安全使用無線網絡 （Wireless LAN） 指南

引言

無線網絡（WLAN）在香港現已被廣泛利用。你可以在電話亭、商場、網吧及酒店等地方找到收費的無線 網絡熱點（hotspots），也可以在公共圖書館、文化和康樂中心、社區會堂、大型公園及政府部門聯用大樓找到香港政府提供的公共Wi-Fi熱點免費使 用，現在只需有一部裝設了 Wi-Fi（IEEE 802.11 b/g/n）無線網絡裝置（如：手提電腦，個人數碼助理或手提電話），就可以在大部份地方自由地瀏覽互聯網資訊。不過，無線網絡在保安上存在弱點，如果設置不 當，會帶來重大的安全危機。

甚麼是 802.11和 Wi-Fi ？

無線網絡是現時 的 LAN 技術上的擴展，以高頻率無線電訊波來代替現時使用的銅芯網絡線來傳送訊息，只要家居裝設了無線網絡裝置就能經由電訊波來連接網絡。現在市面流行的無線網絡 標準有 IEEE 的 802.11a、802.11b、802.11g 及 802.11n（一般稱為 Wi-Fi），它們在不需要牌照的 2.4 GHz（b,g,n）及 5 GHz（a,n）頻道上工作，在較為普遍使用的 802.11b/g/n 中，有十四條訊道可供選擇（在香港，只能使用頭十一條訊道），它們的傳輸速度分別為 11 Mbps（802.11b）， 54 Mbps（802.11g）及300Mbps（802.11n），但如果訊息虛弱或周圍的環境有雜訊，因而影響資料吞吐量和傳送距離。在存取點或客戶端增加天線裝置能改善傳輸能力，某些產品利用多天線系統配以多輸入多輸出 (MIMO) 技術增加資料吞吐量和傳送距離。因無線網絡是共享媒介，所以會有碰撞（collision），從而降低實質的頻寬。

WLAN 有兩個通訊模式： ad-hoc mode 是指定為客戶端對客戶端的通訊和 infrastructure mode 是指定為客戶端對無線存取點的通訊，在無線網絡上，無線存取點是用來連接起所有在同一無線網絡上的客戶端。每一個網絡都會有不一樣的 Service Set Identifier （SSID） 用來識別，無線存取點在預設上是會周期性地廣播它的 SSID，讓使用者得知這個網絡的存在。

在 WIFI 中應用了三種加密的方法來加強資料傳遞的安全，分別為 WEP， WPA 及 WPA2。

客戶端和存取點需要在建立溝通之前協議這密碼匙。

無線網絡的漏洞和危機

無線網絡的最大的漏洞是缺乏實體性 （physical） 的保安，不同於有線網絡，無線網絡入侵者不需要進入你的家中或公司已經可以連接到你的網絡，但你卻難以追蹤誰人何時連接到你的網絡。

第二項保安漏洞源自無線網絡裝置的預設值。使用預設值是會比較容易配置和有較好的相容性，這設定容許沒有 技術知識的使用者較容易地連接和使用無線網絡。很多使用者和公司在設置時都不會更改預設值，入侵者就能夠非常容易地連接入你的網絡。以下是一般無線網絡存取點的預設值：

• 預設不開啟加密，或者在有加密時使用預設的密碼匙
• 預設開啟了的 WPA 使用簡單的密碼匙（如 default）
• 預設的 SSID （例如 WaveLAN Network, default, wireless 等都是）
• 預設的管理員名稱和密碼 （和簡單網管協定 （SNMP） 共通字串）
• 預設開啟了 DHCP 的，自動分配 IP 地址給連接的設備

第三項漏洞是存在於無線網絡加密的技術上。首先 802.11 是沒有身份核證的機制，其次，Wired Equivalent Privacy （WEP） 通訊規定是沒有自動轉變加密匙的機制。加上，WEP 有一項致命的弱點，允許收集足夠的封包的人快速地破解加密匙。WPA使用的臨時密鑰完整性協議（TKIP）加密密鑰己被攻破。

第四項漏洞是存在於 WPA/WPA2，由於一般家用存取點的 WPA/WPA2 都只提供預設密碼匙 （PSK） 的方式來使用，如果預設密碼匙輸入的密碼較弱是可以經由暴力攻擊（brute force）或字典攻擊(dictionary attack)  找出密碼匙。

第五項漏洞是存在於Wi-Fi保護設置（WPS）標準。它是用於無線設備連接到無線存取點。然而WPS的漏洞可利用暴力攻擊去攻破，當WPS的密碼被入侵者破解，入侵者便可以控制無線存取點。

最後一項漏洞是最軟弱的一環 ─「人」。有些人未經仔細研究 WLAN的有關危機，就將它配置在敏感的服務上。 又有一些公司並不禁制員工私自地建立自己的無線存取點在內部網絡上，開啟後門給入侵者，使安裝了的防火牆和防毒閘道失效。

如果有入侵者連接到你的無線網絡，其後果會是：

• 你的網絡資源 （例如：互聯網的頻寬） 會被濫用，影響生產力。
• 入侵者可以在你公司以外你沒控制權的地方窺探你公司網絡的資料，使資料洩漏。
• 入侵者可以注入惡意程式感染你的系統。
• 入侵者可以非法進入你的系統，破壞系統的保密性，完整性和有效性。
• 入侵者可以利用你的網絡對外進行網絡攻擊，將責任轉嫁給你。

這些損害可轉化為金錢、信用和名譽上的損失。因為你允許這事件發生，你甚至有可能要付上法律責任。 （例如 ：違反使用條款，或駭客使用了你的網絡進行攻擊，受害者向你索償由攻擊導致的損失）

 無線網絡保安對照表

以下是無線網絡的保安對照表。

一般家用和公司的無線網絡對照表

1. 實體性的保安設施
   • 不要將無線存取點（AP）放近門窗或隔壁，避免訊號發射超出需要範圍。
   • 把無線存取點放置在安全的地方，避免讓未獲授權人仕接觸。
   • 如無線存取點可調節輸出功率，應調整訊號輸出量，以減少無線網絡服務覆蓋範圍，避免外界在理想的無線廣播範圍外接入網絡。無線網絡訊號覆蓋範圍遠一達公里。
   • 調節方向性天線，以控制無線網絡服務的覆蓋範圍。
   • 在不使用無線存取點（AP）時，把電源關閉。
2. 更改預設的管理員名稱及密碼
   • 更改預設的管理員名稱及密碼。因為攻擊者很容易在網上得知預設的名稱及密碼，如沒更改，攻擊者便能輕易登入管理版面。
3. 通訊加密
   • 不要使用 WEP 及 WPA - TKIP。由於此技術已被破解，請使用 WPA2 - AES作加密。
   • 如WPA2 加密是使用預設密碼匙（PSK）的方式，使用由數字和字母組成，最少20位字元來建構密碼匙。
   • 定期更改 WPA2 鑰匙密碼，以確保無線網絡的保安安全。
4. 保護 SSID
   • 更改預設的 SSID。不要以有個人或公司有關的資料作為SSID，以免攻擊者成功猜到。
   • 如可以，請關閉 SSID 廣播，但你需要將SSID 通知個別使用者。
5. 控制無線網絡的授權
   • 開啟MAC地址過濾功能，只有獲授權的裝置才可使用網絡。這方法適用於不常增減無線網絡卡的環境，例如﹕家庭或中小型企業。
6. 管理網絡的 IP 地址
   • 關閉無線存取點上的 DHCP 服務。在無線網絡客戶端使用指定的 IP 地址，使沒有正確 IP 地址的客戶端沒法連接。這方法適用於家庭或中小型企業等較小的網絡。
7. 簡單網管理協定 （SNMP） 的配置
   • 如非必要，不要使用 SNMP。
   • 如必需使用 SNMP，請注意以下各點：
     1. 確保你已更改了預設的簡單網管協定的帳戶名稱和共通字串，並使用較長及混合數字和字母為簡單網管協定的共通字串。
     2. 開啟簡單網管協定的存取控制列表（ACL）來控制誰可以更改存取點上的設定。
     3. 定期更改簡單網管協定的共通字串，以確保無線網絡的保安安全。
8. 無線存取點的附加功能
   • 一些無線存取點（AP）提供隔離無線網絡客戶端與客戶端之間連線的功能，但不同產品有不同名稱（例如：AP Isolation、Privacy Separator）。使用這個功能可加強客戶端的安全。
   • 一些無線存取點（AP）提供拒絕連接 SSID 值為 "Any" 的客戶端的功能。由於客戶端設定SSID值為"Any"是可以連線到任何 SSID 的網絡，當無線存取點啟動這功能，並拒絕連接不安全的客戶端，令攻擊的難度增加。
   • 一些提供 Wi-Fi Protected Setup（WPS）功能的產品可讓使用者透過簡單的方式來設定加密功能，並保證有一定的安全性。但WPS的漏洞己被發現，並被暴力攻擊攻破。因此強烈建議用?升級為緩解此漏洞的韌體或停用此功能。
9. 流動裝置保安
   • 使用流動裝置透過無線網絡上網時，請留意有關的保安事項（例如：硬件被盜取，缺乏防毒閘道和防火牆的防護等），並配置適當的防護措施。
10. 人為的保安措施
    • 不要把密碼，SSID，密碼匙和其他保安設定告知其他人。當不肯定是否洩漏了設定資料時，請更改設定。
11. 法律和道德責任
    • 未經授權去存取他人電腦系統是違法的。不要因好奇，研究或其他的意圖而嘗試連接他人的無線網絡和系統。如發現鄰居的無線網絡存在漏洞，請通知他們作修補。不要洩露他人的安全漏洞，做個有責任的人。

給公司的附加對照表

1. 適當地使用技術
   • 不要在無線網絡上提供非常敏感和重要的服務。如屬不得已，應評估當中的風險，並把額外的無線網絡管理和保安費用加入開資預算中。
2. 政策管理
   • 禁止員工私自建立自己的無線存取點。
   • 明確規定不可在無線網絡上傳送的資料類型。
   • 制訂無線網絡設備遺失時的報告程序指引。
   • 保持無線網絡設備存庫盤點數目準確。
   • 為訪客設立不同的無線網絡及SSID。
   • 棄置無線網絡裝置前，刪除所有設定及敏感資料。
3. 標準設定
   • 關閉無線存取點上所有不安全及未使用的管理規約，並以最小權限配置餘下的管理規約。
   • 啟動無線基本參數，例如靜止逾時及支援結合上限。
   • 啟動記錄功能，並把記錄傳送至遠程記錄伺服器。
   • 禁止無線網絡客戶端使用臨時(ad-hoc)模式連結。
   • 使用交換器(Switch)代替集線器（hub）來連接無線存取點，以防止通訊被窺探。
4. 身份核證
   • 使用企業登錄系統 (如：RADIUS 和 Kerberos) 來進行身份核證。
   • 使用最新的身份核證方法，例如擴展認證協議 (EAP) 的證書核證機制，以確保網絡安全。
     • 在2010年4月，Wi-Fi聯盟宣佈把EAP認證協議納入其WPA認證計劃及WPA2企業認證計劃內。 EAP讓使用者利用伺服器證書來核證無線存取點(AP)，從而減低連接到偽裝無線存取點(AP)的風險。
5. 保安防護及風險緩解措施
   • 把無線網絡視為不可信任的網絡。把無線網絡與有線網絡的交通分開。在有線與無線網絡之間安裝正確設定的防火牆，以管理進入內聯網或服務網絡之交通。
   • 如為員工及訪客提供無線網絡服務，把兩者配置到不同的網絡上。
   • 採用網絡入侵預防系统 (WIPS/WIDS)。它可偵測惡意的存取點(AP)及防止阻斷攻擊 (如﹕AP Flooding)。
   • 限制無線上網服務, 尤其是供訪客使用的無線上網服務。使用存取控制及服務質量控制功能，來禁止傳送不允許的交通或過度使用無線網絡頻寬。
6. 保安評估
   • 進行無線網絡位置校訂定調查，以調整無線存取點(AP)的輸出功率，確保無線網絡涵蓋適當的範圍及無線信號的品質。
   • 定期進行無線網絡漏洞評估測試，檢查保安條例的強制性，不知名無線裝置，因不正確設定而引致的保安漏洞或裝置漏洞。
7. 使用可升級的方案
   • 無線網絡技術發展迅速。當選擇無線網絡器材時，確保無線存取點裝置和無線網絡卡可以更新韌體 （firmware），並定期更新至最新的韌體。
      

在公共場所使用無線網絡應注意的地方

當無線裝置連接上公共 Wi-Fi 熱點或收費 Wi-Fi 熱點，便有機會受遠程攻擊者的威脅，請留意以下的保安貼士：

1. 使用公共Wi-Fi上網的注意事項
   • 公共Wi-Fi是不可信任的網絡。如沒有正確的保安措施，不要在公共Wi-Fi網絡上傳遞敏感或個人資料。
   • 使用公共Wi-Fi後，在無線裝置「慣用網絡」設定內，刪除公共Wi-Fi無線存取點。由於攻擊者可設置一個虛假的Wi-Fi存取點，並假冒為在「慣用網絡」中的無線網絡。當下次連結時，無線裝置便會自動連結到那假冒的Wi-Fi無線網絡。
   • 保管好你的無線裝置。
2. 善用無線裝置上的保安設定
   • 基本保安防護﹕使用防火牆，防毒軟件及防間諜程式軟件，及保持定期更新於系統和應用程式的修補程式。
   • 啟用無線裝置上的登入功能、系統登入身份認證和密碼式屏幕保護程式。
   • 關閉所有無線界面卡的資源共用規約。
   • 當使用Wi-Fi時，關閉有線網絡連接。(攻擊者可透過無線網絡，經網絡橋，入侵有線網絡)
   • 不使用無線網絡時，關閉無線網絡連結。
   • 選擇使用提供加密的公共Wi-Fi無線存取點 (如有提供)。
   • 如要傳輸敏感或個人資料，使用加密技術，例如SSL保護的網址和電郵通訊。
3. 核證要連線到的存取點
   • 核實無線存取點提供的證書 (如有提供)。
   • 檢查「捕獲門戶」（captive portal）網站的真確性
   • 「捕獲門戶」（captive portal）是一個在用戶使用無線網絡前，先被導向至的網頁。為防止假冒的「捕獲門戶」網頁，用戶應檢查「捕獲門戶」網站的伺服器證書以確定網站的真確性。
4. 額外保護
   • 如要透過共公Wi-Fi傳取企業網絡上的敏感資料，你可以透過Wi-Fi網絡連結至虛擬私有網絡(VPN)。
   • 在使用虛擬私有網絡(VPN)時，確定分隔隧道(split tunneling)功能已關閉,以強制所有網絡交通只會經由企業網絡進出，並能善用企業網絡上的網絡閘道過濾功能，達至最佳保安效能。

當你使用公共無線網絡時，可根據上述的保安貼士去保護你的無線裝置和個人資料。雖然還有其它可採取的防範措施，但這些保安貼士不失為一個不錯的起步點。