 |
|
茫茫網海中的冷日
發生過的事,不可能遺忘,只是想不起來而已! |
|
|
恭喜您是本站第 1671760
位訪客!
登入 | 註冊
|
|
|
|
| 發表者 |
討論內容 |
冷日
(冷日) |
發表時間:2004/7/28 2:35 |
- Webmaster
- 註冊日: 2008/2/19
- 來自:
- 發表數: 15771
|
- [新聞]無線網路漏洞日益明顯
- 無線網路漏洞日益明顯,該怎麼保護?
鎖定網路卡、使用者身分認證、加密無線訊息
隨著無線網路的便利性受到大多數人接受並利用之後,許多攻擊及安全漏洞也隨之出現。根據7月16日各大報所刊載,目前已經有歹徒利用無線網路的溢波連接上網際網路,並利用線上刷卡的方式竊取財物,顯見無線網路的使用率雖然日漸普及,但是大多數的使用者卻依然不知如何作好防範及保護。其實無線網路可能會遭受的攻擊與有線網路相同,惡意人士的攻擊方式也是如出一轍。
但是為什麼無線網路容易遭受攻擊?就是因為無線網路採用的是無線電波作為訊號傳遞的工具,而不像有線網路是使用實體網路線,如果說有線網路是以線的方式構成整個傳輸網路,無線網路則是以無線基地臺為圓心,無線電波的傳遞距離為半徑所構成的圓形面積,架構出整個服務區域,在整個服務區域之中,都可以享受無線網路所提供的便利性。擺脫了線的束縛雖然相當方便,但是相對的在這個區域之內的所有人,不管是善心或惡意人士都可以存取無線網路,也帶來相當高的危險性。
溢波為無線網路攻擊的根本
在無線網路環境中,最重要的媒介當然是無線電波,而溢波的意思則是傳遞到原有設定之服務範圍外的電波。在理想狀態下,無線網路應該只覆蓋我們想要提供的區域,不過在建築物大多為方形,且功率難以完全掌控的狀況下,這是難以做到的事情。在冀求能夠達到完善服務的狀態下,大多數的無線基地臺都會超出所設定的服務範圍之外,也因此造成電波溢出,簡稱為溢波。一般來說,水泥牆以及室內各種擺設會吸收並阻礙電波傳遞,理當會降低溢波的產生,不過也會因此降低服務品質,在建置大多數無線網路時,都會盡量控制無線電波滿足服務區域,而忽略會產生的溢波。
既然溢波一定會產生,就給了有心人可趁之機,在實際使用中,我們發現許多校園、公眾區域甚至是一般用戶都會有足以提供連線使用的溢波發生,在這些地區中,有許多基地臺都是未經加密,只要有可供使用的無線網路卡就可以藉以連線到網際網路,更遑論連接到無線基地臺所屬的內部網路了,好意提供無線網路服務,卻相對製造了相當大的安全漏洞。
保障無線網路安全的三種方法
為了防範無線網路可能的攻擊,我們可以採取三種措施:限制可連線的無線網路卡、確認使用者身分以及加密無線網路傳輸的訊號。
目前所有的無線基地臺都提供鎖定網路卡的功能,管理者可以事先記錄可以透過無線基地臺連線的網路卡,並禁止不在清單內的網路卡連線,這是防止非法使用者最基本的防禦手段。不過這種作法也存在一定的風險,因為惡意人士可以利用竊聽、掃瞄程式等方式找出合法網路卡的MAC Address,並透過偽裝程式模擬成該網卡,進而得到合法連線的權力。而且在合法使用者更換網路卡時,也會造成一定的困擾,在提供固定人士連線或是使用者人數較少的無線網路環境中較常會採用此種方式。
驗證連線使用者身分則是一種開放區域常見的方式,特別是在無線網路服務人數較多、不限特定人員、範圍較為廣泛或是設備較多的區域中,包含認證、授權及記帳等合稱為AAA的功能,使用者資料可存放在本機資料庫或後端資料庫。合法使用者可以透過有效的身分認證得到網路連線的權限,而得以漫遊網際網路。目前臺灣常見的無線網路服務是以預售點數卡或是以Hinet帳號結算,就是採用驗證使用者身分的方式。
無線基地臺通常使用802.1x身分認證機制與後端的RADIUS伺服器連接,在使用者上線時,就向RADIUS伺服器確認使用者的身分。不必佔用基地臺及所在環境的資源,並且可以透過網際網路的方式連接,僅需要建置單一身分資料庫就可以提供多個據點確認使用者,因此可以有效地支援分散式架構。
雖然驗證使用者身分可以得到較高的安全性,不過在傳遞使用者帳號密碼時,仍然要注意訊息是否受到加密保護,這也是無線網路最重要的課題—加密。
無線網路的加密用意是在保障處於無線狀態的封包不會輕易地被惡意人士擷取並利用,因此在協定制訂之初,就已經加入了WEP安全機制。當設定WEP密鑰之後,不知道密鑰的使用者就無法與無線基地臺連線;竊聽者就算擷取到傳輸封包,也會因為封包經過加密而難以破解。立意相當良善,但是因為WEP在制訂時存在密鑰重複率高、訊息驗證不適當、存取控制機制有弱點以及錯誤使用RC4運算法等問題,雖然後來各廠商增加WEP密鑰的長度,企圖防制駭客入侵,不過本質上有瑕疵的WEP僅能藉此延緩入侵速度,並沒有辦法完全防止密鑰被破解。
隨後Wi-Fi聯盟制訂出WPA標準,其中包含AES、TKIP等與802.11i相同的安全措施,並且可以向下相容WEP協定。WPA能夠讓沒有RADIUS伺服器的網路以預先分享密鑰機制建立安全的通道,並且透過TKIP機制,不定期更新階段密鑰,確保密鑰的安全性及變化性,讓駭客就算收集更多資料也沒有辦法找到正確的密鑰組合。但是在能夠支援WEP密鑰的情況下,WPA依然延續了WEP原有的漏洞,無法確保無線網路的安全。
最近IEEE團體為WLAN環境訂定完成的802.11i,主要是整合802.1x與TKIP,將整個密鑰整合方式由固定改為動態,並且不再採用RC4演算法,捨棄了可能使用錯誤的部分,而改以更為強固的AES密鑰本,提供更良好的安全防護。以目前的進度而言,到9月時,就會有可使用802.11i的設備上市。
802.11i的內容包含了TKIP、MIC、802.1x等,在WPA規範中已經加入的安全機制,因此設備廠商可以很快速的導入。而且802.11i允許使用者透過不同的認證機制,如TLS或是TTLS連線,提供使用者較多的選擇,並可支援多種認證協定,並且透過CCMP(CCM通訊協定)提供更強大的加密通道。未經身分認證就算得知所使用的密鑰,也依然無法獲得無線網路的連線權利,藉此保障無線網路的安全。但是更強的加密保護方式也意味著設備的效能會因此略打折扣,或是必須花費更高的預算以維持一定的傳輸水準。需要注意的是,使用802.11i協定的設備無法與使用WPA、WEP的設備互連,導入時需要注意設備的相容性。
另外還需要注意的是大陸特別制訂的WAPI標準,雖然目前無限期展延,不過依據各種密鑰協定本身的設計架構來看,不論是WEP到802.11i都採用的是單向認證的方式,就算向後驗證使用者身分,都還是存在著可能產生的漏洞,更遑論為了向下相容WEP而可能產生的安全問題;WAPI採用的是雙向數字憑證驗證的方式,只要其中一方不合規範,就會讓連線中斷,藉此加強了安全性,但是在這多重演算的方式下,可能造成的效能下降是可預期的。
在有線網路環境中,一般使用者都習慣交由資訊部門保障整體網路安全,但是在無線網路中,這種觀念勢必徹底改變。在有線網路中,對外的門戶是由網路管理者把關,就像是中世紀的城堡一般,只要城門口有重兵把守,就不必擔心城堡內部受到攻擊。可是無線網路就像是一片廣大的草原,無線基地臺與使用者電腦直接暴露在陽光之下,所有的對話內容都可以被不經意的第三者聽到,只有單方面的安全保護是不夠的,使用者也必須加強安全概念的養成,不使用陌生電腦連接無線網路,不連線到未知的無線基地臺,更重要的是不將設定好的傳輸密鑰洩漏出去,才能共同防護無線網路的安全。
管理者與使用者需一同保護無線網路的安全
無線網路是有線網路的延伸,同樣的資訊安全問題也會一再出現,為了保障無線網路的安全,除了管理者需要多加用心之外,使用者也必須一同注意才能確保無線網路的安全。
在一般企業內部網路中都會有身分認證機制的安全設定,在架設無線區域網路時,管理者應該選擇可支援現有身分認證機制的基地臺,以WPA或802.11i協定而言,都是採用RADIUS伺服器作為認證使用,而有部分基地臺也可支援NT Domain/Active Directory,透過這類集中認證管理機制,可以確保無線區域網路的使用者都是合法使用者,避免無線區域網路成為非法入侵者的跳板。
管理者應該將無線區域網路視為不受信任的網路區域,所有透過無線區域網路的連線都應該要經過加密。雖然WEP密鑰已經被驗證是具有瑕疵,但是透過加密延緩可能的攻擊時間,並且搭配其他防禦措施,一樣可以保障無線網路安全。
除了被動防禦之外,管理者也應該積極主動地偵測服務區域中可能出現的非法設備,透過各種監控軟體與設備,加強管理機制與強度,只有經過許可的設備才能使用無線區域網路,藉此保障安全性。
除了管理者需要保障無線區域網路使用安全之外,使用者也必須留意使用習慣。行動工作者需要在外部無線網路發送與公司業務有關的資訊時,就必須安裝個人防火牆與防毒軟體等工具以避免外界惡意人士藉由無線網路值入有害程式。並且在傳送資訊時,應以VPN連線進入可信任的公司網域再行轉發,否則很容易造成資訊被擷取的危機。文⊙羅健豪
|
|
|
|
