無線網路安全
http://www.cert.org.tw/documen....php?key=104--------------------------------------------------------------------------------
隨著資訊科技與電腦網路技術之快速發展,科技漸漸亦開始與人類生活產生了密切
的連結。實體世界與虛擬世界之界線也漸漸被抹平了,正如微軟公司所寄予之未來計畫
「數位家庭」一樣,科技的最終目的總是要與人類生活接軌。而在這科技洪流之侵襲下
,你是否也已經做好了萬全準備以因應時代之挑戰?而在這科技日新月異之潮流下,無
線網路更是其中發展之翹楚。
其實早在數十年前,無線科技即已悄悄走入你我之生活;電視遙控器之紅外線傳輸
與冷氣機之遠端控制器等都是無線科技運用下之成果。及至最近幾年大家所常聽到的藍
芽科技(Bluetooth)傳輸、與電話系統(GSM、GPRS)等,然而真正使無線網路被大家
所重視之發明是於 1997 年由 IEEE (the Institute of Electrical and Electronics
Engineers, Inc.)頒佈核定下所推出之 802.11 標準。
無線網路之便利也同時帶來了許多的問題,最重要的是你的無線網路安全嗎?傳統
寬頻網路是以實體線路所連結在安全性上至少有固定管道傳輸不至於被輕易攔截,但無
線網路之傳輸方式是經由空氣為介質任何人都可以輕易的攔截並加以分析;再加上現在
電腦規格日新月異,傳統家用型電腦即可以擁有類似數十年前超級電腦之運算能力,即
便無線網路聲稱具有加密功能,但坦若無線傳輸之加密方式所使用之演算法或是鑰匙長
度不夠都可能在封包收集夠多之情況下輕易給破解。相對於有線網路的局限性,無線網
路增加了機動性和生產力。這正是世界各都市無線區域網路爆炸性成長的原因。而根據
報導資訊安全公司 RSA Security的調查,過去一年無線網路連接點(wireless access
point)的數量,倫敦攀升了57%,紐約增加20%,巴黎則在2年內驚人地成長了119%。
企業開始使用無線網路之訊息固然使人感到鼓舞,但是也同時有更多的不肖份子欲
潛入企業網路竊取機密之企業資訊。儘管如此,然而仍有許多改善的空間–在這三大都
市中,仍有近1/4的企業,未採取任何措施來保護他們的網路免受惡意的攻擊。這些公
司除了可能被竊取機密資料,有感染病毒和木馬程式(Trojans)之虞,也會增加潛藏的
風險–這些病毒透過他們的網路發動廣泛地攻擊。
所以在檢視無現網路環境之安全性與否時,可以分為用戶端(client)以及伺服器
端(Server)端來討論。首先如果是一般筆記型電腦之使用者,出門在外常常會有需要
使用無線網路之時候,要謹記以下幾點:勿連接不安全之伺服器(Access Point),常
有不肖份子以架設未經加密之AP 的方式來有意或無意收集用戶端之封包再經由密碼破
解軟體或一般之封包分析軟體以破解使用者在進行網路行為時所登陸之帳號或密碼。倘
若有極需要使用無線網路卻又無法取得正當途徑時,建議各位可以向公司或是自行架設
虛擬網路 (VPN) 以撥號之方式藉由 VPN 之加密通道(Tunnel)來瀏覽網際網路。但
一般建議下在萬非得以的情況下,身處不安全之網路環境,筆者還是建議各位讀者可已
自被一份不常使用之帳號以及密碼使用以將傷害降至最低,尤其是有關網路銀行之相關
帳號、密碼更是要小心使用。
另外在自己架設無線網路環境下亦有許多值得注意之課題,首先我們討論無線網路
伺服器 AP 之有效範圍;一般建製無線網路之環境多屬公司行號或一般家庭使用,故使
用環境多為室內,而802.11 系列之傳輸功率於室內為 45 公尺左右,若需要使用之範
圍更大時可透過增益天線或是在選購 AP 時選取雙天線之配備來加以架設。而一般 AP
之穿透率大多不超過兩面水泥牆壁因此若是家庭是屬於一般樓房式建築具有多層結構時
,AP支架設一般都以位設於中間樓層為佳,若是訊號依舊不佳可以透過中繼器/放大器
來進行訊號之擴大動作。在架設好無線網路伺服器後,不同款式之 AP 會有其不同之設
定方式,但一般都以預設密碼進入gateway 之帳號/密碼,因此第一步即為更改預設帳
號密碼,不然不肖之攻擊者即可輕易連結上你的AP 進行相關之設定與修改。一般預設
之帳號大多為 admin、 administrator 之類之管理者帳號,且密碼會依廠商習慣而予
以統一以方便在出廠前進行測試管理,故進行更改時之密碼更改原則會建議以大小寫應
為混合外加數字之方式來呈現。再來具備網路管理功能之設備一般會支援 SNMP 協定故
更改其預設之 community 密碼亦是一重要之步驟;另外就是 SSID 之更改,若只是供
給使用或是公司內部行員使用建議關閉 SSID 之廣播功能,這樣一般使用者及無法掃瞄
到該台 AP 之存在,也降低了被連線竊取重要資料之風險。再來一般 AP 會使用 DHCP
之服務來進行連線服務,雖說是便利但也相對的敞開了自家網路之大門與使用者連結,
故有效之管理步驟會希望管理者以靜態 ip 設定之方式督促使用者設定以取得網路存取
之功能。更進一步之防護,會要求進行 Mac 卡號之管理動作,藉由限制 Mac 白名單之
方式來拒絕 名單上以外之網卡連線登陸。另外若是公司之架設會建議以防火牆區隔無
線網路使用者撥進來之網段要與企業內部網路之網段相區隔,最好兩網段是以單向(內
部網路 -> 無線網路區段)之方式或是完全阻隔之方式來隔絕。一般較高階之 AP 大多
可以支援簡易之防火牆設定。再者開啟AP 上之加解密協定功能,傳統 AP 支援之 WEP
協定在近幾年來已經被證實為較不安全之加密協定,因此建議讀者在選購 AP 時要選擇
支援最新加密協定之 WPA 設備為佳。但開啟加密功能時網路傳輸速度亦會因為加解密
之過程而稍有緩慢,此為正常現象使用者可依個人之需求選擇是否開啟。
以上為設定網路環境之簡易說明,最重要的是一套完善之網路管理政策之制訂,設
定好網路存取環境後上網安心。
