成长中的无线区域网路

直到最近一、二年之前，无线区域网路( WLAN )主要还是应用于某些特殊需求的市场中，如零售业、教育单位及医疗院所等。在这些场合，行 工作者须要存取区域网路时，只须要 2Mbps 或更小的频宽便可以完成其资料的传输要求。虽然无线区域网路属于有线网路的延伸，但是由于其专属的传输特 及较低的存取速度，在企业用户的使用及管理上还是有许多亟待解决的问题。

为了让无线区域网路成为市场上的主流产品，设备研发厂商必须发展并制定更高速的无线区域网路标准，并能达成不同生产厂商间产品的互联，以降低建置成本，并提供符合现今企业应用上的频宽须求。

在 1999 年，IEEE 批准了现今无线区域网路标准 802.11 的延伸规范，称为802.11b。其定义了无线区域网路产品的新标准，允许 WLAN 以类似乙太网路的传送模式，达到 11Mbps 的资料传送速度。如此的传输频宽，让 WLAN 在企业及其他大型组织中的使用 大大的提升。至于不同生产厂商无线产品的互联，则由「无线乙太网路相容联盟( WECA )」的独立组织来进行认定，而他们会将经测试后相容的产品标以”Wi-Fi“的标志。目前之所以会有利用无线存取设备去存取区域网路的需求，主要是由于可携式电脑设备的普及，如 Notebook 及 PDA等。而这些设备的使用者的要求是随处能够使用网路，但却不须”寻找”或”插拔”网路连接线。

集中化管理的需求

由于802.11b 的WLAN 规范制定，现在WLAN 已经成为市场上的热门产品，而企业或公司也致力于整合有线与无线的网路设备，但目前所遭遇的困难是：网管人员不愿意采用WLAN，除非WLAN 能提供如有线网路般的安全、管理及稳定。

其中最主要的考量是「安全 」，必须要能够达到存取控制( access control )及存取授权( privacy )的要求。存取控制( access control 主要是确定仅有正式合法的使用者才能存取私密的资料，存取授权( privacy )则是确定传送出去的资料仅能被预期中的使用者接收并解读。

关于有线网路与无线网路天生上安全 的差异，主要概述如下：

控管有线网路的安全 仅需 控接入区域网路中的所有实体连接埠即可。因此有线网路的存取安全控制被视为区域网路连接埠的实体控制。因为有线网路上资料的传输是直接送至一个特定的目标位址，其间并不会产生所谓存取授权( privacy )的权限问题，除非有心人士以特定的仪器加以拦截，因此有线区域网路的安全考量主要在于区域网路实体连结的破坏。

但对无线网路而言，资料的收送主要经由无线电波透过空气介质来广播传输，所以它会被某一特定服务区域内的所有无线网路用户端所接收。由于无线电波可穿透天花板、楼板及墙壁等结构体，因此资料传输可能会被不同楼层甚至不同建筑物中的非预期接收者所得到。因此，架设一个无线网路就好像将无数的乙太网路连接埠随意置于各处，甚至是停车场中。此时资料的存取授权就会变成一个无线网路中主要的考量。因为对无线网路而言，我们并没有办法要求无线电波只单点传输至某一接收端手中。

在IEEE 802.11b 标准中已经包含了，许多有关存取控制( access control )及存取授权( privacy )的相关规范，但这些协定必须被静态手设定于无线网路中的所有元件上，而当一个组织中有成千上个无线网路使用者时，就须要一个有效率的集中式控管机制来达到网路安全的要求。因此， 乏集中式的安全控管，就是以往无线网路的布署，仅能局限于小的工作群组或特定应用程式的主要因素。

第一代无线区域网路的安全机制

IEEE 802.11b 标准中定义了二个主要机制，提供无线网路存取控制及存取授权【Service Set identifiers ( SSIDs )及Wired equivalent privacy ( WEP )】。当然还有其他加密的机制去保障存取的安全，如透过无线区域网路传送的VPN 架构等，但由于VPN 与无线区域网路本身的安全机制并无直接相关，在此不直接列入讨论。

SSID

一个最常被使用的无线区域网路功能称为 SSID，可提供最基本的存取控制。 SSID 是一个由某一群无线区域网路子系统设备所共用的网域名称。利用SSID 当作网路的主要存取控制机制是一种危险的作法，因为SSID 基本上不具备周密的安全，主要是当无线存取基地台( Access Point )发送讯号时，SSID 通常被设定随着信号被广播出去。

WEP

IEEE 802.11b 标准制定一个可选用的加密机制，称之为 Wired Equivalent Privacy 或 WEP，可提供安全的维护无线区域网路的资料传送。 WEP 使用对称的加/解密机制，即在资料加/解密的过程中均使用相同的加密金钥。使用 WEP 的主要目的是：

虽然 WEP 是一个选用的安全选项，但若要通过由 WECA 检验的“Wi-Fi”认证，就必须具备 40-bit 的加密金钥机制，所以所有 WECA 的成员均支援 WEP 设定。至于 WEP 的做法，有些无线网路设备制造商利用软体来完成加/解密的 作。而另一些设备制造商，如思科( Cisco )，则利用硬体加速器来完成资料加/解密的流程，以避免机器本身处理效能的大幅下降。

IEEE 802.11b 提供二种方式，去定义使用于无线区域网路的 WEP 金钥。第一种方式是可设定一组最多 4 把内定的加密金钥，并由所有的无线存取设备(如用户端及无线基地台)所共享。当使用者取得内定的金钥后，就能安全地在同一无线区域网路子系统中与其他使用者沟通。但问题是当持有内定金钥的使用者数量太多时，这时就不可避免的会产生安全上的顾虑。第二种方式，每个使用端会与其他的使用端建立一个”金钥对映( key mapping )”的关系，这是一种较为安全的方式，因为较少的使用者会持有对映的金钥。但同样当使用者持续增加时，则这种单点传送的金钥散布方式就变成极为困难。

网路认证( Authentication )机制

无线区域网路的使用者必须经过认证的过程才能存取网路资源。 IEEE 802.11b 标准也定义了二种型态的认证方法：Open 及Shared-key。而认证的方法必须被设定于每个使用端，这些设定值必须与无线存取基地台中的设定值相符。

Open 认证方式是一个出厂时即内定的选项，整个认证的流程均以无加密的文字方式进行，而且使用端甚至不须要提供正确的WEP 金钥就可与无线基地台互相连系​​。请参考（图一）。

《图一 Open 的网络认证方式》

Shared-key 认证方式，是指无线基地台会送出要求登录的无加密文字包给使用端，而使用端则必须将此一文字与本身持有的WEP 金钥一起加密后，再传回无线基地台，而由无线基地台来判别是否此一使用端可存取网路资源。

有些无线区域网路设备供应商，也支援由网路卡实体位址( MAC address )来执行认证的作，一个使用端仅当它的MAC address 符合无线基地台中储存的认证表列时，才被允许存取网路资源。请参阅（图二）。

《图二 Shared-key的网络认证方式》

目前无线区域网路面临的安全威胁

由于目前一般均是利用静态手 ，将WEP 金钥设定至使用端(如无线网路卡)，当设定了 WEP 存取金钥之后，使用端就拥有了可自由存取无线网路的特权。如果此一使用端是由多人所共享，则这群人就分享这组MAC address 及 WEP 金钥，但当此一使用端设备遗失或被窃之后则问题就产生了。

除了造成原有合法的使用者无法存取网路资源，而非法的使用者却拥有了这个权利，而且网路管理者几乎不可能发现这个安全的口，必须由原来使用者主去通知网管人员。此时网管人员能做的工作就是全面改变原来设定的 WEP 金钥及 MAC address认证表列，此时若使用者的数量庞大，则更改的工作量就会异常的繁重。

IEEE 802.11b Shared-key 认证机制仅能达成单向，而非相互的认证。即是无线基地台可认证使用者，但使用者却不会、也不能认证自己所登录的无线基地台。因此这会产生安全上的隐忧。因为只要利用非法的无线基地台置于合法的无线网路中，网路骇客便能以此为跳板去截取或危害无线区域网路的安全。

标准的 WEP 金钥支援对每个 包均执行加密，但却不支援对每个 包均执行认证。因此网路骇客可重新改造并隐藏于合法 包内容之中，借着伪装的方式达到入侵网路的目的。

总之，为了有效解决以上这些安全 的考量，未来无线区域网路的安全机制必须具备有：

1.无线区域网路认证必须利用额外独立的机制，如 username 及 password，而且不论使用者是由什么设备或使用端登入网路。

2.支援使用端与认证伺服器( RADIUS )间的相互认证。

3.当使用端成功登入网路之后，WEP 金钥就能 态产生，而不是由预先手 设定于使用端上。

4.支援针对每一条连结产生一组专用的 WEP金钥( Session-based WEP Key )。

然而第一代无线网路的安全机制，却达不到以上的这些要求。

完整的无线区域网路安全解决方案

一个完整的无线网路安全解决方案，就是能够利用标准及开放的架构去达成802.11b 完全的安全要求，提供最强大的安全存取​​，及集中式的有效安全管理。

而由思科、微软及其他组织所共同提交IEEE 委员会审核的一个无线区域网路安全解决方案正可符合以上的须求。这个提案的主要核心元件如下：

Extensible Authenticatio Protocol ( EAP )，一个延伸的 RADIUS 认证伺服器使用介面，能允许无线网路用户端与 RADIUS 认证伺服器直接沟通。

IEEE 802.1x，一个研议中的标准，用来控制连接埠存取。

当运用此套网路安全解决方案时，网路用户端连结上无线基地台时，并不能马上直接存取网路上的资源，而是必须要先完成网路上的登录 作。当使用者输入其使用者名称及密码后，使用端与认证伺服器( RADIUS 或其他认证伺服器)才会完成双向的认证 作。此时认证伺服器与使用端会共同取得一组此次登录后专用的 WEP 金钥，再利用此组金钥去完成目前连线的登录并正式取得网路存取的权限。其中所有敏感的资讯，如密码等，均被保护而不至被攻击或 控，此时没有任何的资讯是未经加密便在空气中传送的。

除此之外，思科生产的无线网路产品中，如Aironet 350 系列无线基地台及桥接器上，也提供其他型式的安全机制，特别是”公众网路包安全转送( Publicly Secure Packet Forwarding，PSPF )”设定。 PSPF 避免使用端，透过无线存取设备(无线基地台或桥接器)，去存取连结至同一无线存取设备的其他使用端中分享出的档案资料。

PSPF 的设定，主要仅提供使用端连结/存取网际网路的需求，而不提供其他区域网路的服务功能。因此，PSPF 设定后，无线使用端就无法与连结至同一无线存取设备的其他使用端相互沟通。这个功能对提供大众来使用的无线网路，如机场或校园无线网路，的安全 控管是特别有用的。

在 WEP 金钥的取得及传送上，使用 EAP 及 802.1x 技术，主要是能够提供集中式的管理，标准的介面及开放的架构可符合802.11 的安全标准要求。除此之外，EAP 的架构也可以延伸到有线网路，帮助企业可以仅使用一种安全架构即可适用于各种不同的存取方式。

因为具备以上的优点，许多设备制造商会将 802.1x 及 EAP 技术置入其无线区域网路产品中。

小结

企业要达到无线区域网路的安全机制，在使用的需求上要能达到以下几点：

1.降低由于硬体遗失或被窃、非法无线存取基地台入侵及骇客攻击所造成的安全威胁。

2.确保绝对的安全，充分利用使用者登入网路时所得到的专用、且为此次连线特定的态WEP 金钥，而不是静态手设定的WEP 加密金钥，去完成资料加/解密的流程。

3.利用集中控管的方式，管理所有的无线区域网路使用端，减少个别管理的繁复 及工作量。

无线区域网路的安全考量完全与有线区域网路的安全设定要求相同，目标都是提供一个紧密的、稳定且安全的通讯网路系统。

(作者任职于聚硕科技,信箱为:jerry juang@sysage.com.tw)