转贴自TWCERT/CC专栏文件 ■保护您的无线网路安全 一、前言 　　近年来网路环境使用趋势，从传统的有线乙太网路到无线通讯网路，使得我们摆脱有形 线路连接的束缚，从而实现了行动上网的理想，其主要归功於不需要布线，加上无线网路设 备成本在一年内下跌了 50% 以上，而且政府大力推展行动台湾政策，咖啡馆、速食业者实 际响应以及网路业者的推波助澜下，使得许多家庭、办公室及会议室纷纷采用无线网路作为 另一种连结网际网路解决方案。不过，却因为无线网路的特性为有心者开了一扇大门，让 他们可以不受实体限制侵入企业网路窥探及存取资讯，使用者使用无线网路也将陷入同样的 威胁中。因此，本文将会探讨其所面临攻击之趋势，同时以Checklist的方式，检视并说明 有哪些机制是有助於增进无线网路安全。 二、无线网路所面临的攻击趋势 　　无线网路目前已成为网路族群的新宠，不外乎是可以自由自在不受有「线」的拘束连结 上网。只要架设无线网路存取点(Access Point，以下简称AP)即可随意地在电波涵盖的范围 内上网、进行通讯(Communication)。但由於无线网路仍属於无线电传播技术，当然也使得 攻击者得以无线电波涵盖的范围内进行通讯内容的监听及进行其他攻击，首当其冲的便是通 讯的保密性、资料完整性及合法使用与否。在此列举出常见的攻击趋势： 1.窃听(Eavesdropping)：窃听可能是最简单、也是最有效的攻击方式，因为它不会留下任 　何线索，而且也不需要与AP有任何关联，郤可以针对通讯内容进行监控或网路监听，针对 　网路通讯流量、内容进行分析，例如密码分析。 2.伪装(Masquerade)：攻击者会欺骗认证系统，非法取得系统资源。最常见的有密码盗用、 　或是透过社交工程以取得密码之类的敏感资讯。 3.重播(Replay)：攻击者将网路截取的某些通讯内容再重新发送，最常见的莫过於重新发送 　认证资讯以假冒合法的使用者。此类攻击便是伤害使用者身份验证系统的功能。 4.讯息窜改(Message Modification)：攻击者企图窜改无线网路通讯内容，此类攻击主要是 　伤害资料的完整性。 5.通讯劫持(Session Hijacking)：利用TCP/IP网路通讯弱点抢夺合法使用者的通讯频道。 6.阻断服务(Denial-of-Services)：阻断服务是网路上最常见的攻击手段之一。因为它会对 　远端系统进行攻击，藉此达到使系统无法提供服务或是使系统降低服务品质。常见的攻击 　方式有 ICMP Flooding、SYN Flooding 及 Mail Bomb。 7.绑架攻击(Man-in-the-Middle)：攻击者使用功率较强的 AP 盖过原来的 AP 以挟持使用 　者，强迫用户的无线网卡跳至攻击者的 AP，而用户会以为是漫游至另一个 AP，并且持续 　送出资料，这会造成网路中断，进而截取到部份传输资料。 三、增强无线网路通讯安全防护 　　在前一节列举了目前无线网路所面临的攻击趋势，为了保护无线网路免於攻击入侵的威 胁，提高使用的安全性，达成资讯的保密性(Confidentiality)、完整性(Integrity)、使用 者验证及授权(Authentication and Authorization)，使用者必须了解及采行相关安全防护 机制。在 IEEE 802.1 标准中已制定有关於无线网路的安全机制，而且配合 AP 之安全设定 以保护无线网路使用环境。我们以 Checklist 的方式列出使用者针对 AP 实体之安全及软 体设定应该注意的相关事项如下： AP 实体安全： 1.决定AP发射功率范围：管理人员必须仔细斟酌 AP 射频（RF）信号之涵盖率，减少不必要 　的无线电波暴露以避免有心人士截收通讯封包再进行内容破解。另外，有些 AP 会加装天 　线以改进收讯品质，但是有时天线的使用会让无线电波发散於环境使用控制之外，因此必 　须对於无线电波加以控制，不可外泄超出控制范围。所以天线使用必须针对使用环境作调 　整或者是研拟使用规范，以保障无线网路安全。 2.决定合适的 AP 设置：组织中架设多部 AP 虽然可以满足通讯品质，但是在相同的网路环 　境中，除了因为电波外溢造成资讯泄漏之虞，同厂牌的 AP 也有相互干扰之问题，其原因 　不外乎是厂商在 AP 出厂前设定使用相同通讯频道(channel)。因此，架设 AP 除了要考 　虑网路环境大小决定配置位置外，使用上应避免使用相同之通信频道以造成无谓的干扰。 3.寻找非法的架设 AP：利用一些软体(例如 NetStumbler)寻找非法架设的 AP，以避免资讯 　外泄的情形发生，一般来说最好每个月或定期执行一次稽查工作。此外，AP 也许可能架 　设在组织外部环境以窃取资讯或者绑架攻击，因此必须时常巡视是否有闲杂人等在组织附 　近鬼祟行动，以免架设功率更强大的 AP 劫持无线网路。 4.修补潜在弱点：利用检测软体找出 AP 潜在的弱点，并且针对弱点加以修补，以杜绝骇客 　利用弱点取得权限或者造成阻断服务攻击。一般来说，国外大厂，例如 Cisco 这类网路 　设备制造商会在其网站上发布最新的修补程式，并且会在该网路发布安全通报，藉此告知 　使用者该修补设备之漏洞。使用者必须经常浏览厂商网站以便随时取得更新修补程式。 软体设定： 1.修改出厂之预设密码：网路设备大致都有预设密码，若使用者未曾修改过密码则该设备将 　维持原厂设定值。以 AP 为例，若未曾修改密码，一般厂商大概会使用简单的字串如 　admin 或 administrator 当作密码，有些密码栏甚至设定为空白，如此很容易让攻击者 　或者骇客取得整部 AP 的最高权限，其严重性自不待言，所以修改预设密码就成为维护安 　全之要务。 2.启动 WEP 加密机制：启动 WEP(Wired Equivalent Protocol)加密当作 AP 存取控管的机 　制。加密验证使用分享金钥(或称挑战与回应)以进行身份认证。虽然 WEP 加密存在演算 　法及金钥管理的弱点，但是提供第一线保卫角色仍不失为一层保护机制。目前 802.11b 　普遍支援 128bit WEP，而 802.11g 可支援达 152bit WEP 加密。 3.纪录与过滤 MAC 位址：建立 MAC 之存取列表(ACLs)以便记录使用者无线网路卡的 MAC 　位址，过滤使用者限制使用 AP 权限。任何 MAC 位址只要没有登记在 ACLs 一律拒绝连 　线。一般来说 AP 都有这个服务功能。 4.使用 DHCP 伺服器：当 AP 上的 MAC 位址存取列表(ACLs)已记录所有使用网卡之 MAC 位 　址後，接下来 DHCP 伺服器才针对 ACLs 上所有 MAC 位址派送 IP 给无线用户使用。大 　多数 AP 都会内建 DHCP 服务，因此可以直接套用 ACLs 作 IP 指派工作。倘若不使用 　DHCP 伺服器，那麽管理人员必须利用静态 IP 的作法，每一组 IP 位址指定给一组 MAC 　位址使用。 5.设定 SSID(Service Set Identifier)：重新设定 AP 上的 SSID，设定时请注意 SSID 长 　度与复杂度，预设的 SSID 很容易让攻击者猜出来，就如同一般人设定密码的情况，复杂 　度增加可减少被破解的机会。因此就 SSID 设定上来说，管理人员设定 SSID 时可以混合 　英文字母大小及数字，增加被破解的难度，藉此保障目前您所使用的网路环境。 6.关闭 SSID 广播模式：制造 AP 的厂商为了让使用者方便使用，大多预设采用开放性认证 　，所以使用者只要接上无线网卡即可使用，但是此种设定郤连外部使用者乃至攻击者、骇 　客都能轻易撷取到讯号。假如 AP 不提供给非内部人员使用，那麽可将 AP 的 SSID 广播 　模式关闭(封闭系统认证, Closed-system Authentication)，保护 AP 的名称不让攻击者 　获知，避免攻击者利用一些骇客程式或者使用 Windows XP 搜寻邻近无线网路环境的模式 　尝试入侵。 7.设定 SNMP 协定：大部份网路设备支援简易网路管理协定，许多远端管理软体都可透过这 　组协定抓取设备中的资料(例如log档)并且进行分析，有些甚至可以修改远端网路设备设 　定值，造成 AP 本身设定参数值外泄或者遭到修改，如 WEP 密钥、MAC 位置列表，将 　SNMP 协定关闭可避免这种情形发生。但是，假如目前使用网路环境不允许关闭 SNMP 协 　定，那麽唯有从 SNMP 社群码(SNMP Community String)来识别使用者权并且搭配 MAC 位 　址之 ACLs 限定可存取 SNMP 资讯的 IP 位址即可。 8.防火墙：防火墙为边界网路防护安全设备，防火墙的功能之一便是过滤组织内部网路与外 　部网路的之间的网路通讯，防止外部网路存取内部网路，所以使用防火墙可保护AP免於部 　份外来未经授权的存取。 9.建置虚拟私有网路(VPN)通道：现在组织中利用 VPN 通道来沟通内、外网路的使用者的风 　气蔚为风行，其盛行之主因为 VPN 可以保护使用者与 AP 之间传输资料不被曝光，这其 　中的关键之一便是它的加密技术。也就是说 VPN 通道是利用加密(如 Tri-DES)配合认证 　机制来隐藏及伪装使用者与 AP 之间的传输资料。 10.关於「Ad-Hoc」与「Infrastructure Mode」：这两种均为网路通讯模式。所有无线用户 　都可以直接透过 AP 或者无线路由器进入无线网路，此类的通讯模式称之为基础架构模式 　(Infrastructure Mode)。而无线用户之间的点对点(Peer-to-Peer)直接通讯就属於简易 　模式(Ad-Hoc)。建议您关闭简易模式，以避免骇客藉由合法使用者的电脑作为跳板，以点 　对点方式连结到其他地方。 四、无线网路未来发展 　　根据柏克莱大学 Nikita Borsiov , Ian Goldberg 及 David Wagner 所发表的文章指 出，攻击者只需要15分钟即可收集足够的封包来破解 WEP key，为了消弥 RC4 演算法所产 生的漏洞--无法保证资料的机密性及 WEP 金钥管理的问题，IEEE 802.11 工作小组推出暂 时性解决方案-TKIP(Temporal Key Integrity Protocol)，作为 802.11i 草创时期之替代 性解决方案。TKIP 可强化 WEP 演算法的加密机制及私密性，并且解决部份 RC4 的问题。 至於 IEEE 制定目前的无线网路通讯标准-802.11i中，加密机制部份则采取更完善的加密演 算法，该演算法称之为 AES 演算法。未来若 AES 结合 TKIP 演算法，将可提供更完美的加 密机制及私密性。TKIP 本身属於 WEP 的升级版，所以可在现有机器直接作软体升级即可运 作，但是 AES 本身是新一代的加密演算法，所以需要配合新的硬体设备才可以正常运作。 因此，若要使用 802.11i 搭配 AES 演算法，现有硬体设备势必要作更新。 五、结论 　　无线网路的使用带给人们便利，但是不会因为少掉了网路线直接连线到主机就可免除被 攻击的危机，无线网路同样地暴露在攻击者攻击危险中。本文中所提到防范之道虽然可预防 一些攻击手段，但是更重要一点在於必须教育并规范无线网路的使用者。总而言之，无线网 路安全最终因素还是在於人，因此组织必须制定、拥有一套无线网路安全政策，加上安全防 护机制辅佐管理者日常管理，才是维持护无线网路安全的唯一安全途径。 参考资料： [1]郑同伯，WLAN 无线网路系统剖析与运用，博硕文化，2003年7月 [2]陈家煌，扞卫无线区域网路安全，2003网路通讯，2003年10月 [3]Eric Maiwald，网路安全入门手册，麦格尔.布罗国际出版社，2002年2月 [4]IEEE，http://www.ieee.org/ [5]NetStumbler，http://www.netstumbler.com/ [6]Karen J.Bannan， VPN：企业资料的安全通道， 　http://taiwan.cnet.com/enterprise/technology/0,2000062852,20025161,00.htm [7]TWCERT/CC技术专栏，无线网路白皮书(二)(三)， 　https://www.cert.org.tw/document/column/show.php?key=61 　https://www.cert.org.tw/document/column/show.php?key=60 [8]Dr.T，Wireless Security & Hacking， 　http://www.ebcvg.com/articles.php?id=58 -- ╭┼ Origin: 台中师院˙清蘅梦土 mse.ntctc.edu.tw ┼┘ Author: crane 从 ip67178.ntctc.edu.tw 发表