廣告廣告
  加入我的最愛 設為首頁 風格修改
首頁 首尾
 手機版   訂閱   地圖  簡體 
您是第 4434 個閱讀者
04:00 ~ 4:30 資料庫備份中,需等較久的時間,請耐心等候
 
發表文章 發表投票 回覆文章
  可列印版   加為IE收藏   收藏主題   上一主題 | 下一主題   
masa 手機
個人文章 個人相簿 個人日記 個人地圖
小有名氣
級別: 小有名氣 該用戶目前不上站
推文 x0 鮮花 x60
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片
推文 x0
[資訊教學] 淺談無線網路之技術、應用與安全管理規劃
因為有鑒於無線網路之有無被竊聽的之虞...所以小弟特轉此帖於大家分享

《網路與通訊》

張貼者: Banana

淺談無線網路之技術、應用與安全管理規劃

 洪紹雄
*******************************************************************
 前言

 無線網路的出現,顛覆了傳統網路一定要跟著一條線的舊有觀念,
 帶給使用者更大的使用自由度,方便使用者可以隨時帶著電腦在會
 議中四處跑,而不用去擔心電腦後面跟著那條尾巴(線路)會不會
 被你扯斷了。無線網路的出現,同時也帶給傳統網路佈線上的另一
 個選擇,像是以往沒有辦法或是不容易佈線的地方,現在都可以用
 無線網路透過無線電波的穿透特性,輕易地就達到網路連接的目的。
 但是無線網路也並不是萬能的,就如同其他新科技一樣,雖然無線
 網路將舊問題解決了,但卻也帶來了其他新的問題,而這其中有一
 個最重要的問題,便是有關網路的安全問題。

 無線網路的發展歷史

 自從『無線電之父』義大利的馬可尼在十九世紀末發現無線電以
 來,無線電對我們的影響,可能是他當初所沒有辦法想得到的。初
 期的無線電主要是用來取代傳統的有線電報業務(這和現在的無線
 網路有異曲同工之妙,也是為了取代掉有線網路的那條網路線),
 而後來無線電台、電視等的訊號,更是讓無線電的應用帶給了人們
 更多的方便。雖說像是電視等無線電的應用到今日都已經發展成熟,
 但是無線網路卻並不如想像這般容易。

 二次世界大戰時期,美軍則將無線電加上編碼技術加密後使用在
 軍事通訊上面。像這樣的加密通訊,對於四面環敵或是有敵軍阻礙
 的情形下,可以安全地傳遞作戰計畫;另一種情形則是可提供陸上
 的美軍與海上戰艦進行通訊,而不必擔心無線電遭攔劫竊聽之洩密
 問題。

 談起無線『網路』(或是說無線網路的雛形),則應該算是由夏
 威夷大學所開發。在1971年時,夏威夷大學在無線電上面採用『封
 包式』技術,在不需要電話公司的電纜線之情形下,將四個夏威夷
 島嶼連接起來。此一無線電網路被命名為ALOHNET,採用雙向的星
 狀網路拓樸,整個網路上面共有七台電腦連接,而主電腦則是放置
 在歐胡島上。

 但是隨著網際網路的發展,無線網路的並沒有太大的進展,一直
 到最近幾年來,IEEE訂定了相關的標準以後,各家廠商才有了一個
 主要的依循標準。無線網路只是一個通稱,事實上,在無線領域裡
 有許多無線網路的工業標準存在,其中最重要的兩個應該屬HomeRF
 和Wi-Fi(也就是IEEE 802.11)這兩大派系。其中,802.11獲得比
 較多的廠商支援,而HomeRF陣營則顯然是居比較弱勢的一方,尤其
 最近支援HomeRF陣營的Intel也倒戈到802.11這邊來。

 這兩個標準其實都各具有他們的優缺點,當初,Intel之所以會
 選擇向HomeRF靠近,其主要的原因是看好資訊家電產品的未來發展。
 同時,HomeRF所需要的硬體成本相對地也比較低。另一個主要陣營
 802.11一開始即定位在提供企業使用層面,也同時兼顧到家庭使用
 與在公共空間的使用,但是因為802.11在剛發展時的硬體成本太高,
 以至於使用人口較少。然而這些問題都隨著硬體技術的愈趨純熟化
 後,有關價格上的問題都已獲得改善,所以,現在市場上也已經可
 以買到便宜的802.11無線網路卡了。當然,不可諱言地,此種『西
 瓜偎大邊』的效應也同樣反應在現在的無線網路市場上,因此,您
 現在已經很少聽到有廠商還在發展HomeRF的無線設備。

 802.11之所以可以後來居上之姿超越HomeRF的另一個重要原因,
 應該要歸功於WECA(Wireless Ethernet Compatibility Alliance)
 這個組織。也許可以說,近年來無線網路的快速成長都該歸功於WECA
 組織,此乃因WECA提供相容802.11設備的認證,確保各廠商所生產
 的無線網路設備在使用上不會有不相容的現象。且由於WECA發展出
 無線網路設備互聯的相容標準WI-FI(Wireless Fidlity),而各無
 線設備廠要使用『WI-FI』這個標籤前,必須先通過WECA組織的這些
 相容測試,因此,一台通過WI-FI認證的Access Point,便可以確保
 和其他不同廠牌但也通過WI-FI認證的無線網路卡進行互聯。相對地,
 無線網路設備廠也期待接受這些相容性的測試,因為他們並不希望
 其在產品出貨之後,使用者拆箱使用後卻發現有不相容而必須退貨
 的情形發生。

 無線網路技術

 IEEE在1997年提出802.11標準,定義使用2.4GHz頻帶,提供到2Mbps
 的速度。但很快地在1999年又新增了兩個標準,分別是目前已經相
 當普遍的802.11b以及另一個802.11a。802.11b使用2.4GHz的頻帶,
 最高傳輸率達11Mbps;802.11a使用5.8GHz,最高傳輸率可以到
 達54Mbps。然而,由於802.11a的設備費用偏高,因此,造成現今市
 場上以802.11b的接受度較高,產品得發展也較為成熟。另外,802.11a
 因使用較高的頻帶,因此應用在長距離的傳送上,其效果也比較好,
 對於遠程的無線架設上比較有利;相反地,802.11b則是比較廣泛被
 應用在區域性質(開放空間、辦公室或會議場地)的場合之上。

 802.11a和802.11b都使用ISM(Industrial,Scientific and Medical
 -工業、科學與醫療應用)頻帶。ISM頻帶包括有902-928MHz、2.4-2.4835
 GHz、以及5.725-5.850 GHz共三段。在使用這些頻帶時,並不需要
 特別申請,是任何人都可以使用的。

 無線網路的應用

 在不同的應用情況下,無線網路可以有效協助將有線網路在無法
 佈線時的網路延伸,也可以在臨時舉辦會議或活動之時,不需要再
 特別拉網路線,就可以讓會場擁有可以使用的網路環境。當然,無
 線網路的作用也並不全然是拿來取代有線網路的,但是很明顯的,
 無線網路是筆記型電腦使用者的另一大福音,因為無線網路可以讓
 我們在移動的情形下,還能夠方便地繼續使用網路。也許您不妨想
 想看,當初行動電話剛出現的時候,也一樣顛覆了電話就必須是固
 定在一個地方的觀念,它讓每個人都可以人手一機邊走邊講,且走
 到哪裡講到哪裡,完全不受時空的限制。於是,現在您可以在飯店
 大廳使用網路,您也可以在火車上使用網路,也就是說,類似像這
 些以往找不到插頭來插網路線之問題,在有了無線網路設備之後,
 都將迎刃而解。

 目前在國外,無線寬頻上網已經是十分普及了,例如,許多國際
 機場、飯店旅館、咖啡連鎖店等,都已經提供了類似的服務。甚至
 最近連全球最大的咖啡連鎖店『星巴客StarBuck』有已宣布正式引
 進Compaq的無線網路設備,將在全球的星巴客連鎖店中架設無線網
 路環境,提供給到店內的消費顧客無線上網服務。反觀國內,目前
 已有蕃薯藤在推廣無線上網服務。蕃薯藤與IS Coffee、長榮酒店
 合作,由蕃薯藤提供設備和網路頻寬等,商家只需要出借場地,並
 提供無線網路卡的出借服務,而使用者則可以使用自己的筆記型電
 腦或PDA,插入自備或向商家暫借的無線網路卡後,即可悠遊於網
 路世界中,收送E-mail信件、連線遊戲、檢查個人投資理財最新訊
 息等。這比起以前商店所提供的56K撥接服務速度則將足足快上兩
 百倍有餘。

 無線網路的安全管理

 雖然有新的作業系統出現以及各組織對IEEE 802.11發展的協助,
 但是並沒有辦法完全解決建置一個無線網路環境時會發生的問題。
 如同文章開頭所陳述的,舊的問題解決了,但是新的技術卻也帶來
 新的問題。舉個例子來說,無線網路上的安全問題,就是一個值的
 我們去正視與關切的問題。

 設想,可能會有多少網路的管理員願意讓一個完全陌生的人帶著
 他的筆記型電腦走進公司裡,坐下來找個最近的網路插頭連接上公
 司的區域網路?很顯然地,這個比率應是不會太高,這是因為我們
 對於陌生的人都會特別注意其行止或意圖。同樣的情形發生在無線
 網路上,卻也是完全不容忽視的。由於無線網路並不需要實體的線
 路,因此,無線網路的安全考量更是我們所必須特別關注的。

 近年來,由於硬體的技術的演進與生產技術的提升,使得無線網
 路的架設成本降低了許多。在最近的市場上,使用者已經可以找到
 近四、五十家廠商提供無線網路的相關產品。一張筆記型電腦使用
 的無線網路卡,售價大概三千五百元,而一台無線存取點(Access
 Point)也只要七、八千元不等的價格。除了產品的價格日趨降低之
 外,無線網路的架設也不再是一件困難的事,甚至可以用『簡單』
 兩個字來形容。如果使用者想要在自己家裡架設無線網路,那麼,
 所要做的僅僅是將AP選個放置的好位置即可,然後將原來區域網路
 上的網路線接到AP上便算完成;而如果是在公司裡架設無線網路,
 則需再多留意一些網路使用的安全性問題。

 IEEE 802.11b的標準裡包括一項加密技術,稱為WEP(Wired
 Equivalent Privacy)。依據無線設備廠商對於所屬不同的無線設
 備產品規格,WEP的加密程度大略可分為40-bit長度的加密金鑰與
 24-bit長度的初始向量(簡稱64-bit WEP加密)以及104-bit長度
 的加密金鑰與24-bit長度的初始向量(簡稱128-bit WEP加密)這
 兩種。過去幾個月以來,已經有許許多多的研究顯示,WEP鎖定的
 加密方式並不夠安全,像是Scott Fluhrer、Istak Mantin、Adi
 Shamir三人所提出的『Weakness in th eKey Scheduling Algorithm
 of RC4』,在這篇研究報告中便提出了一個方法,可以截聽無線電
 波,從中找出WEP用來加密的金鑰,並進而可以假造任一無線網路
 的封包。

 在上一篇研究報告發表不久之後,有一個名為『AirSnort』的程
 式出現在網際網路上(http://airsnort.sourceforge.net)。
 AiroSnort是利用上篇報告中所提到的方式進行實做,其執行平台
 是Linux 2.4的核心程式,並且在一旁被動地截聽其他無線網路設
 備所發射出來的無線電波。一般人謂子彈不長眼,子彈還是以直線
 方向行進,但是無線電波則是無方向性的,所以更容易被截聽。依
 據AirSnort網站所發表的訊息顯示,AirSnort在接收了100MB到1GB
 的網路流量後,可以在幾秒鐘之內就找出WEP用來加密的金鑰。由於
 目前無線網路設備廠商在使用WEP的方式上都還是使用靜態的加密
 金鑰(也就是說一把鑰匙用萬萬年),因此,要累積到這樣多的網
 路流量並不是一件困難的事。

 即便WEP在理論上已經被證明使用靜態的加密金鑰無法提供足夠的
 安全保證,但是最大的問題還不在於此,而是大部分的無線設備廠
 商在Access Point上並沒有將WEP預設打開使用。這就有如將您家的
 大門關起來但是卻不上鎖一樣,也就是每一個有心的人都可以順手
 把門打開進入到您的家中逛一逛。在此,也許有人要問,那總是要
 去動動門把才知道有沒有上鎖啊!如同我們之前提過的,無線電波
 是沒有方向性的,因此,有心者並不需要家家戶戶去轉動人家的門
 把,而是只要將他的天線架設起來,等著收人家發出來的電波,就
 可以清礎地知道誰家大門有沒有加鎖了(有沒有使用WEP來加密無
 線網路資料流)。

 另一個跟無線網路有關的程式是NetStumbler
 (http://www.netstumbler.com),不過目前的NetStumbler只適用
 在Lucent Orinoco晶片組的無線網路卡上(Cisco、Intel、3Com等
 晶片組,目前NetStumbler都沒有支援)。NetStumbler不但可以偵
 測802.11b的無線電訊號,並且可以找出Access Point的MAC位址、
 無線網路的名稱、SSID、製造廠商、目前所使用的頻道、有沒有使
 用WEP加密技術、信號強度、乃至噪訊比,以及其他一些參數等等。
 除此之外,如果使用者有接上可以輸出標準NMEA(National Marine
 Electronics Association)訊號的GPS設備時,NetSumbler也會同
 時將所在地的經緯度一併記錄下來。更甚者,NetStumbler還可以即
 時顯示與Access Point之間的信號強度。

 大部分的人都以為802.11b的無線電訊號只能存在於一個極短的
 有效範圍之內,比方說50公尺左右。事實上,無線電波可以傳播的
 更遠些,只是傳得愈遠,其訊號強度則愈弱。而大部分電腦所使用
 的無線網路卡天線對於這樣微小的無線電波已經無法偵測到了。然
 而,如果我們將無線網路卡的天線換成是高增益的天線時,比如說
 一個14dB的yagi天線,那麼,無線網路卡便可以偵測到從遙遠地方
 發射出來的無線電波了。像在這種情形下,如果沒有事先做好一些
 規劃和防範的措施,那你的網路的安全可能就要大打問號了。

 而為了避免像上述這樣的情形發生,以下幾點建議提供您作為規
 劃無線網路時之參考:

 1.使用WEP加密協定
  雖然我門已經知道WEP加密協定並不安全,但是它可算是安全的第
 一道防線。同時,它是在802.11b裡定義好的,因此,所有通過WI-FI
 認證的802.11b設備都不需要另外增加或安裝新的軟硬體,就可以
 使用WEP(40-bit加密金鑰的版本),只是超過半數以上的廠商對
 於WEP加密協定在出廠的預設值上是不啟動的,因此使用者要特別
 注意自己的設備是否有將WEP加密協定打開。在實地調查裡,超過
 一半的無線網路都沒有使用WEP加密協定進行無線網路卡與存取站
 之間的資料傳遞加密,這就好像把你家大門打開開一樣,邀請所有
 的人到你家走走逛逛。雖然WEP並不安全,但是有門總比沒有門要
 來得好,檢查你的WEP加密有沒有設定好是你應該要去注意第一件
 事。

 2.更換無線設備出廠之預設SSID
 也許您會對此感到驚訝,然而世界上就是會有像這樣教人無法置
 信的事情發生。此即,有太多的廠商安裝人員或網路的管理人員
 對於所安裝上去的無線網路設備僅是一知半解,抱持著『反正東
 西可以用就好了』舊有觀念,對於無線網路架設的規劃,事前也
 沒有做好。如果連SSID這種基本的設定也沒有去更改,那麼可能
 Access Point或是Wireless Router的密碼也是預設的,其嚴重性
 便可想而知。另外,也不要將您的SSID取個太簡單易猜測的名字,
 像是您公司的名稱、部門名稱、或是產品名稱,這些都不是好名
 字,很容易被有心的人猜到,也不要使用一些地理位置來取SSID,
 像是街道名稱或是建築物名稱,這些也不是好主意。

 4.關掉『SSID廣播功能』
  在無線網路裡,無線網路卡必須要和無線存取站使用相同的SSID
 才能互相溝通。但是如果您將Access Point的SSID廣播功能啟動,
 此時,存取站不管無線網路卡的SSID為何,都會允許它使用這台
 存取站。因此,切記關掉您的SSID廣播功能。

 5.變更存取站的預設密碼
 就算您已變更AccessPoint的SSID名稱,但是像NetStumbler還是
 可以依據存取站的MAC位址,而找出設備的製造廠商。因此,如果
 您沒有變更設備的預設密碼,有心者仍是可以依據廠商的預設密
 碼而得以進入您的無線區域網路中恣意而為。

 6.注意無線區域網路的涵蓋範圍
  如果您的無線區域網路只想部署在大樓內部,就要特別留意會不
 會有無線電波逸漏到大樓外面,而使得別人有機可趁。一般說來,
 如果只部署在建築物內部時,通常會採用由建築物內部(或中心)
 向外面做輻射狀的方式來架設無線存取站(或橋接器),尤其需
 要注意部署在窗戶或牆邊的存取站,更要特別注意逸漏出去的無
 線電波強度是否強到足以讓建築物外面的人來使用。

 7.注意有沒有異常的無線網路設備出現
  身為一個無線網路的管理者,您必須特別留心無線區域網路上的
 一些異常現象。尤其必須在隔一段時間之後,就做一次『site
 survey』。像NetStumbler是一個很好用的工具,它可以找出有哪
 些人偷偷把自己的Access Point加到您的無線區域網路中。由於
 無線網路設備已經是愈來愈便宜了,因此買的人相對地也是愈來
 愈多。不只是無線網路卡,內部其他人或其他單位也有可能去購
 買他們自己的無線網路存取設備,用來延伸或強化他們無線網路
 涵蓋範圍,或是擴增他們的無線網路頻寬。但是這樣卻會增加管
 理者相當大的困擾,同時對於安全向的考量上也是一大挑戰,因
 此經常檢查是否有異常設備出現在您的無線區域網路裡便變得特
 別重要。

 8.檢查逸漏的無線電波強度
  經常性地,您可能需要找台裝有無線網路卡的筆記型電腦到您的
 建築物四周圍走動一下,同時要記得先幫您的無線網路卡外加強
 一點的天線。尤其要注意的地方包括建築物附近停車地點,或是
 隱密的地方,逐一檢查這些地方是否可以接收到逸漏出來的無線
 電波以及強度。當然,或許這些逸漏的電波強度已經衰減到無法
 讓一般無線網路卡使用,但是配上一支好一點的天線,還是有可
 能以1Mbps速度連上你的無線網路,別小看這小小的1Mbps,它已
 經足夠讓駭客玩上好一陣子了。

 9.用MAC位址來控制也是不錯的方式
  如果管理政策許可,那麼,利用鎖定MAC位址的方式來管理那些無
 線網路卡當然是一個萬無一失的方式。現在有很多新的無線網路
 存取設備都支援使用MAC位址來鎖定可以使用的無線網路卡,有些
 是在存取站上設定可以使用的無線網路卡的卡號(MAC位址),有
 些則是在RADIUS伺服器上面設定哪些MAC位址的網路卡可以連上網
 路。唯這種方式有兩點必須要注意:第一,是無線網路卡的MAC位
 址是可以假造的,所以您不能只靠這一層保護;第二,是如何更
 新MAC位址的問題。也就是當您的無線網路卡要新增的時候(或是
 暫時允許外來的卡加入你的無線網路裡面的時候),您要如何來
 更新這些存取站的MAC位址列表。這些問題都是必須要先考慮清楚
 的,否則,您可能每天都會面臨到只為了要加這些資料而被到處
 追著跑的窘境。

 10.使用RADIUS做進一步的使用者管理
  雖說RADIUS認證並沒有包含在802.11b的標準裡,不過有許多廠商
 都有在無線設備上面設計使用RADIUS進行存取驗證。一些功能較
 強的Access Point可以設定成使用RADIUS伺服器來進行使用者的
 驗證,讓無線網路卡在接上無線網路之前,必須先透過Access
 Point完成RADIUS上的使用者帳號密碼驗證。如果無法通過,那麼
 就表示無法連上無線網路。一般而言,使用RADIUS認證的方式都
 是以帳號和密碼的方式來進行,不過某一些Access Point還可以
 配合RADIUS進行無線網路卡的MAC位址檢查。

 11.讓無線網路卡有固定的IP位址
 另一個可以考量的方向是讓每一張無線網路卡都有一個固定的IP
 位址,換句話說,就是把DHCP配發IP位址的功能給取消。當然,
 這和上面鎖定無線網路卡的MAC位址一樣會增加管理上的負荷,但
 是卻可以避免讓外來的無線網路卡隨便取的IP位址。此外,還有
 一點需注意的是,如果您的無線網路存取設備本身的功能不差,
 既可以當成是Router也可以當成是NAT伺服器,此時,建議您將一
 些預設值也一起加以修改,比如原來的NAT虛擬網路段可能是
 192.168.1.0/24 ,那麼,您可以考慮將其換成192.168.100.0/24,
 或是其他的虛擬網路段,以避免別人在知道廠商的預設網路段時,
 隨便找個IP位址試試就可以立刻使用。

 12.無線網路設備選購的考量
 我們已經知道WEP並不安全,尤其64-bit(40-bit 加密金鑰)的
 WEP比較起128-bit更在是不堪一擊,因此,選購無線網路設備時,
 記得避免購買只支援64-bit WEP的無線網路設備。如果您已經買
 了只有64-bit WEP的無線網路設備,那麼試者找找看有沒有新的
 驅動程式(有些卡只需要更新驅動程式即可以使用128-bit WEP)。
 另外,記得盡可能購買可以更新韌體的設備,有韌體的更新,才
 能確保您的設備可以繼續跟上標準。現今還有許多和安全相關的
 標準正在發展之中,如果您的韌體無法更新,相對地也就宣告了
 以後沒有辦法升級的命運了。

 13.非標準的功能強化
  有些廠商也意識到802.11b所定義的安全機制沒有辦法做到很好的
 保護,而在自己的產品裡提出一些非標準化的功能強化。比如說
 ORiNOCO這個晶片組的設計廠商Agere System,就提出一個強化
 SSID保護功能的方式,並在這系列的無線網路設備裡進行實作。
 ORiNOCO的這個方式稱為『Closed Network』,它讓Access Point
 不要主動廣播SSID,因此,像是NetStumbler之類的軟體就無法得
 知Access Point的SSID,也因為它不會廣播SSID,所以無線網卡
 上面就必須靠使用者以手動風式將正確的SSID輸入,然後才能和
 Access Point建立連線。

  且不論您是否已經擁有或正在尋找無線網路的解決方案,像是這
 類廠商特殊的功能,也可以列為您考慮的因素之內。當然,前提
 是您必須注意會不會有和其他設備產生不相容的情形發生。

 結語

 由於成本的不斷降低和技術的日益普及化,有愈來喻多的廠商相
 繼投入生產無線網路的設備的行列,因此,無線網路的普遍化應用
 相信是指日可待的!使用者如果計畫要選購無線網路的產品,建議
 不妨多加比較。目前,市面的無線網路設備功能愈見新穎,部份內
 建了NAT,有些則整合成一個小HUB,甚至還有些是可以外接印表機
 當成分享器來使用的。本文的主要用意在於,不論您選擇了哪些無
 線網路設備,都希望您能在享受科技發展所帶來的便利之餘,也要
 留意其伴隨而來的相關安全問題。


[ 此文章被藍色天空在2005-03-01 08:05重新編輯 ]



獻花 x0 回到頂端 [樓 主] From:台灣台灣索尼 | Posted:2005-02-27 13:03 |
gogowe2002
數位造型
個人文章 個人相簿 個人日記 個人地圖
小人物
級別: 小人物 該用戶目前不上站
推文 x0 鮮花 x3
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片

感謝您的分享....不知無線網路您研究到什麼地步了
以上所講的數項功能您都可以破解嗎.......thanks


獻花 x0 回到頂端 [1 樓] From:台灣中華電信 | Posted:2005-03-18 23:17 |

首頁  發表文章 發表投票 回覆文章
Powered by PHPWind v1.3.6
Copyright © 2003-04 PHPWind
Processed in 0.067088 second(s),query:16 Gzip disabled
本站由 瀛睿律師事務所 擔任常年法律顧問 | 免責聲明 | 本網站已依台灣網站內容分級規定處理 | 連絡我們 | 訪客留言