如何保障無線區域網路的安全

近年來，由於網際網路的發達，再加上筆記型電腦、PDA等各種可攜式工具的盛行，人們不論何時何地、不管是為了娛樂或工作，都渴望能立即地連接上網，因此各種無線網路技術不斷推出，其中又以802.11系列之無線區域網路產品，不管是在技術、開放性、標準化、傳輸速度等方面均最為成熟，目前也最廣為企業所採用。


企業使用無線區域網路的原因不外乎其高移動性，隨時隨地可上網；無須佈線，可降低安裝及維護費用、縮短網路建置時間等，尤其無線區域網路更適合用在一些不易佈線或網路接取使用者數量變動較大的區域。但也因為無線區域網路的高開放性，其安全性很自然的成為眾人關注的課題。
無線傳輸安全備受關注
試著想像以下之情境：貴公司的訪客帶著具有無線網卡的筆記型電腦，就有可能透過無線區域網路存取貴公司重要文件；此外，無線網路既然是將資料透過無線電波方式在空中傳送，資料被攔截、竊取、竄改的可能性也是一個安全上必須考量的重要課題。


因此從2001年2月開始，一連串有關於無線區域網路安全的研究報告陸續出爐，也因此讓市場大眾了解無線區域網路安全的重要性。

過往安全機制存有漏洞
在過去甚至到現在，大部分市售的無線區域網路產品在安全性上均僅使用802.11建議選用之安全機制，即強調利用ESSID(Extended Service Set Identifier)及WEP(Wired Equivalent Privacy)這兩項功能，來達到企業對無線網路使用者身分認證及資料傳輸之保密性的需求。


ESSID未經加密處理


但事實上是，ESSID充其量僅可視為一個網路名稱，所有需要存取該無線網路的使用者除了可以事先設定於無線網卡外，亦可以使用AP(Access Point)上未關閉的廣播ESSID，而達到存取無線網路之目的；再加上ESSID在空中並未經過加密處理，因此更容易讓有心人士以簡單的無線網路探測軟體(Sniffer)，即可取得ESSID並藉以進入網路。


WEP金鑰眾人共用


至於WEP部分，其主要的功能是針對在無線區域網路上傳輸之資料作加密處理，因此理論上，資料即使被攔截，也因加密的關係而沒有被破解之虞；但事實上，一般資料加密或解密的運算通常需要一組金鑰做為加解密演算之參考值，WEP也不例外。WEP使用RC4演算法，金鑰長度可為40bit或104bit，甚至可以更長，但目前的問題是不論WEP金鑰有多長，其都是採用靜態設定，存放在所有使用者之無線網卡及AP中之方式，讓所有人共用這組金鑰，因此產生不利設定、管理，容易洩漏，易被破解的安全疑慮，而失去資料傳輸之保密性。

結合加密、認證、金鑰，解決安全漏洞
思科於2000年12月發表802.1X Port Based Network Access Control無線區域網路安全解決方案之草案版本，除了硬體加密技術、負載均衡機制等功能外，並將其無線網路產品Aironet系列升級至具LEAP(Lightweight Extensible Authentication Protocol)認證協定，並結合後端2.6版以上之Cisco Secure Access Control Server(ACS)認證伺服器軟體，解決前述市售802.11b無線網路產品之安全漏洞。


簡單來說，Cisco的802.1X-LEAP無線區域網路安全解決方案，乃是利用網卡、AP與ACS，透過依每個使用者名稱及密碼之認證結果，依每個連線動態地產生不同的WEP金鑰予AP及網卡做WEP加密的演算，並可定期重新認證、更換金鑰，而一併解決認證、加密及所有金鑰設定管理問題；而ACS更可結合使用者原有之網路作業系統，或目錄服務的使用者名稱、密碼，更可達到一次登入(Single Sing-On)之便利性。


目前Cisco的無線區域網路安全解決方案已經符合802.1X頒佈的標準，除了繼續提供LEAP(或EAP-Cisco Wireless)這個認證協定，以支援各種使用者之作業系統平台外，亦支援其他認證類型，如EAP-TLS(Transport Layer Security)、EAP-MD5等，以提供使用者更多選擇的彈性。


網路安全是一條無止盡的路
進一步為了解決WEP之RC4演算法本身之漏洞，Cisco於2002年2月發表新的Aironet安全性加強軟體升級，其主要具備MIC(Message Integrity Check)-資料完整度檢查，避免加密資料遭竄改；及Per Packet Key Hashing，每個WEP封包均再加以雜錯，降低WEP金鑰被破解之可能性。透過不斷的強化，以防護企業無線區域網路之安全。


此外，針對企業網路端對端(end-to-end)安全性的需求，思科的無線區域網路安全解決方案可以再結合其VPN及Firewall等產品，達到端對端的安全傳輸需求(例如，無線區域網路使用者可再透過寬頻有線網際網路，安全地回到其企業總部存取資料)。


由以上的演進過程可以看到，網路安全是一條無止盡的路。在未來，802.11無線區域網路安全的最終標準會是802.11i，而將來，思科的解決方案將會透過軟體升級的方式，不斷因應未來的需求。