https://newera17031.activehosted.com/index.php?action=social&chash=19de10adbaa1b2ee13f77f679fa1483a.2906&nosocial=1
https://newera17031.activehosted.com/index.php?action=social&chash=19de10adbaa1b2ee13f77f679fa1483a.2906&nosocial=1

觀點

讓公共熱點更安全

2013 / 10 / 11
黃淇成
讓公共熱點更安全

隨著全球使用者(你可能是其中之一)對不中斷網路連線的需求持續攀升,網路熱點已成為眾所矚目的焦點。這也就是為什麼預計2015年公共熱點將成長350%,而私人熱點也預計將突破6億4千萬個(圖1)。

不過,在全球公共與私人熱點呈現爆發性成長的同時,存取未加密機密資料等身份盜竊、偽造與其他犯罪行為變得更加的普遍。因此,儘管使用者對網路連線有極高的需求,但對於使用公共熱點進行網路連線可能產生的安全風險,同時也有很大的疑慮。

圖1
大部分設有專業IT人員的企業,通常都會透過適當的加密機制,保護內部的無線網路架構。但大部分的公共熱點不僅未使用加密機制,也沒有任何的防護措施。這意味著使用者很容易遭受攻擊或隱私性風險,也是IT人力有限的企業所面臨的主要問題。儘管這些企業希望為訪客提供更安全的資料存取,卻因為時間有限或能力不足而力有未逮,以至於無法提升無線網路的安全性。在打造更安全的熱點連線體驗時,使用者認證(例如使用者身份)與加密(資料編碼)是兩大重點,也是必要條件。

在確保傳輸層(如HTTPS)安全性時,通常會對用戶端與目標伺服器之間的傳輸進行加密。但使用者希望進一步強化連結層(Layer 2)的安全性,讓流量在空中傳送時也能獲得保護。

目前的熱點安全性技術
傳統的連結層加密是要求使用者選取SSID,並輸入共用加密金鑰或密碼組,以編碼(加密)在空中漫天飛舞的資料。在熱點進行Wi-Fi連線時,例如你常去的星巴克或你所處的機場,通常會有一個公開並容易找到的SSID,而使用者只要接受一般使用條款,即可在未加密的情況下進行網路連線。

由於今日的熱點使用開放式網路連線,因此並未提供任何連結層的安全機制,以致於使用者可能遭受到以下攻擊:
* 資料攔截:駭客先偽裝成使用者裝置所連結的存取點,然後讓裝置與原Wi-Fi網路失去連線。接著駭客再接手使用者的連線,而得以竊取他們的服務。
* Cookie竊取:駭客窺探未加密的Wi-Fi連線,並攔截使用者的會話cookie,以存取網頁上使用者的隱私資料。
* 假冒攻擊:在此類攻擊中,駭客會設定惡意存取點,並將SSID設定成跟合法熱點供應商所指定存取點的SSID一樣。此類攻擊可用來竊取身份資料。
* 竊聽:駭客會攔截未加密的Wi-Fi連線,並竊取個人資料,例如密碼、信用卡號碼與電子郵件資訊等。

大部分的企業使用兼具WPA2-Enterprise加密與EAP認證機制的IEEE 802.11i安全架構,因此沒有這些Wi-Fi安全性的煩惱。然而,由於熱點通常不支援802.1X通訊,因此無法保證使用者連線與資料的安全性。換言之,熱點的安全設定通常是門戶大開。雖然熱點會對使用者進行認證,但並不會透過加密機制確保持續連線的安全性。

此外,使用WPA2-Enterprise機制會導致用戶難以在不同Wi-Fi熱點區中漫遊。若行動裝置連線管理程式無法識別漫遊網路的SSID,裝置就不會加入該網路。更糗的是使用者通常不知道漫遊網路的SSID。

假如能夠透過開放式SSID自動提供加密存取機制,而使用者只要勾個選項就能使用更安全的網路連線,那將會是熱點使用的最佳狀況。

神奇的安全熱點技術
總體來說,安全熱點技術是將以往由每一使用者手動執行大部分的Wi-Fi連線安全機制轉換成由網路執行,省去輸入SSID與加密金鑰等麻煩的新方式來設定用戶端裝置。這種作法可讓使用者輕鬆地獲得更安全的熱點連線體驗。

安全熱點技術的核心,包括兩大基本任務:
1) 為每個使用者產生專屬的加密金鑰
2) 在使用者裝置中自動設定金鑰與其他Wi-Fi資訊

目前有兩大技術可達成這些目標,包括發展中或已問世的Hotspot 2.0與新安全熱點技術。

Hotspot 2.0是由Wi-Fi聯盟(WFA)與無線寬頻聯盟(WBA)主導的全球計畫,目的是解決各種Wi-Fi熱點疑慮,包括使用者認證自動化、Wi-Fi連線安全性,到供裝政策、讓Wi-Fi與蜂巢式行動電話網路建立漫遊協議,以達到無縫轉移的最終目的。未來,當Hotspot 2.0網路服務商用化後,Hotspot 2.0將能協助電信業者與企業解決上述Wi-Fi熱點安全性問題。

除了較大規模的Hotspot 2.0架構外,Wi-Fi技術與Wi-Fi安全性的近期發展也讓公共場所、企業與電信業者得以在開放式的Wi-Fi網路上提供安全熱點,而不需要新的通訊協定或軟體支援(Hotspot 2.0),而且適用於幾乎所有Wi-Fi裝置。

圖2
圖2:安全熱點技術的運作

使用安全熱點技術,如圖2所示, (1)當用戶端透過開放式SSID與存取點建立關聯時,(2)無線區域網路(WLAN)控制器便會將用戶端裝置導引至預設的入口網站,並詢問終端使用者是否要使用安全或開放式網路連線。

(3)使用者登入後,(4)WLAN控制器便會針對該使用者裝置產生63位元的專屬加密金鑰,以及有限的使用時間。廠商通常稱此機制為動態預先共用金鑰(Dynamic Pre-Shared Key, DPSK)或私人預先共用金鑰(Private Pre-Shared Key)

有了安全熱點技術,就不需要使用預先定義的使用者憑證了。Web伺服器會指示WLAN控制器根據熱點營運商想追蹤的使用者資訊來建立專屬的加密金鑰,例如電子郵件帳號、姓名等。

一旦金鑰產生完畢,(5)此專屬的PSK與建立安全連線所需的所有WLAN資訊都會透過暫時性安裝檔案,安裝至使用者的裝置連線管理程式中。此檔案會自動建立並安裝至使用者裝置,而不需要另外安裝任何應用程式。(6)爾後,使用者裝置便能自動與加密的熱點Wi-Fi網路建立關聯性。

終端使用者可以選擇是否要使用安全連線。熱點管理者毋須預先設定使用者,不過他們可以記錄各使用者的詳細資料以及熱點使用狀況等資訊。管理者的設定工作很簡單,只需要設定公開的(主動提供)SSID,以及加密的熱點SSID,以便使用者同意建立加密連線時,裝置可以自動連線。
.
在傳統的安全性機制中,複雜度會隨安全性程度而攀升。安全熱點技術打破了這種模式,讓企業以獨特方式,輕鬆地在開放式網路上提供加密的網路連線。
 
總而言之,有了安全熱點技術,熱點將不同於以往。

本文作者為Ruckus台灣區業務總監