捍衛你的無線區域網路

文 / 陳家煌


無線區域網路（Wireless Local Network Area, WLAN）802.11技術已逐漸成熟且大量地被應用於企業、學校、政府及研究等機構中。其普及化的最大優勢在於：1.使資料的連結與傳輸具備高度的行動力。2.毋須大興土木，即可輕易地部署於現有的環境中。3.建置成本與有線網路比較可節省約40%的成本。然而縱使擁有這些優勢，WLAN卻始終無法全面取代有線網路環境。歸咎WLAN無法再往前邁出一大步的原因，資訊安全是最主要的原因。


由於WLAN的傳輸介質為空氣，在實體上並無任何的保護，必須仰賴其他虛擬的機制來達到資料保護的目的。以資訊安全的鐵三角：機密性（Confidentiality）、完整性（Integrity）、可用性（Availability）來考量，WLAN都必須建立更完善的機制來保護。本文將以資訊安全為出發點，探討目前WLAN所面臨的安全課題及捍衛無線網路的技巧。

WLAN的安全性風險
WLAN的安全性風險不但來自具破壞力的駭客攻擊，也有可能來自具破壞企圖的內部員工，因此要分析WLAN的安全性風險，必須分為組織內部的漏洞與來自外部的威脅兩部分來探討。


組織內部的漏洞



1.偽冒的無線網路

偽冒的無線存取點（Wireless Access Point）是一個被廣為提及的問題。2001年著名的市調公司Gartner預估：「至少有20％的企業網路中有偽冒的無線存取點存在」。內部員工可輕易利用簡單的設定來複製筆記型電腦的MAC位址，以用來隱藏做為入侵企業內部網路而自
行架設的無線存取點。


其他偽冒的部署方式或未經授權的使用者入侵包含了Ad Hoc網路。這種利用無線網路卡做點對點連結的網路，並不需要無線存取點以及任何的認證方式。當Ad Hoc網路成為一種方便的無線傳輸方式時，會出現一種安全性風險：當有一節點開啟Ad Hoc模式時，這個節點很容易成為駭客直接攻擊的對象，駭客可以直接下載這個受害節點的檔案，或透過這個節點使用通過認可的存取點做為進入企業網路的管道。


2.不安全的網路設定

許多組織錯誤的相信利用虛擬私有網路（Virtual Private Network, VPN）來保護WLAN的安全是萬無一失的銅牆鐵壁。如果整個網路沒有做最適當的設定，當頂尖的駭客破解VPN時， VPN就像裝在破房舍的一道鐵門一樣，駭客無須攻破鐵門，其他地方依然有許多漏洞可供進出。


不安全的設定值意味著一個重大的顧慮。設備的出廠設定值通常包含了預設的密碼、預設SSID的開放性廣播、不具備或簡單的加密，以及缺乏認證機制，而造成存取點成為駭客進入內部網路的閘道。即使是具備適當設定值的存取點，員工也可以尋找更進階的操作方法來改變設定值，或利用電力不穩定及系統當機時藉機回復預設值。


3.意外的網路聯集

節點與鄰近的WLAN產生意外網路聯集的情形最近成為無線安全新的顧慮點，尤其是當企業面臨兩個WLAN有重疊的現象時。會造成意外的網路聯集是當一個企業位於對街或緊鄰的樓層時，企業內的WLAN發射出強烈的射頻（RF）信號而溢出原有的建築空間，與另外一個WLAN產生重疊的現象。Windows XP強大的無線偵測功能可以讓無線網路的使用者輕易的連結到鄰近的無線網路而不被察覺。


當一個節點連結到鄰近的WLAN時，可以洩漏出所有位於鄰近網路內的任何密碼或重要的資料。意外的網路聯集亦可以在忽略所有內部的安全與控管之下，透過這個節點連結兩個鄰近的WLAN。


來自外部的威脅



1.資料非法竊取與偵察

無線傳輸是利用空氣作為傳輸的介質，因此竊聽者可輕易的獲取資料傳輸中非加密的訊息。此外，即使是運用WEP（Wired Equivalent Privacy）所加密的資料，駭客只需要運用現有的工具，在極短的時間內就可以輕易的讀取解密後的資料。這樣的入侵行為使企業的重要資訊暴露於商業間諜威脅下。


2.認證使用者的資料竊取

認證使用者的資料竊取，暴露了企業最大的安全性威脅。使用SSID（Service Set Identifier）做為預設的密碼，以及運用MAC位址做為個人身份認證的憑證，通常被用來做為檢視使用者是否具有存取無線網路的依據。因為現存的加密標準並不是絕對可靠無誤的，聰明的入侵者可以輕易的獲取SSID和MAC位址，以這些資料偽裝為認證的使用者，進入企業的無線網路環境進行頻寬的竊取、非法下載資料及懲罰性的破壞活動。


3.日益精進的攻擊方式

許多頂尖的駭客攻擊方式，例如癱瘓式攻擊（Denial-of-Service）以及截擊式攻擊（Man-in-the-Middle）都會造成網路連線的中斷，與破壞虛擬私有網路（VPN）的加密進，而截取其中的傳輸資料。


捍衛無線網路的十大步驟
當瞭解了無線網路的內部漏洞與可能遭受的外來攻擊後，接下來為了使WLAN能更安全，我們必須建立一套標準的防禦機制，以捍衛WLAN的資料保全。


1. 運用無線存取點所能支援最高等級的WEP加密機制。WEP或許有瑕疵，但能夠提供第一線最簡單的安全保障。目前802.11b及802.11g支援128-bitWEP，802.11g可以支援到152-bitWEP加密。

2. 更改無線路由器及存取點的預設SSID值。

3. 在所有無線用戶都可以直接透過無線路由器或存取點進入網路的環境下，建構基礎架構模式（Infrastructure Mode）的無線網路。將"Ad-Hoc"模式關閉以避免駭客藉由使用者的電腦做為跳板，以點對點的方式連結到其他的地方。

4. 在存取清單中設定MAC認證機制。設定只有特定使用者的MAC位址可以通過存取點。

5. 關閉SSID的"廣播"模式。一旦駭客知道存取點的預設名稱，他們可以利用簡單的駭客程式，或甚至Windows XP就可以搜尋到鄰近可入侵的無線網路環境。

6. 如果在無線存取點上執行SNMP（Simple Network Management Protocol）的監控程式，在識別管理程式的名稱上務必指定一個不常用的名稱。如此一來，駭客就沒有辦法使用許多管理程式提供的預設名稱來監聽網路中的封包。

7. 建立一個定時查核非法存取點的機制。建議最少一季必須對整個網路作一次掃瞄。這個機制可以將免費軟體NetStumbler或Windows XP安裝於筆記型電腦中，藉由在無線環境中的搜索，尋找未經授權的非法存取點。就目前的技術而言，已經有可以自動完成定時掃瞄，與鎖定非法存取點的產品問世。未來，以查核的機制加上及時警示來保護無線網路的安全，將成為無線安全防禦的主流。

8. 將無線網路集中在一個特定區域，或在無線網路與企業網路間架設防火牆。

9. 建置虛擬私有網路（VPN）連線通道。這個技術是利用一個安全的通道來保障使用者與無線存取點間的傳輸是完全無慮的。VPN利用加密與認證機制來隱藏及偽裝傳輸中的資料，以避免資料被駭客竊取後輕易地讀取其內容。以現在的技術而言，無線存取點已漸漸內建VPN，無須另外架設一台VPN伺服器。

10. 制訂無線網路使用規範並教育使用者。歸咎安全的最終因素，人還是最重要的因素，產品只能輔助性地幫助管理者達到日常運作的管理。要做到100％的安全，擁有一套無線安全政策是不可或缺的。


無線網路安全的未來展望
WLAN無法全面取代有線網路的主要原因，最終還是環繞在資訊安全的議題上。因此新的安全規範如802.11i正方興未艾地為WLAN帶來業界新標準。


IEEE 802.11i是下一代強化加密機制與私密性的標準方案。802.11i將結合強化後的認證與加密機制。兩個新的加密演算法：TKIP與AES將取代原先的WEP通訊協定。TKIP是一個暫訂的方法，可以透過軟體升級的方式支援早先的使用者與無線存取點。另一個演算法是以AES為基礎，未來將完美支援更強化的資訊安全環境。


現存或早先的無線系統可能會被升級至802.11i標準技術中的一個子集合。其他802.11i的加密演算法，如AES，將因為硬體必須升級的緣故而無法只升級軟體。目前802.11i的標準預期在2003年底將會公布。

結論
無線網路環境一直是工作者所嚮往的理想工作方式，行動辦公、隨處上網，然而如同早期乙太網路的標準化過程一般，現在的WLAN正逐漸脫離標準化的陣痛期，大步邁向成熟的網路標準。無論是六月甫出爐的802.11g高速的WLAN，或是預計年底出爐的802.11i強化認證機制，這一路的里程碑，都在宣告無線環境的年代已經來臨。展望2004年，無線網路將逐漸成為我們生活中的每一部份，現在有機場、麥當勞、咖啡廳，未來走在大街上，也許您提袋裡的筆記型電腦會告訴您：『You got mail.』。(本文作者現職為精誠公司資訊安全產品經理)