保护您的无线网路安全
保護您的無線網路安全
近年來網路環境使用趨勢,從傳統的有線乙太網路到無線通訊網路,使得我們擺脫有形
線路連接的束縛,從而實現了行動上網的理想,其主要歸功於不需要佈線,加上無線網路設
備成本在一年內下跌了 50% 以上,而且政府大力推展行動台灣政策,咖啡館、速食業者實
際響應以及網路業者的推波助瀾下,使得許多家庭、辦公室及會議室紛紛採用無線網路作為
另一種連結網際網路解決方案。不過,卻因為無線網路的特性為有心者開了一扇大門,讓
他們可以不受實體限制侵入企業網路窺探及存取資訊,使用者使用無線網路也將陷入同樣的
威脅中。
二、無線網路所面臨的攻擊趨勢
無線網路目前已成為網路族群的新寵,不外乎是可以自由自在不受有「線」的拘束連結
上網。只要架設無線網路存取點(Access Point,以下簡稱AP) 即可隨意地在電波涵蓋的範圍
內上網、進行通訊(Communication)。但由於無線網路仍屬於無線電傳播技術,當然也使得
攻擊者得以無線電波涵蓋的範圍內進行通訊內容的監聽及進行其他攻擊,首當其衝的便是通
訊的保密性、資料完整性及合法使用與否。在此列舉出常見的攻擊趨勢:
1. 竊聽(Eavesdropping):竊聽可能是最簡單、也是最有效的攻擊方式,因為它不會留下任
何線索,而且也不需要與AP 有任何關聯,郤可以針對通訊內容進行監控或網
路監聽,針對
網路通訊流量、內容進行分析,例如密碼分析。
2. 偽裝(Masquerade):攻擊者會欺騙認證系統,非法取得系統資源。最常見的有密碼盜用、
或是透過社交工程以取得密碼之類的敏感資訊。
3. 重播(Replay):攻擊者將網路截取的某些通訊內容再重新發送,最常見的莫過於重新發送
認證資訊以假冒合法的使用者。此類攻擊便是傷害使用者身份驗證系統的功能。
4. 訊息竄改(Message Modification):攻擊者企圖竄改無線網路通訊內容,此類攻擊主要是
傷害資料的完整性。
5. 通訊劫持(Session Hijacking):利用TCP/IP網路通訊弱點搶奪合法使用者的通訊頻道。
6. 阻斷服務(Denial-of-Services):阻斷服務是網路上最常見的攻擊手段之一。因為它會對
遠端系統進行攻擊,藉此達到使系統無法提供服務或是使系統降低服務品質。常見的攻擊
方式有 ICMP Flooding、SYN Flooding 及 Mail Bomb。
7. 綁架攻擊(Man-in-the-Middle):攻擊者使用功率較強的 AP 蓋過原來的 AP 以挾持使用
者,強迫用戶的無線網卡跳至攻擊者的 AP ,而用戶會以為是漫遊至另一個 AP ,並且持續
送出資料,這會造成網路中斷,進而截取到部份傳輸資料。
三、增強無線網路通訊安全防護
在前一節列舉了目前無線網路所面臨的攻擊趨勢,為了保護無線網路免於攻擊入侵的威
脅,提高使用的安全性,達成資訊的保密性(Confidentiality)、完整性(Integrity)、使用
者驗證及授權(Authentication and Authorization),使用者必須了解及採行相關安全防護
機制。在 IEEE 802.1 標準中已制定有關於無線網路的安全機制,而且配合 AP 之安全設定
以保護無線網路使用環境。我們以 Checklist 的方式列出使用者針對 AP 實體之安全及軟
體設定應該注意的相關事項如下:
AP 實體安全:
1. 決定AP 發射功率範圍:管理人員必須仔細斟酌 AP 射頻(RF )信號之涵蓋率,減少不必要
的無線電波暴露以避免有心人士截收通訊封包再進行內容破解。另外,有些 AP 會加裝天
線以改進收訊品質,但是有時天線的使用會讓無線電波發散於環境使用控制之外,因此必
須對於無線電波加以控制,不可外洩超出控制範圍。所以天線使用必須針對使用環境作調
整或者是研擬使用規範,以保障無線網路安全。
2. 決定合適的 AP 設置:組織中架設多部 AP 雖然可以滿足通訊品質,但是在相同的網路環
境中,除了因為電波外溢造成資訊洩漏之虞,同廠牌的 AP 也有相互干擾之問題,其原因
不外乎是廠商在 AP 出廠前設定使用相同通訊頻道(channel)。因此,架設 AP 除了要考
慮網路環境大小決定配置位置外,使用上應避免使用相同之通信頻道以造成無謂的干擾。(這點學校的無線網路使用不同頻道)
3. 尋找非法的架設 AP :利用一些軟體(例如 NetStumbler) 尋找非法架設的 AP ,
以避免資訊
外洩的情形發生,一般來說最好每個月或定期執行一次稽查工作。此外,AP 也許可能架
設在組織外部環境以竊取資訊或者綁架攻擊,因此必須時常巡視是否有閒雜人等在組織附
近鬼祟行動,以免架設功率更強大的 AP 劫持無線網路。
4. 修補潛在弱點:利用檢測軟體找出 AP 潛在的弱點,並且針對弱點加以修補,以杜絕駭客
利用弱點取得權限或者造成阻斷服務攻擊。一般來說,國外大廠,例如 Cisco 這類網路
設備製造商會在其網站上發佈最新的修補程式,並且會在該網路發佈安全通報,藉此告知
使用者該修補設備之漏洞。使用者必須經常瀏覽廠商網站以便隨時取得更新修補程式。
軟體設定:
1. 修改出廠之預設密碼:網路設備大致都有預設密碼,若使用者未曾修改過密碼則該設備將
維持原廠設定值。以 AP 為例,若未曾修改密碼,一般廠商大概會使用簡單的字串如
admin 或 administrator 當作密碼,有些密碼欄甚至設定為空白,如此很容易讓攻擊者
或者駭客取得整部 AP 的最高權限,其嚴重性自不待言,所以修改預設密碼就成為維護安
全之要務。
2. 啟動 WEP 加密機制:啟動 WEP(Wired Equivalent Protocol)加密當作 AP 存取控管的機
制。加密驗証使用分享金鑰(或稱挑戰與回應) 以進行身份認證。雖然 WEP 加密存在演算
法及金鑰管理的弱點,但是提供第一線保衛角色仍不失為一層保護機制。目前 802.11b
普遍支援 128bit WEP,而 802.11g 可支援達 152bit WEP 加密。
3. 紀錄與過濾 MAC 位址:建立 MAC 之存取列表(ACLs)以便記錄使用者無線網路卡的 MAC
位址,過濾使用者限制使用 AP 權限。任何 MAC 位址只要沒有登記在 ACLs 一律拒絕連
線。一般來說 AP 都有這個服務功能。(學校的AP 也設有MAC 過濾機制, 沒經過認證的網卡無法取得連線)
4. 使用 DHCP 伺服器:當 AP 上的 MAC 位址存取列表(ACLs)已記錄所有使用網卡之 MAC 位
址後,接下來 DHCP 伺服器才針對 ACLs 上所有 MAC 位址派送 IP 給無線用戶使用。大
多數 AP 都會內建 DHCP 服務,因此可以直接套用 ACLs 作 IP 指派工作。倘若不使用
DHCP 伺服器,那麼管理人員必須利用靜態 IP 的作法,每一組 IP 位址指定給一組 MAC
位址使用。(學校的AP 是放在內部網路中, 比較不會受到網際網路上的直接攻擊, 而每一台電腦要在學校中使用網路必須先在資訊組申請IP, 才能在DHCP 伺服器上取得IP, 才能在學校中使用網路)
5. 設定 SSID(Service Set Identifier):重新設定 AP 上的 SSID ,設定時請注意 SSID 長
度與複雜度,預設的 SSID 很容易讓攻擊者猜出來,就如同一般人設定密碼的情況,複雜
度增加可減少被破解的機會。因此就 SSID 設定上來說,管理人員設定 SSID 時可以混合
英文字母大小及數字,增加被破解的難度,藉此保障目前您所使用的網路環境。
6. 關閉 SSID 廣播模式:製造 AP 的廠商為了讓使用者方便使用,大多預設採用開放性認證
,所以使用者只要接上無線網卡即可使用,但是此種設定郤連外部使用者乃至攻擊者、駭
客都能輕易擷取到訊號。假如 AP 不提供給非內部人員使用,那麼可將 AP 的 SSID 廣播
模式關閉(封閉系統認證, Closed-system Authentication),保護 AP 的名稱不讓攻擊者
獲知,避免攻擊者利用一些駭客程式或者使用 Windows XP 搜尋鄰近無線網路環境的模式
嘗試入侵。
7. 設定 SNMP 協定:大部份網路設備支援簡易網路管理協定,許多遠端管理軟體都可透過這
組協定抓取設備中的資料(例如log 檔) 並且進行分析,有些甚至可以修改遠端網路設備設
定值,造成 AP 本身設定參數值外洩或者遭到修改,如 WEP 密鑰、MAC 位置列表,將
SNMP 協定關閉可避免這種情形發生。但是,假如目前使用網路環境不允許關閉 SNMP 協
定,那麼唯有從 SNMP 社群碼(SNMP Community String)來識別使用者權並且搭配 MAC 位
址之 ACLs 限定可存取 SNMP 資訊的 IP 位址即可。
8. 防火牆:防火牆為邊界網路防護安全設備,防火牆的功能之一便是過濾組織內部網路與外
部網路的之間的網路通訊,防止外部網路存取內部網路,所以使用防火牆可保護AP 免於部
份外來未經授權的存取。(學校網路中的電腦要連上網際網路都必須透過學校的防火牆才能出去, 以提升安全性)
9. 建置虛擬私有網路(VPN)通道:現在組織中利用 VPN 通道來溝通內、外網路的使用者的風
氣蔚為風行,其盛行之主因為 VPN 可以保護使用者與 AP 之間傳輸資料不
被曝光,這其
中的關鍵之一便是它的加密技術。也就是說 VPN 通道是利用加密(如 Tri-DES) 配合認證
機制來隱藏及偽裝使用者與 AP 之間的傳輸資料。
10. 關於「Ad-Hoc 」與「Infrastructure Mode」:這兩種均為網路通訊模式。所有無線用戶
都可以直接透過 AP 或者無線路由器進入無線網路,此類的通訊模式稱之為基礎架構模式
(Infrastructure Mode)。而無線用戶之間的點對點(Peer-to-Peer)直接通訊就屬於簡易
模式(Ad-Hoc)。建議您關閉簡易模式,以避免駭客藉由合法使用者的電腦作為跳板,以點
對點方式連結到其他地方。
很多的攻擊其實是來自內部網路的電腦, 所以, 維持良好的電腦及網路使用習慣是保護自己也保護別人的重要原則
===================================================
轉載自 台灣網路危機處理暨協調中心
參考資料:
[1]鄭同伯,WLAN 無線網路系統剖析與運用,博碩文化,2003年7月
[2]陳家煌,捍衛無線區域網路安全,2003網路通訊,2003年10月
[3]Eric Maiwald,網路安全入門手冊,麥格爾. 布羅國際出版社,2002年2月
[4]IEEE,http://www.ieee.org/
[5]NetStumbler,http://www.netstumbler.com/
[6]Karen J.Bannan, VPN :企業資料的安全通道,
http://taiwan.cnet.com/enterprise/technology/0,2000062852,20025161,00.htm
[7]TWCERT/CC技術專欄,無線網路白皮書(二)(三) ,
https://www.cert.org.tw/document/column/show.php?key=61
https://www.cert.org.tw/document/column/show.php?key=60
[8]Dr.T,Wireless Security & Hacking,
http://www.ebcvg.com/articles.php?id=58
计算机网络的分类方法 计算机网络的分类方式有很多种, 可以按地理范围、拓扑结构、传输速率和传输介质等分类。
⑴按按照计算机之间的距离和网络覆盖面来分可分为
①局域网LAN(Local Area Network)
局域网地理范围一般几百米到10km 之内, 属于小范围内的连网。如一个建筑物内、一个学校内、一个工厂的厂区内等。局域网的组建简单、灵活, 使用方便。
②城域网MAN(Metropolitan Area Network)
城域网地理范围可从几十公里到上百公里, 可覆盖一个城市或地区, 是一种中等形式的网络。
③广域网WAN(Wide Area Network)
广域网地理范围一般在几千公里左右, 属于大范围连网。如几个城市, 一个或几个国家, 是网络系统中的最大型的网络, 能实现大范围的资源共享, 如国际性的Internet 网络。
⑵按传输速率分类
网络的传输速率有快有慢, 传输速率快的称高速网, 传输速率慢的称低速网。传输速率的单位是b/s(每秒比特数, 英文缩写为bps) 。一般将传输速率在Kb/s—Mb/s范围的网络称低速网, 在Mb/s—Gb/s范围的网称高速网。也可以将Kb/s网称低速网, 将Mb/s网称中速网, 将Gb/s网称高速网。
网络的传输速率与网络的带宽有直接关系。带宽是指传输信道的宽度, 带宽的单位是Hz(赫兹) 。按照传输信道的宽度可分为窄带网和宽带网。一般将KHz —MHz 带宽的网称为窄带网, 将MHz —GHz 的网称为宽带网, 也可以将kHz 带宽的网称窄带网, 将MHz 带宽的网称中带网, 将GHz 带宽的网称宽带网。通常情况下, 高速网就是宽带网, 低速网就是窄带网。
⑶按传输介质分类
传输介质是指数据传输系统中发送装置和接受装置间的物理媒体, 按其物理形态可以划分为有线和无线两大类。
①有线网
传输介质采用有线介质连接的网络称为有线网, 常用的有线传输介质有双绞线、同轴电缆和光导纤维。
●双绞线是由两根绝缘金属线互相缠绕而成, 这样的一对线作为一条通信线路, 由四对双绞线构成双绞线电缆。双绞线点到点的通信距离一般不能超过100m 。目前, 计算机网络上使用的双绞线按其传输速率分为三类线、五类线、六类线、七类线, 传输速率在10Mbps 到600Mbps 之间, 双绞线电缆的连接器一般为RJ-45。
●同轴电缆由内、外两个导体组成, 内导体可以由单股或多股线组成, 外导体一般由金属编织网组成。内、外导体之间有绝缘材料, 其阻抗为50Ω。同轴电缆分为粗缆和细缆, 粗缆用DB-15连接器, 细缆用BNC 和T 连接器。
●光缆由两层折射率不同的材料组成。内层是具有高折射率的玻璃单根纤维体组成, 外层包一层折射率较低的材料。光缆的传输形式分为单模传输和多模传输, 单模传输性能优于多模传输。所以, 光缆分为单模光缆和多模光缆, 单模光缆传送距离为几十公里, 多模光缆为几公里。光缆的传输速率可达到每秒几百兆位。光缆用ST 或SC 连接器。光缆的优点是不会受到电磁的干扰, 传输的距离也比电缆远, 传输速率高。光缆的安装和维护比较困难, 需要专用的设备。
②无线网
采用无线介质连接的网络称为无线网。目前无线网主要采用三种技术:微波通信, 红外线通信和激光通信。这三种技术都是以大气为介质的。其中微波通信用途最广, 目前的卫星网就是一种特殊形式的微波通信, 它利用地球同步卫星作中继站来转发微波信号, 一个同步卫星可以覆盖地球的三分之一以上表面, 三个同步卫星就可以覆盖地球上全部通信区域。
⑷按拓扑结构分类
计算机网络的物理连接形式叫做网络的物理拓扑结构。连接在网络上的计算机、大容量的外存、高速打印机等设备均可看作是网络上的一个节点, 也称为工作站。计算机网络中常用的拓扑结构有总线型、星型、环型等。
①总线拓扑结构
总线拓扑结构是一种共享通路的物理结构。这种结构中总线具有信息的双向传输功能,普遍用于局域网的连接, 总线一般采用同轴电缆或双绞线。
总线拓扑结构的优点是:安装容易, 扩充或删除一个节点很容易, 不需停止网络的正常工作, 节点的故障不会殃及系统。由于各个节点共用一个总线作为数据通路, 信道的利用率高。但总线结构也有其缺点:由于信道共享, 连接的节点不宜过多,并且总线自身的故障可以导致系统的崩溃。
②星型拓扑结构
星型拓扑结构是一种以中央节点为中心, 把若干外围节点连接起来的辐射式互联结构。这种结构适用于局域网, 特别是近年来连接的局域网大都采用这种连接方式。这种连接方式以双绞线或同轴电缆作连接线路。
星型拓扑结构的特点是:安装容易, 结构简单, 费用低, 通常以集线器(Hub)作为中央节点, 便于维护和管理。中央节点的正常运行对网络系统来说是至关重要的。
③环型拓扑结构
环型拓扑结构是将网络节点连接成闭合结构。信号顺着一个方向从一台设备传到另一台设备, 每一台设备都配有一个收发器, 信息在每台设备上的延时时间是固定的。
这种结构特别适用于实时控制的局域网系统。
环型拓扑结构的特点是:安装容易, 费用较低, 电缆故障容易查找和排除。有些网络系统为了提高通信效率和可靠性, 采用了双环结构, 即在原有的单环上再套一个环, 使每个节点都具有两个接收通道。环型网络的弱点是, 当节点发生故障时, 整个网络就不能正常工作。
④树型拓扑结构
树型拓扑结构就像一棵“根”朝上的树, 与总线拓扑结构相比, 主要区别在于总线拓扑结构中没有“根”。这种拓扑结构的网络一般采用同轴电缆, 用于军事单位、政府部门等上、下界限相当严格和层次分明的部门。
树型拓扑结构的特点:优点是容易扩展、故障也容易分离处理, 缺点是整个网络对根的依赖性很大, 一旦网络的根发生故障, 整个系统就不能正常工作。