BYOD大行其道　無線網路安全議題隨之增溫

隨著BYOD、CYOD與IT消費化風潮漸盛，驅使企業積極佈建無線網路，也讓相關安全防護需求隨之攀升。來源：CMIT Solutions

回顧以往，多數企業基於提升安全性、簡化網管複雜度考量，並不傾向為員工提供無線網路服務，然後伴隨行動裝置迅速普及，連帶致使BYOD(Bring Your Own Device)風潮日熾，迫使企業不得不提供無線網路，隨之而來的無線網路安全議題，自然至關重大。

時至今日，不管是企業高階主管或基層員工，對於BYOD、CYOD(Choose Your Own Device)、IT消費化等辭彙，都已不陌生，只因為隨著行動裝置蔚為普世風潮，現今員工以自帶設備投入公務作業，已成為理所當然的常態，影響所及，企業於內部環境佈建無線網路，堪稱為抵擋不住的潮流。

或許有人納悶，隨著LTE紛紛開台營運，與行動裝置之間的連結度顯然更深，是否意謂LTE將逐步取代Wi-Fi，既然如此，企業還需大費周章部署無線區域網路？業者認為，LTE與Wi-Fi之間的相互取代性，其實並不存在，縱使在廣域型無線網路之中，LTE速度條件已為上上之選，然而實際下載速率普遍低於300Mbit/s，上傳速率更不易突破100Mbit/s。

反觀Wi-Fi，以當前使用的11ac規格頻帶而論，最起碼還可供應1Gbit/s傳輸速度，兩相比較，前後差距甚大，考量企業日常作業所需，Wi-Fi無線網路仍是呼應BYOD、CYOD及IT消費化浪潮的首選架構。

以美國大型電信業者Verizon 為例，自2011年起，便積極在全美佈建LTE，覆蓋率之廣不在話下，但儘管如此，在實際營運兩年過後，依然不可免俗，面臨等同於3G時代的塞車窘境；著眼於此，甚至有專家預期，即使技術推進到LTE-Advnaced，看似速率提升，等於已經把路拓寬，但也會因為消費者從事更大量的影音下載、雲端資料傳輸，照樣佔用龐大頻寬，因而導致網路塞車問題。單憑此例，即不難凸顯Wi-Fi無線網路的存在價值。

但不可諱言，為呼應BYOD、CYOD及IT消費化等趨勢，而使企業加緊佈建無線網路，固然可大幅滿足便利性需求，但若疏於審慎規劃，恐將埋下諸多不可逆料的安全風險。

眾所周知，在行動裝置尚未普及之前，不少企業便基於保護機敏資料考量，不願涉險採用無線網路，種種顧慮，看在現今員工眼裡，難免備感不解；但事實上，過去的謹小慎微，絕非過度保守，真的摻雜了許多不得不然的苦衷，如今即使為了滿足行動辦公室需求，因而「開綠燈」廣設無線AP，但絕不代表過去的安全疑慮不復存在，甚至論及箇中威脅程度，還比從前更高。

先回歸問題的本質，檢視無線網路究竟有何風險。業者指出，如果將網路區分為有線、無線，以往駭客若欲針對前者下手，最直接的方式，便是將攻擊目標(意即受駭企業)對外的線路，轉接到駭客可以操控的環境，再從中過濾進出封包的資訊內容，藉以竊取機敏資料。

但對於駭客而言，此類途徑仍難免存在諸多路障，未必能夠暢行無阻。但無線網路則不然，由於無線電波不著邊際，靠著空氣傳輸訊號，可謂無遠弗屆，無異是讓企業門戶洞開，駭客甚至只要設法進入企業隔壁大樓，不必登堂入室，便可透過無線訊號的接取設備，輕易竊取企業內部網路流傳的機密資料；換言之，企業若未設立良好的無線網路安全防護機制，等於是將營運命脈，平白曝露在高風險境地而不自知。

加速建置Wi-Fi  尤須嚴防安全缺陷

那麼，現今因應BYOD風潮而架設無線網路，其風險為何更勝以往？此乃由於，以往在行動裝置猶未風行之前，欲於企業內部建立無線區域網路環境，往往是依循由下而上的管理路徑，資訊部門會綜覽網路管理、安全性、乃至應用環境與設備需求後，才著手展開規劃、佈建與測試，整個規劃歷程，少說得耗時1？2年。

反觀現今，由於高階主管大量使用行動裝置，並習慣以行動裝置從事公務活動，他們往往會基於便利性與網路連接速率等考量，主動要求資訊部門提供無線網路連線服務，而為了滿足主管交付的任務，某種程度也不容許資訊人員細火慢熬，必須加快建置步調，此一運作模式的轉變，無形中也徒留更多安全缺陷。

說到這裡，有些資訊人員想必不苟同，自認已針對安全機制多所考量，因此就算建置步調加快，亦無徒增安全疑慮之虞。但說穿了，他們所謂的安全機制，其實不過就是加密與認證。

不可否認，關於加密與認證，確實是架設無線網路安全防護體系的第一步。環顧無線網路，處處充斥著看不見的無線電波，其中並無明顯的邊界概念，所以要做到安全防護，就必須仰賴存取控制，意即透過認證機制把關，俾使合法的授權使用者，得以連結信任的無線區域網路，至於未經合法授權者，自然就被拒於門外，不得其門而入。

除了存取控制外，另一重點則在於機敏資料的保護，此時便需借助加密手段，確使合法授權使用者方可獲取密鑰，再藉由密鑰解密文件檔案，如此一來，非法使用者就算窮盡千方百計取得資料，也會因為缺乏密鑰，而無緣參透箇中玄機。

然而，前述機制果真萬無一失？持平而論，答案不是全錯，但也並非全然教人樂觀。多數企業都心知肚明，有眾多珍貴的數位資產亟待牢牢守護，其所面對的安全威脅，肯定與一般個人或家庭使用環境大相逕庭，所以傾向採用的無線區域網路認證與加密安全機制，理應是以WPA2(Wi-Fi Protected Access II)為依歸，而此一標準內含兩個主要元素，其一是IEEE 802.1x，負責提供資料連結層級的認證功能，類似功能原本運用於有線網路環境，乃是搭配RADIUS以及可延伸驗證通訊協定(EAP)，才得以適用於無線網路認證情境，並具備相當程度的安全性；另一是AES(Advanced Encryption Standard)加密，此技術是基於資料隱私保護而設計，普遍被視為相對安全的對稱密鑰加密演算法。

WPA2只是入門基本功  仍需搭配補強措施

綜上所述，只要奉行WPA2標準，企業似乎可免於擔驚受怕，理論上也是如此，然而縱使難度再高，處心積慮的駭客，仍會想方設法取得可以破解WPA2無線網路工具，所以企業不宜以為有了WPA2就高枕無憂，仍需額外架設其他防護系統。

當然，如果企業捨WPA2不用，僅取決於SSID、共享密鑰認證(Shared-Key Authentication)、WEP(Wired Equivalent Privacy)、MAC Address等傳統無線網路安全機制，無疑是自我「矮化」防護水平，讓駭客樂於輕鬆破解，顯然是下下之策。

至於額外補強措施的思考方向，大致可比照有線網路環境的防護機制。例如有助於一覽無遺綜觀公司內部無線網路設備的監控系統，不僅可監控無線封包的資訊，亦能管控無線網路的使用情況、協助IT管理者迅速解決無線網路相關問題，甚至可以中斷非法無線設備無線訊號，並統一納管有線區域網路，堪稱相當實用的工具。

此外，既然有線網路環境中，早已部署防火牆、入侵偵測防禦系統等防護機制，沿用同理，針對無線網路，企業亦可考慮佈建類似系統。適用於無線網路環境的防火牆，其功能訴求亦與一般防火牆如出一轍，同樣是根據預設的存取控制規範，發揮類似的管理功能，惟企業一旦採用此類系統，不宜任由其獨立運作，而與既存的安全政策脫鉤，否則容易衍生若干弊病，亦會加重管理者的作業負擔。

至於適用無線網路環境的入侵偵測防禦系統，主要是憑藉網路行為特徵之分析，發揮必要的管控機能，包括偵測並阻斷非法的無線網路存取點、防範IEEE 802.11阻斷式攻擊、防範無線電波干擾，亦有助於確保無線ad-hoc網路連線安全，功能訴求與一般IDS或IPS差異較大，值得企業評估導入。