破解無線網路WEP加密，已經不需要專業

去年10月左右，有一則新聞吸引了不少人的注意，那就是警方查獲一種名為「卡皇」的產品，這種產品能夠透過收集無線網路封包，破解WEP加密機制，進而盜用別人的網路使用權。警方在新聞中特別指出，使用這種產品是犯法的，最重可能會被判刑3年。

正所謂內行看門道，外行看熱鬧，其實卡皇這種產品，對於長期關注無線網路技術的人來說，並不陌生。WEP協定的不安全，也是眾所皆知的事情。但是卡皇這一類產品的出現，卻暗示著一個問題，那就是有能力破解無線網路加密的技術門檻已經越來越低。事實上，本次的封面故事，我們甚至找了提供字典檔去暴力破解WPA協定的硬體解密產品。

破解無線網路WEP加密，已經不需要專業

話說從頭，無線網路既然是利用大氣來傳播數位訊號，自然就有被其他人接取到訊號的可能性。為了不讓重要資訊外洩，使用者在傳輸時，多會利用加密的方式，確保資訊的安全。

但是有動，就會有反動。隨著無線網路的使用越來越普及，現在共通標準的各種加密法，都已經有號稱可用來破解的方法。其中，最早也被公認為最不安全的WEP（Wired Equivalent Privacy）加密機制，到了現在，甚至根本已經不需要擁有任何相關資訊專業知識的人，也能輕易破解。

WEP加密機制不安全，其實大家早就知道，不過過去多數的人還是抱持著一種想法，那就是能夠破解這樣的加密的人，一定是擁有一定資訊專業知識的使用者，於是很多中、小型企業，會抱持著僥倖心態：「反正這樣的人不會想要來破解我們公司的AP。」得過且過，既有的WEP加密機制，透過Pre-shared key方式（事先設定好一組加密金鑰，所有人都共用）加密，反正用起來也沒甚麼問題。但是，現在這樣的心態可能必須改變，因為破解WEP加密機制，幾乎已經不需要門檻。

無線網路廠商，Aruba大中華區技術總監吳章銘就表示，過去要破解WEP加密，可能必須透過3種不同的軟體，搭配可接取封包的網卡，然後做各種不同的設定，進而才能開始收集封包，破解密碼。但是現在網路上出現許多已經完整包好的軟體工具包，更有甚者，在網拍市場上，甚至可以找到直接做成硬體的破解密碼用路由器。

本次封面故事中，iThome就透過管道取得了一臺號稱能夠破解密碼的無線路由器。使用之後發覺，操作簡單的程度令人訝異，幾乎只要透過按鈕按幾下，從LCD面板上選擇SSID，就會自動開始進行破解了。以實際來破解家用型路由器加密的狀況來說，使用WEP加密機制，透過Pre-shared key方式加密的路由器，實測上約15分鐘就能破解。速度則取決於接取的封包數量，數量越多，破解的速度越快。

破解WEP，現在已經不是專業人士才能做的事情，我想我們必須認識到這一點。正如前面所說，使用這種破解密碼用路由器的使用者，甚至可能連WEP是什麼都不懂，只是用手指輕鬆的按兩下，稍微等個15分鐘的破解時間，就能成功入侵使用WEP加密機制的無線網路。如果稍微擁有一點資訊知識，透過網路上整合好的工具包，或許還能更有效率。

不僅如此，這臺無線網路破解器，甚至還內建字典檔，讓使用者可以以暴力的方式重複測試破解WPA或WPA2加密機制，當然這對不停變化密碼的企業等級WPA和WPA2的機制可能危害不高，但對Pre-shared key方式加密的AP，則有一定的威脅性；如果密碼設定太過簡單，如12345678這種數字順序，很有可能就會被突破。而根據不正式的統計，就算是密碼強度較高的WPA、WPA2加密法，如果採用完善的字典檔來猜密碼，平均60幾個小時，就能破解。這也凸顯出Pre-shared key方式的弱點，不過現在稍具規模的企業已經多數都改以搭配802.1X或802.11i的機制，透過EAPOL，有效的定時改變金鑰，降低被破解的可能性。

WEP標準擁有天生設計上的缺陷，企業不應該再使用

由上述所談，就能知道WEP加密機制已經不能再使用了。而它之所以如此的不可靠，是因為整個機制在設計上就有缺陷。WEP的原理是這樣的，WEP加密機制透過RC4加密法去演算，而演算基礎的亂數種子，則是以初始向量（Initialization Vector，IV）和WEP的金鑰所構成，金鑰是固定不變的，IV值則是一組24位元的變動值。

每一次封包的加密，都是透過24位元的IV值與固定的40或104位元WEP金鑰去演算，形成一個64或128位元的RC4加密值，然後傳輸出去。以24位元的變動IV值來說，大概有1,600萬種加密的可能性，對於有心破解的人來說，在比較繁忙的網路上，要收集到這數量的封包，並不算難。

此外，如果使用類似前面舉例的Pre-shared key方式，以靜態的WEP方式提供無線網路加密保護，由於WEP加密機制中，IV值本身就構成金鑰的前24位元，攻擊者很容易就被收集到足夠封包資訊，透過反推算的方式，算出完整的金鑰，進而透過Pre-shared key存取所有無線網路上的節點。也因此，多數的廠商都會建議，不應該再使用WEP加密機制。臺灣思科業務開發經理張志淵就表示，目前稍具規模的企業，幾乎已經沒有人在使用WEP加密機制作為無線網路傳輸安全防護。

吳章銘也指出，WEP加密機制的不安全，已經逐漸被多數的使用者接受。而Pre-shared key的方式，由於管理上很麻煩，如只要有員工離職就必須全面改變一次，也幾乎已經沒有看到任何企業使用者用這樣的方法來提供自己的無線網路防護。吳章銘說：「過去之所以還會有企業使用WEP加密機制，是因為終端裝置如Wi-Fi電話等還不能夠支援更好的加密機制，如WPA、WPA2等。但現在早已經不是如此，所以如果還有中、小企業自行架設無線網路，並且還在Fat AP上使用WEP加密機制的話，其實早就應該要改變加密的機制，轉向WPA或WPA2。」

事實上，最新的Wi-Fi無線網路標準802.11n，所建議的加密機制就只有WPA2，甚至包括現在臺灣企業常使用的網頁認證、MAC位址辨識等方式，都已經不在建議的協防機制清單中。

WPA2加密仍然是無線網路最有效的加密機制

相較於WEP加密機制，WPA或WPA2都是更為有效、安全的加密機制。WPA是自WEP改良而來，雖然仍然使用RC4加密法，但因為加入了TKIP（Temporal Key Integrity Protocol），所以整個安全性大幅提升。

TKIP將IV的位元數從24增加到48，也就是讓IV能夠加密的可能性從1,600萬大幅成長至281兆種可能。此外，也不使用單一的金鑰，而是透過TKIP金鑰、傳送位址資訊、變動的IV值中的32位元，先做一次運算，得出一把金鑰後，再與IV值中剩下的16位元進行運算，最後得出128位元的金鑰，並且能夠替每個訊框配上獨特的金鑰。這使得TKIP機制等於擁有多個主要金鑰來源，輔以不停變動的48位元IV值，讓每個訊框都能以不同的金鑰加密，增加了破解的難度。

此外，TKIP也有序號計數的能力，每個訊框加密發送出去後，都會編列序號，接收端會確認接收的次序，這可以有效避免攻擊者攔截封包再重發的攻擊模式。並且加上一個名為MIC（Message Integrity Check）的檢驗方式，MIC採用的演算法被稱為Michael，雖然同樣是驗證封包的完整性，但和WEP所使用的CRC（Cyclic Redundancy Check）不同，能夠更為安全。

CRC是一種線性的雜湊演算法，也就是說，只要改變輸入CRC演算的位元，就會得出不同的輸出值；如果搭配同時變更WEP完整性的檢驗值，攻擊者就能利用這種方式抵銷原本應該檢驗出來的不一致，這被稱為位元竄改與標頭竄改攻擊，這讓攻擊者可以偽造攻擊來源或傳送端位址，操縱訊框流向。

而MIC所使用的Michael演算法則能夠避免這樣的問題，透過輸入目的地位址、來源位址，Michael會產生一組32位元倍數的值（一般來說為64位元），其中包括保留和優先性等補0的欄位。透過Michael演算，得到一個更可靠的確認值MIC，讓接收端能夠驗證封包的完整性，並且由於Michael並非線性的雜湊演算法，所以不會有CRC的問題。而為了避免暴力硬破的重複嘗試攻擊，在傳輸的過程中，如果MIC值錯誤，MIC機制也會自動啟動反制措施，停止TKIP通訊。

而符合802.11i標準的WPA2，則又更進一步，使用全新的加密法AES（Advanced Encryption Standards），WPA2所採用的加密機制稱為CCMP（Counter Mode with CBC-MAC Protocol），主要使用的加密法為128位元的AES加密。WPA2並且同時使用TKIP機制，只是加密的方式改以CCMP進行，不再使用WPA以RC4為基礎的加密方式。

CCMP因為不用顧慮與WEP相容的關係，整個運作的方式比較簡潔，輸入訊框、暫時金鑰、金鑰識別碼、封包號碼，就能進行加密。透過由封包號碼和傳送端位址產生的亂數nonce（密碼學中指用過就拋棄的亂數號碼），以及由訊框標頭產生的額外認證資料（Additional Authentication Data，AAD），然後與128位元的暫時金鑰共同經過CCM加密，產出MIC和加密完成的資料。

由於基礎是採用AES加密法的緣故，WPA2避掉了過去WEP和WPA的許多包袱，也更難破解。事實上，時至今日，還沒有一個研究團體聲稱可以百分之百的破解WPA2，而WPA和WEP則都已經有人聲稱可以百分之百破解，由此來看，在無線網路的硬體設備多數都已經支援WPA2的現在，企業還是選擇WPA2作為加密手段，才能確保使用上的安全。如果能夠輔以EAP和後端RADIUS的身分認證，也就是802.1X的機制，或是完整的802.11i標準，不停變換金鑰，則更能保護資料傳輸的安全無虞。

確保無線網路安全，WIPS有存在的必要性

不過如果你是一間中、小型企業的資訊人員，企業中只有過去部署的Fat AP，加密機制還只採用WEP，802.1X等機制實在離你太遙遠，那又該怎麼著手改善無線網路安全呢？

其實正如先前所談，由於無線電波的傳輸開放在大氣之中，被盜取資料的危險性事實上一直都存在著。就算是採用了再穩固的加密方式，也不可能完全杜絕無線網路資料傳輸資料被竊取的可能性。因此，更需要多層次的防護，才有可能將資料外洩的危險性降至最低。

而其中基礎的基礎，就是所謂無線入侵偵測（WIPS）功能的設備。所謂WIPS，顧名思義就是一種持續監聽空間內封包功能的探測設備。現在不少無線網路設備廠商的AP本身，就已經具備有WIPS的功能，如Aruba、思科等，都是此類廠商。也有不少廠商提供獨立的WIPS設備，如Airtight、AirDefence等。

WIPS設備都具有偵測周邊AP的能力，如果發現不是企業或組織內使用的AP，就會自動將之視為非法AP，發出警告。甚至有能力阻斷這些非法AP的傳輸。阻斷的方法有很多種，例如透過鎖定非法AP的MAC位址，然後透過SNMP協定，讓交換器直接阻斷非法AP連上網路的能力；或是偽裝成非法AP，進而阻斷非法AP與使用者端的聯繫。還有一種方法是將非法AP的MAC位址或是廣播使用的位址，通通認定為不受認證的使用者，並且持續發出這樣的封包。如此一來，企業內的使用者將無法和非法的AP完成連線。

總而言之，WIPS能夠透過各種不同的方法，不僅阻斷非法的AP，也能有效的偵測異常行為的使用者，如一直收封包，卻沒有完成4道磋商（4-way handshake）交換金鑰的程序的使用者，進而阻斷連線。

張志淵表示，WIPS可以說是無線網路防護的最基礎，透過這樣的功能才能有效的主動反制可疑使用者。吳章銘也有相同看法，他並且指出，對於中小企業來說，WIPS功能的設備，可能不需要像建置新的Thin AP網路一樣，花很多經費才能建置完成。吳章銘說：「比如說一個需要10個AP才能達成完善覆蓋率的企業，可能只要3個WIPS功能的AP就能夠偵測同樣的空間。這是因為如果僅是偵測，1Mbps的頻寬也能夠做到，但一般AP則不能以這麼低的頻寬提供服務。」

所以從廠商的建議來看，對於原本使用Fat AP架構的中、小型企業來說，改換到Thin AP架構會是最好的選擇，但若預算不允許，改為購買具備WIPS功能的探測器或AP，以及Thin AP的後端無線網路交換器，就可以在使用較少的預算與設備數量下，搭配原有的架構，提供一定程度的防護能力。當然，還必須換掉WEP的加密機制，並且不再繼續使用Pre-shared key的金鑰分享模式。

多重防護才能真正確保無線網路安全

說了這麼多深奧的密碼學和整體架構的解釋，其實要確保無線網路安全，和有線網路一樣差不多，都必須透過多重的措施，才能將危險性降到最低。

舉例來說，如果對安全需求特別高的企業，除了使用802.1X和802.11i等安全的架構外，還可以另外以IPSec的方式加密。不過用這樣的方法兩層加密，意味著終端裝置都會配到2個IP，整體網路架構的路由和設計都必須花更多心力。除此之外，在802.1X中的EAP method認證上，也可以多花點心力，設計相互認證的方式，不僅認證使用者端，也認證伺服器端，確保安全。

歸納來說，除了WIPS和選用不易破解的加密架構之外，企業還必須從設備認證、使用者認證、權限設定這3方面來管理。不讓可疑的設備能夠接上內網；透過使用者認證的架構，搭配動態金鑰的提供，增加無線網路的安全性；以及透過權限的控管，讓無線網路的使用者並非一視同仁，而是能夠依照不同身分與部門，看到不同的內部資料。此外，透過功率的調校，讓AP溢波的狀況減到最低，減少被組織外部人員接取的風險。

吳章銘表示，目前就他來看，臺灣企業無線網路安全最大的漏洞，還是在於認證機制。往往企業的資訊部門，為了讓使用者能夠更簡單的使用無線網路，會捨棄上述種種加密機制的認證方式，而採用網頁認證。這雖然會減少資訊部門在管理上的麻煩，但是卻是無線網路安全最大的潛在危險。隨著802.11n的標準通過，未來可以預見的，短期內都還將以WPA2加密機制的802.11i標準，搭配802.1X架構為主要的無線網路認證模式。有意建設無線網路的中、小企業，其實應該要趁早往此一架構轉換。

WPA2使用的CCMP加密處理流程

(看大圖)

無線網路防護需重視的幾個配套

● 使用WIPS

● 選用不易破解的加密架構

● 設備認證機制

● 使用者認證機制

● 權限管理機制

相關報導請參考「無線網路安全拉警報」