企业型无线网络防护安全设计与规划.pdfVIP

龙源期刊网

企业型无线网络防护安全设计与规划

作者：蒋弦

来源：《电脑知识与技术》2013年第28期

摘要：考虑无线网络联机存取之风险与安全联机的准则需求，由于目前行动装置使用量大

增，企业可能面临使用者要求开放无线网络之需求，而建立相关无线网络方案，该研究针对目

前常见之无线网络风险威胁为出发，探讨中间人攻击与弱加密机制造成的威胁对企业网络可能

的影响，并且结合企业内部提供无线网络之需求，针对使用者群不同，规划两个无线网络安全

建置方案，提供内部无线网络与外部访客使用者使用，作为企业建置参考依据，以提升企业网

络风险控制。

关键词：无线网络规划；无线网络风险；无线安全检查项目；无线网络安全指引

中图分类号：TP393文献标识码：A文章编号：1009-3044（2013）28-6262-03

概述1

有别于有线网络的设备可利用线路找寻设备信息，无论是管理、安全、记录信息，比起无

线网络皆较为方便，相较之下无线网络的环境较复杂。无线网络安全问题最令人担心的原因在

于，无线网络仅透过无线电波透过空气传递讯号，一旦内部架设发射讯号的仪器，在收讯可及

的任一节点，都能传递无线讯号，甚至使用接收无线讯号的仪器，只要在讯号范围内，即便在

围墙外，都能截取讯号信息。

因此管理无线网络安全维护比有线网络更具挑战性，有鉴于政府机关推广于民众使用以及

企业逐渐在公司内部导入无线网络架构之需求，本篇论文特别针对无线网络Wi-Fi之使用情境

进行风险评估与探讨，以下将分别探讨无线网络传输可能产生的风险，以及减少风险产生的可

能性，进而提出建议之无线网络建置规划检查项目。

无线网络2传输风险

现今无线网络装置架设便利，简单设定后即可进行网络分享，且智能型行动装置已具备可

架设热点功能以分享网络，因此皆可能出现不合法之使用者联机合法基地台，或合法使用者联

机至未经核可之基地台情形。倘若企业即将推动内部无线上网服务，或者考虑网络存取便利

性，架设无线网络基地台，皆须评估当内部使用者透过行动装置联机机关所提供之无线网络，

所使用之联机传输加密机制是否合乎信息安全规范。

倘若黑客企图伪冒企业内部合法基地台提供联机时，势必会造成行动装置之企业数据遭窃

取等风险。以下将对合法使用者在未知的情况下联机至伪冒的无线网络基地台，以及非法使用

者透过加密机制的弱点破解无线网络基地台，针对这2个情境加以分析其风险。

龙源期刊网

伪冒基地台联机风险2.1

目前黑客的攻击常会伪冒正常的无线网络基地台（AccessPoint，以下简称AP），而伪冒

的AP在行动装置普及的现今，可能会让用户在不知情的情况下进行联机，当连上线后，攻击

者即可进行中间人攻击（Man-in-the-Middle，简称MitMAttack），取得被害人在网络上所传输

的数据。情境之架构详见图1，利用伪冒AP攻击，合法使用者无法辨识联机上的AP是否合

法，而一旦联机成功后黑客即可肆无忌惮的窃取行动装置上所有的数据，造成个人数据以及存

放于行动装置上之机敏数据外泄的疑虑存在。企业在部署无线局域网络时，需考虑该类风险问

题。

弱加密机制传输风险2.2

WEP（WiredEquivalentPrivacy）为一无线加密协议保护无线局域网络（WirelessLAN，

以下简称WLAN）数据安全的加密机制，因WEP的设计是要提供和传统有线的局域网络相当

的机密性，随着计算器运算能力提升，许多密码分析学家已经找出WEP好几个弱点，但WEP

加密方式是目前仍是许多无线基地台使用的防护方式，由于WEP安全性不佳，易造成被轻易

破解。

许多的无线破解工具皆已存在且纯熟，因此利用WEP认证加密之无线AP，当破解被其金

钥后，即可透过该AP连接至该无线局域网络，再利用探测软件进行无线局域网络扫描，取得

该无线局域网络内目前有哪些联机的装置。

当使用者使用行动装置连上不安全的网络，可能因本身行动装置设定不完全，而将弱点曝

露在不安全的网络上，因此当企业允许使用者透过行动装置进行联机时，除了提醒使用者应加

强自身终端安全外，更应建置安全的无线网络架构，以提供使用者使用。

无线网络3安全架构

近年