看不見的威脅

早年我們在測試WiFi無線網路產品時，還會去比較電波穿透力，特別把無線網路基地臺放在隔間牆的後面，或是水泥柱之後，再逐一檢視無線訊號的接收強度，因為當時可能只隔著一道牆壁，WiFi訊號就大幅衰退了。

多年前是這樣，但現在可不是了。如今我們的技術編輯在測試的一些無線網路基地臺，雖然是放在11樓的辦公室內，但我人在隔著一條大馬路的對街騎樓下，竟然還可以用手機連上這些無線基地臺，而且訊號品質還不差。其實，你大可自己做個實驗，走在辦公大樓林立的商業區，打開手機搜尋WiFi無線網路，絕對可以找到不少公司的無線基地臺。

以前的無線AP訊號涵蓋範圍不夠廣，可能人一走進會議室，就收不到WiFi的訊號了。但現在的無線基地臺都強調訊號涵蓋範圍更廣，即使你人在辦公室外面，甚至是走到對街上，都還能夠接收到WiFi無線訊號。這是科技進步帶給人們的便利性，但卻為企業的資安防護造成更大的挑戰。

對於看不見的無線電波，你不能再坐視不管了。以前因為訊號涵蓋範圍不夠廣，人起碼得進了公司才存取得到無線AP，所以管好進出辦公室的人員就行，倒也不必太擔心無線訊號溢波的問題。但現在可不一樣了，隨隨便便一臺1千元左右的無線AP，訊號都強得可以打到對街了。所以如果你的公司正在使用無線網路，就必須主動管理無線溢波的問題。

另一個更可怕的問題，在於員工私接無線AP基地臺。因為無線基地臺取得容易，不到一千元就可以買到，而且安裝便利，有些人為了方便手機上網，乾脆自己買臺無線AP裝在公司裏。然而這麼一做，公司的資安防線可能就瓦解了。

一般人為了便利上網而安裝無線AP的話，通常不會考慮安全問題，所以可能連加密都不設了，任何人都可以連線，或者可能只用簡單的數字來當密碼。然而問題是這臺無線AP已經連上公司的內部網路，如果連線不需要驗證，任何人皆可連線，而現在無線AP的訊號涵蓋範圍又廣，那麼馬路上的任何人都有機會連上公司內部網路了。

就算員工私接的無線AP有設定了連線驗證，但極有可能一般員工的安全意識不足，只採用設備預設的WEP加密機制，或只以數字做為密碼，如此依然面臨極高的風險。去年初我們就報導過，市面上已有一種專門破解無線網路加密的破解器，它只有手掌般大小，價格不到兩千元。一開啟這臺設備，它就會自動搜尋無線網路基地臺，並且以字典檔暴力攻擊法，嘗試破解連線加密的密碼。如果你用的是WEP加密，而且又以數字當成密碼，那麼這臺設備不到15分鐘就能夠破解。

無論如何，任由員工私接無線AP，那麼公司網路形同門戶大開，而這個門一開，資安防線就一步步瓦解了。對於IT來說，這可是一個極大的挑戰，因為私接設備不容易被察覺，你跟使用者之間將面臨一場攻防戰，魔高一尺、道高一丈；然而，若不去找出這種看不見的威脅，資安防護再堅強，也有可能功虧一簣。

吳其勳／iThome電腦報周刊總編輯