https://newera17031.activehosted.com/index.php?action=social&chash=19de10adbaa1b2ee13f77f679fa1483a.2906&nosocial=1
https://newera17031.activehosted.com/index.php?action=social&chash=19de10adbaa1b2ee13f77f679fa1483a.2906&nosocial=1

觀點

馴服難以駕馭的無線區域網路

2006 / 03 / 20
Sandra Kay Miller
馴服難以駕馭的無線區域網路

這些增強安全性的產品和協定並不是忽然間就產生出來的。而是商業上需求大力的推動,讓無線網路的發展者不得不好好地面對以及了解這些因為惡意或使用者疏忽而產生的安全相關問題。這些無線網路上的安全議題包含有缺陷的加密標準、非授權的存取以及訊號干擾、中斷。由於筆記型電腦、PDA以及智慧型手機,這些擁有無線連線能力裝置被大量的使用,導致使用上延伸出了大量的安全問題。

美國麻省抵押金融的科技主管Beaupre說:「無線安全的問題造成如金融體系等注重資訊安全的事業體不敢使用無線技術。不過無線安全產品的發展終於趕上無線技術相關安全議題的腳步。然而無線網路的安全並不是單單把這一系列維護安全用的簡易軟體或應用程式組合起來這麼簡單而已。」為了確保無線區域網路的安全,管理者們使用認證用的尖端加密技術、嚴謹的存取控制以及成熟的入侵偵測和入侵防禦系統等多元的防護應用來維護安全。配合強健的政策、組態管理以及安全管理人員來確保組織中的無線網路裝置的安全。

使用強健的認證機制
由於無線區域網路可用字典暴力破解明文密碼、無線網路協定使用有弱點的WEP加密演算法,以及可能被中間人攻擊法破解認證機制,所以認證的安全問題曾經被視同瘟疫般嚴重。非法的無線網路基地台也常用來破壞安全管理人員的控管,取得對於無線網路環境的存取能力。在充滿弱點的無線區域網路,受HIPAA以及SOX等要求的機構必須採用強健的認證機制與存取控制來確保資訊安全。

然而要在無線網路中使用強健的認證機制與存取控制,卻是說比做得還要好聽。Shane Willis在聖地牙哥Peregrine Systems顧問公司擔任網路工程師,他負責維護公司的無線網路,目前公司有500位使用無線網路得工作者。預估在明年辦公室全面採用無線網路辦公時,數量將會是現在的2倍。Willis針對Peregrine的無線工作者一開始所採用的安全機制是使用WEP以及透過Token認證的VPN,員工必須攜帶並使用Token才能存取無線網路。

Willis 說:「剛開始所採用的安全機制比起完全沒有任何安全控管,至少提供了某種程度的安全保護。」由於WEP採用靜態金鑰進行加解密較容易被破解,所以必須再使用VPN來保護WEP的加密。

現在,Willis使用802.1X的RADIUS認證、個別連線的動態驗證金鑰(dynamic per-session key)以及AES加密標準等進階技術強化無線安全。使用者經由預先設定好的登入帳號,透過Fortress Technologies的閘道器進行認證以及存取控制。再者,Peregrine的無線區域網路在使用、管理及支援上都很方便,才能夠達成較佳的安全控管。

Willis 說:「使用者不論在哪哩,都可以隨時設定、著手處理公務來增加生產力。而且可以不用隨身帶著VPN Token就能夠登入並使用無線網路。」

管理人員們現在透過這些進階的技術就可以達到無線網路的集中監視及存取管理。甚至再也不用處理Token被使用者遺失或遺忘的問題,對於Peregrine的技術支援部門來說,真是天大的好消息。

在Mortgage Financial的管理規定中,要求無線網路環境裡,存取控制措施必須列為第一優先,然而公司立場,還要讓一般員工也能輕鬆連上公司的無線網路才行。Beaupre主導佈署Mass在Tweksbury總部的無線網路環境,他說:「我們想要讓借貸部門的員工可以隨處辦公,不必侷限在辦公桌上才能處理公務。」甚至Mass在14個不同地區的分公司裡,有2到25位的使用者可以使用無線網路,這表示必須讓這些人在不犧牲安全性的前提下,在總公司或分公司自由地在無線網路環境下工作。

Beaupre說:「當我們開始在無線網路運作時,便發現RADIUS等這類無線網路解決方案並不如我們預期中的完整。它們在使用上常常會發生其他問題,例如當使用者登入RADIUS伺服器後,卻無法被無線網路基地台所認證。」當缺乏有線及無線的單一登入機制時,使用者得透過實體網路線取得RADIUS伺服器的認證,之後還要再登入到各別的無線區域網路才能使用無線網路。

為了解決以上問題,應該使用單一的認證入口來整合有線以及無線的安全。整合防火牆裝置SonicWALL、入侵偵測系統,以及無線網路基地台VPN的三項技術,Beaupre有自信可以將這個容易設定以及管理的無線網路,拓展到公司各個分部,而且無線網路的安全合於公司對於存取控制的相關要求。

限制用戶端的組態設定
使用者的設備經常未被控管,因此管理用戶端的組態設定自然成為無線網路安全裡重要的一環。對於使用者來說,很有可能違背公司政策的規定調整他們的筆記型電腦或者PDA來存取公眾無線網路熱點或者家用無線網路路由器。因此多數的企業選擇透過組態管理、系統政策或者限制用戶端軟體來管控他們的用戶。 只要是內建無線網路卡並安裝Windows XP的可攜式電腦,都會自動地存取任何可以連上的無線區域網路。因此,企業在設定可攜式電腦的功能時,第一步就是將無線網卡的設定值從ad hoc模式改成存取基地台模式(在XP系統的環境內會關閉無線網路自動組態功能)。如果使用XP作業系統,還應該安裝Service Pack2(SP2),來修正一些關於無線網路上的弱點。

其他包括管理用的密碼等,網路網卡預設的設定值也都應該被修改。

有些公司、組織為了限制使用者對於無線網路的使用能力,會嚴格地拔除無線網路卡以限制使用者。在某些環境下這樣的要求是可行的,但是對於想要推行無線區域網路的企業,這卻不是一個管理無線網路的優質選擇。

Mad Science不僅限制無線網路在用戶端軟體上的使用,還透過權限管理來防止使用者在他們移動式裝置上安裝無線網路的應用程式。Alszko說:「雖然我們的使用者被規定不可以對無線網路的用戶端設定做任何修改,但這並不表示就不會有人會試著去修改它。」

Peregrine採用另一種管制方式:採Fortress Access Control Server特定的用戶端軟體,確保只有經由Willis以及他的團隊所安裝的用戶端軟體,才可以連線到Peregrine的無線區域網路。

Willis說:「如果有人的可攜式電腦遺失或失竊,我透過很簡單的設定就能阻擋該用戶端存取我們的無線區域網路。」

組態設定是終端使用者安全非常重要的一環。如以上所舉例的Alszko,會將所有離開網域環境,帳號卻依然登入公司無線網路系統的使用者隔離出來。而且在用戶取得網域認證之前,掃描系統是否存在間諜軟體以及已下載最新的防毒元件。相同的,Peregrine也會在使用者取得認證授權之前掃瞄系統是否存在任何惡意程式以及更新防毒元件。

定義並執行政策
科技技術雖很重要,但是在政策中詳細的規範使用者行為,也是無線網路安全中基本且重要的一環。行動工作者必須確切地了解組織企業使用了哪些安全機制。在Mortgage Financial經核可的使用者才能取得VPN存取權限的方式,提高無線區域網路的安全性。
Beaupre 說:「如果你想要從遠端連線到網路內,必須透過VPN的用戶端發起這個連線的請求。而這個VPN用戶端會在檢視申請者的使用環境以及工作需求後才會被安裝起來。」確保每位使用者在取得Mortgage Financial網路存取權之前,透過閘道器套上正確地加解密層級以及預防病毒的機制。
Beaupre 說:「審核的機制在政策規定某一類的員工不需要使用無線移動存取功能,這些員工就會不擁有存取無線的能力。」
因為無線網路技術快速的更新,無線區域網路的政策必須具被動態修改的彈性。使用者在開通無線裝置之前,除了必須強制閱讀以及簽名確認使用規範文件之外,組織應該定期地重新教育以及宣導無線網路政策。
Alszko 會要求使用者每6個月就重新檢視Mad Science所撰寫的資訊科技政策,並要求使用者簽名確認。Alszko說:「這些動作是為了教育使用者。」
無線網路相關的安全議題都會定期地寫入政策之中。包含認證時,採用的加解密方式(WPA,AES)、合法的無線使用方式(只允許存取公司的無線網路基地台或者可以存取公眾網路)、如果無線裝置遺失或被竊時的處理步驟,以及違反政策規定時必須面對的懲罰。
Peregrine的Willis也承認,總是有不合作的員工拒絕遵從公司的政策規定。這些違反規定的員工可以透過檢視安全記錄方式找出來。Willis透過整合Peregrine防火牆、入侵偵測系統以及無線網路基地台的SIM裝置來檢閱所有安全記錄。

防衛無線訊號
由於802.11網路使用RF頻率,其先天上的特性產生有線網路所沒有的挑戰。早期的無線網路常常會發生刺探攻擊 (war drivers),並將這些可被公開存取的無線區域網路放到GPS系統內提供查詢使用。

刺探攻擊只需要使用很便宜的裝置,以及開放原始碼的駭客工具就可以闖入你的無線區域網路,因此保持警覺是很重要的。惡意或者錯誤的使用者行為通常容易造成無線網路阻斷服務的問題。

長久以來企業透過存取控制來威嚇入侵者,然而全年無間斷地監視無線區域網路的特定行為或者任何可疑的異常RF樣本就可以偵測到攻擊者。
安全問題有時候源自企業內部。員工傳送大容量的檔案、無線網路基地台、用戶端設定的配置錯誤、無線電話、遠端攝影機,甚至微波爐這些非802.11的裝置對於RF頻率的干擾都會造成無線區域網路運作上的問題。

相同的,像是員工移動到隔壁辦公室或者客戶攜帶擁有Wi-Fi功能的PDA進入辦公區域這類誤用的狀況,都必須與攻擊者的入侵行為區別。
像是AirTight Networks, AirDefense, AirMagnet, Newbury Networks, Network Chemistry 以及 Bluesocket,它們都研發出企業用的無線網路防火牆和入侵偵測/防禦系統以提供進階級的RF監視以及阻擋功能。

對於較小型,且不需要馬力驚人的裝置防禦組織內的無線網路,可以採用無線路由器內建的防火牆功能、其他商業成熟化的產品,或者像NetStumbler這類免費的網路監視工具來監視無線區域網路。

Willis採用Peregrine自有套裝軟體產品—Enterprise Discovery來掃描整個公司網路,察看是否有新增的裝置以及應用程式。Willis說:「只要有任何人在任一時間中架設無線網路基地台,Enterprise Discovery就會警告我們該裝置被啟用 。」

此刻,Willis雖然已經架設了探索機制來警告他,在他的網路範圍內是否有任何非法無線網路裝置,除此之外,他還是得持續地規劃新功能以維護整個公司所使用的無線網路。Willis說:「我們可以利用MAC位址來辨識每一個別產品,進而設限只有經由我許可的產品才能在網路中運作,其他不被允許的裝置及產品都會被關閉。」

使用一個以上的工具來監視有線或無線網路,常常可以幫助安全人員檔掉潛在的攻擊者。除了使用SonicWALL裝置,自動化偵測Mortgage Financial無線網路中所發生的問題,Beaupre還使用Ipswitch的WhatsUp Gold Premium 搭配Somix的Denika Performance Trender來監視各個節點。Beaupre說:「由於每一個基地台都架設在固定的節點,因此我可以監視任何我想監視的東西。例如非必要的流量、同時登入等行為。」


沒有唯一的答案
面對無線網路安全的時候,絕對不僅止於面對狼人般 簡單,只要銀製子彈就可以解決問題。企業必須在現有的基礎建設上,使用多層次的防護應用以解決安全上的議題,同時添加可解決特殊無線網路安全需求的軟、硬體以達成公司政策與系統設定。

安全工程師一直得在組織內的安全性與便利性斟酌,使得安全人員忙著找出同時平衡兩者需求的可行辦法。無線區域網路的解決方案多樣化,顯示無線安全正趨於成熟,讓組織可以選擇使用彈性且安全的無線網路,協助該組織達到理想的商業目標。