2009年10月26日 星期一

[觀點] 從訊號盜用事件談無線網路管理

無線網路近年來掀起了一陣風潮,無論是在機場、旅館、咖啡店或是捷運站,只要使用具備無線上網功能的行動裝置,到處都可以連結無線基地台而輕鬆上網。無線網路的特色,就是利用空中的無線電波來傳遞電子訊號,只要透過無線網路卡來接收及傳送訊號,就可以進行資訊交換的工作,但也因為它看不見摸不著,所以潛藏了一些資訊安全問題,值得我們去注意。

根據無線網路安全廠商AirDefense最近針對美國各大都會區超過3,000家商店的調查指出,有超過2,500 個行動裝置像是筆記型電腦、PDA和條碼掃瞄器被這些店家用來連結無線網路,但其中有85%都存在著資料外洩或是被竊取的風險;此外,在調查中所發現的4,748個無線基地台中,有550個所設定的SSID連線識別名稱都太過簡單,很容易就會被猜中,而且有25%的基地台根本沒有採用加密措施,因此,透過這些漏洞,有心人士就能藉由收集無線基地台所溢出的訊號,伺機來進行非法的行為。

不可不知的無線安全問題

美國零售業者TJX公司,從2005年7月開始,至少有一年半的時間,由於無線網路遭到駭客入侵,惡意人士可自由地進入TJX的資料庫,偷偷盜取客戶的資料,造成至少4,500萬筆以上的客戶信用卡資料外洩,使銀行也蒙受了巨大的損失。同樣在國內,也曾發生歹徒使用自製的無線網路訊號捕捉天線,截取週圍未經加密的無線訊號,利用無線基地台的「無線溢波」來連上網路銀行,再以「懶人密碼」的方式猜測別人的帳號與密碼,在順利登入帳戶之後,就將別人的存款轉走,或是竊取其個人資料來盜刷信用卡。

為了因應容易忽略的無線網路安全問題,網管人員必須熟悉各項威脅才能加以反制,目前常見的無線網路攻擊手法,說明如下:
  • 封包竊聽在無線網路的訊號範圍內,只要利用一些監聽工具,就可以從空中截取無線網路的封包,如果這個無線基地台未啟用加密機制的話,包括SSID、使用者IP位址和傳送的內容,都會曝露在惡意駭客的手中。
  • 偽冒攻擊只要駭客得知所在位置的SSID連線識別名稱,就可以冒用這個SSID來架設偽冒的基地台,引誘不知情的使用者連線,再竊取使用者所輸入的連線帳號與密碼。另外,駭客也可以假冒無線網路卡的MAC位址,藉由修改網卡的MAC位址,騙過系統認證而成為合法使用者。
  • 阻斷攻擊駭客可以對無線基地台發出大量的封包,造成系統無法回應其他使用者的連線要求,使得服務停擺;另外,駭客也可以攻擊特定的使用者,發送反認證封包,使無線網路連線中斷。
  • 攔截攻擊駭客會結合偽冒攻擊與阻斷攻擊手法,同時與無線基地台和使用者連線,成為無線網路的中間人,在基地台和使用者都未察覺的情況下,所有傳輸的資料都會經由中間人來轉送,也就表示所傳輸的資料都會被這個惡意的中間人完全掌握。
如何保護無線網路安全

企業要保護無線網路安全的目的,就是為了確保透過無線網路所傳輸資料的機密性、完整性與可用性,不會輕易遭到惡意人士竊取利用,而導致企業的重大損失,因此,建議企業可以同時從技術面與管理面來著手,思考該如何加強無線網路的資訊安全。

從技術面來看,網管人員必須要記得修改無線基地台出廠預設的帳號和密碼,也要記得關閉SSID的廣播功能,並且定期更改SSID名稱,以避免被人輕易得知。如果是提供企業內部使用的無線網路,務必要啟用加密功能,以確保傳輸資料的安全,由於早期WEP的加密方式很容易就會被駭客破解,因此建議採用最新的WPA2來加密,可大幅增加安全性。

另外,在認證方式方面,採取帳號密碼或是802.1x的驗證方式是絕對必要的,如果在使用人數不多的情況下,還可以鎖定只有合法無線網路卡的MAC位址才能使用無線網路,多重防護就多一層保障。如果企業需要開放給訪客使用無線網路,可採取切割VLAN的方式將公用和內部網段做區隔,以避免不必要的網路攻擊或病毒感染事件發生,至於無線基地台位置的擺放,也需要經過事先妥善的站台調查規劃,以避免無線溢波的範圍擴大。

企業如果想要有效防禦各種針對無線網路的攻擊,還可進一步部署無線網路入侵防禦系統(WIPS),藉由無線感測器即時的訊號偵測,來阻斷非法無線設備的架設與連線,並且也能保有各項監控記錄,可有效防範惡意駭客的入侵。至於從管理面而言,企業在開放使用無線網路之前,必須制訂無線網路使用政策,也要評估可能面臨的風險有哪些,建議從以下幾個角度來思考:

  • 人員無線網路使用者一定要經過身份驗證,對於內部員工需採取嚴格認證管控,而外來訪客也必須要登記之後,才允許使用無線網路。
  • 設備應明文禁止員工架設私用的無線基地台,尤其是敏感地區更要禁止攜入具無線上網功能的裝置,管理人員也絕不使用預設或固定的管理帳號密碼。
  • 時間限制可使用無線網路的時間,例如下班後即將無線基地台關閉。
  • 位置妥善規劃可供無線上網的地點,盡量避免辦公室死角及暗處可接收到無線網路訊號。
  • 記錄定期針對所有無線設備進行清查,稽核是否符合安全政策,並且監控與記錄是否有惡意攻擊行為發生。
不使用無線網路也要小心

或許有人會說,既然無線網路聽起來不太安全,那乾脆不要使用就好了。其實我們大可不必這樣因噎廢食,因為不管使用有線或無線網路,都不可能有百分之百的安全,其重點在於我們是否有事先做好降低風險的工作,即可防範危害資安的事件發生。

最後,還有一個觀念要分享給大家,那就是並非只有開放使用無線網路的公司需要管理,事實上,沒有使用無線網路的公司更要小心注意,因為現在的無線基地台愈做愈小,甚至具有無線網路卡的筆記型電腦也可透過軟體模擬成為無線基地台,只要有心人士偷偷將這些裝置和企業內網連結,這些平常人不會注意的小地方,往往就是企業資料外洩的大漏洞。(本文已刊載於2008年2月號網管人雜誌)

沒有留言: