无线网路安全
http://www.cert.org.tw/documen....php?key=104
--------------------------------------------------------------------------------

　　随着资讯科技与电脑网路技术之快速发展，科技渐渐亦开始与人类生活产生了密切
的连结。实体世界与虚拟世界之界线也渐渐被抹平了，正如微软公司所寄予之未来计画
「数位家庭」一样，科技的最终目的总是要与人类生活接轨。而在这科技洪流之侵袭下
，你是否也已经做好了万全准备以因应时代之挑战？而在这科技日新月异之潮流下，无
线网路更是其中发展之翘楚。

　　其实早在数十年前，无线科技即已悄悄走入你我之生活；电视遥控器之红外线传输
与冷气机之远端控制器等都是无线科技运用下之成果。及至最近几年大家所常听到的蓝
芽科技（Bluetooth）传输、与电话系统（GSM、GPRS）等，然而真正使无线网路被大家
所重视之发明是于 1997 年由 IEEE (the Institute of Electrical and Electronics
Engineers, Inc.)颁布核定下所推出之 802.11 标准。

　　无线网路之便利也同时带来了许多的问题，最重要的是你的无线网路安全吗？传统
宽频网路是以实体线路所连结在安全性上至少有固定管道传输不至于被轻易拦截，但无
线网路之传输方式是经由空气为介质任何人都可以轻易的拦截并加以分析；再加上现在
电脑规格日新月异，传统家用型电脑即可以拥有类似数十年前超级电脑之运算能力，即
便无线网路声称具有加密功能，但坦若无线传输之加密方式所使用之演算法或是钥匙长
度不够都可能在封包收集够多之情况下轻易给破解。相对于有线网路的局限性，无线网
路增加了机动性和生产力。这正是世界各都市无线区域网路爆炸性成长的原因。而根据
报导资讯安全公司　RSA Security的调查，过去一年无线网路连接点(wireless access
point)的数量，伦敦攀升了57%，纽约增加20%，巴黎则在2年内惊人地成长了119%。

　　企业开始使用无线网路之讯息固然使人感到鼓舞，但是也同时有更多的不肖份子欲
潜入企业网路窃取机密之企业资讯。尽管如此，然而仍有许多改善的空间–在这三大都
市中，仍有近1/4的企业，未采取任何措施来保护他们的网路免受恶意的攻击。这些公
司除了可能被窃取机密资料，有感染病毒和木马程式(Trojans)之虞，也会增加潜藏的
风险–这些病毒透过他们的网路发动广泛地攻击。

　　所以在检视无现网路环境之安全性与否时，可以分为用户端（client）以及伺服器
端（Server）端来讨论。首先如果是一般笔记型电脑之使用者，出门在外常常会有需要
使用无线网路之时候，要谨记以下几点：勿连接不安全之伺服器（Access Point），常
有不肖份子以架设未经加密之AP 的方式来有意或无意收集用户端之封包再经由密码破
解软体或一般之封包分析软体以破解使用者在进行网路行为时所登陆之帐号或密码。倘
若有极需要使用无线网路却又无法取得正当途径时，建议各位可以向公司或是自行架设
虚拟网路 （VPN） 以拨号之方式藉由 VPN 之加密通道（Tunnel）来浏览网际网路。但
一般建议下在万非得以的情况下，身处不安全之网路环境，笔者还是建议各位读者可已
自被一份不常使用之帐号以及密码使用以将伤害降至最低，尤其是有关网路银行之相关
帐号、密码更是要小心使用。

　　另外在自己架设无线网路环境下亦有许多值得注意之课题，首先我们讨论无线网路
伺服器 AP 之有效范围；一般建制无线网路之环境多属公司行号或一般家庭使用，故使
用环境多为室内，而802.11 系列之传输功率于室内为 45 公尺左右，若需要使用之范
围更大时可透过增益天线或是在选购 AP 时选取双天线之配备来加以架设。而一般 AP
之穿透率大多不超过两面水泥墙壁因此若是家庭是属于一般楼房式建筑具有多层结构时
，AP支架设一般都以位设于中间楼层为佳，若是讯号依旧不佳可以透过中继器/放大器
来进行讯号之扩大动作。在架设好无线网路伺服器后，不同款式之 AP 会有其不同之设
定方式，但一般都以预设密码进入gateway 之帐号/密码，因此第一步即为更改预设帐
号密码，不然不肖之攻击者即可轻易连结上你的AP 进行相关之设定与修改。一般预设
之帐号大多为 admin、 administrator 之类之管理者帐号，且密码会依厂商习惯而予
以统一以方便在出厂前进行测试管理，故进行更改时之密码更改原则会建议以大小写应
为混合外加数字之方式来呈现。再来具备网路管理功能之设备一般会支援 SNMP 协定故
更改其预设之 community 密码亦是一重要之步骤；另外就是 SSID 之更改，若只是供
给使用或是公司内部行员使用建议关闭 SSID 之广播功能，这样一般使用者及无法扫瞄
到该台 AP 之存在，也降低了被连线窃取重要资料之风险。再来一般 AP 会使用 DHCP
之服务来进行连线服务，虽说是便利但也相对的敞开了自家网路之大门与使用者连结，
故有效之管理步骤会希望管理者以静态 ip 设定之方式督促使用者设定以取得网路存取
之功能。更进一步之防护，会要求进行 Mac 卡号之管理动作，藉由限制 Mac 白名单之
方式来拒绝 名单上以外之网卡连线登陆。另外若是公司之架设会建议以防火墙区隔无
线网路使用者拨进来之网段要与企业内部网路之网段相区隔，最好两网段是以单向（内
部网路 -> 无线网路区段）之方式或是完全阻隔之方式来隔绝。一般较高阶之 AP 大多
可以支援简易之防火墙设定。再者开启AP 上之加解密协定功能，传统 AP 支援之 WEP
协定在近几年来已经被证实为较不安全之加密协定，因此建议读者在选购 AP 时要选择
支援最新加密协定之 WPA 设备为佳。但开启加密功能时网路传输速度亦会因为加解密
之过程而稍有缓慢，此为正常现象使用者可依个人之需求选择是否开启。

　　以上为设定网路环境之简易说明，最重要的是一套完善之网路管理政策之制订，设
定好网路存取环境后上网安心。