前言

无线区域网路(WLAN)业者最常问的一个问题就是「无线网路安全吗？」

的确，这是明智的，网管人员不论对任何型态的网路安全都应该感到关心。网路安全的威胁可能来自不满的前任员工、骇客、病毒，网际网路的攻击，及同业环伺窥探等皆是今天各类网路存在的不幸事实，我们在本文讨论的是对任何网路的安全威胁，特别是对无线区域网路有关的，以及可供对抗这些潜在威胁的无线区域网路科技特有因子。

LAN安全问题 － 有线VS.无线

事实上，任何网路，包括有线区域网路都承受大量的安全问题与风险，这些包括︰

⊙对实体网路安全的威胁

⊙未经授权的接触与窃听

⊙来自网路内部已授权使用者群体的改变

无线区域网路拥有全部有线网路的特质(当然，除了线以外!)，因此，确保有线区域网路环境下资料安全性与完整性之各类保安措施亦适用于无线区域网路。唯一在无线和有线区域网路间的分别是在实体层方面，而其他网路服务(与弱点)都是一样的。

实体安全 － 点的控制及管理

虽然有线区域网路明显的依赖实体设备，但是任何能够接近这些线路的人皆可以损害网路或是破坏其上资料的完整性或是安全性，假若没有排定适当的保安措施，甚至注册的网路使用者都可接近限制级的资讯。不满的现任及前任员工都有可能读取、散发，甚至更改可贵的公司资料档案。一旦能实际接触区域网路线，网路交通资料皆可被一般可用的软体拦截并解码。

不论区域网路上是否有无线部份​​，所有的网路管理者，都必须有适当的环境保全产品，设定使用者适当的安全等级，及持续性的监督查，网管安全警戒有效性的保全措施对网路线之实体安全接触必须加以保护。不幸的是，大部份的区域网路线的许多点皆提供未授权接触的机会。

使用者授权

另一个令网管者注意的是网际网路。通常，如果内部使用者可以对外连上网际网路，那么若是未设有适当的防护，外部人士也就可以入侵网路。此现象不仅仅适用于网际网路，亦适用于任何已安装的远端摇控区域网路。远端遥控产品可以让旅行中的业务与行销人员拨接上网接收邮件，或可借拨接线路连接远端办公室及内部网路。而提供经销商客户连线上网的「外部网路」则可能使网路易遭受骇客、病毒，及其他入侵者的攻击。虽然防火墙产品提供了封包过滤、Proxy伺服器及USER-TO-SESSISON过滤与其他保护，但是骇客始终都是棋高一着。市面上有许多产品供协助网管者保全他们的网路避免上述之威胁。大部份的网路作业系统提供使用者的认证和授权机制，而且可藉由外加第三者产品更加强固。

窃听反制措施

区域网路上或许最难以侦测到的威胁就是防止某人仅供在区域网路上看(或是备份)原始资料。有线网路特别对窃看资料无力预防，今天市场上大部份的乙太网路转换都提供了「除乱模式」(promiscuous mode)，可应用软体使他们能够撷取网路上的每一个封包-- 哪一个网管人员没有某种的「封包侦测」或是区域网管流量分析的解答工具？许多廉价而且随时可用的程式，使得任何与网路有实体接触的人都可以读取、撷取，并显示网路上任何型式的封包资讯。

而且很多种类的网路线材，特别是那种无包裹的双绞线，放射出大量的能量，这使得有盗取诱因的人，可能藉由适当的收音机设备及一支好的天线，就可以坐在办公室外的停车场里拦截到有线乙大网路资料封包，而不被发觉。

资料的加密是唯一对抗此类威胁的防线；不幸的是，网管经理人常常因为自满而导致办公室内网路缺乏加密，这常常会导致不可预见(而且是未知)的损害。

无线安全的考量

由上述讨论，我们可以知道，资料安全性的考量冲击整个网路的工程结构，同样地，这也适用于无线区域网路；但是，无线区域网路完全不同的实体层实际上增强了整体的网路安全性，详述如下︰

分散光谱科技(spread-spectrum technology)

大部份无线区域网路采用分散光谱无线传输技术。分散光谱科技50年前由军方首度引进，其目的在于改进资料传输的完整性与安全性，分散光谱系统之设计在于防噪音、防干扰、围堵及防止未经授权的侦测。分散光谱传输器以极低的能量，藉由宽频率送出讯号，有别于窄频收音机的集中能量于单一频道。

实行分散光谱位输的方式有好几种，最常使用的两种为直接排序(Direct Sequence ;DS)及频率跳动(Frequency Hopping; FH)。 (请参考在http://www.wlana.com/intro/introduction/sirels.html/上有关无线区域网路的介绍文件)。

两种不同的技术呈现非特定接收器端困难的问题。在DS的情况下，窃听者必须要知道破解(分散)码。而试着去拦截FH传输讯号的人必须知道其跳动模式。在两者情况下都必须知道，特定的频宽(或是在DS时部份的)以及模组技术，以协助管理无线电讯号的时间管理及解码。非特定之接收人因此也必须知道这种资料混合的方式。

红外线技术为基础的无线区域网路常运用于需要高度安全性的应用场合，因为红外线讯号无法穿透如墙壁等实心物体，因此，一个专案小组实际上可能被切断所有与外界之一切连线，但仍能够享受区域网路的好处。有些产品使用窄频无线电波，而非使用分散光谱传输。虽然这种技术是可行的，但不如分散光谱那样是与生俱来的安全，因此应用窄频时加密是必要的措施。

但是，所有的这些无线技术都容许加密，而且实际上，许多无线区域网路产品都包含了加密功能作为标准或是选项配备。例如：IEEE802.11标准就包含了一个保全技术名为「有线等级私密性」(Wired Equivalent Privacy；WEP)，这是以使用64位元码以及通用RC4加密公式为基础而开发的。对于不知道现行码(密码)的使用者，会发现他们将被摒除于网路交通之外。加密，如上所述，永远都是在使用任何网路时推荐的做法，而且加密在无线区域网路上也较有线网路在执行上来得容易多了。

工作站确认

大部份无线区域网路产品都有此种管理确认功能，特别授权或摒除单一的无线工作站。因此，个别的无线网路使用者可以被包含于网路系统中，或者在任何时间被剔除。使用者可能也须要知道各种各类的资讯，包括无线电主频(radio domains)、频道(特别的频率或跳动方式)、次频道、保全ID及密码，而其他有关办公室内资料传道的设定资料也必须得知。因此，网管者甚至可以使拥有特别无线设备，自特定工作站入侵的骇客在非授权入侵网路时变得极为困难。

实体安全设施

在大量减少了实体网路线路的使用之后，也将急遽降低入侵线路者接触实体线路的地点。虽然无线区域网路通常会使用有线的骨干网路作为内部连接点，但是其使用线材的量就小了很多，而且可以以相当低的成本采用额外的安全措施来保卫实体的完整。此外，因为在无线区域网路上连接点的功能是如桥梁，故个别的无线使用者是区隔于大部份的网路交通以外，又限制了使用者接触原始网路封包的机会。

结论

不论是有线还是无线，勤奋的​​网路安全管理者都是对区域网管极为重要的。在这里非常慎重的指出，绝对的网路安全是抽象的、理论上的观念而已，它实际上是不存在的，对来自内部人的好奇心，外部人的攻击、窃听等等，所有的区域网路系统都是相当脆弱的。没有人愿意冒着让自己区域网路上的资料暴露于无意观察者或恶意入侵者之下的风险，无论网路管理是有线或是无线，某些步骤都应该永远被执行，以保护网路的完整性与安全性。

从以上的讨论应该是很清楚，无线区域网路可以善用所有目前有线区域网路的安全措施，并且具有有线网路没有的额外安全功能。这个令人惊讶的结论告诉我们：无线网路事实上，是比任何的有线网路，都来得安全的。 (作者任职于陆德资讯)