5款無線網路安全監控產品採購大特輯

無線網路風潮近年來愈演愈盛，無論是政府、學術單位、或企業都看好這市場，大力進軍無線網路（Wireless LAN）版圖，希望能在這市場佔有一席之地。IDC曾有研究指出，2003年無線區域網路設備市場在亞太地區（日本除外）銷售成長67%，主要因為亞太各國積極建置公眾熱點（Public Hotspots），以及消費者對無線區域網路的需求增加。2003年亞太地區無線區域網路的市場規模總計超過2億5000萬美元，預計2004年將高達3億3800萬美元，但是一般企業採用無線區域網路的需求速度，卻遠低於一般所預期，IDC認為企業對於無線區域網路仍存有許多疑慮，因而對於採購無線交換機等設備保持觀望態度。無線網路的安全問題難掌控

有線網路的設備可以利用線路找尋設備資訊，封包加密較完整，如果有人從線路中竊取資訊，至少還有軌跡可尋，無論是管理、安全、記錄資訊較為方便，然而無線網路的環境就複雜許多。

無線網路的安全問題是最令人企業擔心的原因，由於無線電波摸不著，透過空氣傳遞訊號，只要架設發射訊號的儀器，無論在公司內哪個節點，都能傳遞無線訊號，另外使用接收無線訊號的儀器，只要在訊號範圍內，就算在公司圍牆外，都能擷取訊號資訊，沒有線路可以依循，管理無線網路安全維護比有線網路更困難。

現在市場上無線區域網路的規格以802.11a/b/g為主，主要由IEEE與Wi-Fi制定無線區域網路的相關規格，從20多年前的AX.25發展至今的IEEE 802系列，技術規格不斷推陳出新，現在802.11x系列更用不同字母，代表不同傳輸距離、功率、安全性等內容，當初還加入WEP資料加密的設計，但是2001年美國加州柏克萊大學3名研究人員發現WEP編碼的重大漏洞，還有3位密碼學家指出了RC4編碼的缺點，而RC4正是WEP的基礎。由於WEP設計不周全，大多數的廠商也因應WEP的漏洞，都加強資料傳輸的安全技術，但是似乎都還沒解決無線區域網路的疑惑。

現在無線基地臺的應用也更加普及，約1000多元就能購買，員工只需要架設在公司網路上，馬上能提供無線網路服務，此外現在還有軟體式的無線基地臺，只要一臺電腦搭配無線網卡，透過軟體模擬，就能當無線基地臺使用，此外Window XP也內建無線網路功能，只要安裝Windows XP與無線網卡，電腦就搖身一變成為Ad Hoc，也能傳遞無線訊號。如果需要無線網路的人，可以使用各種方式架構無線基地臺，而網管人員大多不知道。這類私自架設無線網路設備，無形中已經敞開企業大門，加上無線電波沒有線路可以依循管理，管理上的漏洞，更降低企業採購的意願。雖然企業害怕使用無線網路，但是無線網路提供絕佳的方便性、機動性等優勢是有線網路無法比擬的優點。監控無線網路

對於網管人員來說，必需了解企業內網路設備的資訊，對所有網路設備要瞭若指掌，才能有效管理網路，效捍衛企業安全。只是管理無線網路更困難，網管人員不容易管理無線網路的設備，員工也不會自動告知有在使用無線網路。

監控無線網路就如同管理有線線路，藉由監控無線封包的資訊，管控無線網路的使用情況，目前市面有一種監控無線網路安全的工具，例如AirDefense、AirMagnet、Netasyst Wireless等，能即時監聽無線網路封包，並分析封包資料，判斷無線訊號的正當性，自動告知網管人員無線網路的情況，提供管理無線網路的利器。

其中NetStumbler是一套免費又簡單的偵測無線網路工具，能即時偵測無線網路封包，並分析Signal、Noise、Beacon等數據，NetStumbler也有提供封包過濾器的功能，能過濾分析無線網路的狀況，並從數據資料中發掘是否有不正常的訊號，是否有人攻擊無線網路，只是NetStumbler必需採用支援OriNOCO晶片的無線網路卡，而且NetStumbler只提供基礎的數據資料，網管人員必需自行評斷無線封包的功能，小規模的企業也許足夠需求，但是對於管理中大型企業的網管人員，必需提供更方便、更自動化的監控產品，才能有效監控無線訊號，並且減少網管人員的負擔壓力。檢視重要功能事項

無線網路安全監控的工具，從蒐集無線電波，到分析封包資料，提供企業即時監控無線網路功能，並掌控網域中行動裝置的合法性，因為只有單純偵測功能，無法察覺是否有入侵者或員工濫用無線網路，必需搭配監控功能，才能描繪無線網路監連線圖，提供網管人員更自動化的監控方式。這類型的產品功能差異頗大，以下提出幾點不同區隔，能更清楚了解這類型產品的功能。

軟體vs.硬體感應器
無線網路安全監控工具必需搭配擷取封包設備，才能擷取無線資訊，擷取封包設備能接收無線網路中所有的封包資訊，回傳給分析工具，分析無線網路環境，擷取封包設備約可分為軟體和硬體感應器兩種。軟體式可以安裝在筆記型、及掌上型電腦，使用無線網卡接收無線電波，具有便利性與高度移動性的特質，網管人員可以移動監控企圖網路環境，適用於環境中存在許多會防礙無線電波的障礙物，能將監控產品移動到訊號死角處，偵測無線設備的存在。此外，也能安裝在一般電腦或伺服器（配合無線網卡），提供定點監控功能，但是礙於無線網卡的功率限制，偵測的範圍依據各家網卡的功率不同而有差異。

硬體感應器多採用Linux作業系統，類似一臺無線基地臺，有些只提供純聽功能（例如AiroPeek NX的RFGrabber），有些能主動發送偵測封包（如AirMagnet Distributed、AirDefense），只能定點監控，但是具有高功率的優點，我們在5樓架設硬體感應器，連11樓的無線基地臺訊號都能擷取，約一層樓架設一個硬體感應就能覆蓋上下樓層的訊號範圍，建置方便容易，而且能24小時全天候監控，定時監控並回報無線網路問題，只需要登入管理伺服器，就能集中監控管理無線電波，但是價格較高。

分析資訊vs.解析封包
監控只能了解網路情況，但是網管人員工作忙碌，無線網路安全監控工具必需自動分析擷取的無線封包，提供分析的數據資料，才能提供網管人員方便的管理方式。每家無線網路安全監控工具的功能都不太相同，有些著重在分析資訊層次，有些著重在解析封包的產品，但是並非分析資訊與解析封包是兩個分開的產品定位，多數的產品會橫跨兩類功能，只是著重的多寡不同，致使功能差異。

分析資訊層次的產品操作較方便，提供直覺式警示資訊，拆解擷取的無線封包後，根據內定的臨介值標準，自動產生警示資訊，而且警示資訊還會自動區分為安全議題、效能問題、或系統問題等，網管人員能馬上了解目前無線網路情況。

著重在解析封包的產品，操作較困難，但是解析封包的功能強大，能分析無線封包的標題、通訊協定、及程式應用等，輸入WEP密鑰後，依然可以還原封包內容，網管人員可從封包細節資訊中，找出駭客入侵的資訊。

無線網卡
硬體感應器本身的硬體設計，從天線、晶片、到分析儀器，都是專門為無線網路安全監控設計，所有的系統及設備調校，已經設定在最佳的狀況中（高功率的優點），不需要額外設定，只要置放在監控的範圍即可。但是採用軟體式的無線網路安全監控工具，大多需要安裝無線網卡，作業系統多採用Windows系統，系統調校並非針對無線網路安全監控工具設計，因此必搭配該產品指定的無線網卡，並且只能使用指定的驅動程式，就算無線網卡有新版的驅動程式也不能使用，以確保系統、程式、與無線網卡間能保持最佳配合狀況。

整合有線管理
從管理層面來看，無線管理和有線管理同等重要，因此這類產品有傾向整合有線管理的趨勢。有些產品本身就整合無線與有線管理，輸入不同序號，則提供不同版本功能（例如Netasyst Wireless）。有些產品在有線及無線管理架構上，再加一層管理機制（例如AiroPeek NX），還有的產品並非以管理為訴求，而以即時網路障礙、問題排除為考量，外加無線監控模組（例如OptiView WNA）。

整合有線與無線管理的優點是能統一管理，但是如果公司本身已經擁有有線管理的系統，還要採購整合式產品並不是很合適，也許可以考量採用SMNP協定串連有線管理系統（例如AirMagnet Distributed）。無線網路安全監控工具提供各種整合有線管理的機制，方便統整所有管理系統。

價格
軟體的無線網路安全監控工具的授權方式，無論安裝在一般電腦定點監控或筆記型電腦移動監控，價格都相同，可以單一軟體採購，或向代理商採購整臺電腦（已經安裝作業系統、無線網卡、及應用程式，不用分開採購）。硬體感應器則必需採購伺服器與感應器，價格較高，其中AirMagnet Distributed的授權方式，除了輸入受權碼外，還要上網註冊網卡的Mac Address位址，如果網卡遺失或損壞，重新購買網卡後，必需上網重新註冊。總體而言，無線網路安全監控工具的價格並不低，約10幾萬，雖然一般公司有需求，但是價格太高，一直是採購的門檻。WEP的問題

目前WEP大多使用64與128位元等2種編碼大小，其中包含24位元的初始向量（Initialization Vector）與實際秘密鍵值（40與104位元）。40位元編碼模式就是64位元編碼方式。WEP主要的元件是RC4，RC4是對稱的加密方式，WEP使用相同的鑰匙加密與解密，通常使用者會使用相同樣的加密鍵值，與不同的IV值，避免封包使用同樣WEP隨機產生的RC4內容，提供單一的密鑰，但是WEP並沒有考慮到秘密鍵值的管理方式，只要求無線網卡與無線基地臺必須使用同樣的演算法則。

封包送出之前，會經過一個IC（Integrity Check），產生一個驗證碼，目的是避免駭客竄改傳輸過程中的資料，RC4會在秘密鍵值與IV中，產生一個keystream，將IC值與資訊進行互斥運算（XOR），IV會先用一般文字的方式傳送，然後才傳送加密資料。

但是IV值的變化不夠多，當IV值用完時，並沒有機制可以改變秘密鍵值，長時間監視後，能偵測出重複的秘密鍵值，而且記錄兩個使用同樣IV封包，再加以互斥運算，還能得到IV值，然後算出RC4值，最後再互斥運算IV、秘密鍵值、及RC4的keystream，就可以將資料還原。一般WEP可以使用4組秘密鍵值，然而大多數的使用者都只使用1組。

管理與監控
監控的目的是確保安全的無線網路環境，但是企業在建制無線網路時，不一定從監控著手，以宏碁為例，當初環境的建制，主要考量管理網路機制的方便性，有線與無線只是中介媒體，後端管理系統提供認證、授權、管理、及帳務（AAAA）等管理機制為主，後端系統透過線路監控，依然可以偵測無線基地臺的狀況，從管理機制延伸的監控方式。

中小企業多考量方便性而建制無線網路環境，建制完成後，才回頭考量管理性的問題，但是像SI、大型企業、或竹科園區中新興的公司，現在先以監控安全及管理為優先考量，除了方便的管理機制外，更需要監控的工具，提高無線網路的安全性。企業無線區域網的安全性，有以管理為考量，或以監控為考量，兩種不同的思維，導致不同的採購方向。但這目前Airspace有意整合兩種思維的產品，但是由於技術差異大，只能提企業基本的功能。文⊙蘇碩鈞