CNET編輯部 2004/04/13
|  |
| |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
你的無線網路夠安全嗎?
企業應用專區:記者鍾翠玲、李欣茹報導
如果安全不是第一考量,無線區域網路(WLAN)恐將成為企業資訊安全防線的致命傷。因為Wi-Fi (Wireless Fidelity)-這個IEEE 802.11無線傳輸規格所用的加密技術存在著先天缺陷,入侵者可從無形的網路接縫中直接滲透無線網路,且難以追查行蹤。
尤其在WLAN已普遍成為企業傳統有線網路的補充與延伸之時,惡意份子可輕易的在空氣中,甚至在企業的實體建築之外偵測無線訊號,進而攔截。不論是長驅直入核心網路竊取資訊,或者是散播病毒與後門程式,都不必如入侵有線網路般困難,還必須先找到一個可以入侵的實體埠。
老科技的新問題
無線科技不是IT界的新玩意。從20多年前的AX.25發展至今日的IEEE 802系列,包括802.11 a/b/g、802.15、802.16,一直到新近擬定的802.20(多被外界稱為4G),技術規格不斷推陳出新。其中,802.11標準為WLAN 的基礎,在802.11中每一個字母代號都有學問,分別表示不同等級的速度、距離與安全性。
Foundstone亞太區總監陳彥銘指出,802.11經由無線電頻道與通訊協定建立虛擬網路線,由於該系列標準的通訊協定進行管理封包 (management frame) 與資料加密 (WEP) 設計時,考慮不周而出現瑕疵,容許攻擊者進行所謂的「中間人攻擊」(Man-In-The-Middle)、阻斷式服務式攻擊(Denial of Service),以及破解加密封包等動作,因而埋下安全炸彈。
包括企業內部網路、機密資料與公眾存取無線網路等安全性都可能因此而蕩然無存。陳彥銘指出,很多企業 (尤以中、小企業為多) 或是個人於部署無線網路時並未經過審慎考量,導致無線網路直通企業內部網路,而原本花大錢架設的防火牆形同虛設。
此外,隨著無線科技與設備逐日普及,越來越多的無線網路呼喚著不謹慎的行動工作者。網路上也不乏流傳著某些程式可偽裝成熱點(Hot spot)的無線AP,欺騙使用者輸入帳號密碼後加以盜用。當成千上萬的使用者利用各種手持設備漫遊在地球表面之上,存取著公共場合中的無線網路,包括機 場、咖啡館、飯店與小酒館,同一時刻,邪惡份子也可能潛伏在無線網域中似機而動。
無線環境危機四伏
同樣地,國內也甚少企業嚴密把關WLAN。HP服務事業群顧問暨系統整合事業群資訊科技部經理劉志賢指出一個很諷刺的現象:一般人,包括企業主多以為WLAN尚未普及,於是相繼架一套起來「玩玩看」,卻少有人特別注意隱藏的安全危機。
實際上,無線電波的高度穿透力,可任意在天花板、空氣與牆壁中傳遞。劉志賢舉例,在位於台北市信義路五段的HP大樓中,只要打開電腦逐一搜尋,就能發現隔壁棟大樓台灣高鐵的無線網路。間隔數道牆與馬路的兩棟大樓尚且如此,更遑論位於同一棟大樓仳鄰而居的商業公司。
在此情況下,管理一稍有不慎,原本很方便的無線網路可能引發極度嚴重的後果。例如,外人可以有意或無心登入公司網路;若企業內有不肖員工,只要利用二張無線網卡,一張連入公司網路,一張連至外部,就能神不知鬼不覺的偷渡公司機密。
當無線科技應用擴散至各行各業時,損害層面更加擴大。如醫療業,現下積極推動利用無線傳輸的電子病歷與電子巡房系統,一但WLAN出現安全漏洞,病人隱私可能失去保障。
潛在的安全漏洞
網際網路已成為無線與實體網路的最大集合,只要工作者在開放的系統中操作,同時存取對內、對外的網路,就難以避免安全風險。不論是在行動工作者所持設備、 無線存取橋接器(AP;Access Point),或者是無線網路、有線網路等區塊,都潛藏著安全的弱點(如下圖所示),可能的入侵方式包括:
- 在行動工作者連結至AP的過程中,入侵者只要從網路下載截聽軟體,即可攔截合法使用者帳號、密碼、WEP(Wired Equivalent Privacy)金鑰,進而以合法的身份存取企業核心網路。
- 與上述情況相同,在外的員工如果一時不察大有可能誤上賊船--連上邪惡份子假冒公司合法AP所架設的伺服器(安裝有AP軟體的電腦),並經由該電腦連回公司網路,使用者所輸出的資訊有可能遭到竊取。
- 如果員工在個人電腦之上私接無線AP,等同歡迎駭客進門,就算公司已架設無線網路的閘道器也可安全繞過。
- 內建迅馳(Centrio)的筆記型電腦已成為主流,只要啟動無線網卡的點對點傳輸(ad hoc)功能,不用透過無線AP,員工與員工電腦也可彼此傳送訊息,不只機密可能會在空氣中遭到攔截,入侵者甚能連上開啟Ad hoc功能的電腦,再順道進入企業網路。
- 當某一使用者的電腦出現安全漏洞而被植入後門程式,駭客只要打開其電腦中的點對點傳輸功能,就能如意偷取私人帳號或密碼;或者任意散播病毒與惡意程式於企業網路之中。
無線傳輸科技確實可以解除實體網路線的牽絆,實現7X24小時的連線環境與高度便利性,也可提升企業生產與應變能力,WLAN還是沒有大量進入企業的作業 (production)環境,一方面是還在部署,另一方面是對WLAN的安全疑慮。如國內,無線網路多數應用在公共區域,包括觀光區、機場或餐飲連鎖通 路等場合。某些對資訊控管嚴格的組織,如軍方,甚至明令嚴禁架設無線AP。
安全缺陷減緩企業導入無線網路的速度,但無線進入辦公室或其他領域是遲早的事,及早將無線網路納入公司安全管理政策有其絕對必要。「企業內部管理不當,往 往是給駭客的最好入口,」精誠公司產品經理陳家煌指出,無線網路的設定十分簡易,只要公司有員工在PC上私自架設AP,或是員工之間進行Ad-hoc傳 輸,公司內就算是有無線網路的環境。
如果IT人員不知情,而員工私裝的AP沒有被納入管理,反而更容易導致公司的資訊系統門戶洞開。「對無線網路保持漠視態度、不引入,不代表企業可以高枕無憂,反而可能讓企業陷於更大危險,」他說。
強化認證、加密與入侵偵測
在更安全的無線規格釋出之前,想要達到百分百的隱密與安全性,幾乎不可能。目前業界普遍認為,確保資料安全的最佳方式仍是打造企業專屬的虛擬網路 (VPN),避免機密資料在網路傳輸的過程中遭遇攔截。VPN本身已是加密過的網路,就算惡意份子攔截管道上的封包,還是無法破解隱藏其中的資訊。不過, 拉出一條VPN的造價不斐,還需要額外的管理人力與資源,這也成為企業止步不前的障礙。
未來,企業勢必面臨有線網路、無線網路、VPN等各種網路系統雜陳的情況下,屆時如何進行單一身分認證、加密與入侵偵測等工作,將是重要課題。賽門鐵克北 亞區技術總監王岳忠建議,若要確保外人不會借道無線進入公司核心網域之中,最好的方式是:將無線網路視為外部網路,與公司網路分開,就算是公司員工也要在 認證後,才能從無線進入公司網路。
緊緊跟上IEEE擬定新一代無線傳輸規格的腳步,隨時更新安全協定之外,導入第三方公司的軟、硬體產品將可主動出擊偵測無線網路有無異常傳輸狀況,也是降 低安全風險的良方。目前已有不少產品可架設在核心網路與無線網路之間,包括具有頻寬管理、負載平衡能力的「Bluesocket」、類似「入侵偵測」功能 的電波掃描器「Air Defense」,以及賽門鐵克、諾基亞(Nokia)、Checkpoint等廠商的防火牆軟體與VPN。
「各種無線防禦當然是能做則做,但是企業應該了解到無線網路的本質是脆弱的,」劉志賢指出。相較於實體網路,除非有嚴密監控,否則企業根本不知道有誰,或 是哪一台機器已連上實體網路,尤其是那些設有多台AP的大型企業。他認為,最好的方法還是以回歸「確保公司資訊資產」的本質上,確保核心網路不受侵害為終 極目標。
擬定無線安全管理政策
陳彥銘建議,部署無線網路之前,企業首要釐清自身需求與無線技術標準區隔,同時評估WLAN可能產生的安全風險,且盡量從不同角度導入多層防禦 (Defense in Layers)系統以保護企業最重要的資產。至於無線網路本身,企業可利用防火牆軟體或其他方式與原本安全的內部網路區隔開。當知道WEP不安全,就應該 選擇LEAP、WAP或是未來的802.11i標準,同時架構端對端的防線保護無線網路與使用者。
與架設實體網路態度一致,企業應妥善擬定無線安全管理政策,陳彥銘強調,管理人員可自無線網路的生命週期下手,確保需求分析、設計、執行、驗證與運作維護等每一階段都維持高度安全,如此才有機會擁有一個便利與安全兼具的無線網路。
無線世界的標準革命
企業應用專區:李欣茹綜合報導
802.11是無線區域網路(WLAN)的主要運作標準。在802.11中每一個數字與字母代號都有不同學問,分別代表不同的連線速度、覆蓋距離與安全性。
由 於無線規格還不斷的改變中,再加上802.11原先使用的安全標準-WEP(Wired Equivalent Privacy)設計考慮不周而瑕疵百出,包括Wi-Fi聯盟等組織與資訊廠商於是又著手擬定下一代的新標準,導致Wi-Fi規格與日俱增,變成十多種無 線技術的集合代名詞。
影響所及,不只讓企業主頓生安全恐懼而延緩導入時程,一般消費者也容易迷失在一個個的數字與英文字母代號所構成的字彙迷宮中。
設計出現瑕疵
無線上網的確有股擋不住的魅力,吸引歐美各國相繼投入,近年來無不積極部署熱點(Hot spot),每年以上千個數量成長,然而,無線科技的本身還是受到嚴重挫折。
早在1999年初期,美國加州柏克萊大學研究小組已發現IEEE 802.11第一代安全技術-WEP存在嚴重的安全漏洞,本質鬆散的結構對於惡意入侵的駭客而言,「等於是不設防線」。
WEP是一種加密技術,可為傳輸中的資料加密,也是使用者身份的認證防線。目前市面多數硬體設備與無線AP都使用此標準。不幸的是,WEP是利用靜態、非 交換式的金鑰進行加密,密碼長度只有40位元(少數產品使用64、128位元),利用無線電波傳遞的資料容易遭到攔截,更容易破解。
此外,WEP設計中的初始向量值(IV;Initialization Vector)檢查法,欄位長度只有24位元,任何單一連線五小時以上的無線網路,就必須重複使用同一數值。換句話說,在一個繁忙的無線網路上,速度達 11Mbps,並不斷傳送著1,500位元的封包,在5個小時之內就會露出破綻,而資料量只有24GB,想要在幾小時內,紀錄所有封包,並利用筆記型電腦 計算出結果,是絕對可行的事情。
雪上加霜的是:網路上已有不少專門破解WEP加密的駭客程式流通,據說只要15分鐘就可成功。
安全協定「內亂」
|
WPA也是IEEE發表下一代無線規格802.11i之前的過渡方案,也是該標準內的一小部分。WPA率先使用802.11i中的加密技術-TKIP (Temporal Key Integrity Protocol),這項技術標榜可大幅解決802.11原先使用WEP所隱藏的安全問題。但根據市場消息,植基於802.11i的產品最快也要一年之後 才可上市。
這段期間內,不少科技廠商也涉入無線安全標準的擬定,雖然已有過渡期的協議-801.1x,但是每家廠商實現該協議的作法不同,讓無線安全市場只有一個亂字可以形容。
其中,思科(Cisco)與微軟雙雙力推PEAP(Protracted Extensible Authentication Protocol )標準,然而,微軟版的PEAP並不相容於思科版的PEAP,在微軟XP作業系統中,使用的是名為「EAP-TLS」的安全協定,而思科也不放棄投資自己 專屬的LEAP-輕量級(Lightweight)的EAP。
因為廠商的同台不同調,導致所謂的「解決方案」,還沒真的解決無線安全問題,反而造成更多的市場混淆與複雜性。
跟上標準翻新腳步
除非重新修正802.11這個無線科技的安全技術規格,解決加密與認證問題,一併消除市場上雜陳的「標準」,否則WLAN技術高度的複雜性,以及極低的網路安全保障,將成為無線應用起飛的最大障礙。
IEEE 現正積極開發新一代的無線規格-802.11i,致力於徹底解決無線網路的安全問題,草案中包含加密技術 AES(Advanced Encryption Standard)與TKIP,以及認證協議IEEE802.1x。
如果企業打算在未來的某一天部屬WLAN,請有心理準備:你一定無法避免不去改變已設定的安全步驟,因為在未來一、兩年之內,顯然地,無線世界的標準革命不會嘎然而止。
可預期的,IEEE與Wi-Fi聯盟仍會持續發展新一代的安全標準與無線規格。如果部署無線網路對於商業競爭影響甚大,而非得將無線納入企業環境不可,那麼IT部門可千萬跟緊上述國際組織開發安全標準的腳步,保持在最新的安全標準與狀態,才有助於強化WLAN的安全性。
至於要選擇哪一個無線技術?企業可依照自己的需求導入。專家建議,如果企業已有無線網路,原先已採用802.11b,下一階段的網路擴充或升級可選擇 802.11g,因為其可與802.11b相容,且傳輸速度高出五倍(802.11g可達54Mbps)。如果決定部署一個嶄新的無線網路,可考慮選擇使 用5.8GHz頻譜的802.11a,速度與802.11g相同,但是不會與微波爐、藍芽或是無線電話互相干擾,缺點是覆蓋範圍小。
Meta Group分析師指出,2004年企業若要打造高度安全與擴充性的WLAN將十分困難,由於標準雜陳互不相容,企業可能會被鎖定在同一個供應商的解決方案,或者依靠第三方軟硬體解決方案修補天生具有缺陷的無線網路。
無線安全 人人有責
企業應用專區:記者洪仁偉、李欣茹報導
隨著內建無線網卡的筆記型電腦成為市場主流規格,在公共場合、辦公室或家中架設無線橋接器(Access Point)延伸有線網路,進而打造無線上網環境的作法十分風行。然而,無線網路不受建築與線路侷限,只要惡意分子可以偵測到無線訊號,就有入侵網路的機 會,隱含的安全威脅遠高於實體網路。
一般消費者若想享受無線的便利性,又沒有為網路安全把關,輕則門戶大開讓隔壁鄰居隨意分享網路頻寬資源,重則招惹駭客入侵網路竊取重要資料,如果又進一步禍及企業核心網路,後果不堪設想。
若能告知並要求終端使用者(可能也是企業員工)啟動簡易的加密與控管功能,建立第一層的安全防線,至少可以避免一些常見的入侵技倆。以下是幾項基本的建議:
 | |
|
SSID(Service Set IDentifier)類似於無線AP的身份驗證代號,包括筆記型電腦等終端產品連接無線網路時,都必須先搜尋AP,而所找尋到的名稱也就是SSID。
由於AP出廠時依照各家設定不同,而有各自的設定名稱,例如,Default。因此,不論是一般消費者在家中架設AP,或是辦公室中的部署,第一件事情就是修改AP出廠時所預設的SSID名稱與密碼,以避免和其他的AP混淆。
與名稱相同,大多數AP都已預設SSID為廣播模式,換句話說,任何人只要啟動無線網卡,都可以自動搜尋到此無線基地台的IP位址。建議一般使用者將廣播模式關閉,減少曝光,也比較不易成為攻擊者的目標。
目前主流的無線標準還是802.11b,大多數的筆記型電腦(如,迅馳)所配備的無線網卡也支援該標準。 802.11b以無線網卡的MAC Address(MAC媒體存取控制位址)作為存取的過濾機制,因為每一張無線網卡都有獨一無二的MAC Address。換句話說,使用者可啟動AP的存取控制表(Access Control)功能,設定某些已認可的MAC Address,以作為判斷依據-允許或拒絕哪些無線網卡可以連接至你的AP。
一定要小心的是,如果忘記關閉AP的SSID廣播功能,持續對外透露IP位址,就算已啟用存取控制功能也是無用,因為駭客可竊聽你的無線網路,再伺機攔截合法的 MAC Address,進而竄改自己的無線網卡假冒該組號碼,同樣可取合法的存取資格。
基本上,設定MAC Address名單只對於避免隔壁鄰居不小心連上你的無線網路是有效的,若有惡意份子想要入侵破壞,這項單純的列表比對功能還是無法抵擋。
在AP中另有一個ESSID功能,可拒絕非法無線網卡的連接。所謂ESSID就是服務區域的識別字串,也是一組認證ID。當同一個無線區域網路有數個 AP,而某張無線網卡經由某AP企圖接入你的無線網路時,AP會自動檢查是否與自己的ID相符,如果不符合就拒絕存取。該功能適用於數個AP所構成的無線 網路,避免群組區分不當與任意漫遊後遺症。
WEP(Wired Equivalent Privacy)與WPA(Wi-Fi Protected Access)皆是由IEEE、Wi-Fi聯盟共同發展的無線網路加密技術。 WEP的運作原理在於利用AP與終端產品設定相同的固定數值(40位元,也有64位元、128位元),以確定雙方連線的保密性。此加密設定相當簡單,只要五分鐘即可啟動,而且大部分的AP都已支援。
不過,由於WEP在制定過程中出現設計缺陷,已被證明非常容易招受攻擊。只要自網路下載適當的破解工具,一位熟悉網路的工程師可在數十分鐘或一小時多的時間內破解。
WPA是為了強化WEP的缺陷而生,也是未來新一代無線標準-802.11i中的一項主要安全機制。目前市面已有某些產品直接支援WPA,另也有AP製造商利用下載韌體(firmware)的方式,讓原先支援WEP的AP直接升級至WPA。
WPA同時改善資料加密與身份認證,以提升安全性。WPA使用一種名為TKIP(Temporal Key Integrity Protocol)的技術解決WEP的安全瑕疵,包含訊息完整檢查(MIC;Message Integrity Check)、初始向量(IV;Extended Initialization Vector)與重新加密模式等。
此外,WPA另加入WEP所沒有的802.1x、EAP(Extensible Authentication Protocol)認證機制。上述功能可讓如RADIUS等認證伺服器,直接向每位連接至網路中的使用者進行身分認證,也可提供互相認證的功能,防止使用 者在重疊的無線網路訊號中,進入其他無線網路。
WPA也有提供一個不用認證,只需鍵入簡單密碼的WPA-PSK加密模式,適合家庭用戶或安全顧慮較輕的使用者。
某些作業系統如Windows XP內建自動啟動搜尋可用的無線網路,的功能。在使用者沒有察覺的情況下,就會自動探測無線訊號,進而連接網路。隨著部署於公共場合的熱點(Hot spot)數量舉日俱增,如果所使用的行動電腦沒有任何安全防護,進入一個公開的無線網路,等於讓電腦門戶洞開,在同一無線網域上的每一位使用者都可一探 究竟你的電腦。
最糟糕的情況是:不小心誤上賊船-連接上駭客利用軟體假冒AP的伺服器,那麼就成了自動送上門的待宰羔羊,電腦內所儲存的重要資料難保平安;倘若使用者也是企業員工,所持有電腦設備或手持裝置又恰巧存有企業的機密…,那災難恐怕就要降臨。
為避免終端使用者受害進而破壞企業內部網路,亦獲洩漏重要機密,一個完善設定的防火牆軟體是具備無線網路存取功能的筆記型電腦不可或缺的工具。無論其中有無攜帶著重要資料,因為經由這些終端設備,可以能將木馬程式、病毒或是其他惡意的軟體從外部移植至企業核心網路中。
若對安全性要求更高,可在AP之外,視有線、無線網路的規劃部署VPN(Virtual Private Network)或防火牆軟體等網路安全產品,或者是選擇某些已整合上述安全功能的無線AP。
對於一般消費者而言,沒有營業額與智慧財產權的困擾,無線網路安全不安全或許並非十分重要,但若能告知終端使用者無線安全的風險,要求採取基本的保護措施,至少可以降低無線網路危及企業核心網路的安全風險。
此外,企業無線網路的安全保護措施也應多管齊下,包括關閉SSID廣播,再利用MAC Address管理存取連線至某台AP的資格,最後在實體網路端的RADIUS伺服器之上執行WPA加密技術,保護資料安全之餘,也可集中進行使用者的認證管理。
前述的幾項工作都是針對無線網路本身的可能漏洞,在企業的實網路環境中,私自架設的AP也存有相當大的安全風險,這部分常被IT部門所忽略。企業應定時利用無線訊號掃描工具,清查無線領空有無非法AP,以確保無線網路安全架構的完整性。
捍衛企業的無線領空
企業應用專區:記者鐘翠玲報導、李欣茹整理
部署WLAN並非難事,但要百分百確保WLAN的安全性就是一項大工程。雖然WLAN實現24x7小時與行動化連線環境的承諾,然而隱藏其後的安全問題,也成為企業心中的隱憂。
在更安全的無線規格問世之前,WLAN的安全工作只能自強化加密與認證程序、多層次部署防禦系統、尋求顧問服務,同時擬定無線安全政策等層面著手。
無線安全要訣一:與實體網路切開
WLAN的安全議題近年才在國內發燒,如何捍衛企業的無線領空是企業主心中共同的疑問。在無線科技修正天生的安全瑕疵之前,若要想要無線的便利性,又要避免成為核心網路的安全隱憂,一般認為,將無線網路與實體網路切開是一個好方法。
賽門鐵克北亞區技術總監王岳忠指出,雖然無線網路還算是公司資訊環境的一環,但為了確保公司不會讓外人(包括訪客或駭客)循無線途徑闖入公司核心網路,無 線網路仍應被視為網際網路(外部網路)的一部分。在切開的情況下,即便是公司員工也應該通過身分認證關卡,才可經由無線網路進入企業網路。
他也建議,企業可在客戶端與後端網路之間部署VPN,以達高度安全。由於VPN本身就是加密過的傳輸通道,不論是商業機密,或是帳號、密碼等重要資訊,就算遭受攔截也難以破解。
另外,在無線網路與企業網路之間架設多層保護也是可行策略。HP服務事業群顧問暨系統整合事業群資訊科技部經理劉志賢建議,企業最好安裝二道防火牆,一道 部署在內部網路與無線網路之間,另一道防火牆架設在存放訂單系統、檔案、資料庫等公司內部網路之前。倘若駭客攻破第一層防線,滲透企業內部網路,還有第二 道防火牆可避免關鍵系統遭受入侵。
要訣二:客戶端安全第一
部署完成之後,先降低客戶端的不安全因素,將對減少WLAN的整體風險大有幫助。企業應教育前端使用者建立簡易的安全房或與使用觀念,關閉不必要且可能造成安全瑕疵的功能。例如,不要貪圖一時方便而開啟端對端(ad hoc)傳輸功能。 此外,為避免使用者個人資料遭竊,甚至禍及企業。前端使用者的電腦可部署第三方軟體以阻絕外來攻擊,包括安裝個人防火牆、防毒軟體(市面已有可防止混合型攻擊的防毒軟體)等工具,最重要的是,應及時修補已知的作業系統或程式漏洞,避免使用者電腦遭植入木馬程式或感染病毒。
要訣三:妥善管理無線AP
部署無線AP的最基本安全工作,第一步就是設定存取控管表,列出合法的MAC Address清單,決定公司內哪些無線網卡可有權存取該AP,此步驟可過濾外來的不合法存取行為。另外,在WLAN之內可能有好幾台AP,IT人員應該 確認每一台AP已更改出廠時預設的SSID名稱,同時已關閉廣播IP位址的功能。
要訣四:啟動加密
專家建議,一定要啟動加密技術。如果目前部署的無線設備還未支援可補強WEP的WPA,還是要使用WEP。雖然WEP本身設計有瑕疵,但仍可避免一些常見 的入侵手法。使用時,應對解密金鑰妥善管理,只讓一定的群組共享解密金鑰。某些較大型公司,如HP,通常會定期更換密碼,而不同部門所使用的WEP也不 同。
要訣五:強化身分認證
使用者身份確認也是拒絕不合法存取行為的重要關卡,可用技術包括RSA動態密碼的令牌、VPN、公開金鑰架構PKI,以及可在AP與內部網路之間發揮功能的無線安全閘道器(Gatway)。
安全閘道器的好處是可以免除多台AP設定的麻煩,供應商包括諮安科技代理的Bluesocket與傳象科技等。以Bluesocket為例,基本上以認證 技術為核心,同時提供以角色為基礎(role-based)的登入管理,可讓企業根據使用者群組、時段等因素進行登入控管。由於已支援802.11a、 802.11b、802.11i、802.11g等各種無線規格,可相容於多種AP,因而具有認證可攜式的功能。
換言之,Bluesocket允許使用者以單一組帳號及密碼漫游在多種AP組成的異質無線環境中,而毋須進入不同AP所覆蓋的無線區域(如不同樓層)就得重覆進行驗證登入程序。
市面另有閘道器進一步整合其他安全產品的功能,如防火牆、VPN、頻寬管理等。如Fortinet,其針對無線網路所推出的Forti WiFi可自動下載安全更新服務,包括病毒及攻擊程式資料庫,標榜可偵測及防禦超過30種不同的入侵行為,如拒絕服務攻擊(DoS)。
要訣六:監聽無線電波
導入監控產品監聽無線網路的效能水準,是判斷有無非法入侵的另一種方式。如802.11b無線規格,正常情況的傳輸速度為11Mbps,若發現每台電腦共用環境下的傳輸效能過低,IT人員可能要小心是不是有駭客正在進行DoS攻擊。
精誠公司所代理的無線安全產品-AirDefense,即是利用蒐集無線連網的電波的技術,讓管理人員監控企業無線領空,掌控網域中哪些是合法與非法的行 動裝置。AirDefense是由一個類似無線AP的感應器(sensor),以及一台伺服器所組成。一台伺服器通常搭配2-3個感應器。其運作原理主要 是利用感應器偵測(大致與AP的覆蓋範圍相當)空氣中的無線電波,掌握電波的來龍去脈揪出非法存取無線網路的AP或者是無線網卡,如筆記型電腦。
這類掃描無線電坡的偵測產品通常也具備主動防衛的功能。一旦發現非法的存取行為,就會發出De-authentication封包,截斷非法存取設備所發 出的無線電波。精誠表示,AirDefense可感應器定位出一張相應於公司網路的電子地圖上,任何員工私接的AP都難逃法眼,該功能預定於五月推出。
要訣七:部署入侵偵測/防護系統
若企業的WLAN不幸讓駭客成功闖入,入侵偵測/防護系統(IDS/IPS)等傳統部署在有線網路的安全產品扮演反制角色。這類產品若發現未經授權的存取 動作,將會主動通知IT人員,或者是直接阻斷連線。目前,包括鈺松國際所代理的ISS系列產品、網路安全廠商如賽門鐵克、NAI等都是同類型產品。
要訣八:導入顧問諮詢服務
不可諱言,至今無線網路上的種種解決方案都無法確保百分之百的安全,如WEP加密,如果組織中某個人不小心洩漏金鑰,WEP還是會遭人破解;倘若使用者端的安全工作出現漏洞,導致合法的使用帳號與密碼遭到竊取,就算認證控管關卡再嚴密也無法阻擋駭客長驅直入。
此時,企業可尋求專業的安全顧問,在部署無線網路的一開始就進行全盤縝密的設計。專家建議,企業可從無線網路的生命週期著手,每一步都審慎評估安全細節,或者導入顧問服務一起走完無線網路部署的全部流程,包括設計、建置、整合、管理、優化等階段。
另外,企業應致力讓前述各個安全對策都可環環相扣,以發揮綜合的最大效益,畢竟多一層防護,就多了一分保障。至於第三方安全產品如何選購與部署,劉志賢建 議,整合性是考量重點之一。如果企業內部多是思科(Cisco)產品,繼續使用該公司的無線AP或閘道器會比較方便,至少可避免規格不相符的狀況,畢竟無 線規格還在推陳出新。
預算也是另一個決定企業安全投資的重要因素,劉志賢補充,假使企業因為一時節省,採購某家擴充能力不足的安全產品,可能兩三年之後,該產品就無法跟隨公司網路的擴充腳步,反而得不償失。
要訣九:執行安全政策
如果企業缺少良好的安全政策,同時確實執行,就算購買再貴的安全產品,聘請顧問詳細規劃多縝密的網路架構也是枉然。 安全政策可以涵括以上所提的安全環境之設定,並應該要求所有員工都要確實執行。安全政策也必須包括:禁止員工私裝AP、強迫登記MAC Address才可連網。對於拜訪公司的人士,需嚴格執行訪客登記,且利用經過註冊的網卡連接無線網路,且確保訪客只能瀏覽特定區域而不至於誤闖企業資訊 重地。
登記MAC Address這類安全政策也可讓其他安全產品發揮最大效益,例如搭配偵測性的掃描產品,若企業確實執行政策,該產品可依照列表辨識於無線網路環境中合法與非法無線網卡與無線AP。
劉志賢指出,就像任何網路一樣,無線網路安全維護也是一個持續的過程。他說,如果企業以為網路部署完畢即可大功告成,恐怕會大錯特錯。因為安全漏洞每天都可能出現,如果不立刻採取行動,那得千萬小心,因為很快的就會有駭客登門造訪你的無線網路。
專家建議:全方位的無線安全政策
企業應用專區:李欣茹綜合整理
無線科技可能給予使用者高度的行動通訊自由,但在企業部署無線網路的過程中,若缺少審慎考量,也無管理政策,WLAN本身的安全瑕疵也可能引發高度的安全風險。最悲慘的結局可能是:重金打造的防火牆形同虛設,導致企業資訊重地門戶洞開,惡意份子不費力氣就可登門造訪。
在WLAN還難以達成百分百隱密與安全性之前,妥善擬定無線安全政策將是唯一可行的最後安全防線。
當有線遇上無線網路,在複雜的網路架構下,企業究竟要如何降低安全風暴發生的或然率?Foundstone亞太區總監陳彥銘建議,基本上可從妥善計畫、多層防禦(Defense in Layers)、定期稽核等- 確保無線安全的三項措施著手。
企業在決定擁抱哪一項無線科技之前,首先應該進行執行需求的評估,確認是否有非打造無線通訊環境不可的必要性。若決定部署,下一個關鍵步驟就是將「安全」融入原有資訊管理政策中。最重要的是,同步擬定一套稽核制度以保證安全政策執行無誤。
另一種稽核作法是「委外」,定期邀請外部顧問進行無線網路的滲透測試,揪出違反政策的無線網路漏洞。
此外,企業應事先衡量風險指數,選擇一個適合企業現況的無線技術,之後再架設多層防禦系統,從不同角度保護最核心的資產。陳彥銘強調,只要在部署科技之 前,先有一套詳盡的計畫,條列出所有可能的安全考量,再一步步妥善的解決,並且定期稽核,還是有助於避免WLAN的安全危機。
他進一步說明,企業可以深入剖析無線網路的生命週期,包括需求分析、設計、驗證與運作與維護等各個階段,從中剔除可能存在的威脅與風險,以提升無線網路的安全性。
他也強調,企業管理安全風險的同時,也應制定無線網路的安全政策,以及可確實執行的方式。在思考如何擬定相關安全政策時,可採用「CIA」概念-也就是機 密性(Confidentiality)、完整性(Integrity)、可用性(Availability)為標準條件設定執行策略。
如架設網路之後,誰有資格存取?如何認證與身分控管?如何杜絕外人入侵等角度切入,並思考如何確保無線網路在傳輸過程中的資料完整性,不會中斷或遭受攔 截。假設有朝一日安全警報響起,企業如何因應?在無線網路無法運作的情況下,企業內的其他系統與網路如何進行備援等,均是享受WLAN的無線自由之前不能 輕忽的重要關鍵。
陳彥銘目前也是CNET駐站專家,已推出網路安全系列文章。>> 前往名家專欄
--
[垃圾桶] 裡沒有會話群組。 當您有 2000 MB 以上的儲存空間時,誰還需要刪除郵件?!
沒有留言:
張貼留言