因为有鉴于无线网路之有无被窃听的之虞...所以小弟特转此帖于大家分享

《网路与通讯》

张贴者: Banana

浅谈无线网路之技术、应用与安全管理规划

 洪绍雄*******************************************************************
 前言

 无线网路的出现，颠覆了传统网路一定要跟着一条线的旧有观念，
 带给使用者更大的使用自由度，方便使用者可以随时带着电脑在会
 议中四处跑，而不用去担心电脑后面跟着那条尾巴（线路）会不会
 被你扯断了。无线网路的出现，同时也带给传统网路布线上的另一
 个选择，像是以往没有办法或是不容易布线的地方，现在都可以用
 无线网路透过无线电波的穿透特性，轻易地就达到网路连接的目的。
 但是无线网路也并不是万能的，就如同其他新科技一样，虽然无线
 网路将旧问题解决了，但却也带来了其他新的问题，而这其中有一
 个最重要的问题，便是有关网路的安全问题。

 无线网路的发展历史

 自从『无线电之父』义大利的马可尼在十九世纪末发现无线电以
 来，无线电对我们的影响，可能是他当初所没有办法想得到的。初
 期的无线电主要是用来取代传统的有线电报业务（这和现在的无线
 网路有异曲同工之妙，也是为了取代掉有线网路的那条网路线），
 而后来无线电台、电视等的讯号，更是让无线电的应用带给了人们
 更多的方便。虽说像是电视等无线电的应用到今日都已经发展成熟，
 但是无线网路却并不如想像这般容易。

 二次世界大战时期，美军则将无线电加上编码技术加密后使用在
 军事通讯上面。像这样的加密通讯，对于四面环敌或是有敌军阻碍
 的情形下，可以安全地传递作战计画；另一种情形则是可提供陆上
 的美军与海上战舰进行通讯，而不必担心无线电遭拦劫窃听之泄密
 问题。

 谈起无线『网路』（或是说无线网路的雏形），则应该算是由夏
 威夷大学所开发。在1971年时，夏威夷大学在无线电上面采用『封
 包式』技术，在不需要电话公司的电缆线之情形下，将四个夏威夷
 岛屿连接起来。此一无线电网路被命名为ALOHNET，采用双向的星
 状网路拓朴，整个网路上面共有七台电脑连接，而主电脑则是放置
 在欧胡岛上。

 但是随着网际网路的发展，无线网路的并没有太大的进展，一直
 到最近几年来，IEEE订定了相关的标准以后，各家厂商才有了一个
 主要的依循标准。无线网路只是一个通称，事实上，在无线领域里
 有许多无线网路的工业标准存在，其中最重要的两个应该属HomeRF
 和Wi-Fi（也就是IEEE 802.11）这两大派系。其中，802.11获得比
 较多的厂商支援，而HomeRF阵营则显然是居比较弱势的一方，尤其
 最近支援HomeRF阵营的Intel也倒戈到802.11这边来。

 这两个标准其实都各具有他们的优缺点，当初，Intel之所以会
 选择向HomeRF靠近，其主要的原因是看好资讯家电产品的未来发展。
 同时，HomeRF所需要的硬体成本相对地也比较低。另一个主要阵营
 802.11一开始即定位在提供企业使用层面，也同时兼顾到家庭使用
 与在公共空间的使用，但是因为802.11在刚发展时的硬体成本太高，
 以至于使用人口较少。然而这些问题都随着硬体技术的愈趋纯熟化
 后，有关价格上的问题都已获得改善，所以，现在市场上也已经可
 以买到便宜的802.11无线网路卡了。当然，不可讳言地，此种『西
 瓜偎大边』的效应也同样反应在现在的无线网路市场上，因此，您
 现在已经很少听到有厂商还在发展HomeRF的无线设备。

 802.11之所以可以后来居上之姿超越HomeRF的另一个重要原因，
 应该要归功于WECA（Wireless Ethernet Compatibility Alliance）
 这个组织。也许可以说，近年来无线网路的快速成长都该归功于WECA
 组织，此乃因WECA提供相容802.11设备的认证，确保各厂商所生产
 的无线网路设备在使用上不会有不相容的现象。且由于WECA发展出
 无线网路设备互联的相容标准WI-FI（Wireless Fidlity），而各无
 线设备厂要使用『WI-FI』这个标签前，必须先通过WECA组织的这些
 相容测试，因此，一台通过WI-FI认证的Access Point，便可以确保
 和其他不同厂牌但也通过WI-FI认证的无线网路卡进行互联。相对地，
 无线网路设备厂也期待接受这些相容性的测试，因为他们并不希望
 其在产品出货之后，使用者拆箱使用后却发现有不相容而必须退货
 的情形发生。

 无线网路技术

 IEEE在1997年提出802.11标准，定义使用2.4GHz频带，提供到2Mbps
 的速度。但很快地在1999年又新增了两个标准，分别是目前已经相
 当普遍的802.11b以及另一个802.11a。802.11b使用2.4GHz的频带，
 最高传输率达11Mbps；802.11a使用5.8GHz，最高传输率可以到
 达54Mbps。然而，由于802.11a的设备费用偏高，因此，造成现今市
 场上以802.11b的接受度较高，产品得发展也较为成熟。另外，802.11a
 因使用较高的频带，因此应用在长距离的传送上，其效果也比较好，
 对于远程的无线架设上比较有利；相反地，802.11b则是比较广泛被
 应用在区域性质（开放空间、办公室或会议场地）的场合之上。

 802.11a和802.11b都使用ISM（Industrial，Scientific and Medical
 －工业、科学与医疗应用）频带。ISM频带包括有902-928MHz、2.4-2.4835
 GHz、以及5.725-5.850 GHz共三段。在使用这些频带时，并不需要
 特别申请，是任何人都可以使用的。

 无线网路的应用

 在不同的应用情况下，无线网路可以有效协助将有线网路在无法
 布线时的网路延伸，也可以在临时举办会议或活动之时，不需要再
 特别拉网路线，就可以让会场拥有可以使用的网路环境。当然，无
 线网路的作用也并不全然是拿来取代有线网路的，但是很明显的，
 无线网路是笔记型电脑使用者的另一大福音，因为无线网路可以让
 我们在移动的情形下，还能够方便地继续使用网路。也许您不妨想
 想看，当初行动电话刚出现的时候，也一样颠覆了电话就必须是固
 定在一个地方的观念，它让每个人都可以人手一机边走边讲，且走
 到哪里讲到哪里，完全不受时空的限制。于是，现在您可以在饭店
 大厅使用网路，您也可以在火车上使用网路，也就是说，类似像这
 些以往找不到插头来插网路线之问题，在有了无线网路设备之后，
 都将迎刃而解。

 目前在国外，无线宽频上网已经是十分普及了，例如，许多国际
 机场、饭店旅馆、咖啡连锁店等，都已经提供了类似的服务。甚至
 最近连全球最大的咖啡连锁店『星巴客StarBuck』有已宣布正式引
 进Compaq的无线网路设备，将在全球的星巴客连锁店中架设无线网
 路环境，提供给到店内的消费顾客无线上网服务。反观国内，目前
 已有蕃薯藤在推广无线上网服务。蕃薯藤与IS Coffee、长荣酒店
 合作，由蕃薯藤提供设备和网路频宽等，商家只需要出借场地，并
 提供无线网路卡的出借服务，而使用者则可以使用自己的笔记型电
 脑或PDA，插入自备或向商家暂借的无线网路卡后，即可悠游于网
 路世界中，收送E-mail信件、连线游戏、检查个人投资理财最新讯
 息等。这比起以前商店所提供的56K拨接服务速度则将足足快上两
 百倍有余。

 无线网路的安全管理

 虽然有新的作业系统出现以及各组织对IEEE 802.11发展的协助，
 但是并没有办法完全解决建置一个无线网路环境时会发生的问题。
 如同文章开头所陈述的，旧的问题解决了，但是新的技术却也带来
 新的问题。举个例子来说，无线网路上的安全问题，就是一个值的
 我们去正视与关切的问题。

 设想，可能会有多少网路的管理员愿意让一个完全陌生的人带着
 他的笔记型电脑走进公司里，坐下来找个最近的网路插头连接上公
 司的区域网路？很显然地，这个比率应是不会太高，这是因为我们
 对于陌生的人都会特别注意其行止或意图。同样的情形发生在无线
 网路上，却也是完全不容忽视的。由于无线网路并不需要实体的线
 路，因此，无线网路的安全考量更是我们所必须特别关注的。

 近年来，由于硬体的技术的演进与生产技术的提升，使得无线网
 路的架设成本降低了许多。在最近的市场上，使用者已经可以找到
 近四、五十家厂商提供无线网路的相关产品。一张笔记型电脑使用
 的无线网路卡，售价大概三千五百元，而一台无线存取点（Access
 Point）也只要七、八千元不等的价格。除了产品的价格日趋降低之
 外，无线网路的架设也不再是一件困难的事，甚至可以用『简单』
 两个字来形容。如果使用者想要在自己家里架设无线网路，那么，
 所要做的仅仅是将AP选个放置的好位置即可，然后将原来区域网路
 上的网路线接到AP上便算完成；而如果是在公司里架设无线网路，
 则需再多留意一些网路使用的安全性问题。

 IEEE 802.11b的标准里包括一项加密技术，称为WEP（Wired
 Equivalent Privacy）。依据无线设备厂商对于所属不同的无线设
 备产品规格，WEP的加密程度大略可分为40-bit长度的加密金钥与
 24-bit长度的初始向量（简称64-bit WEP加密）以及104-bit长度
 的加密金钥与24-bit长度的初始向量（简称128-bit WEP加密）这
 两种。过去几个月以来，已经有许许多多的研究显示，WEP锁定的
 加密方式并不够安全，像是Scott Fluhrer、Istak Mantin、Adi
 Shamir三人所提出的『Weakness in th eKey Scheduling Algorithm
 of RC4』，在这篇研究报告中便提出了一个方法，可以截听无线电
 波，从中找出WEP用来加密的金钥，并进而可以假造任一无线网路
 的封包。

 在上一篇研究报告发表不久之后，有一个名为『AirSnort』的程
 式出现在网际网路上（http://airsnort.sourceforge.net）。
 AiroSnort是利用上篇报告中所提到的方式进行实做，其执行平台
 是Linux 2.4的核心程式，并且在一旁被动地截听其他无线网路设
 备所发射出来的无线电波。一般人谓子弹不长眼，子弹还是以直线
 方向行进，但是无线电波则是无方向性的，所以更容易被截听。依
 据AirSnort网站所发表的讯息显示，AirSnort在接收了100MB到1GB
 的网路流量后，可以在几秒钟之内就找出WEP用来加密的金钥。由于
 目前无线网路设备厂商在使用WEP的方式上都还是使用静态的加密
 金钥（也就是说一把钥匙用万万年），因此，要累积到这样多的网
 路流量并不是一件困难的事。

 即便WEP在理论上已经被证明使用静态的加密金钥无法提供足够的
 安全保证，但是最大的问题还不在于此，而是大部分的无线设备厂
 商在Access Point上并没有将WEP预设打开使用。这就有如将您家的
 大门关起来但是却不上锁一样，也就是每一个有心的人都可以顺手
 把门打开进入到您的家中逛一逛。在此，也许有人要问，那总是要
 去动动门把才知道有没有上锁啊！如同我们之前提过的，无线电波
 是没有方向性的，因此，有心者并不需要家家户户去转动人家的门
 把，而是只要将他的天线架设起来，等着收人家发出来的电波，就
 可以清础地知道谁家大门有没有加锁了（有没有使用WEP来加密无
 线网路资料流）。

 另一个跟无线网路有关的程式是NetStumbler
 （http://www.netstumbler.com），不过目前的NetStumbler只适用
 在Lucent Orinoco晶片组的无线网路卡上（Cisco、Intel、3Com等
 晶片组，目前NetStumbler都没有支援）。NetStumbler不但可以侦
 测802.11b的无线电讯号，并且可以找出Access Point的MAC位址、
 无线网路的名称、SSID、制造厂商、目前所使用的频道、有没有使
 用WEP加密技术、信号强度、乃至噪讯比，以及其他一些参数等等。
 除此之外，如果使用者有接上可以输出标准NMEA（National Marine
 Electronics Association）讯号的GPS设备时，NetSumbler也会同
 时将所在地的经纬度一并记录下来。更甚者，NetStumbler还可以即
 时显示与Access Point之间的信号强度。

 大部分的人都以为802.11b的无线电讯号只能存在于一个极短的
 有效范围之内，比方说50公尺左右。事实上，无线电波可以传播的
 更远些，只是传得愈远，其讯号强度则愈弱。而大部分电脑所使用
 的无线网路卡天线对于这样微小的无线电波已经无法侦测到了。然
 而，如果我们将无线网路卡的天线换成是高增益的天线时，比如说
 一个14dB的yagi天线，那么，无线网路卡便可以侦测到从遥远地方
 发射出来的无线电波了。像在这种情形下，如果没有事先做好一些
 规划和防范的措施，那你的网路的安全可能就要大打问号了。

 而为了避免像上述这样的情形发生，以下几点建议提供您作为规
 划无线网路时之参考：

 1.使用WEP加密协定
 　虽然我门已经知道WEP加密协定并不安全，但是它可算是安全的第
 一道防线。同时，它是在802.11b里定义好的，因此，所有通过WI-FI
 认证的802.11b设备都不需要另外增加或安装新的软硬体，就可以
 使用WEP（40-bit加密金钥的版本），只是超过半数以上的厂商对
 于WEP加密协定在出厂的预设值上是不启动的，因此使用者要特别
 注意自己的设备是否有将WEP加密协定打开。在实地调查里，超过
 一半的无线网路都没有使用WEP加密协定进行无线网路卡与存取站
 之间的资料传递加密，这就好像把你家大门打开开一样，邀请所有
 的人到你家走走逛逛。虽然WEP并不安全，但是有门总比没有门要
 来得好，检查你的WEP加密有没有设定好是你应该要去注意第一件
 事。

 2.更换无线设备出厂之预设SSID
　也许您会对此感到惊讶，然而世界上就是会有像这样教人无法置
 信的事情发生。此即，有太多的厂商安装人员或网路的管理人员
 对于所安装上去的无线网路设备仅是一知半解，抱持着『反正东
 西可以用就好了』旧有观念，对于无线网路架设的规划，事前也
 没有做好。如果连SSID这种基本的设定也没有去更改，那么可能
 Access Point或是Wireless Router的密码也是预设的，其严重性
 便可想而知。另外，也不要将您的SSID取个太简单易猜测的名字，
 像是您公司的名称、部门名称、或是产品名称，这些都不是好名
 字，很容易被有心的人猜到，也不要使用一些地理位置来取SSID，
 像是街道名称或是建筑物名称，这些也不是好主意。

 4.关掉『SSID广播功能』
 　在无线网路里，无线网路卡必须要和无线存取站使用相同的SSID
 才能互相沟通。但是如果您将Access Point的SSID广播功能启动，
 此时，存取站不管无线网路卡的SSID为何，都会允许它使用这台
 存取站。因此，切记关掉您的SSID广播功能。

 5.变更存取站的预设密码
 就算您已变更AccessPoint的SSID名称，但是像NetStumbler还是
 可以依据存取站的MAC位址，而找出设备的制造厂商。因此，如果
 您没有变更设备的预设密码，有心者仍是可以依据厂商的预设密
 码而得以进入您的无线区域网路中恣意而为。

 6.注意无线区域网路的涵盖范围
 　如果您的无线区域网路只想部署在大楼内部，就要特别留意会不
 会有无线电波逸漏到大楼外面，而使得别人有机可趁。一般说来，
 如果只部署在建筑物内部时，通常会采用由建筑物内部（或中心）
 向外面做辐射状的方式来架设无线存取站（或桥接器），尤其需
 要注意部署在窗户或墙边的存取站，更要特别注意逸漏出去的无
 线电波强度是否强到足以让建筑物外面的人来使用。

 7.注意有没有异常的无线网路设备出现
 　身为一个无线网路的管理者，您必须特别留心无线区域网路上的
 一些异常现象。尤其必须在隔一段时间之后，就做一次『site
 survey』。像NetStumbler是一个很好用的工具，它可以找出有哪
 些人偷偷把自己的Access Point加到您的无线区域网路中。由于
 无线网路设备已经是愈来愈便宜了，因此买的人相对地也是愈来
 愈多。不只是无线网路卡，内部其他人或其他单位也有可能去购
 买他们自己的无线网路存取设备，用来延伸或强化他们无线网路
 涵盖范围，或是扩增他们的无线网路频宽。但是这样却会增加管
 理者相当大的困扰，同时对于安全向的考量上也是一大挑战，因
 此经常检查是否有异常设备出现在您的无线区域网路里便变得特
 别重要。

 8.检查逸漏的无线电波强度
 　经常性地，您可能需要找台装有无线网路卡的笔记型电脑到您的
 建筑物四周围走动一下，同时要记得先帮您的无线网路卡外加强
 一点的天线。尤其要注意的地方包括建筑物附近停车地点，或是
 隐密的地方，逐一检查这些地方是否可以接收到逸漏出来的无线
 电波以及强度。当然，或许这些逸漏的电波强度已经衰减到无法
 让一般无线网路卡使用，但是配上一支好一点的天线，还是有可
 能以1Mbps速度连上你的无线网路，别小看这小小的1Mbps，它已
 经足够让骇客玩上好一阵子了。

 9.用MAC位址来控制也是不错的方式
 　如果管理政策许可，那么，利用锁定MAC位址的方式来管理那些无
 线网路卡当然是一个万无一失的方式。现在有很多新的无线网路
 存取设备都支援使用MAC位址来锁定可以使用的无线网路卡，有些
 是在存取站上设定可以使用的无线网路卡的卡号（MAC位址），有
 些则是在RADIUS伺服器上面设定哪些MAC位址的网路卡可以连上网
 路。唯这种方式有两点必须要注意：第一，是无线网路卡的MAC位
 址是可以假造的，所以您不能只靠这一层保护；第二，是如何更
 新MAC位址的问题。也就是当您的无线网路卡要新增的时候（或是
 暂时允许外来的卡加入你的无线网路里面的时候），您要如何来
 更新这些存取站的MAC位址列表。这些问题都是必须要先考虑清楚
 的，否则，您可能每天都会面临到只为了要加这些资料而被到处
 追着跑的窘境。

 10.使用RADIUS做进一步的使用者管理
 　虽说RADIUS认证并没有包含在802.11b的标准里，不过有许多厂商
 都有在无线设备上面设计使用RADIUS进行存取验证。一些功能较
 强的Access Point可以设定成使用RADIUS伺服器来进行使用者的
 验证，让无线网路卡在接上无线网路之前，必须先透过Access
 Point完成RADIUS上的使用者帐号密码验证。如果无法通过，那么
 就表示无法连上无线网路。一般而言，使用RADIUS认证的方式都
 是以帐号和密码的方式来进行，不过某一些Access Point还可以
 配合RADIUS进行无线网路卡的MAC位址检查。

 11.让无线网路卡有固定的IP位址
 另一个可以考量的方向是让每一张无线网路卡都有一个固定的IP
 位址，换句话说，就是把DHCP配发IP位址的功能给取消。当然，
 这和上面锁定无线网路卡的MAC位址一样会增加管理上的负荷，但
 是却可以避免让外来的无线网路卡随便取的IP位址。此外，还有
 一点需注意的是，如果您的无线网路存取设备本身的功能不差，
 既可以当成是Router也可以当成是NAT伺服器，此时，建议您将一
 些预设值也一起加以修改，比如原来的NAT虚拟网路段可能是
 192.168.1.0/24 ，那么，您可以考虑将其换成192.168.100.0/24，
 或是其他的虚拟网路段，以避免别人在知道厂商的预设网路段时，
 随便找个IP位址试试就可以立刻使用。

 12.无线网路设备选购的考量
 我们已经知道WEP并不安全，尤其64-bit（40-bit 加密金钥）的
 WEP比较起128-bit更在是不堪一击，因此，选购无线网路设备时，
 记得避免购买只支援64-bit WEP的无线网路设备。如果您已经买
 了只有64-bit WEP的无线网路设备，那么试者找找看有没有新的
 驱动程式（有些卡只需要更新驱动程式即可以使用128-bit WEP）。
 另外，记得尽可能购买可以更新韧体的设备，有韧体的更新，才
 能确保您的设备可以继续跟上标准。现今还有许多和安全相关的
 标准正在发展之中，如果您的韧体无法更新，相对地也就宣告了
 以后没有办法升级的命运了。

 13.非标准的功能强化
 　有些厂商也意识到802.11b所定义的安全机制没有办法做到很好的
 保护，而在自己的产品里提出一些非标准化的功能强化。比如说
 ORiNOCO这个晶片组的设计厂商Agere System，就提出一个强化
 SSID保护功能的方式，并在这系列的无线网路设备里进行实作。
 ORiNOCO的这个方式称为『Closed Network』，它让Access Point
 不要主动广播SSID，因此，像是NetStumbler之类的软体就无法得
 知Access Point的SSID，也因为它不会广播SSID，所以无线网卡
 上面就必须靠使用者以手动风式将正确的SSID输入，然后才能和
 Access Point建立连线。

 　且不论您是否已经拥有或正在寻找无线网路的解决方案，像是这
 类厂商特殊的功能，也可以列为您考虑的因素之内。当然，前提
 是您必须注意会不会有和其他设备产生不相容的情形发生。

 结语

 由于成本的不断降低和技术的日益普及化，有愈来喻多的厂商相
 继投入生产无线网路的设备的行列，因此，无线网路的普遍化应用
 相信是指日可待的！使用者如果计画要选购无线网路的产品，建议
 不妨多加比较。目前，市面的无线网路设备功能愈见新颖，部份内
 建了NAT，有些则整合成一个小HUB，甚至还有些是可以外接印表机
 当成分享器来使用的。本文的主要用意在于，不论您选择了哪些无
 线网路设备，都希望您能在享受科技发展所带来的便利之余，也要
 留意其伴随而来的相关安全问题。

感谢您的分享....不知无线网路您研究到什么地步了
以上所讲的数项功能您都可以破解吗.......thanks