颈和异常流量例如:ntopng、NetFlow/sFlow 收集器、集成到高级路由器中的流量分析工具。
- 安全他们专注于 可疑事件、配置更改、登录失败尝试、端口扫描等。例如:用于网络设备的 Netwrix Auditor、Cisco Stealthwatch、SentinelOne、SIEM 解决方案。
对于家庭用户或小型企业来说,部署整套企业级解决方案并不现实,但您可以利用一些免费版本或社区版的解决方案,例如…… PRTG、Zabbix、Observium、Nagios 或 ntopng 监控关键点:主路由器、NAS、备份服务器、VPN 等。
云监控和混合环境
即使是小型组织,将部分基础设施(虚拟服务器、SaaS 应用、存储)部署在云端也变得越来越普遍。在这种情况下,全面的审计包括…… 同时了解这些环境中的交通和安全状况:
- 解决方案如 Datadog、LogicMonitor、Auvik 或 AWS、Azure 和 GCP 的原生工具 它们可以监控云实例、微服务之间的流量以及潜在的瓶颈。
- 特定服务,例如 亚马逊检查员 他们分析 AWS 上的 EC2 实例和其他工作负载,以寻找…… 漏洞和配置偏差根据影响程度对研究结果进行优先排序。
虽然这偏离了纯粹的家庭场景,但它与此非常相关 将本地网络与云服务相结合的小型企业他们想要全面了解他们的攻击面。
漏洞扫描器:什么才算真正有用
并非所有漏洞扫描器都一样。即使是功能有限的免费版本,要想将其集成到审计流程中,也应该具备以下几个关键特征:
- 全面覆盖它必须能够检测网络漏洞、操作系统漏洞、Web应用程序漏洞和配置问题。
- 准确性高误报(假阳性)和漏报(假阴性)越少越好。一台让你不得不查看数百条无用警报的扫描仪最终只会落得被束之高阁的下场。
- 自动化和可编程扫描能力理想情况下,您应该能够安排定期审核并收到报告,而无需每次都手动输入所有内容。
- 清晰且可操作的报告仅仅说“脆弱”是不够的;你必须解释问题所在、影响以及如何解决它。
- 易于使用如果学习曲线过于陡峭,你就不会经常使用它。
- 与其他工具集成 (防火墙、工单系统、SIEM),这些在商业环境中更为常见,但如果您的家庭网络是更大基础设施的一部分,则这些系统非常有价值。
像这样的工具 Nessus(免费版功能有限)、OpenVAS、Intruder 或提供免费试用的商业解决方案 它们符合这一特点,只是侧重点有所不同,有的侧重于家庭用途,有的侧重于商业用途。对于要求较高的家庭网络,OpenVAS 加上 Nmap 和 Wireshark 通常是一个非常合理的组合。
漏洞数据库:这些工具从哪里获取数据
现代扫描仪的大部分功能都来自于它们与……的连接 公共漏洞数据库了解主要问题总是有益的:
- CVE(常见漏洞和披露)一个开放的漏洞目录,其中每个漏洞都被分配一个唯一的标识符(例如,CVE-2024-XXXX)。它为制造商、分析师和工具之间提供了一种通用语言。
- NVD(国家漏洞数据库)该信息由 NIST 维护,它以额外的数据和评分补充了 CVE 信息。 CVSS (通用漏洞评分系统)指示严重程度(低、中、高、严重)。
- CERT 和其他事件响应团队他们收集并公布技术细节、受影响的制造商和缓解措施。
网络和漏洞扫描器使用这些资源来 保持知识库更新这就是为什么保持分析结果与时俱进非常重要,而不能依赖多年前对公司的分析。
合法使用“黑客”工具及其法律风险
文中讨论的许多程序(Nmap、Wireshark、Metasploit、Aircrack-ng、Hashcat……) 安全专业人员和系统管理员的标准工具但它们也经常出现在网络犯罪手册中。
合法使用与犯罪使用的区别在于: 同意和客观:
- 使用它们是合法的 对您自己的家庭网络或已获得书面授权的客户的家庭网络进行审核。.
- 将它们用于以下用途是违法的: 未经许可访问、扫描或试图破坏第三方系统即使只是出于“好奇”,而且你没有造成任何伤害。
此外,通过使用 Wireshark 等工具捕获网络流量,可以轻松获取敏感数据(凭据、未加密通信内容)。这会让你…… 负责妥善保管该信息 并在不再需要时删除捕获的文件。
如何处理假阳性和假阴性
经常被忽视的一个方面是: 没有完美的扫描仪。在实践中,您会遇到:
- 误报:被标记为漏洞的问题,实际上已经修复或不适用于您的环境(例如,制造商已修补的所谓易受攻击的软件版本,但版本号未更改)。
- 假阴性:由于技术或数据库限制,扫描仪无法检测到的实际故障。
为尽量减少这些错误的影响,建议:
- 不同工具之间的交叉引用结果 (例如,将 OpenVAS 与特定的 Nmap NSE 扫描结果或来自其他解决方案的报告进行比较)。
- 手动检查关键漏洞 检查软件版本、设备配置和制造商文档。
- 重大变化后重复扫描 (新设备、固件更新、更换互联网服务提供商)。
目标不是做到精确到毫米的完美审计,而是…… 显著缩小攻击面,避免初学者犯错.
什么时候应该自己动手,什么时候应该寻求外部帮助?
在家庭作坊或微型企业中,这完全合理。 自行完成基本审计 以上提到的免费工具,前提是您具备一定的技术能力。尤其推荐在以下情况下使用:
- 与人建立联系 少于 20-25 台设备.
- 不涉及极其敏感的数据(健康信息、第三方财务信息、机密法律文件)。
- 仅供内部使用,无需向客户提交正式报告或接受合规性审计。
另一方面,这样做要明智得多。 将至少一部分工作外包出去 如:
- 你管理 数十台设备、多个位置或高度异构的网络.
- 你开车 受监管或特别敏感的数据 (医疗保健、金融、法律)
- 您需要 官方报告 用于认证、审计或与客户签订合同。
- 你是否遭受过,或者怀疑自己遭受过,某种形式的虐待? 安全事故 最近的。
在许多情况下,混合模型是最实用的方法: 你进行轻度且频繁的审计 使用免费工具,您可以定期(例如,每年一次或在重大变更后)委托进行更深入的专业审核,该审核还会审查您日常工作中看不到的内容。
从“如果没坏就别修”的思维模式,转变为使用 Nmap、Wireshark、Aircrack-ng 或 OpenVAS 等免费工具系统地检查网络,意味着从临时应对转向系统化管理。 真正掌控你拥有哪些设备、它们如何通信以及应该尽快修复哪些安全漏洞。只要投入几个小时,并自觉定期进行复查,家庭或小型企业网络就不再是一堆不透明的联网设备,而变成了一个你知道如何保护和控制的基础设施。 分享信息,其他用户就能了解相关内容。