嘉哲的翻譯／寫作作品集

但是現在線路的安全狀況己經有所改變，它讓IT經理具備了採用WLN的信心。今天Cisco 無線網路安全套件─是企業立即可用、標準化的WLAN安全解決方案，同時由Cisco Aironet 系列產品和Cisco相容的WLAN 用戶端設備所組成。

Cisco 無線網路安全套件包含：

l   透過支援IEEE 802.1X，具備功能強大、相互驗證作業與動態金鑰管理功能。

l   利用暫時金鑰完整通訊協定(Temporal Key Integrity Protocol, TKIP)、連線對應隱私權管理(Wired Equivalent Privacy, WEP)，和在2004年新增加的高階加密標準(Advanced Encryption Standard，AES)進行資料加功能。

l   功能強大的TKIP加密功能提昇，如訊息整合檢查(message integrity check，MIC)，透過啟動向量細分作業每個封包加註金鑰和輪流傳送金鑰等。

l   支援市場上各種802.1x認證類型、用戶設備和用戶作業系統。

l   降低網路攻擊的可能。

l   全支援在2003年由Wi-Fi聯盟所提出的Wi-Fi保護連線(Wi-Fi Protected Access)安全標準。

Cisco，身為網路領導廠商和無線網路的推手，讓網路管理者賦予使用者自由，而無需犧牲使用者要求的網路安全。

防制入侵者的安全管理

網路管理者必須提供末端使用者自由和行動能力，且不能讓入侵者連線到WLAN或盜取在無線網路上傳送和接收的資訊。利用WLAN，所需傳輸的資料在空中利用無線電波，在用戶設備或工作站，與連接點之間進行來回傳送─在乙太網路上的WLAN端點連接網路上的工作站。這表示任何在接收點服務範圍裡WLAN用戶設備，可以從連接點接收資料或傳送資料至連接點上。

因為無線電波在天花板、地板和牆壁之間到處旅行傳送，所傳輸的資料可能被不同樓層的無心使用者所接收，亦或甚至會傳送至裝置連接點之建築物以外。利用WLAN，網路的範圍可以移動。如果沒有嚴格的安全機制，安裝WLAN可能會讓乙太網路的連接埠出現在任何地方，包含停車場在內。

除此之外，許多研究報告和專文均指出傳輸資料加密和解密所使用WEP金鑰，如AirSnort的弱點，它可使攻擊者被動地監測和分析資料封包，然後利用這些資訊破解加密封包的WEP金鑰。

網路管理者需要重新確認原有的解決方案是否能夠保護WLAN免於產生這些弱點，同時WLAN亦必須提供和有線LAN環境相同水準的安全功能、管理能力和擴充能力。

WLAN安全管理的重要性

就如同在有線網路環境中一樣，沒有人可以保證完全安全的網路環境 ，可以永遠避免所有入侵行為。安全防護作業必須保持動態和持續進行─而非靜態方式。網路管理者和WLAN製造商在技術上需要保持搶先駭客一步。

網路者必須”啟動”他們WLAN的安全功能。在2001年，在華爾街日報的一篇文章描述兩位駭客開車繞經矽谷，利用筆記型電腦和增益天線”嗅尋”散漫的WLAN訊號。這些駭客可以利用許多未啟動適當 WLAN安全功能的公司所流出的網路訊號。

安全專家建議企業必須在網路上應用許多層級的防禦機制，以減低威脅。額外增加的安全元件，包含防火牆、入侵偵測系統(Intruder-detection system, IDS)和虛擬LAN(virtual LAN，VLAN)等。網路管理者也必須藉由明智的設計與安裝無線網路，藉由使用經過證實的安全機制，和使用網路安全專業廠商所開發的產品和軟體降低風險。身為網路安全的產業領導廠商，Cisco是WLAN安全作業的絕佳選擇。運用Cisco無線安全套件獲獎的安全功能，網路管理者可以減低網路風險，同時增加WLAN安全性。

在連續十二個月於模擬真實世界的實驗環境中進行密集測試之後，Network Computing的主編頒贈給Cisco Aironet 1200系列產品2003年企業WLAN系統類最佳網路連線產品獎。這些網路專家發現Cisco Aironet 1200系列產品真正創新之解決方案，可以符合真實世界的企業網路需求。

多重增壓比例的Cisco Aironet連接點，可做為所有全無線網路的重心 ，亦可成為有線與無線網路的連接，可置於建築物或校園中。

連接點提供具備Cisco或Cisco相容WLAN用戶端接收網卡的使用者能在網路覆範圍的校園內自由行動上網。

Cisco無線安全套件可維持完全安全、不受干擾地連線至所有網路資源，同時 Cisco結構化的無線自動連線網路產品可支援數百至數千個Cisco Aironet連接點的使用、作業與管理作業。

無線LAN安全解決方案

和其他網路的要求相同，WLAN的安全作業著重在連線控制與隱私權。堅固的 WLAN連線控制，也稱為認證作業，可避免未經受權的使用者透過連接點進行

通訊作業。強大的WLAN連線控制機制協助確認合法的用戶工作站透過認證的連接點進行連，而非透過其他鄰近或未經授權的連接點進行連線。

WLAN隱私權管理可協助確保僅有准許之使用者可以了解和傳輸資料。WLAN傳輸資料的隱私性只有在資料運用金鑰加密才算受到保護，並且只有認可的資料接收者才能使用資料。

資料加密可以協助確保資料在來回傳收與接收的傳輸過程中保持完整狀態。

目前，使用WLAN的企業大部份使用四種獨特的WLAN安全解決方案，以進行WLAN的連線控制和隱私權管理：開放性連線、基本安全管理、進階安全管理和遠端連線安全管理。不論採用任何安全管理作法，Cisco建議企業在選擇和使用任何WLAN安全解決方案之前，先進行網路風險評估作業。

開放性連線

所有 Wi-Fi認證之無線LAN產品，例如Cisco Aironet 系列產品均是以 “開放連線”模式出廠，並關閉其安全功能。其中開放連線或無安全功能之連接點產品較適合公共連接點使用，如咖啡廳、大學校園、機場或其他公共場所等，對於企業組織較不適合採用。在企業環境中安裝這些無線設備時必須啟動安全功能。如同前面所述，某些企業 並未啟動WALN安全功能。這些企業將其網路暴露於嚴動的風險之中。

基本安全功能：SSID、WEP 和MAC位址授權辨識

基本安全功能包含服務設定識別(Service Set Indentifier, SSID)、開放或共享金鑰認證、靜態WEP金鑰和選擇性媒體連線控制(Media Access Control, MAC)n認證功能。這些組合提供基本的連線控制和隱私權管理，但每個元件可能受到妥協而無法發揮作用。

“SSID”是WLAN系統中設備的一般網路名稱；它可以用來區隔子系。SSID可以避免任何未具備SSID的用戶進行連線。然而透過內定功能，連接點會在電波中傳播其SSID。甚至在 SSID 關閉之後，入侵者或駭客可以透過所知的”嗅尋”動作偵測 SSID ─或在未查覺的情況下偵測路狀態。

802.11標準，是由IEEE所制定的一組WLAN規定，支援兩種用戶認證之方式：開放和共享金鑰認證。其中開放金鑰更能提供正確的SSID。利用共享金鑰的認證，連接點送出試探文字封包至用戶設備，用戶必須以正確WEP金鑰加密送回至接收點。沒有正確的金鑰，認證作業將會失敗，用戶則無法和連接點產生連線。享金鑰認證並非是安全的作法，因為入侵者可偵測完全文字的試探封包和以 WEP金鑰加密後相同的試探封包，因此即可對 WEP金鑰進行解密。

利用開放認證，甚至如果用戶可以完成認證作業並和連接點進行連線，WEP的使用可避免用戶對接收點之間往返送出和接收資料。WEP 可以由40或128位元組成，並且通常由在連接點上的網路管理者和所有與連接點之間溝通的用戶所制定。當使用靜態WEP金鑰，網路管理者必須對WLAN上每個設備輸入相同的金鑰，作業耗時甚久。

如果採用靜態WEP金鑰的設備遺失或被竊，則被竊取設備的處理器即可連線至WLAN上。管理者將無法偵測未經授權的使用者入侵WLAN，除非偷竊案件被發現。管理者必須改變每個設備上的WEP金鑰，避免和遺失設備上使用相同的WEP金鑰。更糟糕的情況，如果WEP金鑰被AirSnort等工具所破解，管理者則無法發現金鑰己經被入侵者所複製。

某些WLAN供應商支援根據實體位址或用戶網路介面卡(NIC)上MAC位址的認證功能。只有在用戶的 MAC位址與連接點所使用認證表中相符，連接點才能允許用戶的連線作業。但 MAC認證作業是不合適的安全機制，因為 MMAC位址可以被偽造，網路卡可能遺失或被竊。

WPA預先共享金鑰的基本安全功能

另一個目前常用的基本安全功能是WPA預先共享金鑰(WPA Pre-shared Key, PSK)。PSK 在使用者工作站和連點上，透過密碼或識別碼甚或兩者並用來辨識使用者。密碼也提供 TKIP用於對每個傳送資料封包產生加密金鑰所需的輸入資料。由於比靜態 WEP更為安全，WPA SPK和WEP相似之處在於PSK儲存於用戶工作站上，而如果用戶工作站遺失或被竊，PSK即可被偽造。我們推薦採用功能較強的 PSK密碼文句，利用混合文字、數字和非字母符號組合而成。

基本安全之結論

基本WLAN安全依賴SSID、開放式認證、靜態WEP金鑰、MAC認證或WPA PSA的組合，這些方式對微型企業，或者對不將重要資料放在WLAN網路上的使用者己經足夠。所有其他組織或企業必須投資於功能強大、企業級LAN安全解決方案。

提昇安全功能─ Cisco無線安全套件的優點

對於需要企業級安全的顧客，我們建議提昇安全功能之產品。Cisco無線安全套件是提昇安全功能之解決方案，提供WPA的完全支援，且可提供802.1X和TKIP。下列的功能是Cisco無線安全套件之部份功能：

l   802.1X是功能強大、相互辨識功能，並且動態針對每個使用者、敏個作業的進行加密金鑰。

l   TKIP提昇RC-4為基礎的加密作業，如金鑰細分(每個封包加註金鑰)、訊息整合檢查(MIC)、啟動向量(initialization vector)改變，和播送金鑰輪流使用。

因為是提昇功能之解決方案，Cisco無線安全套件可使網路管理者產生信心，可應用WLAN企業級的安全和保護功能。

遠端無線網路連線安全功能

在某些情況下，企業可需要點對點的安全以保護其企業應用程式。利用遠端連線安全功能，管理者可建立虛擬私人網路(VPN)，允許行動使用者在公共熱點，如機場 、飯店和展覽中心等地連線至企業網路。