成長中的無線區域網路

直到最近一、二年之前，無線區域網路( WLAN )主要還是應用於某些特殊需求的市場中，如零售業、教育單位及醫療院所等。在這些場合，行 工作者須要存取區域網路時，只須要 2Mbps 或更小的頻寬便可以完成其資料的傳輸要求。雖然無線區域網路屬於有線網路的延伸，但是由於其專屬的傳輸特 及較低的存取速度，在企業用戶的使用及管理上還是有許多亟待解決的問題。

為了讓無線區域網路成為市場上的主流產品，設備研發廠商必須發展並制定更高速的無線區域網路標準，並能達成不同生產廠商間產品的互聯，以降低建置成本，並提供符合現今企業應用上的頻寬須求。

在 1999 年，IEEE 批准了現今無線區域網路標準 802.11 的延伸規範，稱為802.11b。其定義了無線區域網路產品的新標準，允許 WLAN 以類似乙太網路的傳送模式，達到 11Mbps 的資料傳送速度。如此的傳輸頻寬，讓 WLAN 在企業及其他大型組織中的使用 大大的提升。至於不同生產廠商無線產品的互聯，則由「無線乙太網路相容 聯盟( WECA )」的獨立組織來進行認定，而他們會將經測試後相容的產品標以”Wi-Fi“的標誌。目前之所以會有利用無線存取設備去存取區域網路的需求，主要是由於可攜式電腦設備的普及，如 Notebook 及 PDA等。而這些設備的使用者的要求是隨處能夠使用網路，但卻不須”尋找”或”插拔”網路連接線。

集中化管理的需求

由於 802.11b 的 WLAN 規範制定，現在 WLAN 已經成為市場上的熱門產品，而企業或公司也致力於整合有線與無線的網路設備，但目前所遭遇的困難是：網管人員不願意採用 WLAN，除非 WLAN 能提供如有線網路般的安全 、管理 及穩定 。

其中最主要的考量是「安全 」，必須要能夠達到存取控制( access control )及存取授權( privacy )的要求。存取控制( access control 主要是確定僅有正式合法的使用者才能存取私密的資料，存取授權( privacy )則是確定傳送出去的資料僅能被預期中的使用者接收並解讀。

關於有線網路與無線網路天生上安全 的差異，主要概述如下：

控管有線網路的安全 僅需 控接入區域網路中的所有實體連接埠即可。因此有線網路的存取安全控制被視為區域網路連接埠的實體控制。因為有線網路上資料的傳輸是直接送至一個特定的目標位址，其間並不會產生所謂存取授權( privacy )的權限問題，除非有心人士以特定的儀器加以攔截，因此有線區域網路的安全 考量主要在於區域網路實體連結的破壞。

但對無線網路而言，資料的收送主要經由無線電波透過空氣介質來廣播傳輸，所以它會被某一特定服務區域內的所有無線網路用戶端所接收。由於無線電波可穿透天花板、樓板及牆壁等結構體，因此資料傳輸可能會被不同樓層甚至不同建築物中的非預期接收者所得到。因此，架設一個無線網路就好像將無數的乙太網路連接埠隨意置於各處，甚至是停車場中。此時資料的存取授權就會變成一個無線網路中主要的考量。因為對無線網路而言，我們並沒有辦法要求無線電波只單點傳輸至某一接收端手中。

在 IEEE 802.11b 標準中已經包含了，許多有關存取控制( access control )及存取授權( privacy )的相關規範，但這些協定必須被靜態手 設定於無線網路中的所有元件上，而當一個組織中有成千上 個無線網路使用者時，就須要一個有效率的集中式控管機制來達到網路安全的要求。因此， 乏集中式的安全控管，就是以往無線網路的佈署，僅能侷限於小的工作群組或特定應用程式的主要因素。

第一代無線區域網路的安全機制

IEEE 802.11b 標準中定義了二個主要機制，提供無線網路存取控制及存取授權【Service Set identifiers ( SSIDs )及Wired equivalent privacy ( WEP )】。當然還有其他加密的機制去保障存取的安全 ，如透過無線區域網路傳送的 VPN 架構等，但由於 VPN 與無線區域網路本身的安全 機制並無直接相關，在此不直接列入討論。

SSID

一個最常被使用的無線區域網路功能稱為 SSID，可提供最基本的存取控制。SSID 是一個由某一群無線區域網路子系統設備所共用的網域名稱。利用 SSID 當作網路的主要存取控制機制是一種危險的作法，因為 SSID 基本上不具備周密的安全 ，主要是當無線存取基地台( Access Point )發送訊號時，SSID 通常被設定隨著信號被廣播出去。

WEP

IEEE 802.11b 標準制定一個可選用的加密機制，稱之為 Wired Equivalent Privacy 或 WEP，可提供安全的維護無線區域網路的資料傳送。WEP 使用對稱的加/解密機制，即在資料加/解密的過程中均使用相同的加密金鑰。使用 WEP 的主要目的是：

雖然 WEP 是一個選用的安全選項，但若要通過由 WECA 檢驗的“Wi-Fi”認証，就必須具備 40-bit 的加密金鑰機制，所以所有 WECA 的成員均支援 WEP 設定。至於 WEP 的做法，有些無線網路設備製造商利用軟體來完成加/解密的 作。而另一些設備製造商，如思科( Cisco )，則利用硬體加速器來完成資料加/解密的流程，以避免機器本身處理效能的大幅下降。

IEEE 802.11b 提供二種方式，去定義使用於無線區域網路的 WEP 金鑰。第一種方式是可設定一組最多 4 把內定的加密金鑰，並由所有的無線存取設備(如用戶端及無線基地台)所共享。當使用者取得內定的金鑰後，就能安全地在同一無線區域網路子系統中與其他使用者溝通。但問題是當持有內定金鑰的使用者數量太多時，這時就不可避免的會產生安全上的顧慮。第二種方式，每個使用端會與其他的使用端建立一個”金鑰對映( key mapping )”的關係，這是一種較為安全的方式，因為較少的使用者會持有對映的金鑰。但同樣當使用者持續增加時，則這種單點傳送的金鑰散佈方式就變成極為困難。

網路認証( Authentication )機制

無線區域網路的使用者必須經過認證的過程才能存取網路資源。IEEE 802.11b 標準也定義了二種型態的認証方法：Open 及Shared-key。而認証的方法必須被設定於每個使用端，這些設定值必須與無線存取基地台中的設定值相符。

Open 認証方式是一個出廠時即內定的選項，整個認証的流程均以無加密的文字方式進行，而且使用端甚至不須要提供正確的WEP 金鑰就可與無線基地台互相連繫。請參考（圖一）。

《圖一 Open 的網路認證方式》

Shared-key 認証方式，是指無線基地台會送出要求登錄的無加密文字 包給使用端，而使用端則必須將此一文字與本身持有的 WEP 金鑰一起加密後，再傳回無線基地台，而由無線基地台來判別是否此一使用端可存取網路資源。

有些無線區域網路設備供應商，也支援由網路卡實體位址( MAC address )來執行認證的 作，一個使用端僅當它的 MAC address 符合無線基地台中儲存的認證表列時，才被允許存取網路資源。請參閱（圖二）。

《圖二 Shared-key的網路認證方式》

目前無線區域網路面臨的安全威脅

由於目前一般均是利用靜態手 ，將WEP 金鑰設定至使用端(如無線網路卡)，當設定了 WEP 存取金鑰之後，使用端就擁有了可自由存取無線網路的特權。如果此一使用端是由多人所共享，則這群人就分享這組MAC address 及 WEP 金鑰，但當此一使用端設備遺失或被竊之後則問題就產生了。

除了造成原有合法的使用者無法存取網路資源，而非法的使用者卻擁有了這個權利，而且網路管理者幾乎不可能發現這個安全的 口，必須由原來使用者主 去通知網管人員。此時網管人員能做的工作就是全面改變原來設定的 WEP 金鑰及 MAC address認証表列，此時若使用者的數量龐大，則更改的工作量就會異常的繁重。

IEEE 802.11b Shared-key 認證機制僅能達成單向，而非相互的認証。即是無線基地台可認証使用者，但使用者卻不會、也不能認證自己所登錄的無線基地台。因此這會產生安全上的隱憂。因為只要利用非法的無線基地台置於合法的無線網路中，網路駭客便能以此為跳板去截取或危害無線區域網路的安全。

標準的 WEP 金鑰支援對每個 包均執行加密，但卻不支援對每個 包均執行認證。因此網路駭客可重新改造並隱藏於合法 包內容之中，藉著偽裝的方式達到入侵網路的目的。

總之，為了有效解決以上這些安全 的考量，未來無線區域網路的安全機制必須具備有：

1.無線區域網路認證必須利用額外獨立的機制，如 username 及 password，而且不論使用者是由什麼設備或使用端登入網路。

2.支援使用端與認證伺服器( RADIUS )間的相互認証。

3.當使用端成功登入網路之後，WEP 金鑰就能 態產生，而不是由預先手 設定於使用端上。

4.支援針對每一條連結產生一組專用的 WEP金鑰( Session-based WEP Key )。

然而第一代無線網路的安全機制，卻達不到以上的這些要求。

完整的無線區域網路安全解決方案

一個完整的無線網路安全解決方案，就是能夠利用標準及開放的架構去達成802.11b 完全的安全要求，提供最強大的安全存取，及集中式的有效安全管理。

而由思科、微軟及其他組織所共同提交IEEE 委員會審核的一個無線區域網路安全解決方案正可符合以上的須求。這個提案的主要核心元件如下：

Extensible Authenticatio Protocol ( EAP )，一個延伸的 RADIUS 認證伺服器使用介面，能允許無線網路用戶端與 RADIUS 認証伺服器直接溝通。

IEEE 802.1x，一個研議中的標準，用來控制連接埠存取。

當運用此套網路安全解決方案時，網路用戶端連結上無線基地台時，並不能馬上直接存取網路上的資源，而是必須要先完成網路上的登錄 作。當使用者輸入其使用者名稱及密碼後，使用端與認証伺服器( RADIUS 或其他認証伺服器)才會完成雙向的認証 作。此時認証伺服器與使用端會共同取得一組此次登錄後專用的 WEP 金鑰，再利用此組金鑰去完成目前連線的登錄並正式取得網路存取的權限。其中所有敏感的資訊，如密碼等，均被保護而不至被攻擊或 控，此時沒有任何的資訊是未經加密便在空氣中傳送的。

除此之外，思科生產的無線網路產品中，如 Aironet 350 系列無線基地台及橋接器上，也提供其他型式的安全機制，特別是”公眾網路 包安全轉送( Publicly Secure Packet Forwarding，PSPF )”設定。PSPF 避免使用端，透過無線存取設備(無線基地台或橋接器)，去存取連結至同一無線存取設備的其他使用端中分享出的檔案資料。

PSPF 的設定，主要僅提供使用端連結/存取網際網路的需求，而不提供其他區域網路的服務功能。因此，PSPF 設定後，無線使用端就無法與連結至同一無線存取設備的其他使用端相互溝通。這個功能對提供大眾來使用的無線網路，如機場或校園無線網路，的安全 控管是特別有用的。

在 WEP 金鑰的取得及傳送上，使用 EAP 及 802.1x 技術，主要是能夠提供集中式的管理，標準的介面及開放的架構可符合802.11 的安全標準要求。除此之外，EAP 的架構也可以延伸到有線網路，幫助企業可以僅使用一種安全架構即可適用於各種不同的存取方式。

因為具備以上的優點，許多設備製造商會將 802.1x 及 EAP 技術置入其無線區域網路產品中。

小結

企業要達到無線區域網路的安全機制，在使用的需求上要能達到以下幾點：

1.降低由於硬體遺失或被竊、非法無線存取基地台入侵及駭客攻擊所造成的安全威脅。

2.確保絕對的安全，充分利用使用者登入網路時所得到的專用、且為此次連線特定的 態 WEP 金鑰，而不是靜態手 設定的 WEP 加密金鑰，去完成資料加/解密的流程。

3.利用集中控管的方式，管理所有的無線區域網路使用端，減少個別管理的繁複 及工作量。

無線區域網路的安全考量完全與有線區域網路的安全設定要求相同，目標都是提供一個緊密的、穩定且安全的通訊網路系統。

（作者任職於聚碩科技，信箱為：jerryjuang@sysage.com.tw）