無線網路安全再強化

無線網路帶來的方便性是無庸置疑，特別在企業環境下，員工、訪客在公司範圍中來回往返，更是提供連結網路的重要媒介，但管理上卻很麻煩因為無線網路透過無線電波傳遞訊號，只要在電波能接取範圍內，就能存取網路資源，無論是惡意攻擊、無意連結或合法授權，網管人員不容易規範，難以政策管理用戶登入無線網路。

不易追查攻擊來源
安全性是企業建置網路首要的考量重點，在公司區域網路與網際網路的連結中，無論透過流量監控、訊號偵測或安全系統，都能讀取有線網路中流竄的資訊，再透過相關產品及技術（例如防火牆、閘道器及入侵偵測/防禦）收集、擷取、分析並提供報告給網管人員了解，最後制定適合的管理政策，如此不斷循環地提升管理及安全等層面。但這些設備都以防護區域網路與網際網路之間、或伺服器端與用戶端電腦之間，然而無線網路則能突破這些安全防線，盜取企業重要資源，而且不易即時防護。

無線網路入侵偵測/防禦系統（Wireless IDS/IPS）能防禦無線網路中大部分的攻擊事件，依據無線網路的特點，以無線反制無線，擷取範圍內無線封包，並分析內容是否有安全議題，最後提供管理人員參考依據，也能自定反擊政策，主動防禦無線網路的惡意攻擊，從網路連結端就阻擋攻擊行為，避免駭客入侵公司內部網路。

即時防護是管理重點
所有有線網路的攻擊行為，都能適用在無線網路外，無線溢波的問題更是難以管理的重點，因為只要在無線基地臺的訊號範圍內，就能針對無線基地臺發動攻擊模式，除了駭客外，用戶端電腦也可能在無意中安裝惡意程式，而不斷攻擊無線網路而完全不知，例如傳送大量空封包，阻礙無線基地臺的效能等。

另一種常見的模式是，用戶電腦無意間連結到其他無線基地臺，並收發資料，駭客則可以從該無線基地臺收集用戶資訊後，再模仿合法用戶權限，登入企業網路讀取資訊。

無論哪種攻擊模式，就算管理系統有訊息記錄檔，也無法追查實際來源，因為攻擊源頭只要在無線網路範圍中任何一點都能運作，已經突破空間限制，而且現在的筆記型電腦輕微小巧，更容易隨身攜帶，一旦離開網路範圍就能帶走重要資料。相較之下，無線網路的即時防護更為重要，必須在駭客開始攻擊的當下立即處理，並給予適當的回應處分，避免傷害到企業重要資源。

提供第一道無線安全關卡
原本即時防護、立即處理的網路防護是應用在入侵偵測/防禦系統（IDS/IPS）中，讓安全管理從被動化為主動，現在這個議題也進入無線網路中，而且相關產品大多同時具備主動偵測及防禦功能，更能有效防護無線網路帶來的問題。

入侵偵測/防禦系統部署在有線網路上，可分為In-Line及監控等模式，前者是架設在網路流量進出口位置，後者則從流量進出處，額外連出一條線路監控。前者的好處是能分析每個封包資料，提供完整訊息資訊，壞處是需要分析每個封包，可能造成網路效能變差；後者的好處是不會影響到網路效能，但卻可能有封包遺失的問題，導致無法全面分析網路流量。Wireless IDS/IPS較屬於監控模式，但卻是主動式防禦，會定時偵測無線網路，兼具In-Line的優點。

以多層式架構分散監控負擔
Wireless IDS/IPS的架構，大致上可分為感應器端、伺服器端及用戶管理端。感應器可視為前哨站，主要以收集無線網路封包為主，外型與一般無線基地臺相似，但並不會發射RF訊號，只單純負責接收其他無線設備發射的RF訊號，就算駭客發動攻擊，也無法發覺感應器的存在，類似「隱形」的概念。伺服器端則負責處理感應器收集到的資料，並比對資料庫中的特徵碼，分析是否為安全問題。而管理人員從用戶管理端登入伺服器端查詢，並找出問題來源，提供判斷依據。

Wireless IDS/IPS與有線網路的IDS/IPS較大的不同是，有線網路有區塊（Section）的概念，配合Time-Out時間，可測試每個封包連線效率；而無線網路無Section，因此不易一直保持連線，而是每隔固定時間，會不停地重複收集封包，每收集一次，就只能比對前次資料，判斷是否重複，因此，這類型產品會提供大量分析資料。因而剛導入時，管理人員多半無法取得最重要且正確的內容，反而淹沒在一堆數據中。

這類型產品大多會透過分類方式，例如合法/非法、鄰近網路（Neighbor）、無線基地臺、無線用戶端等，提供管理人員參考依據，搭配比對特徵碼資料庫，顯示目前無線網路遇到的問題。另外，為了提供更清楚的說明，系統也會告知發生原因、漏洞及處理方法，從源頭到解法都會詳細述說，就算管理人員不了解無線網路的特質，也能從中知道為何發生與如何處理，不需重新學習，就可容易管理無線網路。

商業版解決方案較合用，免費版只能偵測
雖然現在也有一些免費的無線偵測工具（例如NetStumbler、Cain & Abel）能偵測無線網路，例如偵測無線基地臺的SSID（Service Set IDentifier）、加密類型、頻道、訊號強度或MAC Address位址等，但都只限於「呈現」資料，管理人員必須自行評估安全等級或是否有惡意攻擊等行為，這些免費工具適合初步了解目前無線網路的使用清單，以顯示整體概況為主，無法細部分析資料，更無法提供最正確的處理方法。

但光是偵測還不夠，Wireless IDS/IPS還會分析資料。例如先分類區塊，判斷是否為正常連線，然後比對、分析特徵碼資料庫。而且Wireless IDS/IPS以無線安全為首要考量，還能偵測無線基地臺的效能問題，例如某些無線基地臺連線數量太多（包括攻擊或非攻擊行為），導致效能下降時，這類型產品也會通知管理人員。若為攻擊行為，則會提供攻擊源頭設備IP或MAC Address位址，若非攻擊行為，則會告知效能不佳，並建議重新部署無線基地臺位置。整體而言，Wireless IDS/IPS會依據安全及效能分析無線環境，以避免錯誤分析。

從規畫到建置提供一系列解決方案
不過這類似產品所費不貲，從數十萬到數百萬元，端視監控的無線網路規模而定，若企業無線網路規模小，可考慮整合版，能直接安裝在電腦中，並搭配特定無線網卡，就可以管控無線網路，但是缺點是受限於無線網卡的功率強度，管控範圍較小，而且只能單點控制。

若無線網路規模較大，可以考慮分散式架構版本，分為感應器端、伺服器端及用戶管理端，還能利用SNMP整合企業原本的管理系統，集中管控無線網路，只要將感應器端放置在企業無線網路涵蓋範圍中，就可以全天候監控無線網路環境。只是分散式的價格較高，而且某些產品還要搭配機架式硬體伺服器（安裝伺服器端程式），光是硬體成本就很高，不過優點是，廠商已調校過伺服器的作業系統與Wireless IDS/IPS的效能，穩定性高。

若伺服器端不需搭配特定硬體伺服器，則多半架構在Windows作業系統上，其穩定度視安裝的電腦及作業環境而定，加上Windows平臺經常需要更新系統，也可能導致Wireless IDS/IPS運作失靈，不過其價格就低廉。

各家廠商產品特色
各家Wireless IDS/IPS能偵測及分析的功能類似，都採用相似的資料庫比對，結果大同小異，但各家的發展方向不盡相同，例如整合其他廠商設備，或從頭到尾規畫處理。採購時，除了注重功能層面外，也要考量各家產品特色與發展方向，或許能整合公司現有網管系統，提供更完整的解決方案。

AirMagnet的解決方案最完整
AirMagnet是最早進入臺灣市場的Wireless IDS/IPS，除了強調安全管理，更著重效能控制，也是這類型產品的領導品牌之一，解決方案從規畫、建置到管理都有，而且除了整合版、分散式外，還有安裝在個人電腦的管理程式（Agent），能深入用戶端電腦，統一派送無線政策，能監控用戶到網路端設備，提供完整的無線網路安全架構。

此外，也因為AirMagnet著重在效能控制，對於現在日漸普及的無線網路語音服務（Voice over Wi-Fi），也有特定效能評估系統，能分析網路語音服務、品質及效能等層面，也支援多種VoIP協定，更能精準調校系統，提供穩定的無線網路語音服務。而且AirMagnet與Aruba合作，若企業已建置Aruba無線網路產品，只需要採購AirMagnet伺服器端產品，就可擷取Aruba Thin AP資料，不需要額外採購AirMagnet感應器，更能減少部署成本。只是有些AirMagnet產品線目前還未引進臺灣，若有建置需求，必須從國外引進。

AirDefense最強調無線安全監控
AirDefense是這類型產品另一家領導品牌，伺服器端採用1U機架式，建置成本較高，管理人員可透用HTTPS登入管理，但因採用Java技術，因此用戶端電腦必須安裝JVM（Java Virtual Machine），而且要更新為最新版本，才能有效執行程式，而不會減少效能運算。

雖然AirDefense較少著重無線網路效能問題，但其安全管控卻是獨霸一方，無論在系統穩定性及整合度等方面都不錯，而且具備現場勘查（Site Survey）功能的AirDefense Architect還能呈現立體勘查結果，讓無線網路規畫更完整。AirDefense也與Trapeze合作，可整合Trapeze Thin AP，不需要額外採購AirDefense感應器，類似上述AirMagnet及Aruba合作模式，可減少部署成本。

AirTight發展出超小臺管理設備
AirTight大約是2006年中才引進臺灣市場，目前雖然還沒有與其他廠商合作的產品，但其產品線從規畫到部署管理，也都有一系列產品，其中最特別的是SpectraGuard Sentry，相較於其他同類型產品，若不是提供安裝在一般電腦的整合版、就分散式架構版，較難在規模及彈性中取平衡，SpectraGuard Sentry整合感應器、伺服器及用戶管理在單一設備上，適合無線網路規模較小，但又需要管理的環境，雖然功能不像分散式版本完整，但更適合臺灣中小企業規模使用。

Network Chemistry可整合封包分析工具
Network Chemistry在臺灣比較少見，但2006年中也有代理商引進臺灣。最大的特色是，額外提供多種免費的偵測分析工具，包括Packetyzer、BlueScanner及RogueScanner。Packetyzer是一套封包分析工具，可分析通訊協定、傳輸類型及封包來源及目的地等資訊，類似Ethereal，Network Chemistry RFprotect Distributed可整合Packetyzer，將偵測的內容，直接啟動Packetyzer解析協定，不需要透過其他轉換程式。BlueScanner則是分析藍牙工具，其功能類似NetStumbler，但以分析藍牙協定為主，雖然顯示資訊不多，但也足夠使用。RogueScanner則能簡單分類合法與非法無線基地臺，但無法偵測分析安全議題，還是必須搭配Network Chemistry相關產品，才能提供完整解決方案。

Bluesocket橫跨有線及無線網路
Bluesocket是從網路閘道器跨足Wireless IDS/IPS的廠商，若企業已經建置Bluesocket網路閘道器、或要建置無線網路基礎建設，則可考量Bluesocket的規畫案，可搭配BlueSecure Distributed Intrusion Protection System整合Bluesocket網路閘道器，管理人員可統一管理無線網路及安全管控。

管理無線網路安全不再困難
雖然在國外，這類型產品的需求頗大，但臺灣在3~4年前只有AirMagnet在臺灣銷售，然而2006年開始，各大企業在建置無線網路環境時，紛紛開始考量整體解決方案，希望提供方便的網路存取外，更能著重安全管理，也讓這些產品陸續引進臺灣市場，只是每家廠商提供的解決方案不盡相同，在建置規畫時，可考量企業環境，搭配適合的解決方案。

建置上，Wireless IDS/IPS可整合現有管理網路系統，管理人員不需額外管理另一套系統，而且為了提供更直覺的操作方式，這類型產品也以大量圖表代替文字述說，可直接觀看數據，就可得知問題，也有詳細的線上描述，提供更簡易的管理方式。不過，從策略上，企業必須先制定無線網路管理政策，再導入這類型產品，才能確保無線安全，不然就算工具再如何容易，還是無法滿足企業需求。文⊙蘇碩鈞

產品一覽產品一覽

AirMagnet企業版
一休代理/ (02)2706-1761
提供主動防禦的功能，更加入政策控管概念，能自訂公司無線政策，管理人員可先設定安全性問題的層級（包括一般、警示、緊急或嚴重等方式），再確定處理方式（包括嗶嗶聲告知、發送電子郵件、聲音警告或中斷訊息等方式），例如當有人發送DoS封包，試圖攻擊無線網路環境時，若網管人員認為這種行為屬於嚴重問題，企業版的硬體感應器會依據無線政策，中斷無線訊號連結，提供較具智慧型的判斷方式。

AirDefense企業版
精誠代理/ (02)2368-6171
強化無線安全警示能力，並整合思科WLES產品，除了能從無線偵測非法無線基地臺，也能從有線網路的交換器端，中斷無線基地臺的連接埠流量。當進入網頁介面時，會先顯示現在無線網路的安全問題（例如非法無線基地臺、Ad Hoc模式等），使用者若要自定公司無線政策，只需要從Policy選單中，設定無線政策內容（例如頻道、安全性等）即可套用在每臺無線設備端，只是AirDefense企業版的警示資訊會一直存在伺服器中（除非清除資料庫資訊），啟動一段時間後，警示資訊的數量很龐大，因此使用者第一次使用時，必須先設定無線政策外，之後可從Net Map檢視目前無線網路連線情況。

AirTight SpectraGuard Enterprise
逸盈代理/ (02)6636-8889
最大特色是第一次啟動設備時，產品會以精靈模式帶領網管人員建立無線政策，規畫前，必須先取得企業內部合法使用的無線用戶端及基地臺資訊，網管人員可依步驟輸入相關資料（例如MAC address位址、SSID等），並自動建立管理規範（例如訊號只能從合法用戶端連線到合法基地臺端等連線方式），之後即可依據此政策執行無線管理。美中不足的是，精靈模式只在第一次啟動時運作，如果後續還需要再次執行精靈模式，則必須回復成出廠預設值重新啟動，無法直接從管理介面上使用。

Network Chemistry RFprotect Distributed
三普代理/(02)8792-0068
管理介面會顯示目前警示的內容、最壅塞的訊號、連線模式及無線訊號分布等資料，其中在警示內容中，以安全警示為主，分為DoS攻擊、入侵、威脅及弱點等4部分，能先初步提供第一手資訊，但不能直接點選查詢問題，必須從從Alerts選單中，以嚴重程度分為3等級（低、中、高）查詢，並非前述方式分類問題；並以條列式及顏色區問題，提供較容易查詢的方式，只是不容易對應到首頁上的安全警示。不過，Alerts選單除了提供問題原因外，也會提供解決方法，讓網管人員參考。

BlueSecure Distributed Intrusion Protection System
逸盈代理/ (02)6636-8889
架構分為伺服器端與硬體感應器，硬體感應器支援PoE（Power over Ethernet）供電，當收集到無線訊號後，會傳送到BlueSecure伺服器分析無線封包，最後從BlueSecure Client登入伺服器，監控無線網路環境。每次連結硬體感應器與BlueSecure伺服器都必須經過認證流程，如果硬體感應器與BlueSecure通訊中斷，擷取的無線封包會先儲存在硬體感應器，等待通訊復原再回傳至伺服器端。硬體感應器約可儲存4小時資料。