跳轉到

網路與 Wi-Fi

在現今數位時代,網路與 Wi-Fi 已成為我們生活中不可或缺的一部分。了解這些技術的基本知識可幫助我們在日常生活中提高資訊安全,避免潛在的威脅。

網路的基本知識

  1. ISP(網路服務提供者)ISP 是一種提供網路服務的公司,例如:中華電信、遠傳電信或是家裡有線電視寬頻網路等。透過 ISP,我們可以將自己的設備連接到全球網路。
  2. IP 位址:每一台連上網路的設備都有一個專屬的 IP 位址,用以識別和定位該設備。IP 位址可分為 IPv4 和 IPv6 兩種類型。
  3. DNS(域名系統):DNS 將我們易於記憶的網域名稱(如 www.example.com)轉換為 IP 位址,以便我們可以訪問網站。
  4. 防火牆:防火牆是保護網路安全的重要設備,通過檢查進出網路的資料包來過濾並阻止潛在的威脅。
  5. 加密:加密技術如 SSL/TLS 用於保護網上傳輸的資料(HTTPS),確保資料在傳送過程中不被破解或竊聽解譯。

Wi-Fi 的基本知識

  1. SSID(服務集識別碼):SSID 是用來識別 Wi-Fi 網路的名稱。當我們在搜索可用網路時,會看到各種 SSID。
  2. 加密協議:常見的 Wi-Fi 加密協議有 WEP、WPA 和 WPA2。其中目前 WPA3 是最安全的選擇,建議更新舊有使用 WPA2 或無法使用 WPA3Wi-Fi 設備。
  3. BSSID(基本服務集識別碼):每個無線接入點(AP、Wi-Fi 設備、電腦、手機)都有一個唯一的識別碼,由製造商分配,通常使用機器的 MAC 地址。
  4. 路由器:路由器是把外部網路信號轉換成 Wi-Fi 信號的設備,允許多台設備同時上網。
  5. 熱點(Hotspot):熱點是一種無線網路接入點,可以由手機、路由器或其他設備提供,允許附近的設備連接並上網。

使用網路與 Wi-Fi 應該注意到什麼?

安全的連接

  • 使用強密碼保護 Wi-Fi 網路:確保您的 Wi-Fi 網路使用強大且不易破解的密碼,並選擇 WPA2 或更高的加密協議。
  • 避免使用公共 Wi-Fi 處理機敏資訊:公共 Wi-Fi 通常不安全,除非必須使用,請搭配 VPN 一起使用,以增加額外的保護層。
  • 定期更新路由器設備:廠商經常會發佈更新來修復安全漏洞,定期更新確保設備保持最安全的狀態。

識別不安全的網路

  • 無加密的 Wi-Fi:如果網路連接時不需要任何密碼,那麼這個網路可能是不安全的,很容易被攻擊者攔截和竊取資料。
  • 不正常的網路活動:例如網路速度突然變慢或無法訪問某些網站,可能暗示您的網路正被攔截或監控。
  • 冒充網路:攻擊者可能會建立惡意的 Wi-Fi 熱點並使用與常見的公共熱點相似的名稱,誘導使用者連接。

防範措施

  • 使用 VPN(虛擬私人網路)VPN 可以加密您的網路流量,使其難以被監控和攔截,特別是在使用公共 Wi-Fi 時。
  • 啟用雙重身分驗證(2FA:許多線上服務提供雙重身分驗證,這可以大大提高帳戶的安全性,避免受盜。
  • 避免使用相同的密碼:不同帳戶應該使用不同的密碼,以減少一個帳戶被入侵時,其他帳戶亦受到影響的風險。

公民團體辦公位置網路建議

辦公室網路安全建議

公民團體經常處於資訊攻防的前線,網路和 Wi-Fi 安全對其運作至關重要。以下列出了一些關鍵點,以提升公民團體在使用網路和 Wi-Fi 時的安全性。

  1. 設置強密碼:避免使用簡單、易猜的密碼。
  2. 啟用雙因素認證:不僅依賴密碼,還應啟用雙因素認證(2FA),即使密碼洩露,駭客也難以輕易入侵。
  3. 禁止共用帳號:每個團隊成員應該擁有自己的個人帳號和密碼,嚴禁共用帳號,以便在發生安全問題時容易追蹤。
  4. Wi-Fi 安全性:使用 WPA3 加密,如果設備無法升級,至少應使用 WPA2,但要避免使用無密碼或 WEP 這樣的舊加密方式。
  5. 隱藏 SSID:預設情況下,Wi-Fi 的 SSID 是公開的,以隱藏 SSID 能夠增加一層保護,使攻擊者難以找到您的網路。
  6. 設置訪客網路:對外來訪客啟用一個獨立的訪客網路,與主要網路分開,這樣可以防止訪客接觸到內部網路的機敏資料。訪客網路也應該設置強密碼。
  7. 啟用防火牆:防火牆是保護網路免受未授權訪問的第一道防線。應該配置路由器內建的防火牆功能,並根據需要設置相應的規則來過濾流量。
  8. 網路分段:將網路分成不同的虛擬區段(VLAN),以隔離不同的流量,如內部網路、訪客網路、文件服務器、NAS、影印機...等。這樣做可以限制攻擊的範圍和影響。
  9. 使用 VPN 遠端連線:對於需要遠端訪問內部網路的成員,應強制使用虛擬私人網路(VPN),這樣可以加密通信,防止機敏資料在網路上被竊取。

在組織工作環境中,確保公民團體的網路與 Wi-Fi 設定安全,是抵禦潛在威脅的重要項目之一,「個人裝置」相關的設定已在其他章節呈現,本章節會專注在網路通訊設備的調整建議。如果在您的組織中無法驗證以下建議,可尋求信賴的團隊來協助您完成。

個人裝置的網路設定

  • 個人裝置安全建議設定可以參考「裝置安全」章節的說明。可依裝置類型子分類查閱詳細的操作方式。

無線路由器

  • 更改預設管理者帳號及密碼:預設的帳號與密碼往往容易被駭客獲得,因此,應立即更改路由器的預設管理者帳號及密碼
  • 更新設備:定期檢查並更新無線路由器設備,確保它具備最新的安全規格及功能。
  • 加密通訊:確保 Wi-Fi 網路使用 WPA3 加密,若路由器未支援 WPA3,至少應使用 WPA2。避免使用 WEP,因為它已被證明不安全。
  • 隱藏 SSID:選擇不廣播 SSID(Service Set Identifier),增加潛在攻擊者發現無線基地台的難度。
  • 禁用 WPSWi-Fi Protected Setup(WPS)可能存在漏洞,應禁用此功能以提升安全性。

防火牆與網路存取控制

  • 啟用防火牆:在路由器上啟用內建防火牆,並設定適當的規則來過濾不必要或可疑的流量。
  • 建立訪客網路:如果需要提供訪客使用 Wi-Fi,應為他們建立獨立的訪客帳號,這樣可以避免訪客的裝置直接接觸內部網路。
  • 限制設備連接數量:配置路由器設定,限制可以連接的設備數量,降低網路負載。

網路監控與異常檢測

  • 定期檢查連接設備:期檢查路由器上有哪些裝置正在連接,確保沒有未知或未授權的設備。
  • 設定異常流量警示:如設備有能力,設定網路流量監控和警報提示,當流量出現異常時能及時通知。

網路隔離與分段

  • 網路分段:將辦公網路與訪客或其他網路分段,例如,將內部網路和供公眾使用的網路、連結到不同機敏層級的 NAS,可置於不同的 VLAN,以提高安全性。
  • 使用 VPN: 使用 VPN 以保障經由公共網路連接到內部網路的資料數據安全性。

教育與培訓

  • 員工培訓:定期對員工進行網路安全培訓,提升他們對常見攻擊手法如釣魚攻擊、社交工程的認識和防範能力。
  • 強調設備管理:教育員工對個人及辦公設備的網路安全管理,包括不隨意連接不信任的公共 Wi-Fi、經常更新設備的安全更新等。