資訊安全─入門手冊 第 18 章 無線網路安全
第 18 章 無線網路安全 組織使用無線網路的情況越來越普及,主要是因為價格低廉和容易設定。 某些組織在比較更換建物線路的費用之後,轉向採用無線網路以節省更新線路工程的成本。 雖然無線網路可以節省可觀的費用,但是也為組織帶來更為嚴重的安全問題。 目前已經公佈許多可以用來處理竊聽和身份認證的安全機制標準,但是許多建置這些標準的商品,同樣也存在著許多嚴重的安全弱點。
迄今,尚未出現真正完全解決無線網路風險的安全解決方案提案。 本章將要深入探討組織內部網路附掛無線網路得安全風險,以及認證組織管理這些風險的對策。 本章的內容如下: 18-1 認識目前的無線網路技術 18-2 認識無線網路的安全問題 18-3 架設安全無虞的無線網路
18-1 認識目前的無線網路技術 無線區域網路(local area network,LAN)是以802.1x(a、b、g等等)標準做為技術的發展中心。 這些標準允許工作站和無線存取點之間,使用高達54Mbps的傳輸速度建立連線,接著再和有線LAN或其他工作站連線(詳見圖18-1)。 無線區域網路標準最主要是做為身份認證資訊的交換和資訊加密。
本節的內容如下: 18-1-1 標準架構 18-1-2 傳輸安全 18-1-3 身份認證
圖18-1 典型的無線網路架構
18-1-1 標準架構 為了讓組織更有效地使用無線區域網路(wireless LAN,WLAN),無線信號的涵蓋範圍必須完整地涵蓋員工或訪客放置電腦的區域。 室內:典型的802.11x WLAN有效涵蓋範圍大約是150英尺。 室外:涵蓋範圍大約可達1500英尺。 在這裡所說的距離,只是一個約略的數字。實際的距離是依據使用的設備、建料和實際障礙而定。
這些數字也就表示 - 存取點(access point,AP)必須放在現有的涵蓋範圍內。 在無線網路的架構中,一般都會含有提供IP位址的DHCP伺服器,以及其他讓工作站適當地透過網路通訊所需的資訊。 這些資訊允許可攜式電腦隨意漫遊且無須特別留意,也照樣可以在WLAN進行溝通。 DHCP伺服器不止能夠提供WLAN所需的IP位址,也可以提供組織內部系統所需的IP位址。且在預設的條件下,WLAN也是使用現有的DHCP伺服器。
在身份認證方面,則是採用和其他網路工作站相同的方式(通常是Widnows網域或Novell NDS登入)。
18-1-2 傳輸安全 由於WLAN是以無線電做為傳送和接收資訊的媒體(因此只要位在信號範圍內即可接收信號),因此傳輸安全對整個系統的安全非常重要。 在工作站和AP之間,如果沒有適當地保護資訊的機密性和完整性,也會產生資訊是否遭到侵害、入侵者是否已經取代工作站或AP等疑慮。 802.11x標準在透過WLAN傳送資訊方面,定義用來保護資訊的有線設備隱私(Wired Equipment Privacy,WEP)協定。
WEP三種基本的服務如下: 身份認證 機密性 完整性
身份認證 工作站可以使用WEP的身份認證服務,對AP證明用自己的身份。 在使用開放式身份認證系統的過程中,工作站是以MAC位址做為AP初始交換的身份認證回應。 在現實環境中,這種方式並不足以做為AP對工作站的身份認證。 WEP也同樣可以使用密碼身份認證機制。 共享秘密是這類機制主要的依據,例如AP使用RC4演算法認證工作站,或是使用交互換認證的盤查/回應系統(詳見圖18-2)。
雖然AP和工作站完成了身份認證流程,但是AP並未將身份認證回送給工作站,所以這種AP身份認證方式會讓工作站處於更加險惡的環境中。 在整體交換的過程中,可能會遭到中間人或攔截攻擊。
圖18-2 WEP交換身份認證
WEP的另一種問題 - 初始向量的選用,嚴重地影響到資訊如何加密的問題。 一旦入侵者擷取了初始向量,就有可能可以擷取用來判斷加密金鑰的大量封包。 目前已經有了這種工具程式(詳見WEPCrack,網址是http://sourceforge.net/projects/wepcrack/)。
機密性 RC4是機密性採用的機制。 RC4是一種非常知名、牢靠的演算法,因而不太容易遭到攻擊。 WEP依據RC4的功能性,定義出提供金鑰管理和其他支援服務的系統。 RC4提供將資訊轉換成密文所需的虛擬隨機金鑰串流。 此一機制可以用來保護所有的協定標頭資訊,以及802.11x協定層以上的資料(也就是第2層以上的資料)。
WEP支援40位元和128位元的金鑰(實際的金鑰和演算法的初始向量相結合)。 WEP並未指定金鑰管理機制,也就是說使用靜態金鑰來安裝WEP。 在現實的環境中,網路上所有的工作站通常都是使用相同的金鑰。 某些供應商已經採用了階段性變更WEP金鑰的標準機制。不過,這些都是標準以外的機制。
WEP的另一種問題 - 初始向量的選用,嚴重地影響到資訊如何加密的問題。 一旦入侵者擷取了初始向量,就有可能可以擷取用來判斷加密金鑰的大量封包。 目前已經有了這種工具程式(詳見WEPCrack,網址是http://sourceforge.net/projects/wepcrack/)。
在分析了RC4演算法之後雖然沒有找到弱點,但是WEP建置的RC4之中,卻含有缺陷且容易遭到侵害。
完整性 WEP協定規格包括每一個封包的完整性檢查。 完整性檢查是採用32位元循環冗餘檢查(cyclic redundancy check,CRC)。 在每一個封包加密之前會先使用CRC計算過,接著再將資料和加密過的CRC相加並傳送給目標。 雖然CRC並不是安全密碼(詳見第12章安全雜湊功能),但仍然受到加密的保護。 如果加密系統相當牢靠,或許也不至於造成嚴重的問題。
受限於WEP可能導致封包完整性遭到侵害的缺陷,也可顯現出CRC對於整體系統安全設計的重要性。
18-1-3 身份認證 身份認證是保護WLAN安全性的重要部分。選擇性地開放WLAN使用者,非常適用於管理WLAN本身的風險。 服務辨識器 MAC位址 WEP 802.1X連接埠型的網路存取控制
服務辨識器 服務辨識器(Service Set Identifier,DDID)是一種做為網路名稱的32位元組字串。 工作站和AP都必須擁有相同的SSID才能順利地連結。 如果工作站沒有適當的SSID,也就無法順利地連結網路。 SSID是透過許多AP進行廣播。 任何監聽中的工作站皆可取得SSID,並嘗試和網路連結。 雖然某些AP可以設定成不要廣播SSID。然而,如果這種組態結合了不適當的傳輸安全,利用流量監聽也可以判斷出SSID。
MAC位址 某些AP允許工作站使用MAC位址做為身份認證(不同的供應商會有不同的規格)。 AP認可的MAC位址,是透過管理員將認可的MAC位址加入到設備的清單之中。 工作站必須傳送完整的MAC才能連結網路。
如果入侵者監聽流量並取得已經授權的MAC位址,並使用這些MAC位址設定自己的系統,那麼入侵者也可以和AP進行通訊。
WEP 就像先前曾經提過的,WEP是一種用來提供身份認證的服務。 這種服務只能提供AP認證工作站的身份。它並不提供相互認證的機制,所以工作站也無法證明AP的真實身份。 使用WEP並無法防範中間人攻擊或攔截攻擊(詳見圖18-3)。
802.1X連接埠型的網路存取控制 802.1x協定含有乙太網路和WLAN這兩種存取控制協定。 當WLAN研發人員找尋WEP問題的解決方案時,802.1x協定就成了最佳的解決方案。 這個協定主要是提供一般性的網路存取身份認證機制,且可廣泛地提供下列各種身份認證方式: 認證端(Authenticator): 這是一種用來找尋其他認證實體的網路設備。在WLAN的案例中,可利用AP來擔任這項工作。
需求端(Supplicant): 認證伺服器: 網路存取點: 這是用來找尋存取的實體。在WLAN的案例中,工作站就是扮演這種角色。 認證服務的來源。802.1x允許中控化管理功能,所以也可能是RADIUS伺服器扮演這種角色。 網路存取點: 工作站連結到網路的連接點。在實體環境中,是由交換式集線器或共享式集線器的連接埠扮演這個角色。在無線網路的環境中,是由工作站和AP共同扮演這個角色。
連接埠存取實體(Port access entity,PAE): PAE是一種執行認證協定的流程。認證端和需求端都具有PAE流程。 可延伸認證協定(Extensible Authentication Protocol,EAP): EAP協定(RFC 2284定義)是一種實際用來交換認證的協定。透過EAP也可以使用其他較高階的認證協定。
802.1x提供比802.11x任何選項更為牢靠的認證機制。如果能夠結合RADIUS伺服器,也有可能達成中控化使用者管理的目標。 只有工作站和AP緊密地結合,802.1x才能夠正常地運作。也就是說,在認證發生之前,工作站也許已經連線到無線網路。
802.1x也同樣是屬於一次性認證(開始進行交談時)。 如果攻擊者可以取得合法工作站的MAC位址,攻擊者也就可以攔截交談並扮演著WLAN合法使用者的角色。
圖18-3 針對WEP的中間人攻擊
18-2 認識無線網路的安全問題 以組織普遍架設的WLAN來說,認識這些網路架構的安全風險是非常重要的環節。 18-2 認識無線網路的安全問題 以組織普遍架設的WLAN來說,認識這些網路架構的安全風險是非常重要的環節。 風險的範圍從竊聽到內部攻擊都有,甚至也可能攻擊外部辦事處。 本節的內容如下: 18-2-1 偵測WLAN 18-2-2 竊聽 18-2-3 發起攻擊 18-2-4 可能的法律問題
18-2-1 偵測WLAN 偵測WLAN非常容易,目前也已經出現許多這種類型的工具程式。 NetStumbler(網址:http://www.netstumbler.com/)是一種在Windows系統執行的工具程式,且可使用全球定位系統(Global Positioning System,GPS)接收器測探WLAN。 這個工具程式可以辨識WLAN使用的SSID,甚至也可以辨識WEP。
Kismet(網址:http://www. kismetwireless 具有外部天線的可攜式電腦,也可用來找尋鄰近地區或都會區的無線網路,並認證是否可以存取WLAN。 帶著可攜式電腦繞著建築物轉一圈,也同樣是偵測WLAN的好方法。
或許可能不需要使用外部天線,不過外部天線取可以提高這些工具程式的偵測範圍。
18-2-2 竊聽 或許大多數無線網路最明顯的安全風險,就是入侵者具有取得組織內部網路存取的能力。 建築物停車場的某些車輛,也有可能連接組織的WLAN(詳見圖18-4)。 如果無線網路是架接在組織的內部網路上,也就允許某種距離範圍的電腦實際連接組織內部網路。
圖18-4 竊聽WLAN
使用WEP的組織,也會發生這種竊聽攻擊類型的弱點。 在非常繁忙的網路上,只需要一點點時間即可擷取所需的封包數量,並判斷出加密金鑰。 即使組織在允許存取機密檔案和系統之前,使用可靠的認證機制,入侵者或許只要利用被動式監聽網路的方式,也可能獲取機密資訊。 組織無法察覺被動式竊聽攻擊。
18-2-3 發起攻擊 當竊聽成為嚴重的問題時,也許就會發生更加危險的攻擊行為。 和WLAN結合的主要風險: 入侵者成功地滲透組織的網路安全碉堡。 雖然大多數組織架設安全防護(防火牆、入侵偵測系統等)的碉堡,而且也有難以入侵的堡壘。但是仍然會有無法防範入侵的處所(最脆弱的地方)。 經常修補的內部系統,就是『受到保護』的核心所在。
大多數組織在允許存取檔案和伺服器之前,都會使用某種類型的認證機制。 如果沒有修補系統時,入侵者可能會發現可以善加利用的弱點。 攻擊組織的內部系統,並不是唯一讓組織受到傷害的方式。
即使不是直接攻擊組織的內部,入侵者照樣可以利用連線攻擊其他組織(詳見圖18-5)。因而組織就成了攻擊他人電腦系統的流量來源。 如果可以偵測到入侵者,這個問題就會變成『入侵者從哪裡闖入』?或許可以追查到入侵者的IP位址來源,但是這個IP位址也可能不是的真正源頭。 入侵者可能會在無線網路系統範圍之內的任何地點。
圖18-5 利用WLAN存取並攻擊外部站台
從攻擊內部網路來說,入侵者已經繞過了許多組織的安全機制,而且這些機制都是用來追蹤入侵者行為的安全機制。 先不要假設入侵者只會攻擊弱點。如果入侵者竊聽網路,也有可能擷取使用者的帳號和密碼。
18-2-4 可能的法律問題 如果入侵者獲取組織內部網路的存取權,隨之而來的法律問題變成了組織必須面對的另一種風險。 會發生組織該如何採取保護極機密資訊的流程問題。 如果入侵者利用組織的WLAN成功地攻擊其他組織。WLAN的擁有人是否應該負責所有的損害?
18-3 架設安全無虞的無線網路 在架設WLAN之前,應該要完整地評估每一個項目的風險。 組織應該深入調查可能導入的風險,除此之外也應該認證目前的所有防範措施。 如果組織選擇架設無線網路,也應該要建置可以降低組織風險的安全措施,下列內容都是可以用來協助處理風險的安全措施。
本節的內容如下: 18-3-1 存取點安全 18-3-2 傳輸安全 18-3-3 工作站安全 18-3-4 站台安全
18-3-1 存取點安全 設定安全的AP,是非常重要的起點。 AP應該要允許設定WEP金鑰,而且也應該要確定不容易猜到金鑰。 雖然都無法防範金鑰遭到破解,但是相對的也會提高困難度。 如果可能的話,應該要限制允許工作站連線的MAC位址。 這種作法雖然會增加整個管理專案的工作量,不過卻可以協助限制某些AP的偵測。
盡可能認證AP不會廣播SSID。 目前市場上大多數的AP,都已經提供管理介面。 這些管理介面可能是Web介面或SNMP介面。 如果可能的話,最好使用HTTPS管理AP,並使用牢靠的密碼來防範入侵者。 最後必須思考的項目就是架設AP的地點。 無線網路的信號涵蓋範圍非常廣闊。
這些距離可能會包含建築物的其他樓層、停車場,或是外部的人行步道。 盡可能試著將AP的架設地點,並將涵蓋範圍限制在組織的設施內。 雖然可能無法完全地限制信號的涵蓋範圍,不過也要盡可能地嘗試,且不要讓信號涵蓋範圍擴散到不容易掌控的區域。如果可以防範不能從某些步行區域或人行道上,使用無線網路卡存取組織的WLAN時,那麼 - 放手去做就對了!
18-3-2 傳輸安全 即便是WEP具有嚴重的弱點,但是仍然應該要用。 雖然偶而會發生入侵者事件(例如Internet客戶?樓下的人不會想要進入組織的網路?),也不見得那麼容易存取。 WEP可能會遭到破壞,不過也沒有理由讓入侵者不勞而獲。 假設WEP無法充分地保護機密資訊,還是可以適用於WLAN頂端的其他類型加密系統。 如果將WLAN視為不能完全信任或不信任的網段時,用來保護遠端員工存取內部系統的方式,很明顯的也可以用來保護WLAN。
大多數的VPN都是採用非常牢靠的演算法,且沒有類似WEP的缺陷。 將WLAN放在防火牆或其他存取設備的後方,且同時使用VPN即可解決很多WLAN的問題。
18-3-3 工作站安全 WLAN的工作站很容易遭受到直接的攻擊。 如果入侵者得以存取WLAN,那麼入侵者即可使用sniffer辨識其他工作站。 即便是無法攻擊內部系統或竊聽網路資料流的資訊,也一樣可以攻擊其他WLAN的工作站。 保護WLAN工作站的方式和一般桌上型系統一樣,所以也應該使用適當的防毒軟體。 假如風險仍然很高,WLAN工作站也應該要安裝個人防火牆。
18-3-4 站台安全 如果將WLAN視為不完全信任或不信任網路時,也就沒有任何理由將WLAN架設在內部網路上,也不能允許WLAN工作站存取其他內部工作站可以存取的機密系統。 在16章曾經討論過不完全信任的系統應該架設的網段,所以WLAN也是採用相同的架設方式,只不過WLAN是架設在內部網路特定的網段中。 將WLAN架設在它們自己的網段上,且在WLAN網段和內部網路之間,安裝某種類型的防火牆加以區隔。
在這些WLAN網段中,也應該架設用來偵測未獲授權訪客的入侵偵測系統。 或許完全無法認證入侵者所在的位置,不過至少也該知道入侵者執行了某種攻擊行為。 不論工作站何時想和WLAN連線,都應該使用牢靠的身份認證機制。 802.1x提供比SSID或MAC位址更好的身份認證機制,但是仍然會遭到攔截。
在VPN連線使用更為牢靠的身份認證機制,將可大幅降低入侵者獲取內部系統存取權的風險。 非法或未經授權的AP則是組織必須定位的另一種問題。 任何人都可能以低價的方式購得AP,並安裝在網路上。 組織應該定期在自己的內部網路上,執行無線網路評估。
這些工作都可以利用類似NetStumbler工具程式來達成,或是採用其他掃瞄AP的工具程式。 APTools(網址:http://winfingerprint.sourceforge.net/aptools.php)或FoundScan(http://www.foundstone.com/)也都可以達成相同的效果。
專案實作18:建置WLAN 您的組織決定採用WLAN,來大幅降低建築物配線的成本,且WLAN信號覆蓋範圍包含了餐廳和休息區在內。
專案實作18:步驟 1.開始在紙上研究風險的問題。認證需要員工需要在辦公室的哪些區域內使用這項服務,同時也別忘了將餐廳和休息區包含在內。 2.認證WLAN架構將為組織帶來的風險。組織外的人們也可以收到信號?哪些人是訪客?哪些人是承包商? 3.以認證過的風險為起點,開始思考可以將風險降到可管理等級的對策。不要單純地只有想到技術問題而已,也應該同時思考管理性和操作性的問題。 4.如果您已經擁有AP和無線網路卡,試著建置自己的解決方案。
專案摘要 配置WLAN是一種範圍相當廣泛的專案,而且涉入的人員也應該包含網路、系統管理員甚至是安全幕僚在內。 在表面上,尤其是在比較重新配置CAT5等級線路所需的費用比較之後,許多組織多半都是受到WLAN低廉的建置成本所引誘。 架設相關的安全措施,也一樣會減少因為建置WLAN而節省的費用。 不要忽略操作性和管理性的問題,因為採用這些程序也可以協助降低WLAN的安全問題。