BYOD大行其道 无线网络安全议题随之增温
- DIGITIMES企划
-
回顾以往,多数企业基于提升安全性、简化网管复杂度考量,并不倾向为员工提供无线网络服务,然后伴随移动设备迅速普及,连带致使BYOD(Bring Your Own Device)风潮日炽,迫使企业不得不提供无线网络,随之而来的无线网络安全议题,自然至关重大。
时至今日,不管是企业高端主管或基层员工,对于BYOD、CYOD(Choose Your Own Device)、IT消费化等辞汇,都已不陌生,只因为随着移动设备蔚为普世风潮,现今员工以自带设备投入公务作业,已成为理所当然的常态,影响所及,企业于内部环境布建无线网络,堪称为抵挡不住的潮流。
或许有人纳闷,随着LTE纷纷开台营运,与移动设备之间的连结度显然更深,是否意谓LTE将逐步取代Wi-Fi,既然如此,企业还需大费周章部署无线区域网络?业者认为,LTE与Wi-Fi之间的相互取代性,其实并不存在,纵使在广域型无线网络之中,LTE速度条件已为上上之选,然而实际下载速率普遍低于300Mbit/s,上传速率更不易突破100Mbit/s。
反观Wi-Fi,以当前使用的11ac规格频带而论,最起码还可供应1Gbit/s传输速度,两相比较,前后差距甚大,考量企业日常作业所需,Wi-Fi无线网络仍是呼应BYOD、CYOD及IT消费化浪潮的首选架构。
以美国大型运营商Verizon 为例,自2011年起,便积极在全美布建LTE,覆盖率之广不在话下,但尽管如此,在实际营运两年过后,依然不可免俗,面临等同于3G时代的塞车窘境;着眼于此,甚至有专家预期,即使技术推进到LTE-Advnaced,看似速率提升,等于已经把路拓宽,但也会因为消费者从事更大量的影音下载、云端数据传输,照样占用庞大带宽,因而导致网络塞车问题。单凭此例,即不难凸显Wi-Fi无线网络的存在价值。
但不可讳言,为呼应BYOD、CYOD及IT消费化等趋势,而使企业加紧布建无线网络,固然可大幅满足便利性需求,但若疏于审慎规划,恐将埋下诸多不可逆料的安全风险。
众所周知,在移动设备尚未普及之前,不少企业便基于保护机敏数据考量,不愿涉险采用无线网络,种种顾虑,看在现今员工眼里,难免备感不解;但事实上,过去的谨小慎微,绝非过度保守,真的掺杂了许多不得不然的苦衷,如今即使为了满足移动办公室需求,因而「开绿灯」广设无线AP,但绝不代表过去的安全疑虑不复存在,甚至论及个中威胁程度,还比从前更高。
先回归问题的本质,检视无线网络究竟有何风险。业者指出,如果将网络区分为有线、无线,以往黑客若欲针对前者下手,最直接的方式,便是将攻击目标(意即受骇企业)对外的线路,转接到黑客可以操控的环境,再从中过滤进出封包的信息内容,藉以窃取机敏数据。
但对于黑客而言,此类途径仍难免存在诸多路障,未必能够畅行无阻。但无线网络则不然,由于无线电波不着边际,靠着空气传输信号,可谓无远弗届,无异是让企业门户洞开,黑客甚至只要设法进入企业隔壁大楼,不必登堂入室,便可透过无线信号的接取设备,轻易窃取企业内部网络流传的机密数据;换言之,企业若未设立良好的无线网络安全防护机制,等于是将营运命脉,平白曝露在高风险境地而不自知。
加速建置Wi-Fi 尤须严防安全缺陷
那麽,现今因应BYOD风潮而架设无线网络,其风险为何更胜以往?此乃由于,以往在移动设备犹未风行之前,欲于企业内部建立无线区域网络环境,往往是依循由下而上的管理路径,信息部门会综览网络管理、安全性、乃至应用环境与设备需求后,才着手展开规划、布建与测试,整个规划历程,少说得耗时1?2年。
反观现今,由于高端主管大量使用移动设备,并习惯以移动设备从事公务活动,他们往往会基于便利性与网络连接速率等考量,主动要求信息部门提供无线网络连线服务,而为了满足主管交付的任务,某种程度也不容许信息人员细火慢熬,必须加快建置步调,此一运作模式的转变,无形中也徒留更多安全缺陷。
说到这里,有些信息人员想必不苟同,自认已针对安全机制多所考量,因此就算建置步调加快,亦无徒增安全疑虑之虞。但说穿了,他们所谓的安全机制,其实不过就是加密与认证。
不可否认,关于加密与认证,确实是架设无线网络安全防护体系的第一步。环顾无线网络,处处充斥着看不见的无线电波,其中并无明显的边界概念,所以要做到安全防护,就必须仰赖存取控制,意即透过认证机制把关,俾使合法的授权使用者,得以连结信任的无线区域网络,至于未经合法授权者,自然就被拒于门外,不得其门而入。
除了存取控制外,另一重点则在于机敏数据的保护,此时便需借助加密手段,确使合法授权使用者方可获取密钥,再藉由密钥解密文件档案,如此一来,非法使用者就算穷尽千方百计取得数据,也会因为缺乏密钥,而无缘参透个中玄机。
然而,前述机制果真万无一失?持平而论,答案不是全错,但也并非全然教人乐观。多数企业都心知肚明,有众多珍贵的数码资产亟待牢牢守护,其所面对的安全威胁,肯定与一般个人或家庭使用环境大相迳庭,所以倾向采用的无线区域网络认证与加密安全机制,理应是以WPA2(Wi-Fi Protected Access II)为依归,而此一标准内含两个主要元素,其一是IEEE 802.1x,负责提供数据连结层级的认证功能,类似功能原本运用于有线网络环境,乃是搭配RADIUS以及可延伸验证通讯协定(EAP),才得以适用于无线网络认证情境,并具备相当程度的安全性;另一是AES(Advanced Encryption Standard)加密,此技术是基于数据隐私保护而设计,普遍被视为相对安全的对称密钥加密演算法。
WPA2只是入门基本功 仍需搭配补强措施
综上所述,只要奉行WPA2标准,企业似乎可免于担惊受怕,理论上也是如此,然而纵使难度再高,处心积虑的黑客,仍会想方设法取得可以破解WPA2无线网络工具,所以企业不宜以为有了WPA2就高枕无忧,仍需额外架设其他防护系统。
当然,如果企业舍WPA2不用,仅取决于SSID、共享密钥认证(Shared-Key Authentication)、WEP(Wired Equivalent Privacy)、MAC Address等传统无线网络安全机制,无疑是自我「矮化」防护水平,让黑客乐于轻松破解,显然是下下之策。
至于额外补强措施的思考方向,大致可比照有线网络环境的防护机制。例如有助于一览无遗综观公司内部无线网络设备的监控系统,不仅可监控无线封包的信息,亦能管控无线网络的使用情况、协助IT管理者迅速解决无线网络相关问题,甚至可以中断非法无线设备无线信号,并统一纳管有线区域网络,堪称相当实用的工具。
此外,既然有线网络环境中,早已部署防火墙、入侵侦测防御系统等防护机制,沿用同理,针对无线网络,企业亦可考虑布建类似系统。适用于无线网络环境的防火墙,其功能诉求亦与一般防火墙如出一辙,同样是根据缺省的存取控制规范,发挥类似的管理功能,惟企业一旦采用此类系统,不宜任由其独立运作,而与既存的安全政策脱钩,否则容易衍生若干弊病,亦会加重管理者的作业负担。
至于适用无线网络环境的入侵侦测防御系统,主要是凭藉网络行为特徵之分析,发挥必要的管控机能,包括侦测并阻断非法的无线网络存取点、防范IEEE 802.11阻断式攻击、防范无线电波干扰,亦有助于确保无线ad-hoc网络连线安全,功能诉求与一般IDS或IPS差异较大,值得企业评估导入。
