結合VPN建立安全的無線網路通道

在最近的SARS衝擊以及駭客攻擊警報中，VPN又重新引起熱烈的討論，但是大多數的討論僅僅是針對有線網路上的安全防護與保密機制，並沒有考量到無線網路的問題。但是事實上，根據無線網路的傳播特性，無線網路環境反而比有線網路更需要使用VPN通道，作為資訊傳遞時的安全防護層。

在有線網路上，我們可以利用防火牆機制防禦外界入侵者，並且只要維護好實體網路線路，除了內部潛在攻擊者造成的危害之外，外部攻擊者能夠入侵企業內部網路的機會相當低。但是在無線網路中，每個能夠接收到無線基地臺訊號的使用者，都是可能的潛在攻擊者。

有的攻擊者會主動入侵無線網路，試圖取得網際網路服務或機密資料，有的攻擊者則是默默地埋伏在一旁，僅是被動的竊聽無線網路上傳遞的資訊。不管攻擊者的類型為何，只要能夠截取在空氣中傳遞的資訊，對企業都會有一定程度的危害。現在一般所使用的WEP加密機制，已經被證實是不安全的加密方式，也因此除了改良現有的加密機制外，架設能夠保障無線網路傳遞的通道也是另一種可行方案。

在無線網路上使用VPN，要保全的不見得是整個傳遞路徑，最重要的路徑是用戶端到基地臺之間的資料傳遞，避免攻擊者截取資訊後，經過破解即可收集到必要資訊，入侵或破壞企業重要資訊與伺服器，同時也能夠避免未經加密的資訊，遭到攻擊者的竄改。

可行的作法是在基地臺後端，加裝一臺IPsec VPN閘道器，而用戶端利用VPN軟體加密傳輸的資料，用戶端與基地臺之間可以利用WEP加密傳輸資料。使用這種作法可以達到雙重保護的功效，但是傳輸效能卻會明顯降低，也會有漫遊（Roaming）上面的問題。

傳統上使用VPN，相連接的各點都是不需要移動的，但是轉移到無線網路的時候，這種作法就會產生一定的問題。因為使用者要連接VPN就必須經過身分認證及加密，才能享有VPN的功能。

在實體網路上，使用者並不會因為移動而感到任何的困擾；但是在無線網路環境中，使用者時常會漫遊到其他基地臺的訊號範圍，當接續的訊號點切換時，使用者就必須要重新認證身分，才能繼續使用VPN，這點是在無線網路使用VPN最大的問題。

因此，在無線網路環境中，可以考慮只在開啟無線連線與傳遞重要的機密文件時使用VPN，雖然會導致安全性的降低，但是對於大部分的使用者而言，會是較為方便的作法。文⊙羅健豪Bluesocket無線閘道器

BlueSocket無線網路閘道器可以整合Windows網域登入，並且能夠支援本機、LDAP、RADIUS伺服器，提供身分認證功能，另外也支援802.1x 身分認證、一次性密碼認證及MAC address認證等功能。並且具有數位簽證的功能，提供資料額外的保障。能夠提供使用者多重安全層級的設定，讓具有安全隱憂的使用者不至於侵入企業網路。還可以支援Windows、Mac OS、Linux、PDA及Tablet PC等不同平臺，提供良好的相容性。

Bluesocket採用Master/Slave架構，能夠提供集中式管理功能，僅需要設定Master主機，所有的設定就能夠自動派送至Slave，能夠節省在設定上的時間與成本。

內建VPN功能，使用者傳遞經過身分認證之後的資料時，也不需擔憂資料被擷取的問題。能夠支援各種VPN客戶端，已建置VPN環境的企業，可以無縫地將網路升級。針對不安全的WEP加密機制，Bluesocket可提供256位元的AES、3DES及PPTP等不同的加密功能，替代WEP加密，也能夠讓各個群組使用不同的加密機制，提升安全性。而根據VPN的特性，也能夠使用QoS與CoS調整頻寬分配。

Bluesocket可以突破VPN傳統上的限制，使用者漫遊至其他網域時，各Bluesocket間能夠彼此交換認證訊息，使得VPN通道可以在短時間之內重新建立起來，使用者不需要重新輸入帳號密碼以建立VPN安全通道，並且使用者不會察覺速度有任何差異。

管理人員可以使用Web介面、命令列與SNMP管理Bluesocket。對於未經認證的使用者，Bluesocket可以轉向到受管制的區域，訪客可以等候管理人員提供對應的認證層級，而攻擊者則被限制在該區域內不會造成損失。文⊙羅健豪