前言

無線區域網路(WLAN)業者最常問的一個問題就是「無線網路安全嗎？」

的確，這是明智的，網管人員不論對任何型態的網路安全都應該感到關心。網路安全的威脅可能來自不滿的前任員工、駭客、病毒，網際網路的攻擊，及同業環伺窺探等皆是今天各類網路存在的不幸事實，我們在本文討論的是對任何網路的安全威脅，特別是對無線區域網路有關的，以及可供對抗這些潛在威脅的無線區域網路科技特有因子。

LAN安全問題 － 有線VS.無線

事實上，任何網路，包括有線區域網路都承受大量的安全問題與風險，這些包括︰

⊙對實體網路安全的威脅

⊙未經授權的接觸與竊聽

⊙來自網路內部已授權使用者群體的改變

無線區域網路擁有全部有線網路的特質(當然，除了線以外!)，因此，確保有線區域網路環境下資料安全性與完整性之各類保安措施亦適用於無線區域網路。唯一在無線和有線區域網路間的分別是在實體層方面，而其他網路服務(與弱點)都是一樣的。

實體安全 － 點的控制及管理

雖然有線區域網路明顯的依賴實體設備，但是任何能夠接近這些線路的人皆可以損害網路或是破壞其上資料的完整性或是安全性，假若沒有排定適當的保安措施，甚至註冊的網路使用者都可接近限制級的資訊。不滿的現任及前任員工都有可能讀取、散發，甚至更改可貴的公司資料檔案。一旦能實際接觸區域網路線，網路交通資料皆可被一般可用的軟體攔截並解碼。

不論區域網路上是否有無線部份，所有的網路管理者，都必須有適當的環境保全產品，設定使用者適當的安全等級，及持續性的監督查，網管安全警戒有效性的保全措施對網路線之實體安全接觸必須加以保護。不幸的是，大部份的區域網路線的許多點皆提供未授權接觸的機會。

使用者授權

另一個令網管者注意的是網際網路。通常，如果內部使用者可以對外連上網際網路，那麼若是未設有適當的防護，外部人士也就可以入侵網路。此現象不僅僅適用於網際網路，亦適用於任何已安裝的遠端搖控區域網路。遠端遙控產品可以讓旅行中的業務與行銷人員撥接上網接收郵件，或可藉撥接線路連接遠端辦公室及內部網路。而提供經銷商客戶連線上網的「外部網路」則可能使網路易遭受駭客、病毒，及其他入侵者的攻擊。雖然防火牆產品提供了封包過濾、Proxy伺服器及USER-TO-SESSISON過濾與其他保護，但是駭客始終都是棋高一著。市面上有許多產品供協助網管者保全他們的網路避免上述之威脅。大部份的網路作業系統提供使用者的認証和授權機制，而且可藉由外加第三者產品更加強固。

竊聽反制措施

區域網路上或許最難以偵測到的威脅就是防止某人僅供在區域網路上看(或是備份)原始資料。有線網路特別對竊看資料無力預防，今天市場上大部份的乙太網路轉換都提供了「除亂模式」(promiscuous mode)，可應用軟體使他們能夠擷取網路上的每一個封包 -- 哪一個網管人員沒有某種的「封包偵測」或是區域網管流量分析的解答工具？許多廉價而且隨時可用的程式，使得任何與網路有實體接觸的人都可以讀取、擷取，並顯示網路上任何型式的封包資訊。

而且很多種類的網路線材，特別是那種無包裹的雙絞線，放射出大量的能量，這使得有盜取誘因的人，可能藉由適當的收音機設備及一支好的天線，就可以坐在辦公室外的停車場裡攔截到有線乙大網路資料封包，而不被發覺。

資料的加密是唯一對抗此類威脅的防線；不幸的是，網管經理人常常因為自滿而導致辦公室內網路缺乏加密，這常常會導致不可預見(而且是未知)的損害。

無線安全的考量

由上述討論，我們可以知道，資料安全性的考量衝擊整個網路的工程結構，同樣地，這也適用於無線區域網路；但是，無線區域網路完全不同的實體層實際上增強了整體的網路安全性，詳述如下︰

分散光譜科技(spread-spectrum technology)

大部份無線區域網路採用分散光譜無線傳輸技術。分散光譜科技50年前由軍方首度引進，其目的在於改進資料傳輸的完整性與安全性，分散光譜系統之設計在於防噪音、防干擾、圍堵及防止未經授權的偵測。分散光譜傳輸器以極低的能量，藉由寬頻率送出訊號，有別於窄頻收音機的集中能量於單一頻道。

實行分散光譜位輸的方式有好幾種，最常使用的兩種為直接排序(Direct Sequence ;DS)及頻率跳動(Frequency Hopping; FH)。(請參考在http://www.wlana.com/intro/introduction/sirels.html/上有關無線區域網路的介紹文件)。

兩種不同的技術呈現非特定接收器端困難的問題。在DS的情況下，竊聽者必須要知道破解(分散)碼。而試著去攔截FH傳輸訊號的人必須知道其跳動模式。在兩者情況下都必須知道，特定的頻寬(或是在DS時部份的)以及模組技術，以協助管理無線電訊號的時間管理及解碼。非特定之接收人因此也必須知道這種資料混合的方式。

紅外線技術為基礎的無線區域網路常運用於需要高度安全性的應用場合，因為紅外線訊號無法穿透如牆壁等實心物體，因此，一個專案小組實際上可能被切斷所有與外界之一切連線，但仍能夠享受區域網路的好處。有些產品使用窄頻無線電波，而非使用分散光譜傳輸。雖然這種技術是可行的，但不如分散光譜那樣是與生俱來的安全，因此應用窄頻時加密是必要的措施。

但是，所有的這些無線技術都容許加密，而且實際上，許多無線區域網路產品都包含了加密功能作為標準或是選項配備。例如：IEEE802.11標準就包含了一個保全技術名為「有線等級私密性」(Wired Equivalent Privacy；WEP)，這是以使用64位元碼以及通用RC4加密公式為基礎而開發的。對於不知道現行碼(密碼)的使用者，會發現他們將被摒除於網路交通之外。加密，如上所述，永遠都是在使用任何網路時推薦的做法，而且加密在無線區域網路上也較有線網路在執行上來得容易多了。

工作站確認

大部份無線區域網路產品都有此種管理確認功能，特別授權或摒除單一的無線工作站。因此，個別的無線網路使用者可以被包含於網路系統中，或者在任何時間被剔除。使用者可能也須要知道各種各類的資訊，包括無線電主頻(radio domains)、頻道(特別的頻率或跳動方式)、次頻道、保全ID及密碼，而其他有關辦公室內資料傳道的設定資料也必須得知。因此，網管者甚至可以使擁有特別無線設備，自特定工作站入侵的駭客在非授權入侵網路時變得極為困難。

實體安全設施

在大量減少了實體網路線路的使用之後，也將急遽降低入侵線路者接觸實體線路的地點。雖然無線區域網路通常會使用有線的骨幹網路作為內部連接點，但是其使用線材的量就小了很多，而且可以以相當低的成本採用額外的安全措施來保衛實體的完整。此外，因為在無線區域網路上連接點的功能是如橋樑，故個別的無線使用者是區隔於大部份的網路交通以外，又限制了使用者接觸原始網路封包的機會。

結論

不論是有線還是無線，勤奮的網路安全管理者都是對區域網管極為重要的。在這裡非常慎重的指出，絕對的網路安全是抽象的、理論上的觀念而已，它實際上是不存在的，對來自內部人的好奇心，外部人的攻擊、竊聽等等，所有的區域網路系統都是相當脆弱的。沒有人願意冒著讓自己區域網路上的資料暴露於無意觀察者或惡意入侵者之下的風險，無論網路管理是有線或是無線，某些步驟都應該永遠被執行，以保護網路的完整性與安全性。

從以上的討論應該是很清楚，無線區域網路可以善用所有目前有線區域網路的安全措施，並且具有有線網路沒有的額外安全功能。這個令人驚訝的結論告訴我們：無線網路事實上，是比任何的有線網路，都來得安全的。(作者任職於陸德資訊)