無 線 網 路 安 全無 線 網 路 安 全無 線 網 路 安 全無 線 網 路 安 全 資訊三乙 洪婉菁 資訊三乙 翁照閔 資訊三乙 鍾家豪
無線網路安全 發展簡介 發展簡介 攻擊類型 攻擊類型 網路安全 網路安全 AP 安全防護 AP 安全防護 五戒 五戒 結論 結論
發展簡介
無線網路包含 無線網路包含 – 有無線電話網路 (WAP) – 短距離無線資料交換的 – 的無線網路 – 1997 年, IEEE 發佈 標準 – 1999 年, b 、 a 標準 電腦上,無線網路使用普及的 b 電腦上,無線網路使用普及的 b b802.11b
802.11b 主要兩種通訊模式802.11b 主要兩種通訊模式 – 簡易模式 以點對點的方式進行網路通訊連接 以點對點的方式進行網路通訊連接 – 基礎建設模式 用一個存取點 (AP) ,當資料交換中心 用一個存取點 (AP) ,當資料交換中心 橋接器,兩種不同實體的通訊層間連結 橋接器,兩種不同實體的通訊層間連結 差異 差異 – 有無中央伺服器 – 交換資訊的方法
簡易模式 簡易模式
基礎建設模式 基礎建設模式
攻擊類型
攻擊的分類方式 攻擊的分類方式
網路攻擊 網路攻擊 – 主動式攻擊 檔案、通訊內容,進行偽造或修改 檔案、通訊內容,進行偽造或修改 – 被動式攻擊 非法取得資訊資產的存取權限 非法取得資訊資產的存取權限 未對竄改內容 未對竄改內容
主動式攻擊 主動式攻擊 – 偽裝 (Masquerade) – 重播 (Replay) – 訊息竄改 (Message Modification) – 服務拒絕 (Denial of Service) 被動式攻擊 被動式攻擊 – 竊聽 (Eavesdropping) – 通訊分析 (Traffic Analysis)
網路安全
修改預設設定 修改預設設定 修改網路設計 修改網路設計 相關管理措施 相關管理措施
修改預設的設定 修改預設的設定 – 預設的密碼 Ex: 空字串、 admin 、 administrator 等... Ex: 空字串、 admin 、 administrator 等... Solve: 至少八碼且夾特殊符號、避免用出生年月日或 Solve: 至少八碼且夾特殊符號、避免用出生年月日或 英文姓名 英文姓名 – 預設的 SNMP 社群碼 Ex :public 、 private Ex :public 、 private Solve: 設定存取列表或關掉它 Solve: 設定存取列表或關掉它 – 預設的 SSID Ex: 採取開放式系統認證、 Cisco 的 “tsunami” 、 Ex: 採取開放式系統認證、 Cisco 的 “tsunami” 、 D-Link 的 “Default” D-Link 的 “Default” Solve: 用封閉式系統、修改 SSID Solve: 用封閉式系統、修改 SSID – 預設的通訊頻道 Ex: 同一廠牌的出廠,可能會造成頻道衝突 Ex: 同一廠牌的出廠,可能會造成頻道衝突 Solve: 將頻道調開 Solve: 將頻道調開
修改網路設計 修改網路設計 – DHCP 伺服器的使用 可自動取得 IP 位址. 預設閘道器. 網路名稱伺服器等, 可自動取得 IP 位址. 預設閘道器. 網路名稱伺服器等, 連未授權的使用者也可連上 連未授權的使用者也可連上 Slove: 可用靜態 IP, 但會犠牲掉無線漫遊或 AD hoc 資源分享等 – 使用適當的加密技術 使用 WEP 加密技術, 可能會有相容性. 傳輸速率. 加密功能限 制等問題 使用 WEP 加密技術, 可能會有相容性. 傳輸速率. 加密功能限 制等問題 Slove: 定期更改密碼或測試其相容性及安全性 – 網路卡號管理 利用無線網路基地台設定某些卡號的連線, 可阻檔未授權使 用者使用 利用無線網路基地台設定某些卡號的連線, 可阻檔未授權使 用者使用 Problem: 卡號可以偽造, 利用 sniffer 找出可連線的卡號
– 防火牆區隔網段 將無線網路利用防火牆隔離成一個網路區段,對內部使用 將無線網路利用防火牆隔離成一個網路區段,對內部使用 資源進行控管 – 802.1x 使用者認證 可以將無法通過認證的使用者隔絕於網路之外,使其無法 可以將無法通過認證的使用者隔絕於網路之外,使其無法 使用資源 補強 對使用者認證缺乏彈性,對於存取控制及個体 身份確認提供可行的方案 補強 對使用者認證缺乏彈性,對於存取控制及個体 身份確認提供可行的方案 但是必須使用雙向認證,不然容易被進行攔截攻擊 但是必須使用雙向認證,不然容易被進行攔截攻擊
– VPN 的使用與認證 無線網路工作站 (STA) 需先與 VPN 閘道器進行身份 確 無線網路工作站 (STA) 需先與 VPN 閘道器進行身份 確 認並進行加密連線 認並進行加密連線 支援動態密碼及生物辨識技術 支援動態密碼及生物辨識技術 但是必須使用雙向認證,不然容易被進行攔截攻擊 但是必須使用雙向認證,不然容易被進行攔截攻擊
相關管理措施 製定無線網路安全政策 製定無線網路安全政策 – 授權無線網路的使用 – 確認無線網路的範圍 – 確認無線網路相關安全操作標準 – 確認無線網路管理權責
無線網路設備清查 無線網路設備清查 – 無線網路基地台清查 防止未授權之人盜用網路資源 防止未授權之人盜用網路資源 – 無線計算設備清查 PDA.NB 等 … PDA.NB 等 … 無線網路安全應變與稽核 無線網路安全應變與稽核 – 無線網路安全應變機制 設備失竊或遺失及遭受入侵之處理方式 設備失竊或遺失及遭受入侵之處理方式 – 無線網路安全稽核 包括弱點掃描 包括弱點掃描
AP 安全防護
AP 安全設定AP 安全設定 –AP 發射功率範圍 – 合適的AP設置 – 尋找非法架設的AP – 修補潛在的弱點
五戒
網路安全的五戒 網路安全的五戒 – 不要破壞自己的防火牆 – 不要小看MAC – 不要忽略WEP – 禁止架設未經許可的無線基地台 – 拒絕筆記型電腦採取 ad-hoc 連線方式 – 拒絕筆記型電腦採取 ad-hoc 連線方式
結論
無線基地台 無線基地台 – 修改基地台之設定 – 参考系統安全政策 – 調整網路設定組態 – 了解安全認證機制 & 弱點 導入 802.1X 使用者認證機制 導入 802.1X 使用者認證機制 最重要的因素: 人 最重要的因素: 人 防範、教育並規範 防範、教育並規範 安全政策 + 安全防護機制 安全政策 + 安全防護機制 實例 實例 – 網銀大盜:屋頂架設高強波器,行竊網路銀行
終