資訊安全─入門手冊 第 18 章 無線網路安全.

Presentation on theme: "資訊安全─入門手冊 第 18 章 無線網路安全."— Presentation transcript:

1 資訊安全─入門手冊 第 18 章 無線網路安全

2 第 18 章 無線網路安全 組織使用無線網路的情況越來越普及，主要是因為價格低廉和容易設定。
某些組織在比較更換建物線路的費用之後，轉向採用無線網路以節省更新線路工程的成本。 雖然無線網路可以節省可觀的費用，但是也為組織帶來更為嚴重的安全問題。 目前已經公佈許多可以用來處理竊聽和身份認證的安全機制標準，但是許多建置這些標準的商品，同樣也存在著許多嚴重的安全弱點。

3 迄今，尚未出現真正完全解決無線網路風險的安全解決方案提案。
本章將要深入探討組織內部網路附掛無線網路得安全風險，以及認證組織管理這些風險的對策。 本章的內容如下： 18-1 認識目前的無線網路技術 18-2 認識無線網路的安全問題 18-3 架設安全無虞的無線網路

4 18-1 認識目前的無線網路技術 無線區域網路（local area network，LAN）是以802.1x（a、b、g等等）標準做為技術的發展中心。 這些標準允許工作站和無線存取點之間，使用高達54Mbps的傳輸速度建立連線，接著再和有線LAN或其他工作站連線（詳見圖18-1）。 無線區域網路標準最主要是做為身份認證資訊的交換和資訊加密。

5 本節的內容如下： 標準架構 傳輸安全 身份認證

6 圖18-1 典型的無線網路架構

7 標準架構 為了讓組織更有效地使用無線區域網路（wireless LAN，WLAN），無線信號的涵蓋範圍必須完整地涵蓋員工或訪客放置電腦的區域。 室內：典型的802.11x WLAN有效涵蓋範圍大約是150英尺。 室外：涵蓋範圍大約可達1500英尺。 在這裡所說的距離，只是一個約略的數字。實際的距離是依據使用的設備、建料和實際障礙而定。

8 這些數字也就表示 － 存取點（access point，AP）必須放在現有的涵蓋範圍內。
在無線網路的架構中，一般都會含有提供IP位址的DHCP伺服器，以及其他讓工作站適當地透過網路通訊所需的資訊。 這些資訊允許可攜式電腦隨意漫遊且無須特別留意，也照樣可以在WLAN進行溝通。 DHCP伺服器不止能夠提供WLAN所需的IP位址，也可以提供組織內部系統所需的IP位址。且在預設的條件下，WLAN也是使用現有的DHCP伺服器。

9 在身份認證方面，則是採用和其他網路工作站相同的方式（通常是Widnows網域或Novell NDS登入）。

10 傳輸安全 由於WLAN是以無線電做為傳送和接收資訊的媒體（因此只要位在信號範圍內即可接收信號），因此傳輸安全對整個系統的安全非常重要。 在工作站和AP之間，如果沒有適當地保護資訊的機密性和完整性，也會產生資訊是否遭到侵害、入侵者是否已經取代工作站或AP等疑慮。 802.11x標準在透過WLAN傳送資訊方面，定義用來保護資訊的有線設備隱私（Wired Equipment Privacy，WEP）協定。

11 WEP三種基本的服務如下： 身份認證 機密性 完整性

12 身份認證 工作站可以使用WEP的身份認證服務，對AP證明用自己的身份。
在使用開放式身份認證系統的過程中，工作站是以MAC位址做為AP初始交換的身份認證回應。 在現實環境中，這種方式並不足以做為AP對工作站的身份認證。 WEP也同樣可以使用密碼身份認證機制。 共享秘密是這類機制主要的依據，例如AP使用RC4演算法認證工作站，或是使用交互換認證的盤查／回應系統（詳見圖18-2）。

13 雖然AP和工作站完成了身份認證流程，但是AP並未將身份認證回送給工作站，所以這種AP身份認證方式會讓工作站處於更加險惡的環境中。
在整體交換的過程中，可能會遭到中間人或攔截攻擊。

14 圖18-2 WEP交換身份認證

15 WEP的另一種問題 － 初始向量的選用，嚴重地影響到資訊如何加密的問題。
一旦入侵者擷取了初始向量，就有可能可以擷取用來判斷加密金鑰的大量封包。 目前已經有了這種工具程式（詳見WEPCrack，網址是

16 機密性 RC4是機密性採用的機制。 RC4是一種非常知名、牢靠的演算法，因而不太容易遭到攻擊。
WEP依據RC4的功能性，定義出提供金鑰管理和其他支援服務的系統。 RC4提供將資訊轉換成密文所需的虛擬隨機金鑰串流。 此一機制可以用來保護所有的協定標頭資訊，以及802.11x協定層以上的資料（也就是第2層以上的資料）。

17 WEP支援40位元和128位元的金鑰（實際的金鑰和演算法的初始向量相結合）。 WEP並未指定金鑰管理機制，也就是說使用靜態金鑰來安裝WEP。
在現實的環境中，網路上所有的工作站通常都是使用相同的金鑰。 某些供應商已經採用了階段性變更WEP金鑰的標準機制。不過，這些都是標準以外的機制。

18 WEP的另一種問題 － 初始向量的選用，嚴重地影響到資訊如何加密的問題。
一旦入侵者擷取了初始向量，就有可能可以擷取用來判斷加密金鑰的大量封包。 目前已經有了這種工具程式（詳見WEPCrack，網址是

19 在分析了RC4演算法之後雖然沒有找到弱點，但是WEP建置的RC4之中，卻含有缺陷且容易遭到侵害。

20 完整性 WEP協定規格包括每一個封包的完整性檢查。
完整性檢查是採用32位元循環冗餘檢查（cyclic redundancy check，CRC）。 在每一個封包加密之前會先使用CRC計算過，接著再將資料和加密過的CRC相加並傳送給目標。 雖然CRC並不是安全密碼（詳見第12章安全雜湊功能），但仍然受到加密的保護。 如果加密系統相當牢靠，或許也不至於造成嚴重的問題。

21 受限於WEP可能導致封包完整性遭到侵害的缺陷，也可顯現出CRC對於整體系統安全設計的重要性。

22 18-1-3 身份認證 身份認證是保護WLAN安全性的重要部分。選擇性地開放WLAN使用者，非常適用於管理WLAN本身的風險。 服務辨識器
MAC位址 WEP 802.1X連接埠型的網路存取控制

23 服務辨識器 服務辨識器（Service Set Identifier，DDID）是一種做為網路名稱的32位元組字串。
工作站和AP都必須擁有相同的SSID才能順利地連結。 如果工作站沒有適當的SSID，也就無法順利地連結網路。 SSID是透過許多AP進行廣播。 任何監聽中的工作站皆可取得SSID，並嘗試和網路連結。 雖然某些AP可以設定成不要廣播SSID。然而，如果這種組態結合了不適當的傳輸安全，利用流量監聽也可以判斷出SSID。

24 MAC位址 某些AP允許工作站使用MAC位址做為身份認證（不同的供應商會有不同的規格）。
AP認可的MAC位址，是透過管理員將認可的MAC位址加入到設備的清單之中。 工作站必須傳送完整的MAC才能連結網路。

25 如果入侵者監聽流量並取得已經授權的MAC位址，並使用這些MAC位址設定自己的系統，那麼入侵者也可以和AP進行通訊。

26 WEP 就像先前曾經提過的，WEP是一種用來提供身份認證的服務。
這種服務只能提供AP認證工作站的身份。它並不提供相互認證的機制，所以工作站也無法證明AP的真實身份。 使用WEP並無法防範中間人攻擊或攔截攻擊（詳見圖18-3）。

27 802.1X連接埠型的網路存取控制 802.1x協定含有乙太網路和WLAN這兩種存取控制協定。
當WLAN研發人員找尋WEP問題的解決方案時，802.1x協定就成了最佳的解決方案。 這個協定主要是提供一般性的網路存取身份認證機制，且可廣泛地提供下列各種身份認證方式： 認證端（Authenticator）： 這是一種用來找尋其他認證實體的網路設備。在WLAN的案例中，可利用AP來擔任這項工作。

28 需求端（Supplicant）： 認證伺服器： 網路存取點： 這是用來找尋存取的實體。在WLAN的案例中，工作站就是扮演這種角色。
認證服務的來源。802.1x允許中控化管理功能，所以也可能是RADIUS伺服器扮演這種角色。 網路存取點： 工作站連結到網路的連接點。在實體環境中，是由交換式集線器或共享式集線器的連接埠扮演這個角色。在無線網路的環境中，是由工作站和AP共同扮演這個角色。

29 連接埠存取實體（Port access entity，PAE）：
PAE是一種執行認證協定的流程。認證端和需求端都具有PAE流程。 可延伸認證協定（Extensible Authentication Protocol，EAP）： EAP協定（RFC 2284定義）是一種實際用來交換認證的協定。透過EAP也可以使用其他較高階的認證協定。

30 802.1x提供比802.11x任何選項更為牢靠的認證機制。如果能夠結合RADIUS伺服器，也有可能達成中控化使用者管理的目標。
只有工作站和AP緊密地結合，802.1x才能夠正常地運作。也就是說，在認證發生之前，工作站也許已經連線到無線網路。

31 802.1x也同樣是屬於一次性認證（開始進行交談時）。
如果攻擊者可以取得合法工作站的MAC位址，攻擊者也就可以攔截交談並扮演著WLAN合法使用者的角色。

32 圖18-3 針對WEP的中間人攻擊

33 18-2 認識無線網路的安全問題 以組織普遍架設的WLAN來說，認識這些網路架構的安全風險是非常重要的環節。
18-2 認識無線網路的安全問題 以組織普遍架設的WLAN來說，認識這些網路架構的安全風險是非常重要的環節。 風險的範圍從竊聽到內部攻擊都有，甚至也可能攻擊外部辦事處。 本節的內容如下： 偵測WLAN 竊聽 發起攻擊 可能的法律問題

34 18-2-1 偵測WLAN 偵測WLAN非常容易，目前也已經出現許多這種類型的工具程式。
NetStumbler（網址： Positioning System，GPS）接收器測探WLAN。 這個工具程式可以辨識WLAN使用的SSID，甚至也可以辨識WEP。

35 Kismet（網址：http://www. kismetwireless
具有外部天線的可攜式電腦，也可用來找尋鄰近地區或都會區的無線網路，並認證是否可以存取WLAN。 帶著可攜式電腦繞著建築物轉一圈，也同樣是偵測WLAN的好方法。

36 或許可能不需要使用外部天線，不過外部天線取可以提高這些工具程式的偵測範圍。

37 18-2-2 竊聽 或許大多數無線網路最明顯的安全風險，就是入侵者具有取得組織內部網路存取的能力。
建築物停車場的某些車輛，也有可能連接組織的WLAN（詳見圖18-4）。 如果無線網路是架接在組織的內部網路上，也就允許某種距離範圍的電腦實際連接組織內部網路。

38 圖18-4 竊聽WLAN

39 使用WEP的組織，也會發生這種竊聽攻擊類型的弱點。
在非常繁忙的網路上，只需要一點點時間即可擷取所需的封包數量，並判斷出加密金鑰。 即使組織在允許存取機密檔案和系統之前，使用可靠的認證機制，入侵者或許只要利用被動式監聽網路的方式，也可能獲取機密資訊。 組織無法察覺被動式竊聽攻擊。

40 18-2-3 發起攻擊 當竊聽成為嚴重的問題時，也許就會發生更加危險的攻擊行為。 和WLAN結合的主要風險：
入侵者成功地滲透組織的網路安全碉堡。 雖然大多數組織架設安全防護（防火牆、入侵偵測系統等）的碉堡，而且也有難以入侵的堡壘。但是仍然會有無法防範入侵的處所（最脆弱的地方）。 經常修補的內部系統，就是『受到保護』的核心所在。

41 大多數組織在允許存取檔案和伺服器之前，都會使用某種類型的認證機制。
如果沒有修補系統時，入侵者可能會發現可以善加利用的弱點。 攻擊組織的內部系統，並不是唯一讓組織受到傷害的方式。

42 即使不是直接攻擊組織的內部，入侵者照樣可以利用連線攻擊其他組織（詳見圖18-5）。因而組織就成了攻擊他人電腦系統的流量來源。
如果可以偵測到入侵者，這個問題就會變成『入侵者從哪裡闖入』？或許可以追查到入侵者的IP位址來源，但是這個IP位址也可能不是的真正源頭。 入侵者可能會在無線網路系統範圍之內的任何地點。

43 圖18-5 利用WLAN存取並攻擊外部站台

44 從攻擊內部網路來說，入侵者已經繞過了許多組織的安全機制，而且這些機制都是用來追蹤入侵者行為的安全機制。
先不要假設入侵者只會攻擊弱點。如果入侵者竊聽網路，也有可能擷取使用者的帳號和密碼。

45 18-2-4 可能的法律問題 如果入侵者獲取組織內部網路的存取權，隨之而來的法律問題變成了組織必須面對的另一種風險。
會發生組織該如何採取保護極機密資訊的流程問題。 如果入侵者利用組織的WLAN成功地攻擊其他組織。WLAN的擁有人是否應該負責所有的損害？

46 18-3 架設安全無虞的無線網路 在架設WLAN之前，應該要完整地評估每一個項目的風險。
組織應該深入調查可能導入的風險，除此之外也應該認證目前的所有防範措施。 如果組織選擇架設無線網路，也應該要建置可以降低組織風險的安全措施，下列內容都是可以用來協助處理風險的安全措施。

47 本節的內容如下： 存取點安全 傳輸安全 工作站安全 站台安全

48 18-3-1 存取點安全 設定安全的AP，是非常重要的起點。 AP應該要允許設定WEP金鑰，而且也應該要確定不容易猜到金鑰。
雖然都無法防範金鑰遭到破解，但是相對的也會提高困難度。 如果可能的話，應該要限制允許工作站連線的MAC位址。 這種作法雖然會增加整個管理專案的工作量，不過卻可以協助限制某些AP的偵測。

49 盡可能認證AP不會廣播SSID。 目前市場上大多數的AP，都已經提供管理介面。 這些管理介面可能是Web介面或SNMP介面。 如果可能的話，最好使用HTTPS管理AP，並使用牢靠的密碼來防範入侵者。 最後必須思考的項目就是架設AP的地點。 無線網路的信號涵蓋範圍非常廣闊。

50 這些距離可能會包含建築物的其他樓層、停車場，或是外部的人行步道。 盡可能試著將AP的架設地點，並將涵蓋範圍限制在組織的設施內。
雖然可能無法完全地限制信號的涵蓋範圍，不過也要盡可能地嘗試，且不要讓信號涵蓋範圍擴散到不容易掌控的區域。如果可以防範不能從某些步行區域或人行道上，使用無線網路卡存取組織的WLAN時，那麼 － 放手去做就對了！

51 18-3-2 傳輸安全 即便是WEP具有嚴重的弱點，但是仍然應該要用。
雖然偶而會發生入侵者事件（例如Internet客戶？樓下的人不會想要進入組織的網路？），也不見得那麼容易存取。 WEP可能會遭到破壞，不過也沒有理由讓入侵者不勞而獲。 假設WEP無法充分地保護機密資訊，還是可以適用於WLAN頂端的其他類型加密系統。 如果將WLAN視為不能完全信任或不信任的網段時，用來保護遠端員工存取內部系統的方式，很明顯的也可以用來保護WLAN。

52 大多數的VPN都是採用非常牢靠的演算法，且沒有類似WEP的缺陷。
將WLAN放在防火牆或其他存取設備的後方，且同時使用VPN即可解決很多WLAN的問題。

53 18-3-3 工作站安全 WLAN的工作站很容易遭受到直接的攻擊。
如果入侵者得以存取WLAN，那麼入侵者即可使用sniffer辨識其他工作站。 即便是無法攻擊內部系統或竊聽網路資料流的資訊，也一樣可以攻擊其他WLAN的工作站。 保護WLAN工作站的方式和一般桌上型系統一樣，所以也應該使用適當的防毒軟體。 假如風險仍然很高，WLAN工作站也應該要安裝個人防火牆。

54 站台安全 如果將WLAN視為不完全信任或不信任網路時，也就沒有任何理由將WLAN架設在內部網路上，也不能允許WLAN工作站存取其他內部工作站可以存取的機密系統。 在16章曾經討論過不完全信任的系統應該架設的網段，所以WLAN也是採用相同的架設方式，只不過WLAN是架設在內部網路特定的網段中。 將WLAN架設在它們自己的網段上，且在WLAN網段和內部網路之間，安裝某種類型的防火牆加以區隔。

55 在這些WLAN網段中，也應該架設用來偵測未獲授權訪客的入侵偵測系統。
或許完全無法認證入侵者所在的位置，不過至少也該知道入侵者執行了某種攻擊行為。 不論工作站何時想和WLAN連線，都應該使用牢靠的身份認證機制。 802.1x提供比SSID或MAC位址更好的身份認證機制，但是仍然會遭到攔截。

56 在VPN連線使用更為牢靠的身份認證機制，將可大幅降低入侵者獲取內部系統存取權的風險。
非法或未經授權的AP則是組織必須定位的另一種問題。 任何人都可能以低價的方式購得AP，並安裝在網路上。 組織應該定期在自己的內部網路上，執行無線網路評估。

57 這些工作都可以利用類似NetStumbler工具程式來達成，或是採用其他掃瞄AP的工具程式。
APTools（網址：

58 專案實作18：建置WLAN 您的組織決定採用WLAN，來大幅降低建築物配線的成本，且WLAN信號覆蓋範圍包含了餐廳和休息區在內。

59 專案實作18：步驟 1.開始在紙上研究風險的問題。認證需要員工需要在辦公室的哪些區域內使用這項服務，同時也別忘了將餐廳和休息區包含在內。
2.認證WLAN架構將為組織帶來的風險。組織外的人們也可以收到信號？哪些人是訪客？哪些人是承包商？ 3.以認證過的風險為起點，開始思考可以將風險降到可管理等級的對策。不要單純地只有想到技術問題而已，也應該同時思考管理性和操作性的問題。 4.如果您已經擁有AP和無線網路卡，試著建置自己的解決方案。

60 專案摘要 配置WLAN是一種範圍相當廣泛的專案，而且涉入的人員也應該包含網路、系統管理員甚至是安全幕僚在內。
在表面上，尤其是在比較重新配置CAT5等級線路所需的費用比較之後，許多組織多半都是受到WLAN低廉的建置成本所引誘。 架設相關的安全措施，也一樣會減少因為建置WLAN而節省的費用。 不要忽略操作性和管理性的問題，因為採用這些程序也可以協助降低WLAN的安全問題。