[轉貼] 保護你的無線區域網路：刻不容緩 自從電機電子工程師協會（Institute of Electrical and Electronic Engineers，IEEE）在一九九九年十一月核准通過 802.11b 標準規範以後，「無線網路標準加密技術」（Wired Equivalent Privacy，WEP）便一直是各機構用來加密無線區域網路流量所倚賴的主要機制。許多機構選擇不啟用 WEP 功能，因為這牽涉到複雜繁瑣的管理以及加密金鑰設定工作。雖然 META Group 公司已經體認到 WEP 本身的弱點，近來發生的公開攻擊事件更進一步證明了 WEP 這項協定比原本各界所以為的更為脆弱且易於破解。一般使用者應該評估是否需要依據應用程式保密等級要求來進一步使用額外的安全保護機制。公司機構則應該評估以下三項與無線區域網路息息相關的基本安全服務：稽核、認證以及保密。 從短期來看，使用者應該重新評估目前既有無線區域網路被破解入侵的的威脅程度。基於 WEP 的安全考量，有些使用者已經決定推遲或者終止目前現有的無線區域網路部署計畫。在未來的十八到二十四個月裡面，使用者必須部署額外的安全機制解決方案（例如防火牆或者虛擬私有網路）以確保區域網路的安全性。在二零零四年五月之前，企業內部的無線區域網路將會透過特別設計的閘道機制來整合到網路系統之中，這種閘道機制是特別針對解決問題叢生的安全性、管理工作、漫遊需求以及服務品質（quality of service, QoS）而設計的。 第一步：稽核（Audit）。網路安全性特別容易因為無線區域網路的存在而遭到破解入侵，因為要在網路內部安裝未受管制的無線區域網路橋接器（access point）是一件輕而易舉的事情。強化無線區域網路安全性的第一個步驟便是進行一次網路稽核動作，找出所有未受管制的無線區域網路橋接器，進而將它們納入系統既有安全政策的管制，或者乾脆完全停止使用這些橋接器。從短期來看，各企業應該使用具備無線區域網路流量偵測功能的產品（進而能夠找出無線區域網路橋接器），Sinffer Technologies 以及 WildPackets 等公司都有這樣的產品。然而這項作法在某種程度上還是會受到限制，因為這需要網管人員實際身處於無線區域網路信號所及範圍內才能夠偵測得到這些流量。在二零零二年底以前，無線區域網路設備供應廠商（例如 3Com、Avaya、思科以及 Symbol 等公司）將會把遠端無線區域網路橋接器偵測功能整合到它們的網路管理工具裡面。使用者應該建立一套有效的政策以確保網路稽核工作定期執行（每隔一到三個月執行一次），進而防止新的未受管制橋接器繼續出現。 第二步：認證（Authentication）。由於以 WEP 為基礎的標準規範無法信任（各廠商自有的 WEP 加密機制也只能額外多爭取些時間而已），因此使用者必須立刻體認到在企業內部廣開後門的嚴重性。使用者必須將眼光焦點放在無線區域網路使用者的認證機制上面（例如「撥接使用者遠端認證服務，Remote Authentication Dial-In User Service，RADIUS」）。在二零零二年底以前，各廠商將會把 IEEE 802.1x 使用者認證標準整合到無線區域網路產品之中，進而取代原本脆弱易破解的 WEP 認證方式。一套強而有力的認證機制必須搭配防火牆一起使用 -- 亦即將無線區域網路區段視為公眾網際網路一般看待。第二層級虛擬區域網路（Layer 2 virtual LANs）可以將無線區域網路流量區隔在單一防火牆之外，進而減少使用多重防火牆設備的需要。除了單純地透過認證機制以及網路觀測設備來進行存取控制之外，使用者也可以部署一套入侵偵測系統（intrusion detection system, IDS），以便主動地事先辨認出區域網路入侵跡象。IDS 產品可以讓網管人員辨認出發生入侵事件的特定無線區域網路橋接器或者網路區段，並且進一步找出入侵者的實際所在位置。 第三步：保密（Confidentiality）。許多機構並不需要上述第二步驟以外的額外安全防護層級。對於已經完成無線區域網路應用程式保密功能需求評估的使用者來說，他們將可以決定出某些網路區段所傳送的是不具備商業價值，因此也不需要進行加密的資料（例如倉儲中心掃瞄進來的產品條碼資料）。在這些狀況下，啟用基本的 WEP 加密機制可能會帶來不少好處，因為低階的加密機制搭配低價值的資訊，這個組合本身就是一項防止入侵的強大力量。在使用者必須透過無線區域網路傳送商業機密或者個人資料的狀況下，使用<虛擬私有網路（virtual private network, VPN）則是保證資料私密性的最佳方式。META Group 公司建議你每一季進行一次評估工作，以便決定網路流量以及使用者統計資料改變所隨之帶來的資料保密功能需求。 部署以區域網路為基礎的虛擬私有網路是一項既複雜又昂貴的工作。許多使用者目前已經為遠端存取連線部署了虛擬私有網路閘道，雖然這些使用者一開始能可以利用這些既有的產品，但是系統的延展性很快地就會成為一項限制因素。目前的虛擬私有網路設備可以終結從 40 Mbps 到 100 Mbps 之間任何一段網際網路安全性協定（Internet Protocal security, IPSec）流量（執行 3DES 加密機制以及 SHA-1 雜湊模式，搭配大量的小型資料封包），這個數字於透過撥接或者纜線／DSL 數據機連線的遠端存取使用者來說已經足敷需求。VPN 閘道設備在處理 802.11b ，甚至 802.11a 無線區域網路流量的時候便會顯得較為缺乏延展性，因為每一個使用者要求的流量速度是在 1 Mbps 到 10 Mbps 之間。對於一個 802.11b 無線區域網路環境，搭配基本的企業應用程式（例如電子郵件以及 HTTP）條件下，使用者應該針對每個總容量 100 Mbps 的虛擬私有網路閘道對應三百到五百位使用者這樣的比例來進行規劃。隨著應用程式對於網路頻寬的需求增加，或者無線區域網路橋接器設備升級到 802.11a，這個比例將會降低到大約每一個總容量 100 Mbps 閘道設備對應一百到兩百位使用者。使用虛擬私有網路所應該考量的課題包括額外增加閘道設備所需的成本（每一個閘道設備需花費一萬到五萬美元之間）、缺乏廣泛的客戶端支援、有限的漫遊功能（因為終端設備的位置是固定的）以及管理控制功能所及範圍會有所縮減（因為有些流量是透過隧道方式通過）。 一些主要的無線區域網路設備廠商正在加快腳步提供各項解決方案，包括針對 WEP 標準的自有實作方式、防火牆、入侵偵測以及虛擬私有網路功能。一些正在嶄露頭角的新興廠商（例如 BlueSocket 以及 Vernier Networks）則將目標放在解決無線區域網路的機動性、安全性、服務品質以及管理功能等問題上。不過他們的產品還仍舊處於早期開發階段。META Group 公司預料各廠商將會採取多面向發展策略來勾畫無線區域網路安全性的未來藍圖。在初期階段他們將會把焦點放在將虛擬私有網路功能直接整合到無線區域網路橋接器設備上，接下來則會漸漸將目光放在如何修正 WEP 標準所產生的問題上面。

------
**********************************************************
哈哈&兵燹
最會的2大絕招 這個不會與那個也不會 哈哈哈 粉好

Delphi K.Top的K.Top分兩個字解釋Top代表尖端的意思,希望本討論區能提供Delphi的尖端新知
K.表Knowlege 知識,就是本站的標語:Open our mind