广告广告
  加入我的最爱 设为首页 风格修改
首页 首尾
 手机版   订阅   地图  繁体 
您是第 4436 个阅读者
 
发表文章 发表投票 回覆文章
  可列印版   加为IE收藏   收藏主题   上一主题 | 下一主题   
masa 手机
个人文章 个人相簿 个人日记 个人地图
小有名气
级别: 小有名气 该用户目前不上站
推文 x0 鲜花 x60
分享: 转寄此文章 Facebook Plurk Twitter 复制连结到剪贴簿 转换为繁体 转换为简体 载入图片
推文 x0
[资讯教学] 浅谈无线网路之技术、应用与安全管理规划
因为有鉴于无线网路之有无被窃听的之虞...所以小弟特转此帖于大家分享

《网路与通讯》

张贴者: Banana

浅谈无线网路之技术、应用与安全管理规划

 洪绍雄
*******************************************************************
 前言

 无线网路的出现,颠覆了传统网路一定要跟着一条线的旧有观念,
 带给使用者更大的使用自由度,方便使用者可以随时带着电脑在会
 议中四处跑,而不用去担心电脑后面跟着那条尾巴(线路)会不会
 被你扯断了。无线网路的出现,同时也带给传统网路布线上的另一
 个选择,像是以往没有办法或是不容易布线的地方,现在都可以用
 无线网路透过无线电波的穿透特性,轻易地就达到网路连接的目的。
 但是无线网路也并不是万能的,就如同其他新科技一样,虽然无线
 网路将旧问题解决了,但却也带来了其他新的问题,而这其中有一
 个最重要的问题,便是有关网路的安全问题。

 无线网路的发展历史

 自从『无线电之父』义大利的马可尼在十九世纪末发现无线电以
 来,无线电对我们的影响,可能是他当初所没有办法想得到的。初
 期的无线电主要是用来取代传统的有线电报业务(这和现在的无线
 网路有异曲同工之妙,也是为了取代掉有线网路的那条网路线),
 而后来无线电台、电视等的讯号,更是让无线电的应用带给了人们
 更多的方便。虽说像是电视等无线电的应用到今日都已经发展成熟,
 但是无线网路却并不如想像这般容易。

 二次世界大战时期,美军则将无线电加上编码技术加密后使用在
 军事通讯上面。像这样的加密通讯,对于四面环敌或是有敌军阻碍
 的情形下,可以安全地传递作战计画;另一种情形则是可提供陆上
 的美军与海上战舰进行通讯,而不必担心无线电遭拦劫窃听之泄密
 问题。

 谈起无线『网路』(或是说无线网路的雏形),则应该算是由夏
 威夷大学所开发。在1971年时,夏威夷大学在无线电上面采用『封
 包式』技术,在不需要电话公司的电缆线之情形下,将四个夏威夷
 岛屿连接起来。此一无线电网路被命名为ALOHNET,采用双向的星
 状网路拓朴,整个网路上面共有七台电脑连接,而主电脑则是放置
 在欧胡岛上。

 但是随着网际网路的发展,无线网路的并没有太大的进展,一直
 到最近几年来,IEEE订定了相关的标准以后,各家厂商才有了一个
 主要的依循标准。无线网路只是一个通称,事实上,在无线领域里
 有许多无线网路的工业标准存在,其中最重要的两个应该属HomeRF
 和Wi-Fi(也就是IEEE 802.11)这两大派系。其中,802.11获得比
 较多的厂商支援,而HomeRF阵营则显然是居比较弱势的一方,尤其
 最近支援HomeRF阵营的Intel也倒戈到802.11这边来。

 这两个标准其实都各具有他们的优缺点,当初,Intel之所以会
 选择向HomeRF靠近,其主要的原因是看好资讯家电产品的未来发展。
 同时,HomeRF所需要的硬体成本相对地也比较低。另一个主要阵营
 802.11一开始即定位在提供企业使用层面,也同时兼顾到家庭使用
 与在公共空间的使用,但是因为802.11在刚发展时的硬体成本太高,
 以至于使用人口较少。然而这些问题都随着硬体技术的愈趋纯熟化
 后,有关价格上的问题都已获得改善,所以,现在市场上也已经可
 以买到便宜的802.11无线网路卡了。当然,不可讳言地,此种『西
 瓜偎大边』的效应也同样反应在现在的无线网路市场上,因此,您
 现在已经很少听到有厂商还在发展HomeRF的无线设备。

 802.11之所以可以后来居上之姿超越HomeRF的另一个重要原因,
 应该要归功于WECA(Wireless Ethernet Compatibility Alliance)
 这个组织。也许可以说,近年来无线网路的快速成长都该归功于WECA
 组织,此乃因WECA提供相容802.11设备的认证,确保各厂商所生产
 的无线网路设备在使用上不会有不相容的现象。且由于WECA发展出
 无线网路设备互联的相容标准WI-FI(Wireless Fidlity),而各无
 线设备厂要使用『WI-FI』这个标签前,必须先通过WECA组织的这些
 相容测试,因此,一台通过WI-FI认证的Access Point,便可以确保
 和其他不同厂牌但也通过WI-FI认证的无线网路卡进行互联。相对地,
 无线网路设备厂也期待接受这些相容性的测试,因为他们并不希望
 其在产品出货之后,使用者拆箱使用后却发现有不相容而必须退货
 的情形发生。

 无线网路技术

 IEEE在1997年提出802.11标准,定义使用2.4GHz频带,提供到2Mbps
 的速度。但很快地在1999年又新增了两个标准,分别是目前已经相
 当普遍的802.11b以及另一个802.11a。802.11b使用2.4GHz的频带,
 最高传输率达11Mbps;802.11a使用5.8GHz,最高传输率可以到
 达54Mbps。然而,由于802.11a的设备费用偏高,因此,造成现今市
 场上以802.11b的接受度较高,产品得发展也较为成熟。另外,802.11a
 因使用较高的频带,因此应用在长距离的传送上,其效果也比较好,
 对于远程的无线架设上比较有利;相反地,802.11b则是比较广泛被
 应用在区域性质(开放空间、办公室或会议场地)的场合之上。

 802.11a和802.11b都使用ISM(Industrial,Scientific and Medical
 -工业、科学与医疗应用)频带。ISM频带包括有902-928MHz、2.4-2.4835
 GHz、以及5.725-5.850 GHz共三段。在使用这些频带时,并不需要
 特别申请,是任何人都可以使用的。

 无线网路的应用

 在不同的应用情况下,无线网路可以有效协助将有线网路在无法
 布线时的网路延伸,也可以在临时举办会议或活动之时,不需要再
 特别拉网路线,就可以让会场拥有可以使用的网路环境。当然,无
 线网路的作用也并不全然是拿来取代有线网路的,但是很明显的,
 无线网路是笔记型电脑使用者的另一大福音,因为无线网路可以让
 我们在移动的情形下,还能够方便地继续使用网路。也许您不妨想
 想看,当初行动电话刚出现的时候,也一样颠覆了电话就必须是固
 定在一个地方的观念,它让每个人都可以人手一机边走边讲,且走
 到哪里讲到哪里,完全不受时空的限制。于是,现在您可以在饭店
 大厅使用网路,您也可以在火车上使用网路,也就是说,类似像这
 些以往找不到插头来插网路线之问题,在有了无线网路设备之后,
 都将迎刃而解。

 目前在国外,无线宽频上网已经是十分普及了,例如,许多国际
 机场、饭店旅馆、咖啡连锁店等,都已经提供了类似的服务。甚至
 最近连全球最大的咖啡连锁店『星巴客StarBuck』有已宣布正式引
 进Compaq的无线网路设备,将在全球的星巴客连锁店中架设无线网
 路环境,提供给到店内的消费顾客无线上网服务。反观国内,目前
 已有蕃薯藤在推广无线上网服务。蕃薯藤与IS Coffee、长荣酒店
 合作,由蕃薯藤提供设备和网路频宽等,商家只需要出借场地,并
 提供无线网路卡的出借服务,而使用者则可以使用自己的笔记型电
 脑或PDA,插入自备或向商家暂借的无线网路卡后,即可悠游于网
 路世界中,收送E-mail信件、连线游戏、检查个人投资理财最新讯
 息等。这比起以前商店所提供的56K拨接服务速度则将足足快上两
 百倍有余。

 无线网路的安全管理

 虽然有新的作业系统出现以及各组织对IEEE 802.11发展的协助,
 但是并没有办法完全解决建置一个无线网路环境时会发生的问题。
 如同文章开头所陈述的,旧的问题解决了,但是新的技术却也带来
 新的问题。举个例子来说,无线网路上的安全问题,就是一个值的
 我们去正视与关切的问题。

 设想,可能会有多少网路的管理员愿意让一个完全陌生的人带着
 他的笔记型电脑走进公司里,坐下来找个最近的网路插头连接上公
 司的区域网路?很显然地,这个比率应是不会太高,这是因为我们
 对于陌生的人都会特别注意其行止或意图。同样的情形发生在无线
 网路上,却也是完全不容忽视的。由于无线网路并不需要实体的线
 路,因此,无线网路的安全考量更是我们所必须特别关注的。

 近年来,由于硬体的技术的演进与生产技术的提升,使得无线网
 路的架设成本降低了许多。在最近的市场上,使用者已经可以找到
 近四、五十家厂商提供无线网路的相关产品。一张笔记型电脑使用
 的无线网路卡,售价大概三千五百元,而一台无线存取点(Access
 Point)也只要七、八千元不等的价格。除了产品的价格日趋降低之
 外,无线网路的架设也不再是一件困难的事,甚至可以用『简单』
 两个字来形容。如果使用者想要在自己家里架设无线网路,那么,
 所要做的仅仅是将AP选个放置的好位置即可,然后将原来区域网路
 上的网路线接到AP上便算完成;而如果是在公司里架设无线网路,
 则需再多留意一些网路使用的安全性问题。

 IEEE 802.11b的标准里包括一项加密技术,称为WEP(Wired
 Equivalent Privacy)。依据无线设备厂商对于所属不同的无线设
 备产品规格,WEP的加密程度大略可分为40-bit长度的加密金钥与
 24-bit长度的初始向量(简称64-bit WEP加密)以及104-bit长度
 的加密金钥与24-bit长度的初始向量(简称128-bit WEP加密)这
 两种。过去几个月以来,已经有许许多多的研究显示,WEP锁定的
 加密方式并不够安全,像是Scott Fluhrer、Istak Mantin、Adi
 Shamir三人所提出的『Weakness in th eKey Scheduling Algorithm
 of RC4』,在这篇研究报告中便提出了一个方法,可以截听无线电
 波,从中找出WEP用来加密的金钥,并进而可以假造任一无线网路
 的封包。

 在上一篇研究报告发表不久之后,有一个名为『AirSnort』的程
 式出现在网际网路上(http://airsnort.sourceforge.net)。
 AiroSnort是利用上篇报告中所提到的方式进行实做,其执行平台
 是Linux 2.4的核心程式,并且在一旁被动地截听其他无线网路设
 备所发射出来的无线电波。一般人谓子弹不长眼,子弹还是以直线
 方向行进,但是无线电波则是无方向性的,所以更容易被截听。依
 据AirSnort网站所发表的讯息显示,AirSnort在接收了100MB到1GB
 的网路流量后,可以在几秒钟之内就找出WEP用来加密的金钥。由于
 目前无线网路设备厂商在使用WEP的方式上都还是使用静态的加密
 金钥(也就是说一把钥匙用万万年),因此,要累积到这样多的网
 路流量并不是一件困难的事。

 即便WEP在理论上已经被证明使用静态的加密金钥无法提供足够的
 安全保证,但是最大的问题还不在于此,而是大部分的无线设备厂
 商在Access Point上并没有将WEP预设打开使用。这就有如将您家的
 大门关起来但是却不上锁一样,也就是每一个有心的人都可以顺手
 把门打开进入到您的家中逛一逛。在此,也许有人要问,那总是要
 去动动门把才知道有没有上锁啊!如同我们之前提过的,无线电波
 是没有方向性的,因此,有心者并不需要家家户户去转动人家的门
 把,而是只要将他的天线架设起来,等着收人家发出来的电波,就
 可以清础地知道谁家大门有没有加锁了(有没有使用WEP来加密无
 线网路资料流)。

 另一个跟无线网路有关的程式是NetStumbler
 (http://www.netstumbler.com),不过目前的NetStumbler只适用
 在Lucent Orinoco晶片组的无线网路卡上(Cisco、Intel、3Com等
 晶片组,目前NetStumbler都没有支援)。NetStumbler不但可以侦
 测802.11b的无线电讯号,并且可以找出Access Point的MAC位址、
 无线网路的名称、SSID、制造厂商、目前所使用的频道、有没有使
 用WEP加密技术、信号强度、乃至噪讯比,以及其他一些参数等等。
 除此之外,如果使用者有接上可以输出标准NMEA(National Marine
 Electronics Association)讯号的GPS设备时,NetSumbler也会同
 时将所在地的经纬度一并记录下来。更甚者,NetStumbler还可以即
 时显示与Access Point之间的信号强度。

 大部分的人都以为802.11b的无线电讯号只能存在于一个极短的
 有效范围之内,比方说50公尺左右。事实上,无线电波可以传播的
 更远些,只是传得愈远,其讯号强度则愈弱。而大部分电脑所使用
 的无线网路卡天线对于这样微小的无线电波已经无法侦测到了。然
 而,如果我们将无线网路卡的天线换成是高增益的天线时,比如说
 一个14dB的yagi天线,那么,无线网路卡便可以侦测到从遥远地方
 发射出来的无线电波了。像在这种情形下,如果没有事先做好一些
 规划和防范的措施,那你的网路的安全可能就要大打问号了。

 而为了避免像上述这样的情形发生,以下几点建议提供您作为规
 划无线网路时之参考:

 1.使用WEP加密协定
  虽然我门已经知道WEP加密协定并不安全,但是它可算是安全的第
 一道防线。同时,它是在802.11b里定义好的,因此,所有通过WI-FI
 认证的802.11b设备都不需要另外增加或安装新的软硬体,就可以
 使用WEP(40-bit加密金钥的版本),只是超过半数以上的厂商对
 于WEP加密协定在出厂的预设值上是不启动的,因此使用者要特别
 注意自己的设备是否有将WEP加密协定打开。在实地调查里,超过
 一半的无线网路都没有使用WEP加密协定进行无线网路卡与存取站
 之间的资料传递加密,这就好像把你家大门打开开一样,邀请所有
 的人到你家走走逛逛。虽然WEP并不安全,但是有门总比没有门要
 来得好,检查你的WEP加密有没有设定好是你应该要去注意第一件
 事。

 2.更换无线设备出厂之预设SSID
 也许您会对此感到惊讶,然而世界上就是会有像这样教人无法置
 信的事情发生。此即,有太多的厂商安装人员或网路的管理人员
 对于所安装上去的无线网路设备仅是一知半解,抱持着『反正东
 西可以用就好了』旧有观念,对于无线网路架设的规划,事前也
 没有做好。如果连SSID这种基本的设定也没有去更改,那么可能
 Access Point或是Wireless Router的密码也是预设的,其严重性
 便可想而知。另外,也不要将您的SSID取个太简单易猜测的名字,
 像是您公司的名称、部门名称、或是产品名称,这些都不是好名
 字,很容易被有心的人猜到,也不要使用一些地理位置来取SSID,
 像是街道名称或是建筑物名称,这些也不是好主意。

 4.关掉『SSID广播功能』
  在无线网路里,无线网路卡必须要和无线存取站使用相同的SSID
 才能互相沟通。但是如果您将Access Point的SSID广播功能启动,
 此时,存取站不管无线网路卡的SSID为何,都会允许它使用这台
 存取站。因此,切记关掉您的SSID广播功能。

 5.变更存取站的预设密码
 就算您已变更AccessPoint的SSID名称,但是像NetStumbler还是
 可以依据存取站的MAC位址,而找出设备的制造厂商。因此,如果
 您没有变更设备的预设密码,有心者仍是可以依据厂商的预设密
 码而得以进入您的无线区域网路中恣意而为。

 6.注意无线区域网路的涵盖范围
  如果您的无线区域网路只想部署在大楼内部,就要特别留意会不
 会有无线电波逸漏到大楼外面,而使得别人有机可趁。一般说来,
 如果只部署在建筑物内部时,通常会采用由建筑物内部(或中心)
 向外面做辐射状的方式来架设无线存取站(或桥接器),尤其需
 要注意部署在窗户或墙边的存取站,更要特别注意逸漏出去的无
 线电波强度是否强到足以让建筑物外面的人来使用。

 7.注意有没有异常的无线网路设备出现
  身为一个无线网路的管理者,您必须特别留心无线区域网路上的
 一些异常现象。尤其必须在隔一段时间之后,就做一次『site
 survey』。像NetStumbler是一个很好用的工具,它可以找出有哪
 些人偷偷把自己的Access Point加到您的无线区域网路中。由于
 无线网路设备已经是愈来愈便宜了,因此买的人相对地也是愈来
 愈多。不只是无线网路卡,内部其他人或其他单位也有可能去购
 买他们自己的无线网路存取设备,用来延伸或强化他们无线网路
 涵盖范围,或是扩增他们的无线网路频宽。但是这样却会增加管
 理者相当大的困扰,同时对于安全向的考量上也是一大挑战,因
 此经常检查是否有异常设备出现在您的无线区域网路里便变得特
 别重要。

 8.检查逸漏的无线电波强度
  经常性地,您可能需要找台装有无线网路卡的笔记型电脑到您的
 建筑物四周围走动一下,同时要记得先帮您的无线网路卡外加强
 一点的天线。尤其要注意的地方包括建筑物附近停车地点,或是
 隐密的地方,逐一检查这些地方是否可以接收到逸漏出来的无线
 电波以及强度。当然,或许这些逸漏的电波强度已经衰减到无法
 让一般无线网路卡使用,但是配上一支好一点的天线,还是有可
 能以1Mbps速度连上你的无线网路,别小看这小小的1Mbps,它已
 经足够让骇客玩上好一阵子了。

 9.用MAC位址来控制也是不错的方式
  如果管理政策许可,那么,利用锁定MAC位址的方式来管理那些无
 线网路卡当然是一个万无一失的方式。现在有很多新的无线网路
 存取设备都支援使用MAC位址来锁定可以使用的无线网路卡,有些
 是在存取站上设定可以使用的无线网路卡的卡号(MAC位址),有
 些则是在RADIUS伺服器上面设定哪些MAC位址的网路卡可以连上网
 路。唯这种方式有两点必须要注意:第一,是无线网路卡的MAC位
 址是可以假造的,所以您不能只靠这一层保护;第二,是如何更
 新MAC位址的问题。也就是当您的无线网路卡要新增的时候(或是
 暂时允许外来的卡加入你的无线网路里面的时候),您要如何来
 更新这些存取站的MAC位址列表。这些问题都是必须要先考虑清楚
 的,否则,您可能每天都会面临到只为了要加这些资料而被到处
 追着跑的窘境。

 10.使用RADIUS做进一步的使用者管理
  虽说RADIUS认证并没有包含在802.11b的标准里,不过有许多厂商
 都有在无线设备上面设计使用RADIUS进行存取验证。一些功能较
 强的Access Point可以设定成使用RADIUS伺服器来进行使用者的
 验证,让无线网路卡在接上无线网路之前,必须先透过Access
 Point完成RADIUS上的使用者帐号密码验证。如果无法通过,那么
 就表示无法连上无线网路。一般而言,使用RADIUS认证的方式都
 是以帐号和密码的方式来进行,不过某一些Access Point还可以
 配合RADIUS进行无线网路卡的MAC位址检查。

 11.让无线网路卡有固定的IP位址
 另一个可以考量的方向是让每一张无线网路卡都有一个固定的IP
 位址,换句话说,就是把DHCP配发IP位址的功能给取消。当然,
 这和上面锁定无线网路卡的MAC位址一样会增加管理上的负荷,但
 是却可以避免让外来的无线网路卡随便取的IP位址。此外,还有
 一点需注意的是,如果您的无线网路存取设备本身的功能不差,
 既可以当成是Router也可以当成是NAT伺服器,此时,建议您将一
 些预设值也一起加以修改,比如原来的NAT虚拟网路段可能是
 192.168.1.0/24 ,那么,您可以考虑将其换成192.168.100.0/24,
 或是其他的虚拟网路段,以避免别人在知道厂商的预设网路段时,
 随便找个IP位址试试就可以立刻使用。

 12.无线网路设备选购的考量
 我们已经知道WEP并不安全,尤其64-bit(40-bit 加密金钥)的
 WEP比较起128-bit更在是不堪一击,因此,选购无线网路设备时,
 记得避免购买只支援64-bit WEP的无线网路设备。如果您已经买
 了只有64-bit WEP的无线网路设备,那么试者找找看有没有新的
 驱动程式(有些卡只需要更新驱动程式即可以使用128-bit WEP)。
 另外,记得尽可能购买可以更新韧体的设备,有韧体的更新,才
 能确保您的设备可以继续跟上标准。现今还有许多和安全相关的
 标准正在发展之中,如果您的韧体无法更新,相对地也就宣告了
 以后没有办法升级的命运了。

 13.非标准的功能强化
  有些厂商也意识到802.11b所定义的安全机制没有办法做到很好的
 保护,而在自己的产品里提出一些非标准化的功能强化。比如说
 ORiNOCO这个晶片组的设计厂商Agere System,就提出一个强化
 SSID保护功能的方式,并在这系列的无线网路设备里进行实作。
 ORiNOCO的这个方式称为『Closed Network』,它让Access Point
 不要主动广播SSID,因此,像是NetStumbler之类的软体就无法得
 知Access Point的SSID,也因为它不会广播SSID,所以无线网卡
 上面就必须靠使用者以手动风式将正确的SSID输入,然后才能和
 Access Point建立连线。

  且不论您是否已经拥有或正在寻找无线网路的解决方案,像是这
 类厂商特殊的功能,也可以列为您考虑的因素之内。当然,前提
 是您必须注意会不会有和其他设备产生不相容的情形发生。

 结语

 由于成本的不断降低和技术的日益普及化,有愈来喻多的厂商相
 继投入生产无线网路的设备的行列,因此,无线网路的普遍化应用
 相信是指日可待的!使用者如果计画要选购无线网路的产品,建议
 不妨多加比较。目前,市面的无线网路设备功能愈见新颖,部份内
 建了NAT,有些则整合成一个小HUB,甚至还有些是可以外接印表机
 当成分享器来使用的。本文的主要用意在于,不论您选择了哪些无
 线网路设备,都希望您能在享受科技发展所带来的便利之余,也要
 留意其伴随而来的相关安全问题。


[ 此文章被蓝色天空在2005-03-01 08:05重新编辑 ]



献花 x0 回到顶端 [楼 主] From:台湾台湾索尼 | Posted:2005-02-27 13:03 |
gogowe2002
数位造型
个人文章 个人相簿 个人日记 个人地图
小人物
级别: 小人物 该用户目前不上站
推文 x0 鲜花 x3
分享: 转寄此文章 Facebook Plurk Twitter 复制连结到剪贴簿 转换为繁体 转换为简体 载入图片

感谢您的分享....不知无线网路您研究到什么地步了
以上所讲的数项功能您都可以破解吗.......thanks


献花 x0 回到顶端 [1 楼] From:台湾中华电信 | Posted:2005-03-18 23:17 |

首页  发表文章 发表投票 回覆文章
Powered by PHPWind v1.3.6
Copyright © 2003-04 PHPWind
Processed in 0.020272 second(s),query:16 Gzip disabled
本站由 瀛睿律师事务所 担任常年法律顾问 | 免责声明 | 本网站已依台湾网站内容分级规定处理 | 连络我们 | 访客留言