觀點

享有無限便利也需無限安全

2005 / 11 / 04
林育民
享有無限便利也需無限安全

由於市場對於降低IT成本並同時提升員工生產力有非常強烈的需求,因而造就了企業級無線區域網路解決方案的蓬勃發展,各式各樣的移動計算裝置也使得員工希望在任何地方都能連上企業網路,不再被自己座位上的電腦所綁住。此外,無線傳輸速率的不斷提升以及遵從技術標準相容規定的廠商數量逐漸增加,更使得無線區域網路的實用性大為提高。但是,雖說無線技術消除了實體線路的限制,使用上更具彈性、顯著提升員工生產力和網路建置成本因而下降等優點,但這項技術卻可能讓網路上的資產暴露在相當程度的風險之中。事實上,無線區域網路技術在安全方面並未提供足夠的保護機制,國內就發生過多起透過無線網路入侵的資安事端,而年初的無線溢波大盜透過未嚴格控管的無線區域網路成功入侵網路銀行,更凸顯了日益蓬勃的無線區域網路應用,在安全防護上的不足。本文將對無線網路的安全風險與技術難題方面作整體介紹,並提出可行的建議措施以保護無線區域網路,讓讀者在無線網路安全的規劃方面能有初步的了解。
無線網路讓資料傳輸更便捷
IEEE(Institute of Electrical and Electronics Engineers,電子電機工程師協會)於1999年公佈了802.11標準,其中詳細說明許多無線乙太網路的連線技術,使桌上型電腦、筆記型電腦、個人數位助理(PDA)得以透過這些技術連上實體網路中的無線集線器。無線區域網路一般都是模擬有線網路傳統的集線器傳送方式,並由兩個主要元件組成:無線網路卡與基地台(AP, access point)。過去十年以來,電子資料基礎架構的連接方式一路從同軸電纜、token ring 逐漸演進到10/100 BaseT乙太網路,而802.11標準的推出,更讓電子資料基礎架構往前大幅邁進到無線電傳輸的時代。
理想狀況下,WiFi產品(802.11b)能夠以每秒鐘高達11 Mbps的速度收發資料,但在一般情形下,大部分WiFi裝置都是以1~ 5 Mbps之間的速度運作。就802.11b的安全性而言,WiFi產品已經具有傳輸加密功能,稱為WEP(Wired Equivalent Privacy)。正如乙太網路利用各種實體保護機制保護傳輸資料的隱密性一樣,WEP目的也在於透過加密機制提供與實體區域網路相同等級的保密功能。然而,縱使資料經過加密,在傳輸過程也可能被攔截下來解密,且隨著眾家廠商不斷引進各種新技術與產品,未來將引發更重大的安全缺口。

無線網路隱藏安全風險與技術難題
相較於傳統乙太網路架設成本昂貴及建置時間較長,在變更實際連線架構時,還需要負擔額外的成本與所帶來的不便,無線區域網路不僅價格較為低廉,且當使用者需要作任何變動時,建置維護動作也不會對原有網路造成太大衝擊。基本上架設無線區域網路具有下列優點:
簡化建置與維護工作。
擴大網路涵蓋範圍。
員工移動自如。
降低整體擁有與營運成本。
上述優點之餘,當規劃、設計、建置與管理網路基礎架構時,安全也是非常重要的考量事項之一,尤其是讓IT與安全專家傷透腦筋的無線網路,更應格外重視安全。除了新的網路與裝置技術慣有的問題,例如彼此無法相容以及未來的支援維護等,不安全的無線區域網路還可能讓企業的網路流量與資源暴露在原本無權接觸的外人手中。這些人可能會攔截資料及利用網路上的資源,包括網際網路連線、傳真伺服器與磁碟儲存空間等,更重要的是,無線裝置與網路的連接處可能會成為各種攻擊的突破點,導致整個網路癱瘓、服務中斷、甚至造成企業潛在的法律訴訟問題。以下將詳述無線網路潛在相關危機狀況。
資訊可能外洩到建築物之外
年初發生的無線溢波遭駭客盜接即屬於此類風險,通常稱為war driver(驅車式攻擊)或drive-by hacking(路過式入侵)。無線區域網路的無線電訊號有可能發射到原本預計的範圍之外,穿透地板或建築物的實體屏障而洩漏出去。若這些傳輸訊號外洩到道路、停車場或其它建築物等公開、公用或私人區域,任何有心人士只要利用現成的硬體與網際網路上垂手可得的軟體,便可破解WEP的加密保護功能,取得其中的企業無線資料。
未經許可的自行部署
在企業內部的人,包括員工與承包商,都有可能因為等不及IT部門前來設置,就乾脆自己動手架設無線網路。由於入門的WiFi套件只需無線NIC與一個WiFi基地(AP),價格往往非常便宜,甚至台幣千元左右就可買到;加上安裝簡便,只要懂一點點技術就可以在10分鐘內架設完畢,因此他們往往都會自己動手買這些設備來安裝。問題是,當這些未經過核可的技術接上企業網路時,免不了會引起各種狀況,除了可能影響原有服務之外,一般使用者的支援與設備的維護工作也需設法解決。
有辦法潛入企業辦公室內部的人,只要在會議室或大廳中任何不顯眼的地方放置一個無線AP,就有可能竊取內部資料。這類型的裝置不僅隱藏容易,安裝也很簡單。證諸以往歷史,類似裝置竊聽器的案件不可勝數,即使是被認為應該最安全的大使館,竊聽事件也時有所聞。有心人士只要在企業外面附近找個地方,便可以擷取資料、存取企業資源,甚至迫使企業對外提供的服務中斷。
無線裝置易被有心人士利用
現今許多筆記型電腦出售時便已配有內建WiFi功能,因此就算該裝置從未用來傳送或接收無線傳輸資料,駭客還是有辦法取得該裝置的資料以及連上企業的無線區域網路。大部分新款機器,包括閘道伺服器在內,其出廠的安全設定都不怎麼完善,因為它們的預設值大多是以容易安裝與部署為主,很少考慮到資產保護的問題。
訊號干擾
牆壁、柱子以及建築物等特性,都會使得無線NIC與AP之間的訊號強度減弱,大大限制了無線區域網路的涵蓋範圍與連線品質。多增加一些設備,可稍微減輕這些問題的嚴重性,但由於藍芽、無線電話以及其他無線設備等所使用到的無線技術,全部都共用同一段公眾無線電頻譜(public spectrum),恐怕會使得傳輸距離與品質大受影響。
IEEE標準仍在演進階段
正在考慮建置無線區域網路的企業,可以選擇立刻架設符合802.11 標準的無線區域網路,或等待未來預計會解決效能與安全問題的新版規格。IEEE與其工作小組目前仍持續不斷定義與修訂規格,寄望能符合多樣化的需求並改善現有技術被公認的弱點。但萬一各家廠商設計的802.11系統並未符合IEEE制定的標準,可能會衍生出許多相容性的問題。

有效防護降低無線網路的安全危機
若是以年初所發生的無線溢波盜接案例來說,歹徒不但熟知網路銀行運作機制,除了透過四處偵測是否有無線區域網路可盜接進入網路銀行外,更將透過猜測懶人密碼的方式進入受害人使用者帳號,取得機密資訊後,反覆查詢猜測予以破解。在無線區域網路方面建議企業採取下列步驟以有效防範駭客透過無線區域網路進行入侵:
建立無線區域網路安全政策與實務準則。
強化無線區域網路設備安全設定。
限制AP連線。
強制透過VPN存取。
禁止不需要的通訊協定。
啟用防火牆機制保護無線裝置。
建立無線區域網路安全政策與實務準則
企業防範無線區域網路安全的第一步在制訂無線區域網路安全政策,確實規範無線區域網路可使用之範圍、方式與所需的防範措施,以及管理權責劃分等。教育員工可提高他們對於安全風險的警覺度,否則員工可能無法體認為何隨意建置無線區域網路或使用現成WiFi產品,會導致企業承受的安全風險大幅提高。這方面的資訊與相關規定如能制訂清楚並時常加以宣導,應該有助於創造高度警覺的企業環境。而針對有心人士透過盜接企業無線網路而犯案,企業應定期稽核公司內部是否有未經授權架設的無線網路設備;另一方面無線網路設備本身可能亦有漏洞,企業也應定期確認合法的無線網路設備是否已將韌體更新至最新版本。這些措施都應納為企業資安實務準則的一環。
強化無線區域網路設備安全設定
建議企業應適度針對無線區域網路設備的內定組態加以修改、重設,以防入侵者利用內定組態就可以使用企業的無線區域網路設備。強化無線區域網路設定基本上可以分為下列幾項:
關閉SSID廣播功能:由於大部分的入侵者會利用一些無線區域網路程式偵測工具來蒐集無線網路設備的相關資訊,關閉SSID廣播功能可以防止入侵者蒐集到企業的無線網路設備資訊
修改SSID廣播功能的內定值:若沒有修改,即便是關閉了該功能,入侵者仍有可能透過無線網路設備內定的SSID進行盜用。
修改無線網路設備的內定帳號及密碼:大多數的無線網路設備出廠時,均設有內定的帳號及密碼;若使用者未進行修改或是採用懶人密碼,入侵者則非常容易掌控無線網路設備。
關閉或修改無線網路設備的SNMP功能:部分無線網路設備內定啟動網管功能,入侵者可以透過SNMP修改甚至接管無線網路設備。
關閉DHCP:關閉DHCP可使入侵者無法取得IP位置,提升盜用的困難度。
限制AP連線
管理者可利用認證表選擇只讓經過核准的MAC位址連上區域網路。由於每張網卡都有一個絕對不會與其它網卡重複的位址,而且大部分廠商的AP都能夠利用認證表限制『媒體存取控制』(MAC, Media Access Control)位址,因此管理者就不必辛苦地編輯每一個AP,只要將AP指到中央控管資料庫,便可限制只有哪些網卡能連上區域網路。
強制透過VPN存取並啟用各項加密機制
建議企業最好強制使用者透過VPN連上無線區域網路。因為經過身分認證的使用者,其連接設備與企業區域網路之間的資料傳輸是透過加密通道進行,可有效降低資料被竊取的風險。而啟用如WEP、WPA及802.1x認證及加密機制,亦可提升盜用的困難度。啟用WEP加密機制,入侵者必須知道密鑰才能存取無線網路;而密鑰的長度亦建議使用128位元,不要使用40位元。WPA則能提供比WEP更完善的認證與加密機制。
禁止不需要的通訊協定
避免在AP與VPN閘道連線之區域網路網段使用不需要或多餘的通訊協定,以降低被攻擊者發現漏洞與弱點所帶來的風險;建議只保留VPN所需的『網域名稱系統』(DNS, Domain Name System) 與IPSec (IP Security)兩個通訊協定即可。
啟用防火牆機制保護無線裝置
除了透過上述措施提升入侵者非法盜用無線網路的難度外,現階段使用無線網路要達到高安全性的要求,建議應啟用防火牆防護機制,限制無線網路用戶能存取的網路資源,方能有效保障內部網路之安全。能夠強制使用者啟用VPN連線,及整合防火牆、入侵偵測、入侵預防、強制執行防毒政策及內容過濾等多項功能的防火牆產品,將有助於企業大幅降低無線網路遭到盜用的風險。

後記
無線區域網路技術可大幅強化企業網路的功能,提升員工生產力並降低IT成本。IT管理人員可設立各種評估準則,包括無線安全政策與實務操作準則的制定,並採用各種區域網路的設計與建置方式,降低此項技術帶來的風險。然而任何的安全防護措施均無法保證100%的安全,在無線溢波盜接案例上,除了以上的防護措施外,保存無線網路設備的稽核記錄則是企業應具體實施的作為,除了有效分析問題的根源及追蹤入侵者來源外,若不幸遭到盜用,該稽核記錄亦可作為證明自身清白的證據之一。