捍衛企業的無線領空

部署WLAN並非難事，但要百分百確保WLAN的安全性就是一項大工程。雖然WLAN實現24x7小時與行動化連線環境的承諾，然而隱藏其後的安全問題，也成為企業心中的隱憂。

在更安全的無線規格問世之前，WLAN的安全工作只能自強化加密與認證程序、多層次部署防禦系統、尋求顧問服務，同時擬定無線安全政策等層面著手。

無線安全要訣一：與實體網路切開

WLAN的安全議題近年才在國內發燒，如何捍衛企業的無線領空是企業主心中共同的疑問。在無線科技修正天生的安全瑕疵之前，若要想要無線的便利性，又要避免成為核心網路的安全隱憂，一般認為，將無線網路與實體網路切開是一個好方法。

賽門鐵克北亞區技術總監王岳忠指出，雖然無線網路還算是公司資訊環境的一環，但為了確保公司不會讓外人（包括訪客或駭客）循無線途徑闖入公司核心網路，無線網路仍應被視為網際網路（外部網路）的一部分。在切開的情況下，即便是公司員工也應該通過身分認證關卡，才可經由無線網路進入企業網路。

他也建議，企業可在客戶端與後端網路之間部署VPN，以達高度安全。由於VPN本身就是加密過的傳輸通道，不論是商業機密，或是帳號、密碼等重要資訊，就算遭受攔截也難以破解。

另外，在無線網路與企業網路之間架設多層保護也是可行策略。HP服務事業群顧問暨系統整合事業群資訊科技部經理劉志賢建議，企業最好安裝二道防火牆，一道部署在內部網路與無線網路之間，另一道防火牆架設在存放訂單系統、檔案、資料庫等公司內部網路之前。倘若駭客攻破第一層防線，滲透企業內部網路，還有第二道防火牆可避免關鍵系統遭受入侵。

要訣二：客戶端安全第一

部署完成之後，先降低客戶端的不安全因素，將對減少WLAN的整體風險大有幫助。企業應教育前端使用者建立簡易的安全房或與使用觀念，關閉不必要且可能造成安全瑕疵的功能。例如，不要貪圖一時方便而開啟端對端（ad hoc）傳輸功能。 此外，為避免使用者個人資料遭竊，甚至禍及企業。前端使用者的電腦可部署第三方軟體以阻絕外來攻擊，包括安裝個人防火牆、防毒軟體（市面已有可防止混合型攻擊的防毒軟體）等工具，最重要的是，應及時修補已知的作業系統或程式漏洞，避免使用者電腦遭植入木馬程式或感染病毒。

要訣三：妥善管理無線AP

部署無線AP的最基本安全工作，第一步就是設定存取控管表，列出合法的MAC Address清單，決定公司內哪些無線網卡可有權存取該AP，此步驟可過濾外來的不合法存取行為。另外，在WLAN之內可能有好幾台AP，IT人員應該確認每一台AP已更改出廠時預設的SSID名稱，同時已關閉廣播IP位址的功能。

要訣四：啟動加密

專家建議，一定要啟動加密技術。如果目前部署的無線設備還未支援可補強WEP的WPA，還是要使用WEP。雖然WEP本身設計有瑕疵，但仍可避免一些常見的入侵手法。使用時，應對解密金鑰妥善管理，只讓一定的群組共享解密金鑰。某些較大型公司，如HP，通常會定期更換密碼，而不同部門所使用的WEP也不同。

要訣五：強化身分認證

使用者身份確認也是拒絕不合法存取行為的重要關卡，可用技術包括RSA動態密碼的令牌、VPN、公開金鑰架構PKI，以及可在AP與內部網路之間發揮功能的無線安全閘道器（Gatway）。

安全閘道器的好處是可以免除多台AP設定的麻煩，供應商包括諮安科技代理的Bluesocket與傳象科技等。以Bluesocket為例，基本上以認證技術為核心，同時提供以角色為基礎（role-based）的登入管理，可讓企業根據使用者群組、時段等因素進行登入控管。由於已支援802.11a、802.11b、802.11i、802.11g等各種無線規格，可相容於多種AP，因而具有認證可攜式的功能。

換言之，Bluesocket允許使用者以單一組帳號及密碼漫游在多種AP組成的異質無線環境中，而毋須進入不同AP所覆蓋的無線區域（如不同樓層）就得重覆進行驗證登入程序。

市面另有閘道器進一步整合其他安全產品的功能，如防火牆、VPN、頻寬管理等。如Fortinet，其針對無線網路所推出的Forti WiFi可自動下載安全更新服務，包括病毒及攻擊程式資料庫，標榜可偵測及防禦超過30種不同的入侵行為，如拒絕服務攻擊(DoS)。

要訣六：監聽無線電波

導入監控產品監聽無線網路的效能水準，是判斷有無非法入侵的另一種方式。如802.11b無線規格，正常情況的傳輸速度為11Mbps，若發現每台電腦共用環境下的傳輸效能過低，IT人員可能要小心是不是有駭客正在進行DoS攻擊。

精誠公司所代理的無線安全產品－AirDefense，即是利用蒐集無線連網的電波的技術，讓管理人員監控企業無線領空，掌控網域中哪些是合法與非法的行動裝置。AirDefense是由一個類似無線AP的感應器(sensor)，以及一台伺服器所組成。一台伺服器通常搭配2-3個感應器。其運作原理主要是利用感應器偵測（大致與AP的覆蓋範圍相當）空氣中的無線電波，掌握電波的來龍去脈揪出非法存取無線網路的AP或者是無線網卡，如筆記型電腦。

這類掃描無線電坡的偵測產品通常也具備主動防衛的功能。一旦發現非法的存取行為，就會發出De-authentication封包，截斷非法存取設備所發出的無線電波。精誠表示，AirDefense可感應器定位出一張相應於公司網路的電子地圖上，任何員工私接的AP都難逃法眼，該功能預定於五月推出。

要訣七：部署入侵偵測/防護系統

若企業的WLAN不幸讓駭客成功闖入，入侵偵測/防護系統（IDS/IPS）等傳統部署在有線網路的安全產品扮演反制角色。這類產品若發現未經授權的存取動作，將會主動通知IT人員，或者是直接阻斷連線。目前，包括鈺松國際所代理的ISS系列產品、網路安全廠商如賽門鐵克、NAI等都是同類型產品。

要訣八：導入顧問諮詢服務

不可諱言，至今無線網路上的種種解決方案都無法確保百分之百的安全，如WEP加密，如果組織中某個人不小心洩漏金鑰，WEP還是會遭人破解；倘若使用者端的安全工作出現漏洞，導致合法的使用帳號與密碼遭到竊取，就算認證控管關卡再嚴密也無法阻擋駭客長驅直入。

此時，企業可尋求專業的安全顧問，在部署無線網路的一開始就進行全盤縝密的設計。專家建議，企業可從無線網路的生命週期著手，每一步都審慎評估安全細節，或者導入顧問服務一起走完無線網路部署的全部流程，包括設計、建置、整合、管理、優化等階段。

另外，企業應致力讓前述各個安全對策都可環環相扣，以發揮綜合的最大效益，畢竟多一層防護，就多了一分保障。至於第三方安全產品如何選購與部署，劉志賢建議，整合性是考量重點之一。如果企業內部多是思科（Cisco）產品，繼續使用該公司的無線AP或閘道器會比較方便，至少可避免規格不相符的狀況，畢竟無線規格還在推陳出新。

預算也是另一個決定企業安全投資的重要因素，劉志賢補充，假使企業因為一時節省，採購某家擴充能力不足的安全產品，可能兩三年之後，該產品就無法跟隨公司網路的擴充腳步，反而得不償失。

要訣九：執行安全政策

如果企業缺少良好的安全政策，同時確實執行，就算購買再貴的安全產品，聘請顧問詳細規劃多縝密的網路架構也是枉然。 安全政策可以涵括以上所提的安全環境之設定，並應該要求所有員工都要確實執行。安全政策也必須包括：禁止員工私裝AP、強迫登記MAC Address才可連網。對於拜訪公司的人士，需嚴格執行訪客登記，且利用經過註冊的網卡連接無線網路，且確保訪客只能瀏覽特定區域而不至於誤闖企業資訊重地。

登記MAC Address這類安全政策也可讓其他安全產品發揮最大效益，例如搭配偵測性的掃描產品，若企業確實執行政策，該產品可依照列表辨識於無線網路環境中合法與非法無線網卡與無線AP。

劉志賢指出，就像任何網路一樣，無線網路安全維護也是一個持續的過程。他說，如果企業以為網路部署完畢即可大功告成，恐怕會大錯特錯。因為安全漏洞每天都可能出現，如果不立刻採取行動，那得千萬小心，因為很快的就會有駭客登門造訪你的無線網路。