1月中旬,臺中市首次破獲利用無線溢波盜接上網、入侵網路銀行的盜領案,主嫌利用無線網路的漏洞、及大眾忽略無線安全防制等問題,盜用多位使用者的帳號,並破解網路銀行的安全認證系統,犯罪手法除了架設十多公尺的天線攔截無線訊號外,更利用筆記型電腦的無線上網,在市區搜尋未經安全加密的無線基地臺,透過他人的網路入侵銀行帳號系統,由於不易追查入侵來源,很難回溯入侵當時的情況,更無法即時防止入侵行為,國外則稱這類型犯罪為War Diver。若沒有保護無線訊號的安全,歹徒可以從空中攔截無線訊號,並使用別人的網路位置,盜用網路資源,無線上網的用戶常常成為代罪羔羊。
近兩年來無線網路普及迅速,Infonetics Research指出,2004第3季到第4季,無線設備出貨率就成長約30%,預計2007年無線設備將帶動37億美元商機,但一般人依然無法信任無線網路的安全性,大多認為WPE容易破解,無線訊號加密方式太薄弱,但是實際上,安全的無線網路環境除了確保無線基地臺端的加密方式外,更必須延伸至保護整體無線網路空間,分析每個無線封包的內容,確保無線上網的行為模式,以提供安全的無線環境。非法無線基地臺現身
非法的無線基地臺(Access Point,簡稱AP)常造成管理無線網路的漏洞,由於現在的無線基地臺大多輕薄小巧,網管人員很難確實掌握私架的無線基地臺,員工大多也是為了便利性才使用無線網路,並不是以入侵為目的,但有心人事則可利用管理之外的漏洞,神不知、鬼不覺入侵企業網路。
企業大多願意採購眾多設備(例如防火牆、IDS等),以防止從網際網路來的威脅,確保公司內部的安全,然而無線基地臺反而在安全的內部網路,開啟一道無形的後門,雖然有些公司使用無線網路閘道器結合認證伺服器,以確保人員認證的過程,但駭客只要長時間監控,依然可以突破使用者名稱及密碼的防線,盜用公司內部資源,竊取重要資料,雖然網管人員有其他應變的方法,但效果依然有限,我們整理幾種管理方法,提供參考。
筆記型電腦手動偵查法
筆記型電腦是一般最常使用偵測無線網路的方法,網管人員大多隨身攜帶1臺具有無線網卡的筆記型電腦,透過無線網卡偵測無線基地臺的名稱,藉由名稱(SSID)判斷是否為合法無線基地臺,如果為不合法,再利用電腦偵測的訊號強度,手動尋找有問題的無線基地臺。某家資訊大廠無線網路管理人員表示,雖然公司明定不能私架設無線基地臺,但公司規模龐大,又有研發、測試等部門,員工大多會自行架設,很難管理這些非經認可無線訊號,而且無法立即查覺無線訊號的存在,必須等到員工發現無線基地臺的訊號不穩定、主動尋找網管人員解決時,才則會帶著筆記型電腦到當地實際考查、測試無線訊號強度,若發現非法的無線基地臺名稱,則依據訊號強度,手動偵查無線來源,然而這家公司只有1位專職負責管理無線網路的人員,平日的事情繁瑣,手動偵查的方式很費時費力,因此大多睜一隻眼、閉一隻眼,等到問題嚴重才處理。
封鎖交換器連接埠法
除了使用筆記型電腦手動偵查的方式外,也可以配合封鎖交換器連接埠的方法,適合應用在網路環境較單純的地方,也就是先透過筆記型電腦偵查非法無線基地臺的名稱,再分析這臺無線基地臺可能連接的連接埠,直接到交換器端封鎖連接埠流量,常應用在由外包商負責管理公司網路時。某臺北公立醫院的資訊部門採外包方式,有定點人員專職管理網路,除了定時測試網路連線及設備是否正常運作外,也會測試是否有無線訊號(醫院禁止使用無線網路,防止與醫療設備相衝突),若發現有無線訊號,則立即封鎖連接的交換器連接埠。因為醫院網路環境較單純,外包公司能確實掌握每間辦公室網路連接埠的作用,若發現無線訊號,能立即查詢哪個交換器的連接埠有不正常運作,馬上封鎖連接埠運作,禁止資料傳輸。
但是如果公司網路較複雜,網管人員就不易容使用封鎖連接埠的方式來管理。HP臺灣分公司目前也是採用封鎖交換器連接埠的方法,並且搭配OpenView系列產品,利用網管工具分析交換器流量,如果流量異常,則自動封鎖交換器的連接埠,只是這種方式必須搭配額外網管工具,通常必須流量到一定程度後,才會封鎖連接埠運作,然而駭客透過無線網路入侵公司內部網路時,不一定使用DoS攻擊(發送大量封包),而且HP除了採用OpenView外,每臺電腦還額外安裝安全加密軟體,以確保資料安全性。這種方式必須搭配多種防護措施,管理上也較複雜。
資產管理設備法
我們也可以從有線網路的架構搜尋非法無線基地臺,這種方式大多藉由資產管理系統輔助。資產管理系統可以即時偵測掃描目前有線網路環境內的設備,若有設備更動情形,可立即通知網管人員,即時處理設備問題,只是目前資產管理系統多採用Client-Server架構,用戶端必安裝監控程式,才能監控無線網卡,而且無法監控一般無線基地臺設備(寰震科技的PC main預計下一版將能支援監控無線基地臺設備),若還要讓資產管理系統立即偵測無線網卡啟動的模式(Ad Hoc或無線擷取模式),將會占用大量頻寬,反而對有線網路造成負擔,因此就算有支援偵查無線網卡模式,網管人員也不會啟動即時監控模式,大多採用定時排程掃描,然而定時的方式,卻無法立即反應並抑止可能的入侵行為。從無線反制無線
目前大多數的公司都從有線網路的思維管理無線網路環境,但這些方式只能防止公司內部無線網路的問題,而且手動的方式,反而增加網管人員的負荷,因此,如果要有效防止非法無線基地臺所發射的訊號,最好的方式必須從無線環境的思維出發,因為無線訊號是朝向四面八方發散,必須從四面八方防堵無線訊號,才能有效管理無線安全。
非法的無線基地臺除了公司內部外,也包含公司外部的設備,因為只要啟動無線基地臺,無線訊號會自行向空氣四周散射,無法區隔成公司內、外部。管理無線網路必須橫越實體層面,在無形的空氣中,建構一道安全的防火牆,保護公司內部安全。從無線反制無線是近來興起的觀念,雖然國外已經有多種解決方式,但目前臺灣對於無線安全的概念依然停滯在WEP等問題,尚未從整體無線環境下手。
目前從整體無線管理角度著手的的方法,可分單一型監控與整合型管理兩種,單一型大多從安全角度出發,分析無線環境的設備及訊號流量,整合型則從無線基地臺的角度出發,除了具有單一型產品的特性外,更負責無線訊號傳輸的角色。
單一型無線監控
單一型無線監控以AirMagnet、AirDefense及BlueSecure IDS為代表,這類型產品主要是Listen(聽)無線訊號,不主動發送無線訊號,因為只要無線基地臺與無線擷取裝置取得連繫,便會主動發送無線訊號,單一型產品便能從中擷取訊號,分析封包是否加密、是否有安全性疑慮、或不正常傳輸情況,能即時分析封包內容及流量,主動通知網管人員有問題的設備。
目前單一型無線監控產品可分為分散型及手提型兩種,手提型可安裝在筆記型或掌上型電腦中,必須採用特定的無線網卡,透過無線網卡擷取無線封包,並利用軟體自動分析無線網路的問題,然後告知網管人員,手提型的成本較低,但受限於無線網卡的功率,網管人員必須主動巡邏公司的無線環境。
分散型則提供類似無線基地臺的硬體感應器裝置,能部署在公司環境中,提供不間斷監控無線網路服務,而且現在這類型產品除了聽無線封包流量外,若發現惡意發射訊號的無線基地臺,更可以主動發送干擾電波,防制惡意攻擊。
整合型無線管理
整合型無線管理以Aruba及Airespace為代表,也可視為WLAN交換器,這類型產品採用Thin AP架構,由WLAN交換器負責無線環境的監控及傳輸運作,無線基地臺只單純傳輸無線訊號,能提供無線網路集中管理能力。這類型產品大約可分為無線訊號管理、認證伺服器管理、及入侵防護系統等3部分(單一型無線監控設備大多著重在無線訊號管理或入侵防護系統),能整合無線網路管理,只是價格較高,除了必須採購硬體WLAN交換器外,也必須採用同品牌的無線基地臺,適合應用在剛部署無線環境的公司,如果公司已經擁有無線環境,建議使用單一型無線監控設備。
整合型無線管理產品的無線基地臺也可以設定為資料傳輸或監控模式,若設定為監控模式,則類似單一型無線監控設備的功能;若設定為傳輸模式,則類似一般無線基地臺功能,只是WLAN交換器還能整合QoS、負責平衡、無線閘道器等功能。以上設備大多不需要更改現有網路環境,能節省偵查的時間,並有效即時發掘非法無線基地臺,減少管理無線網路的負擔。
管理無線必須從無線下手,雖然企業不一定會額外採購無線管理設備,但至少必須確認管制內無線基地臺的安全,不是基地臺使用WEP加密後,就天下太平,但駭客經過長時間偵測WEP,依然可能反解譯內容,企業還是必須定時更換密碼,以確保無線網路安全。非法無線基地臺的類型
非法無線基地臺可分為內部與外部兩種(依據架設在公司內部或外部),一般認為只要在公司架設無線閘道器及認證伺服器,即可解決非法無線基地臺的問題,圖1為當公司內部存在非法無線基地臺時,駭客可能盜取帳號及密碼的入侵方式。
外部非法無線基地臺則可稱為Evil Twin,類似釣魚的方式,如圖所示,仿照公司內部合法的無線基地臺的名稱。
除了上述兩種外,無線網卡的Ad Hoc也是常見的方式,筆記型電腦大多配有無線網卡,Windows XP預設會自動搜尋無線基地臺,會依據上次連線記錄重新導入無線網路,使用者在不知不覺下,又將筆記型電腦連線到公司有線網路,則筆記型電腦成為連接有線與無線網路的橋樑,駭客就能從無線網路透過筆記型電腦連結到公司內部網路。
1、駭客發現公司內部非法無線基地臺,並用arp指令查詢無線基地臺與無線閘道器,最後傳送De-authentication封包到用戶端。
2、用戶端透過無線基地臺,重新傳送認證資料與認證伺服器確認。
3、在重新認證過程中,駭客可從無線基地臺竊取共享金鑰。
4、確定認證後,用戶端透過無線基地臺傳送帳號及密碼到認證伺服器。
5、駭客則可以發現使用者資料及動態WEP密碼,並盜用合法身分入侵公司網路。
1、使用者本來要連線到公司內部合法無線基地臺。
2、公司外部有另一臺無線基地臺採用相同SSID,而且功率較強,使用者不知不覺下,便輸入使用者帳號及密碼。
3、駭客取得帳號及密碼後,便可自由出入公司網路,利用別人的帳號盜用網路資源,員工常成為受害者。
熱門新聞
2025-12-12
2025-12-12
2025-12-12
2025-12-12
2025-12-12
2025-12-12