無線區域網路安全面面觀

企業安全防護向來是企業管理者最重視的項目，卻也是資訊技術人員最頭痛的問題，尤其是在有線與無線上網人數已超過十億人口之後。北電網絡（Nortel Networks）臺灣區總經理吳振生就引用數據指出，2003年全年，全球企業安全因為防護不徹底所造成的企業損失，大約在550億美金，而在受訪的一千位CIO中，至少有85％以上認為，過去一年，企業的網路安全曾經蒙受了嚴重的損害。黑帽子與白帽子的戰爭

所謂的黑帽子（black hat）與白帽子（white hat）是對駭客的稱呼。全世界稱得上是黑帽子大約有三百位，這些駭客的功力高深莫測，只要新的系統或軟體出來，就會想盡辦法並惡意去破壞。而白帽子的任務就是去捉這些黑帽子，但是，卻總是只有苦苦追趕的份。然而，在九一一之後，網路安全受到格外關注，是因為有傳言恐怖份子高價收買了這些黑帽子，進行對各國的國防系統與金融系統的破壞。

不僅是外來的攻擊，其實因為內部員工導致網路安全蒙受損失也佔了高達70％的比例。而且，根據IDC資料統計，2006年時，整個資訊安全市場可達到450億美金的規模。因此，企業在做網路安全系統防護時，要能兼顧防止來自外部駭客與內部員工對安全造成的損傷。

安全是一個政策問題 無線網路方面的安全性，《經濟學人》所做的調查顯示，反映出一個現象，就是無線網路從個人市場漸過渡到企業市場。很多CIO認為，無線網路可以為商場往來時注入更多便利及生產力，但是，這個背後也浮現一個危機，也就是無線網路安全問題也逐漸被曝露出來。

北電網路大中華區乙太交換事業部產品行銷經理Ronald Hui說，從乙太網到無線網路，就像是拆掉了疆界，這個界線消失後，很多人就可以接觸你的網路，WEP只是最基本的防護，只要安全的防護有了一點點漏洞，駭客們就可以輕易地長驅直入，得到企業內部的機密與資料。

他認為，安全是一個政策的問題（Security is about policy.），因此要從WEP去做修改，而802.11i就是將老一代安全功能的WEP作改進而衍生的標準。例如：將原本WEP靜態功能增強為TKIP（Temporal Key Integrity Protocol），還有偵測封包改動的MIC（Message Integrity Check），新的標準可以將更動的資料顯示，讓資訊人員處理。

另外，加密的部份也會增加AES（Advanced Encryption Standard）。「以後，在支援802.11i的產品，安全等級也較高，而WPA僅是介於WEP與802.11i之間的過渡標準。」Hui說。

透過VPN來做企業無線區域網路的安全防護，也是另外一個不錯的管道。Hui說，把VPN加入第三層的無線網路，企業安全也可以得到保護，有些Security Switch都已經具備這樣的功能。大部分產品都是IPSec，是較成熟的安全機制，而有些產品則是利用browser來作SSL VPN處理安全問題，兩者採用是以用戶喜好決定。

VPN在三面向提供安全性，一個是用戶認證，用戶連上網時要提供身分認證，二是用戶要進到企業網路時，身分要經過企業安全網關，三是資料是確認來自有加密的設備。主動積極，管理更有效率！

有時候，AP發出無線訊號，可能會跑出公司的範圍，說不定隔壁就有人正在使用你公司的無線網路。這時就需要使用外部天線來控制無線訊號的範圍，將訊號保留在自家公司裡的環境，減少別人連進公司的機會。

另外，有時干擾、沒有授權的AP，或是點對點之間的無線網路傳輸，也都會造成安全上的漏洞。「因此，企業在採用無線網路的系統時，最重要的是可以讓MIS知道訊號的情形、查出干擾、偵查到沒有授權的AP，在了解整體環境情形之後，進行管理才會更有效率。」Hui說。

要如何更加積極地去控制AP的管理？Hui表示，在處理每一個AP時，MIS可為內部員工AP標出位置，或將來源不明的AP進行管制，就可以較積極去保護無線網路的安全。另外，在沒有乙太網路的室外環境，可以透過網狀網路（Mesh Networks）來建立無線網路的環境。