2005年11月發行
 
無線網路部署、管理與安全(上)
 

田習庸 

Gartner預測2005年十大策略技術,無線區域網路(WLAN)的使用普及化為其中之一

         隨著Wi-Fi保護存取協定(WPA)贏得愈來愈多人的支持,與無線網路部署有關的安全顧慮已減輕。Claunch說,WPA會提供足夠的安全性,讓WLAN的應用更為普及,成為有線上網的一種替代方案。「人們一直保持謹慎,認為不值得冒險部署無線的區域網路(LAN)」但Claunch說:「WPA達到無線網路安全要求的門檻,久而久之,會讓只用有線網路的觀念愈來愈顯得可笑。」

         WPA衍生自即將推出的IEEE 802.11i標準,兩種技術相容。802.11i標準(別稱WPA2)將把高階加密標準(AES)演算法納入,以提供比Wi-Fi安全性更周延的加密防護。通過WPA2認證的產品可望在今年稍後問世。』


         近年來網路環境使用趨勢,從傳統的有線乙太網路到無線通訊網路,使得我們擺脫有形線路連接的束縛,從而實現了行動上網的理想,其主要歸功於不需要佈線的無線網路;加上無線網路設備成本在一年內下跌了50%以上,而且政府大力推展行動台灣政策,咖啡館、速食業者實際響應以及網路業者的推波助瀾下,使得許多家庭、辦公室及會議室紛紛採用無線網路作為另一種連結網際網路解決方案。不過,卻因為無線網路的特性為有心者開了一扇大門,讓他們可以不受實體限制侵入企業網路窺探及存取資訊,使用者使用無線網路也將陷入同樣的威脅中。

 

無線網路技術概說
802.11為基礎的無線區域網路(WLANs)已經脫穎而出成為企業在無線領域最重要的資產之一。要把已存在的網路延伸到移動的使用者所需要的低費用,已經穩定地推動所有的工業技術對Wi-Fi的採用。

        
使用無線電波( RF )傳遞時須注意發射功率的大小,像一般常用的行動電話約在600~3000毫瓦( mW )之間,行動電話製造廠商大多會在使用手冊裡註明不可長時間連續通話,並建議最好使用耳機以避免對腦部造成傷害。然而,IEEE 802.11中所規範的電波強度不可超過100 mW;遠小於行動電話的輸出功率,大部分無線網路發射功率約20∼70mW,行動電話發射功率約200mW∼1W左右,而手持式無線電對講機更是達到5W。而且,相較於平時使用的手機,使用無線網路時距離接收器(AP)通常至少半公尺以上,所以,無線區域網路相對來說對人體健康是較安全的。

         
無線區域網路所使用之頻段是屬於ISM 2.4GHz的高頻率範圍;ISM頻段( Industrial Scientific Medical Band ),此頻段( 包含三個頻帶902∼928MHz,  2.4∼2.4835GHz, 5.725∼5.850GHz )主要是開放給工業,科學、醫學,三個主要機構使用,該頻段是依據美國聯邦通訊委員會( FCC )所定義出來,屬於免申請執照( Free License ),沒有所謂使用授權的限制。無線區域網路在日常生活,或辦公室所用之電器設備是不會相互干擾,因為頻率相差太多所以無須擔心;惟目前ISM頻段有愈來愈多的無線通訊設備使用( 藍芽裝置Blue Tooth ),因此使用相近頻帶的通訊設備彼此會互相干擾,包括同頻干擾( Co-Channel Interference )及鄰頻干擾( Next-Channel Interference )。在台灣無線區域網路有11個頻道可供調整使用,然微波爐的電磁波剛好也在此頻段故可能會對無線區域網路造成干擾,使用上最好避開。

Wireless頻段

 

 

 

 

 

 

 

 

Current 802.11 Standard

 
          然而,就像是乙太網路演進的過程,802.11不斷的推陳出新造成無線網路專業管理工具的不足以及管理者還來不及熟悉舊有技術的同時還要去學習新技術。因為如此,管理者在無線網路發生問題時,只能使用一些當初為乙太網路設計的工具來偵測,除錯。結果當然就是會造成許多安全性的漏洞和效能的缺乏。


         WLANs不像乙太網路那樣使用實際的線路,而是利用無線電的方式來傳輸資料,所以在連線的限制上就比乙太網路多了一些顧忌。如果沒有適當的設定或監控時WLANs的AP就會成為一個潛在的弱點。因此,管理者需要一套專門的工具來管理Wi-Fi的無線環境,可以在無線的快速發展環境中幫助管理者及時發現問題,解決問題。

 

無線網路設計
        在無線網路佈建時無線訊號將產生重疊,干擾在所難免。因此,在規劃上提供了以下多種建議方式,使干擾的問題影響降至最低:


1.
頻道區隔
         以802.11b無線網路標準建置為例,該標準使用免執照頻段ISM band 2.4GHz,目前2.4GHz在台灣由電信總局管理,由2.4GHz~2.4835GHz共切分為11個頻道供無線網路使用,雖然設定上有11個頻道可使用,可是實際上僅有3個頻道沒有互相重疊。因此,建議部署AP時應以三台為一組,且設定為不同之頻道,以避免同頻的干擾。

2.4GHz 11個頻道示意圖



在大範圍區域部署無線網路時,亦可以此為概念,設計不重疊的頻道部署如下圖所示。

 

 

 

 

 

 


2.  
功率調整
在實務上,因各實際部署區域每層樓之人員組織及隔間規劃皆不盡相同,在實際使用時亦有可能同時湧進大量使用人數。因此在這些場所,設計上皆可以提高Access Point設備的使用數量,但由於此區域訊號重疊之目的以增加頻寬為主,並非以擴大涵蓋範圍為訴求,所以在設計上,以一台設備設定為100mW涵蓋大範圍,另外一台設備設定為50mW涵蓋特定區域,可避免因為頻道全部用掉而干擾鄰近設備運作。

相鄰設備涵蓋範圍干擾圖(灰色部分為干擾區域)

 

                                            將Ch6的功率調小以避免和鄰近同頻的設備干擾



3.      AP須具備Multipath功能

         由於無線電波的特性,在室內尤其是阻隔物多時,會造成電波的反射與折射,造成同一時間發射的無線電波,在某些特定區域接收時有了時間差,而形成了無線電波能量相互抵銷的狀況,造成訊號的死角。在AP的選擇上,可以選擇具備Multipath功能的AP(通常具備兩個以上的天線),以Cisco Aironet系列為例,該設備天線的設計,在接收時自動判斷兩支天線所收到的同一訊號何者為最佳的訊號,而選擇使用,放棄訊號較差者,以避免Multipath的問題。

                                                                          Multipath示意圖


4.     
選購具Multicast功能的AP
         Multicast最常發生的現象就是無線訊號正常,下載資料速度也很正常,但是上傳資料時速度卻非常慢,甚至於斷線。其發生的原因往往是在同一環境中有許多Access Point訊號涵蓋,當無線用戶端上傳資料的過程中,連結的Access Point換了另一台,若是無線網路的設備沒有支援Multicast的功能,在這時候就會造成速度緩慢,甚至於斷線的狀況。


         因此,在無線網路基地台的選擇上,如果佈建的環境範圍較大,且在使用上有roaming的需求,則建議在選購AP時需選擇具有Multicast功能的AP來給予使用者可漫遊的無線網路環境。

 

無線網路安全的威脅
          當規劃、設計、建置與管理網路基礎架構時,安全是非常重要的考量事項之一,尤其是讓 IT 與安全專家傷透腦筋的無線網路,更應格外重視安全。除了新的網路與裝置技術慣有的問題,例如彼此無法相容以及未來的支援維護等等,不安全的無線區域網路還可能讓企業的網路流量與資源暴露在原本無權接觸的外人手中。這些人可能會攔截資料以及利用網路上的資源,包括網際網路連線、傳真伺服器與磁碟儲存空間等等,更重要的是,無線裝置與網路的連接處可能會成為各種攻擊的突破點,導致整個網路癱瘓、服務中斷、甚至造成企業潛在的法律訴訟問題。
 

1.   資訊可能外洩到建築物之外
無線區域網路的無線電訊號有可能發射到原本預計的範圍之外,穿透地板或建築物的實體屏障而洩漏出去。若這些傳輸訊號外洩到道路、停車場或其它建築物等公開、公用或私人區域,很可能會成為「驅車式攻擊」(war driving) 或「路過式入侵」(drive-by hacking)攻擊的犧牲者。任何有心人士只要利用現成的硬體與網際網路上唾手可得的軟體,便可破解WEP的加密保護功能,取得其中的企業無線資料。
 

2.   未經許可的自行部署
在企業內部的人,包括員工與承包商,都有可能因為等不急IT部門前來設置,就乾脆自己動手架設無線網路。由於入門的WiFi套件只要兩張無線NIC與一個WiFi基地台(AP),價格往往非常便宜,甚至美金$300就可買到;加上安裝簡便,只要懂一點點技術就可以在十分鐘內架設完畢,因此他們往往都會自己動手買這些設備來安裝。問題是,當這些未經過核可的技術接上企業網路時,免不了會引起各種狀況,除了可能影響原有服務之外,一般使用者的支援與設備的維護工作也需設法解決。

有辦法潛入企業辦公室內部的人,只要在會議室或大廳中任何不顯眼的地方放置一個無線AP,就有可能竊取內部資料。這類型的裝置不僅隱藏容易,安裝也很簡單。證諸以往歷史,類似裝置竊聽器的案件不可勝數,即使是被認為應該最安全的大使館,竊聽事件也時有所聞。有心人士只要在企業外面附近找個地方,便可以擷取資料、存取企業資源甚至迫使企業對外提供的服務中斷。
 

3.   無線裝置易被有心人士利用
現今許多筆記型電腦出售時便已配有內建WiFi功能,因此就算該裝置從未用來傳送或接收無線傳輸資料,駭客還是有辦法取得該裝置的資料以及連上企業的無線區域網路。

大部分新款機器,包括閘道伺服器在內,其出廠的安全設定都不怎麼完善,因為它們的預設值大多是以容易安裝與部署為主,很少考慮到資產保護的問題。
 

4.   訊號干擾
牆壁、柱子以及建築物其它特性,都會使得無線NIC與AP之間的訊號強度減弱,大幅限制了無線區域網路的涵蓋範圍與連線品質。多增加一些設備,可稍微減輕這些問題的嚴重性,但由於藍芽、無線電話以及其他無線設備等等所使用到的無線技術,全部都共用同一段公眾無線電頻譜(public spectrum),恐怕會使得傳輸距離與品質大受影響。
 

5.   IEEE 標準仍在演進階段
正在考慮建置無線區域網路的企業,可以選擇立刻架設符合802.11b標準的無線區域網路,或者等待未來預計會解決效能與安全問題的新版規格。IEEE與其工作小組目前仍持續不斷定義與修訂規格,寄望能符合多樣化的需求並改善現有技術被公認的弱點。但萬一各家廠商設計的802.11系統並未符合IEEE制定的標準,可能會衍生出許多相容性的問題。

無線網路的最大特性,就是可以自由自在、不受有「線」的拘束連結上網。只要架設無線網路AP即可隨意地在電波涵蓋的範圍內進行通訊(Communication)。但由於無線網路仍屬於無線電傳播技術,當然也使得攻擊者得以無線電波涵蓋的範圍內進行通訊內容的監聽及其他攻擊,首當其衝的便是通訊的保密性、資料完整性及合法使用與否等三項議題。在此列舉出常見的攻擊方式:
 

1.      竊聽(Eavesdropping):
竊聽可能是最簡單、也是最有效的攻擊方式,因為它不會留下任何線索,而且也不需要與AP有任何關聯,郤可以針對通訊內容進行監控或網路監聽,針對網路通訊流量、內容進行分析,例如密碼分析,此行為是駭客最常運用行為,需要建置RF反竊聽系統以保障無線網路使用者資料安全。
 

2.      偽裝(Masquerade):
攻擊者會欺騙認證系統,非法取得系統資源。最常見的有密碼盜用、或是透過社交工程以取得密碼之類的敏感資訊,最常見到是假冒其他使用者的MAC及Password行為,可建立RF管理感應Sensor當偵測到重覆使用的MAC立即阻斷連線。
 

3.      重播(Replay):
攻擊者將網路截取的某些通訊內容再重新發送,最常見的莫過於重新發送 認證資訊以假冒合法的使用者。此類攻擊便是傷害使用者身份驗證系統的功能。
 

4.      訊息竄改(Message Modification):
攻擊者企圖竄改無線網路通訊內容,此類攻擊主要是傷害資料的完整性。

 5.      通訊劫持(Session Hijacking):
        利用TCP/IP網路通訊弱點搶奪合法使用者的通訊頻道。
 

6.      阻斷服務(Denial-of-Services):
阻斷服務是網路上最常見的攻擊手段之一。因為它會對遠端系統或AP進行攻擊,藉此達到使系統無法提供服務或是使系統降低服務品質。常見的攻擊方式有ICMP Flooding、SYN Flooding及Mail Bomb。此類攻擊可透過RF Sensor來偵測DoS來源。
 

7.      綁架攻擊(Man-in-the-Middle):
攻擊者使用功率較強的AP蓋過原來的AP以挾持使用者,強迫用戶的無線網卡跳至攻擊者的AP,而用戶會以為是漫遊至另一個AP,並且持續送出資料,這會造成網路中斷,進而截取到部份傳輸資料。

 
關閉視窗