無線網路安全白皮書(三)

■無線網路安全白皮書(三)

--------------------------------------------------------------------------------

增進無線網路安全的方法

　　很幸運的，除了在那些如山高又讓人困惑的管理文件以外，對於無線網路的管理者而
言的確有一些技巧可以有效的增進網路的安全性。即便有許多問題是出自於整體協定設計
的疏忽、是先天體質的問題，但是「有燒香、有保佑」－有這麼多不設防的無線網路基地
台可以利用，那些以掃描為樂的駭客們願意花時間心血來專門搞破壞的可能性會大大的降
低；如果您真的覺得在您網路中的資料重要到你不願意冒任何一絲的暴露風險，那麼您一
開始就不應該考慮使用無線網路。無論如何，任何網路設備都有一定的風險，只要能保持
『防禦縱深』的原則，就能夠合理地降低風險並與企業目標達到平衡。
以下我們針對各種可能的技術方案進行探討：

◎修改預設的設定

您可以想像得到機器出廠以後有多少的預設值需要更動嗎？這些預設值往往是入侵者可以
運用的資訊，而且這些嘗試通常都是您的網路陷入入侵者手中的第一個警訊以及防禦的第
一道防線。

‧預設的密碼
　不論是無線網路基地台或者是其他的電腦設備，出廠時都預設了管理所需的密碼－有些
　廠商使用空字串作為密碼，有些使用簡單的字串如"admin"、"administrator" 等等；這
　些密碼都可以在說明書中找到，並適用於同廠牌所有的設備。其他廠商的做法則是將密
　碼設成與設備流水號相同，不論如何，為了認證使用者的權限，這些設備必須設定密碼
　以確定使用者權限。
　然而使用者在使用這些網路設備時往往沒有修改內定的密碼，使得有心人士很容易的可
　以取得這些設備的管理權限。我們建議您應該更改設備的管理密碼，使用至少八碼的密
　碼並且夾雜特殊符號，避免使用英文姓名或是出生年月日，才能有效保護設備的安全性
　。
　大部分的系統都至少有 telnet 管理介面、Web 管理介面以及廠商專屬管理軟體等等不
　同的管理方式，請注意這些介面的密碼通用情形並且重設管理密碼。

‧預設的 SNMP 社群碼
　絕大部分的網路設備都支援 SNMP (Simple Network Management Protocol) 網路管理協
　定，這個協定允許管理軟體遠端擷取網路設備的資料並且加以分析，甚至可提供管理軟
　體更動網路設備的設定值。
　在 SNMP 網路管理協定中透過 SNMP 社群碼 (SNMP Community String) 來識別使用者權
　限，通常廠商出廠預設值為 "public" 與 "private" ，擁有不同的管理權限。
　如果您的網路設備支援 SNMP 網路管理協定的話(請參考網路設備的手冊)請您修改預設
　的 SNMP 社群碼，如果可能的話設定存取列表 (Access Control List) 限定可存取SNMP
　資訊的 IP 位址。
　最省事的方式是：如果你不確定是否需要這項功能的話，關掉它，同時並確定設備上沒
　有其他在非標準通訊埠上執行的 SNMP 管理介面。

‧預設的 SSID
　通常在無線網路基地台出廠時為了方便使用者使用，都採取開放式系統認證的方式為預
　設組態，使用者只要將網卡插上就可以馬上找到基地台並且建立連線。此外，各家廠商
　的預設 SSID 諸如 Cisco 的 "tsunami"、D-Link 的 "Default" 等等視廠商的喜好而有
　所不同。
　如果您的無線網路不提供給非特定的大眾使用的話，建議將認證方式修改為不廣播 SSID
　的封閉系統認證方式 (Closed-system Authentication)；為了避免他人的誤用，例如有
　人家中用同型的無線網路基地台預設值而不小心使用到您的網路，建議同時修改預設的
　SSID。

‧預設的通訊頻道　
　預設的通訊頻道對於網路安全的威脅並不大，但是它可能導致您與您的鄰居的無線網路
　基地台彼此爭奪通訊頻道，而造成服務阻絕的狀態 (DOS, Denial of Service)。
　造成這個狀況的原因是由於無線通訊設備有其分配的頻帶，這些頻帶在 802.11b 網路裡
　面被切為幾個通訊頻道，如果發生頻道衝突的情形會造成衝突的這些網路基地台發生通
　訊異常。但是，同一廠牌的出廠預設值往往相同，所以我們必須將通訊頻道調開以避免
　通訊頻道衝突的狀況發生。

◎修改網路設計

‧DHCP 伺服器的使用
　DHCP (Dynamic Host Configuration Protocol)是一項非常方便的服務，只要網路服務
　提供者提供這項服務，網路的使用者便可以讓自己的電腦自動的取得 IP 位址、子網路
　遮罩、預設閘道器、網路名稱伺服器以及其他的一些額外資訊。換一個角度來說，未授
　權的使用者也不需要對您的網路組態下太多的功夫，只要如法炮製也可以自動的連線到
　您的無線網路上。
　如果您的無線網路規模不大，可以考慮用靜態的 IP 配置來進行管理；如此可避免 DHCP
　伺服器洩漏網路設定相關的參數。這種方法會犧牲一些無線網路的方便特性，如無線網
　路漫遊以及 Ad hoc 資源分享等等，並不適用於大型的網路。此外，如果碰到真正有心
　的入侵者使用監聽器 (sniffer) 分析無線網路流量，這項防護便會失效。

‧使用適當的加密技術
　WEP 加密協定有一些先天設計上的問題，這些問題可能導致在無線網路上傳輸的資料洩
　漏；但是選用較長的金鑰的確有助於資料的保密。建議您使用網路設備可以使用的最長
　金鑰，一般可以選擇的選項有：不加密 (Disable WEP)、40-bit WEP以及 104-bit WEP
　三種方式。
　使用 WEP 需要注意：
　1.網路產品的相容性問題
　　有些產品在採用 WEP 相連時會有不相容的狀況產生，造成無法連線。
　2.傳輸速率可能下降
　　由於加解密都需要使用系統的資源，尤其在基地台端要應付所有的用戶端的解密，因
　　此在使用 WEP 時可能遇到傳輸速率下降的問題。
　3.基地台加密功能限制
　　許多系列產品在外觀上與控制軟體上都採用相同的設計，僅僅在無線網路基地台的網
　　路卡上有所不同；因此需要注意基地台最大支援到多少 bit 的 WEP 金鑰長度。
　　此外需要注意的是，將加密金鑰加長雖然有助於資料的保密，但是有些攻擊方式是與
　　金鑰長度無關，建議您若情況許可，最好能定期更改 WEP 金鑰。另外如果廠商有提供
　　非 IEEE 標準的加密功能，最好是測試過相容性與安全性後再使用。

‧網路卡號管理
　大部分的無線網路基地台都可以設定僅僅接受某些卡號的連線，網路卡必須先由管理者
　註冊後方可使用該無線網路基地台。
　使用這種管理方式可以有效阻擋未授權的使用-即使對方知道您的 SSID 以及 WEP 密碼
　，只要卡號沒有出現在名單中就無法使用無線網路。
　這種方式的問題在於，網路卡卡號是可以偽造的！！有心人士可以利用監聽程式監聽無
　線網路的流量，找出可以連線的卡號並利用這些卡號上網。

‧防火牆區隔網段
　許多的無線網路使用者直接將無線網路基地台放置在公司內部網路方便大家使用， 這是
　一個相當危險的組態方式。由於無線網路很難進行使用者的控管授權， 一般建議將透過
　無線網路連上的主機均視為不信任的主機。無線網路的管理應該比照其他遠端連接網路
　(remote access network) 例如撥接網路，的管理方式來管理。
　因此，建議將無線網路利用防火牆隔離成一個網路區段， 對於由無線網路進入公司內部
　使用資源的行為進行控管，同時應視公司安全政策， 調整無線網路隔離區段可使用的公
　司內外網路資源。

‧802.1x 使用者認證
　IEEE 802.1x於 2001 年七月獲 IEEE 核可，是目前無線網路上最理想的身分認證與密鑰
　管理協定。透過802.1x 能將無法通過認證的使用者隔絕於網路之外，使其無法利用任何
　網路資源。目前生產的無線網路基地台已有越來越多支援802.1x。但在使用者方面，除
　Windows XP支援802.1x外，其餘作業系統目前均無提供，需要外掛程式支援。
　
　在 802.1x 架構下有幾個主要的角色：
　- Authenticator：
　　要求並且接受未受信任端網路節點的認證請求的實體。
　- Supplicant：
　　請求網路存取權，並且需接受 Authenticator 的認證稽核。
　- Port Access Entity(PAE)：
　　具有存取埠的一個實體，具有 Authenticator, Supplicant 或兩者的功能。
　- Authentication Server：
　　對 Authenticator 提供身分認證服務的實體，可能與 Authenticator 存在同一主機
　　內，但大多數的狀況下是一台獨立的伺服器。

‧VPN 的使用
　由於 802.11 網路的使用者身份辨識及授權有許多的風險存在，一般均建議將其隔離於
　防火牆的特殊網段內；此外為了補強 WEP 的弱點以及加強使用者認證功能，於是將VPN
　與 802.11 網路整合成為一個實務上相當可行且有效的解決方案。
　在這種架構上所有的無線網路工作站(STA)需要先行與 VPN 閘道器進行身分確認，並且
　建立一個加密的連線。VPN 的身分認證方式較 802.11 網路更加的完善與多樣化，例如
　支援動態密碼及其他生物辨識技術，足以有效識別使用者身份；而 VPN 內建的加解密功
　能相較於 WEP 更加的具有彈性，可以抽換不同的加解密模組。


相關管理措施

除了技術管理以外，對於無線網路相關的管理措施也可有效提升組織內部網路之安全性，
相關管理措施分述如下。

◎制定無線網路安全政策

‧授權無線網路使用
　組織或機關必須制定無線網路使用之授權標準，包括可使用無線網路人員授權方法以及
　無線網路實體使用範圍，例如僅能於會議室中使用無線網路、僅有取得相關主管授權者
　可使用無線網路等。
　此外由於無線網路容易遭受竊聽破解，因此必須針對無線網路上傳輸之資料機密等級進
　行規範，嚴格執行。

‧確認無線網路活動範圍
　組織或機關必須針對內部資訊財產進行標記，限制無線網路可存取之資訊資產內容及範
　圍，以免遭受入侵造成損失。

‧確認無線網路相關安全操作標準
　對於無線網路安全所必須遵守之安全控制明定管理條文，並列出使用無線網路之各種狀
　況所需符合之安全標準，例如加密機制的使用、安全控管方式等等。

‧確認無線網路管理權責
　組織或機關必須確認無線網路設置、設定及管理之管理權責，並依照管理規定，定期稽
　核清查。

◎無線網路設備清查

‧無線網路基地台清查
　無線網路基地台清查目的在於防止公司內部網路私設未經核准之無線網路基地台，確認
　各基地台皆依照公司安全政策正確地組態，以預防未經授權之人員盜用網路資源。
　本方法可以找出公司內部未經授權裝置的基地台，避免未經授權之存取內部網路資源，
　此外清查基地台可以找出內部偽裝之無線網路，有效避免中間人 (MITM) 攻擊。

‧無線計算設備清查
　無線計算設備機動性極高，通常是個人數位助理 (PDA)、筆記型電腦等等移動式計算設
　備，因此也較容易遺失或者失竊。
　由於失竊的無線計算設備上可能儲存有重要的資訊，例如 WEP 加密金鑰、內部通訊
　SSID 列表等等，而且極可能可以直接使用內部無線網路，因此無線計算設備的遺失可能
　造成極大的安全威脅，因此應定期清查內部之無線計算設備。

◎無線網路安全應變與稽核

‧無線網路安全應變機制
　組織或機關必須明定無線網路安全通報及應變機制，例如無線計算設備失竊或遺失時之
　處理準則、遭受入侵時之通報及處理方式等。

‧無線網路安全稽核
　組織或機關必須定期對內部無線網路安全狀況進行安全稽核，包括弱點掃描以及其他管
　理稽核。

結論

　　企業在導入無線網路前需參考組織之安全政策，評估無線網路所傳輸資料之敏感性以
及資料完整性需求，在安全性、方便性以及成本之間評估取得其平衡點。
　　在使用無線網路時應先修改無線網路基地台之設定，避免使用原廠的預設設定值；並
且參考組織內之資訊系統安全政策調整網路組態設計，視需要導入 802.1x 使用者認證機
制或者 VPN 來加強無線網路安全性。
　　由於無線網路的存取控制機制不甚完善，我們建議在使用無線網路時應先了解無線網
路基地台所提供的種種安全認證機制以及其弱點，並且採取相對應的安全防護措施。本文
針對無線網路的認證措施及安全措施，以及這些措施中存在的弱點進行詳細的介紹，並且
對於網管人員在技術上可行的修正提出可行的解決方案。

參考資料

1. IEEE 802.11-1999 Standard
2. J. Philip Craiger , 802.11, 802.1x, and Wireless Security
　 SANS Reading Room
3. Jorgen Ellingson , Layers One &Two of 802.11 WLAN Security
　 SANS Reading Room
4. Tom Karygiannis, Les Owens,
　 DRAFT: Wireless Network Security 802.11, Bluetooth? and Handheld Devices
　 http://csrc.nist.gov/publications/drafts/draft-sp800-48.pdf
5. Nikita Borisov, Ian Goldberg, David Wagner, "Intercepting Mobile
　 Communications: The Insecurity of 802.11"
　 http://www.isaac.cs.berkeley.edu/isaac/wep-faq.html
6. Jesse Walker, "Unsafe at any key size: An Analysis on WEP Encapsulation"
　 http://grouper.ieee.org/groups/802/11/Documents/DocumentHolder/0-362.zip
7. "Your Wireless Network has No Clothes",
　 http://www.cs.umd.edu/~waa/wireless.pdf
8. Arunesh Mishra and William Arbaugh,
　 "An Initial Security Analysis of the IEEE 802.1X Standard",
　 http://www.cs.umd.edu/~waa/1x.pdf
9. Tim Newsham's web page about WEP problems:
　 http://www.lava.net/~newsham/wlan/
10.Adam Stubblefield, John Ioannidis, and Aviel Rubin,
　 "Using the Fluhrer, Mantin, and Shamir Attack to Break WEP",
　 http://www.cs.rice.edu/~astubble/wep_attack.pdf
11.David Hulton, "Practical Exploitation of RC4 Weaknesses in WEP Environments",
　 http://www.dachb0den.com/projects/bsd-airtools.html
12.Wireless Sniffers List:
　 http://www.personaltelco.net/index.cgi/WirelessSniffers
13.IEEE 802.1X http://standards.ieee.org/getieee802/download/802.1X-2001.pdf
14.Enterprise Deployment of IEEE 802.11 Using Windows XP and Windows 2000
　 nternet Authentication Service,
　 http://www.microsoft.com/windowsxp/pro/techinfo/deployment/wireless/default.asp
15.HOWTO on EAP/TLS authentication between FreeRADIUS and XSupplicant,
　 http://www.missl.cs.umd.edu/wireless/eaptls/?tag=missl3
16.HOWTO: EAP-TLS Setup for FreeRADIUS and Windows XP Supplicant,
　 http://www.denobula.com/EAPTLS.pdf
17.Unofficial 802.11 Security Page, http://www.drizzle.com/~aboba/IEEE/
18.Wireless LAN 802.11b Security FAQ, http://www.iss.net/wireless/WLAN_FAQ.php