建置安全的無線網路環境

網際網路發展至今，從最早的同軸電纜的連接方式，到後來的雙絞線連接，直到現在的無線電波連接，不同的連接方式象徵著不同階段的需求。從對速度的要求到現在的高度機動性與便利性，網際網路的發展一直是根據使用者的需求而不斷進步。而在滿足需求的同時，也有越來越多使用者開始注意到網路本身的安全問題。

雖然說網路本身即具備有基本的安全防護機能，但是日新月異的破解攻擊就如同水銀瀉地一般無孔不入，令人防不勝防。要了解怎麼防範，必須先從了解弱點開始，這樣才能達到徹底防阻攻擊的功效。無線網路為何不安全？
如何建置安全的無線網路環境

無線網路憑藉著無線電波傳播數位訊息，而在無線電波涵蓋範圍內的所有可接收裝置都能收到訊號。無線網路具有相當高的便利性與機動性，但也因此，無線網路有特別的安全考量。想要截取有線網路上傳遞的數位訊號，截取者必須在數位訊號傳遞的各點間安置sniffer軟體，才能有效地截取訊號；但是只要在無線網路涵蓋範圍內，任一據點都能夠接收到在空氣中傳遞的訊號。

無線網路的傳播特性，再加上目前所利用的加解密機制並不如有線網路嚴謹，因此很容易遭人利用破壞。就目前臺灣使用無線網路的狀況，其實有許多導入無線網路的企業並沒有做好有效的安全防護措施，使得有心人只要有足夠的硬體設備及相關的破解軟體，就能夠免費享用頻寬，甚至藉此入侵企業網路。

對企業而言，辦公室內部需要有完善且健全的通訊環境，除了已有可供語音交談的電話網路之外，能夠在企業內部快速地傳遞重要文件也是相當重要的一環。對企業而言，建置內部網路已經是不可或缺的基礎，但是仍然存在有一定的成本與盲點。舉例來說，一個有員工30人的企業，除了需要30張網路卡讓員工可以上網之外，還需要兩臺16埠的交換器、一臺DHCP伺服器，以及足夠長度的網路線等接續設備。日後若會議室也需要網路連線，又必須要另外布線，無形中損耗了時間與計畫成本。因此，許多企業開始評估導入無線網路的可行性。

計畫導入無線網路時，規畫者必須要先考量有多少使用者對無線網路有急迫的需要、需要分成幾個階段導入、導入的成本估計、有哪些資料會透過無線網路傳遞、哪些伺服器會與無線網路連接等因素，接著才能決定如何設定安全等級及需採購的設備。無線網路安全可以由三大方向考量：資料、設備、人。

資料：提供加密與保護機制

網路上傳遞的資料最怕受到竊取、竊聽及破壞。竊取會讓收件者無法收到資料，而不能得到正確的資訊；竊聽則會讓資料內容外洩，讓企業蒙受不必要的損失；資料被破壞則會讓收件者收到錯誤的訊息，輕則延誤時機，重則讓企業決策方向完全錯誤，因此資料的保全是十分重要的。無線區域網路目前已有WEP加密，可以讓資料具有部分的安全性，但是依然不能滿足企業需要的安全性。802.11團體及Wi-Fi聯盟已經對此提出了新的解決方案（802.11i與WPA等），但是仍須等IEEE確定規格後，製造廠商才會提供完整的支援。

有一點是採購時必須要注意的，部分的加密協定雖然能夠向下相容WEP加密協定，但是卻因為使用了WEP加密協定反而讓安全性大幅降低，向下相容雖然讓產品的適用性提高，但是對於安全來說卻不見得是件好事。

如果企業需要在無線網路上傳遞高度敏感性的資料，建議使用能夠支援AES加密協定的無線網路設備，因為AES是目前已知幾乎不可能破解的加密協定。建置時同時導入VPN，除了資料能夠經過加密保障原有資料的安全性之外，藉由VPN專有通道，將資料受到竊聽、竊取及破壞的風險降到最低。

設備：隨時偵測非法設備並監控異常使用

無線網路設備的安全功能相當多樣，並且基於無線網路傳輸特性使然，設備能夠提供的安全功能儼然成為企業採購時一項重要的指標。無線網路中，設備最常遇到的安全問題是中間人攻擊與偽裝攻擊。如果不能防止這些攻擊，外界的攻擊者可以輕易地取得企業內部網路的接續權。除了能夠利用企業的網路服務之外，甚至能夠獲得內部流通的資料或是更改內部伺服器的權限，造成企業的損失。關閉存取點的SSID廣播及更改SSID已經是最基本的安全措施，目前努力的目標是在傳輸時避免被竊聽，或不讓竊聽者辨識出必要的通訊內容。這類的安全功能除了存取點本身所具有的安全設定外，也能夠藉由其他裝置提升對這類攻擊的安全防護措施。

人：辨別合法使用者並且認證使用者身分

日常生活中，我們可以很容易辨認人員的身分，但是在網路上只能藉由使用者帳號密碼以及相關裝置，才能辨別並認證使用者的身分。為了保密起見，大部分的認證密碼是由使用者自行登錄保管，並且藉此辨別是否為合法使用者。但是，也同時也延伸出其他的安全問題，密碼遺失或外洩怎麼辦？

任何完整強大的安全設定，還是最怕人所衍生的問題。不管是加密的密鑰也好，或是相關的安全設定也好，只要需要人手動設定，不僅管理上會提高難度及成本，安全控管上也會有漏洞產生。俗話說：「訊息傳播的速度跟知道的人數平方成正比」，當相關的安全設定被洩漏出去，再嚴謹的安全措施也會變得漏洞百出。如何杜絕由人所引起的安全問題，除了設備商正在積極將所有相關安全設定由人的角度，改變為以設備為主之外，加強相關人員的安全觀念與教育訓練也成為企業應該要注意的課題。

總結以上三個方向，企業在建置安全的無線網路環境時，必須要選擇具有適當加密協定的設備，並且將所使用的加密協定單純化，避免因為相容不安全的加密協定而導致安全性降低。在設備的建置上，除了避免實體上的入侵破壞外，也必須要注意外在入侵者是否能夠輕易察覺存取點的位置，將可能的攻擊降至最低。同時，盡量將存取點服務的人員或裝置數量降低，並且以部分或群體分類，設定不同的存取權限與密碼，避免因為安全設定的外洩，而導致整個企業無線網路成為不設防的空城。無線網路的安全問題與防範措施

除了與實體網路共同具有的安全危機之外，無線網路藉以溝通傳訊的特性，也造成了無線網路不同的潛在安全問題，而這些問題一直是許多企業考量的重點。根據國內外不同的研究報告指出，現行的無線網路安全機制並不能夠有效的防禦外來侵入者的攻擊。

攻擊的方式可分為下列四種：竊聽、偽裝MAC address、「中間人」攻擊、竊取服務。

竊聽

竊聽可說是最常見也是最容易被人忽略的攻擊方式。無線電波本身具有無指向性廣播的特性，無線網路就是藉此達到機動性與便利性的目標。與實體網路的竊聽不同，因為無線網路的傳播特性，只要基地臺所發送的無線電波能夠覆蓋的範圍，就有被竊聽的危險。

除了利用加密協定加以預防之外，加密連線通道更能夠增強安全性。同時藉由實體建設（如電波屏障）以避免無線電波外洩，是更積極的防禦方式。隨時偵測無線電波涵蓋範圍，更能夠主動防止竊聽行為。

偽裝MAC address

部分基地臺限制只有特定的MAC address才能與基地臺連線，而利用偽裝MAC address的技術，欺騙基地臺而取得基地臺的信任，進而得到網際網路的存取權。在有線網路上，已經有軟體可以判別是否為偽裝MAC address，並加以反制，但是在無線網路上還沒有類似的軟體出現。但這部分能夠藉由多重安全設定，避免僅用MAC address過濾器就允許用戶端連線，就能夠有效加以反制。不定期搜尋掃描環境中的無線網路設備，更能夠避免這類攻擊。

「中間人」攻擊

這種攻擊方法，攻擊者是躲藏在基地臺與用戶端之間，藉著竊取到必要資訊，然後模仿成合法基地臺，在用戶端重新建立連線的時候，竊取使用者帳號與密碼，甚至是所有通訊的資料。

要發現使用這種攻擊手法的入侵者相當困難，因為在無線網路的環境中，因為實體環境的影響，斷線的情況是可能的。但是由存取點定期自動更新密鑰或是通行密碼，可以減低這類風險的產生，目前有的設備也提供了偵測不正常斷線行為的頻率，對於疑似攻擊行為會自動反制。

竊取服務

攻擊者侵入企業或是家庭的基地臺而獲得網際網路存取權，進而藉由所獲得的網路存取權，不經過網管人員授權就使用網際網路連線，甚至藉此發送垃圾郵件，將一切責任都推卸給被侵入的對象負責。

關閉存取點的SSID廣播，並且更換預設的SSID及管理密碼，是最基本的防範措施，避免入侵者利用掃描軟體偵測存取點，進而利用出廠時預設的密碼破解安全設定。建置無線安全網路的範例

在建置上，我們可分配給各部門一臺無線基地臺，以區分各部門的網路存取權。身分認證方面，統一使用內部既有的網域伺服器。因此，各部門使用者必須要具備網域登入帳號與密碼才能存取內部網路，此為第一步驟。

第二步驟則是更換無線基地臺的SSID、通訊頻道及開啟加密功能，各個基地臺不使用相同的設定，可避免因頻道相同造成的訊號干擾之外，也能夠避免因為設定相同而導致的安全顧慮。

到了第三步驟則需將各網路卡的MAC address列入允許連線的清單中，拒絕不在清單上的MAC address存取網路，雖然會減低自行更換設備的便利性，但是與安全性比較，這點犧牲是可接受的。

另外，對於連接無線網路基地臺的實體線路安全，我們將無線基地臺放置於高處，採暗管方式布置線路，降低實體潛在的風險問題。之後還能夠依據實際狀況，決定是否增加電波屏障避免訊號外洩，或是使用掃描軟體定期偵測非法裝置的存在，甚至是增添監控管理設備，增加安全性。

伴隨著企業結構與員工機動性的改變，具有高度機動性的無線網路已經開始受到重視。隨著傳輸速率不斷的提升，政府也積極推動熱點（Hot Spot）的設置，似乎無線網路的普及勢在必行，但是相關的安全措施也必須同時建立，才能夠真正享受到無線網路的優點。War Driving—無線網路的入侵行為
無線網路的各種加密協定

War Driving是無線網路出現之後，伴隨而生的名詞。原意是指開車在街道上尋找沒有安全保護的無線網路。而現在則泛指一切對無線網路的入侵。War Driving現象在臺灣並不常見，也因此並沒有引起太多無線網路使用者的重視。但是，隨著能在網路上找到的破解及入侵程式增多，無線網路被盜用的可能也逐漸增大。

許多網路管理人員為了提升使用者操作上的便利性，往往不會開啟WEP加密，並且開放無線基地臺的SSID，讓用戶端可以自由搜尋並使用無線網路。固然讓不懂如何設定與操作的使用者可以享受到無線網路的便利性，對網路管理人員來說，也可以減輕管理上的負擔，但是卻完全忽略掉無線網路基本應有的安全考量。

筆者曾經在路上使用NetStumbler軟體，掃描周遭存在的無線基地臺，赫然發現住家附近住宅區內，建置無線區域網路的住戶相當多，其中相當大多數的基地臺都沒有建置基本的安全措施。或許這應該感謝之前眾多寬頻電信業者提供的配套方案，推廣了無線區域網路，也讓任何一臺有無線網路卡的筆記型電腦，都可以自由的使用這些無線基地臺所提供的「免費」網際網路連線服務。一般住戶如此，那企業用戶呢？

隨著政府不斷的推動公眾無線區域網路，臺灣的無線區域網路前景看來是一片光明，但是在光明的背後卻沒有人顧慮到伴隨而來的安全議題，而這也會是最大的絆腳石。
War Driving只是一種行為，好壞都在操作者的決斷，但是如果網路管理人員都沒有正視這個問題，或是因為害怕麻煩，不願意對使用者提供相關的教育訓練，就只能希望設備能夠提供兼顧安全與便利的功能。

上述攻擊方式都有相對應的解決方式，但是不管在有線或無線網路上，DoS（拒絕服務攻擊）依然是無藥可醫的攻擊方式，DoS是利用封包對站臺洪水攻擊，藉此阻止合法使用者存取網路服務。為了解決這些安全問題，目前各界已提出數種加密協定，希望能夠將因資料所引起的風險降到最低。

WEP加密協定

WEP全名為有線對等式加密（Wired Equivalency Protocol），是在1999年由IEEE 802.11團體提出的一項非必要安全機制。是藉著加密資料傳輸與防止未經授權的使用者連線，而讓無線網路具有和有線網路相同層級的安全防護。但是因為開啟WEP會導致大部分無線產品的連線效能降低，過去許多使用者都不願意犧牲效能，而關閉WEP。不過，現在所推出的無線產品效能已有明顯提升，開啟WEP不至於大幅影響連線效能，開始有許多使用者願意開啟WEP以提升安全性。

但是包括柏克萊大學與馬理蘭大學等研究單位，許多安全專家已經證實WEP其實具有潛在的安全漏洞。主要的弱點在於密鑰重複使用頻率太高、不適當的訊息認證、存取控制機制具有的弱點以及錯誤使用RC4運算法造成的潛在弱點。

因為這些弱點，許多廠商開始增加產品中WEP密鑰的長度，從40位元增加到152位元，試圖以此防制駭客的入侵。但是密鑰長度的增加，只能夠延緩駭客入侵的速度，對本質不安全的WEP來說，並沒有實質的幫助。

AES加密機制

AES全名為Advanced Encryption Standard，與IEEE802.1x身分認證規範，同屬於802.11i團體即將完成的RSN標準中的一部分。為了避免產生與WEP相同的安全問題，AES不能使用現有已知的所有技術與密碼本，因此AES主要是制訂加解密碼的新技術與新的密碼編譯本。而由於AES超越現有的所有加解密機制，美國國家標準局已經決定選擇AES取代目前常用於VPN、金融解決方案，以及其他高度敏感性程式的DES（Data Encryption Standard）加密機制。

802.1x身分認證

為了讓AES資料加密更加完整，IEEE 802.11i團體提出了802.1x身分認證機制。802.1x是開放的標準架構，讓無線裝置透過基地臺，向位於有線網路上的認證伺服器取得認證，通常企業使用RADIUS伺服器確認遠端登入的使用者身分。802.1x是以IETF提出的EAPoL為基礎，具有許多認證運算法則可以使用，其中最常被使用的認證類型為EAP-MD5、EAP-TLS、LEAP與PEAP。

TKIP加密機制

IEEE 802.11i團體除了發展新的安全機制外，另外也針對WEP缺陷提出了數種修正，以支援無法更新到新安全機制的802.11b產品。而由於802.11b產品中處理器運算效能的限制，802.11i團體提出了TKIP（暫時密鑰整合協定），提供較合理的方案，解決增加安全性與維持802.11b產品效能的兩難局面。

TKIP包含了四種對WEP的補強方式：訊息完整性檢查（MIC）、受攻擊時刪除現有身分認證與密鑰、完全使用密鑰混合封包與重試保護。但是必須要注意，TKIP並沒有與AES相同的安全等級。現行的802.11i草案規格明白地指出：「基於TKIP現有的弱點，IEEE 802.11建議不要將TKIP視為在RSN規格之前的設備補強方案。」

LEAP機制

LEAP是Cisco在2000年12月推出，用於補強WEP安全問題的機制。LEAP依然以WEP為基礎，提供使用者認證與重新製作密鑰功能，以減低WEP造成的安全風險。Cisco的基地臺藉由RAIDUS伺服器驗證用戶端身分，並且以一個固定規格更新WEP密鑰。

但是有兩點是使用者必須注意的。第一，雖然有許多製造商加入LEAP機制，但是只有Cisco的基地臺能夠執行LEAP。此外，除了認證時使用公開或私人密鑰加密，其他時候LEAP依靠的是密碼確認。因此很難預防字典攻擊法，IT管理人員在導入LEAP認證的時候，應該要使用較長與較複雜的密碼。

WPA標準

WPA標準是由Wi-Fi聯盟推動的，以802.11i最新的草案規格為基礎，提供準802.11i設備的建議，但是並不是802.11i規格的一部分。WPA支援WEP、TKIP與AES資料加密，並且使用802.1x使用者身分認證。對產品而言，可以使用軟體或韌體升級的方式更新硬體。

WPA對於沒有RADIUS伺服器的使用者，提供了預先分享密鑰（Pre-shared Key，PSK）機制。使用PSK，使用者必須在基地臺與用戶端都輸入用來認證所有欲連線用戶端的通行密碼，之後基地臺會提供用戶端一個隨著時間更新的階段密鑰（session key），減低密鑰被破解的風險。

但是WPA依然有許多限制，首先，用戶端必須支援802.1x-WPA，雖然微軟願意在Windows XP中提供WPA支援，但是在微軟其他作業系統上並沒有支援WPA；相對於WPA，微軟的各種作業系統都會支援802.1x-EAP-TLS身分確認機制，以支援802.11i規格。

其次，要支援WPA機制，現有的802.11b網卡與基地臺的韌體都必須升級，這對大多數使用者來說都是高風險的行為。最後，就算WPA中所規定的密碼本交換能力，是可以允許使用WEP的用戶端在WEP/WPA混合網路中運作，但是如同802.11g與802.11b的問題一樣，WEP會抹殺WPA所具有的優勢。文⊙羅健豪