小心無線網路成為駭客的饗宴

在802.11的WLAN中，保護資料封包加密方式的正式名稱是「有線等效協定（Wired Equivalent Protocol，WEP）」。不過由於某些基本安全性有缺陷，以及大多數企業並未應用WEP在實務上，使得該協定被戲稱為「為什麼封包加密協議（Why Encrypt Packets）」。更有甚者，來自在倫敦、紐約和矽谷的研究人員所進行的獨立調查報告顯示，目前大多數的WLAN根本不需要用到WEP。

一些來自Intel、加州大學柏克萊分校和馬里蘭大學的研究人員，率先揭示了WEP中的缺陷，並各自發表有關WEP缺陷的文章。其中最具殺傷力的報告則來自於Fluhrer、Mantin和Shamir的報告，該報告描述了AT&T實驗室和萊斯大學（Rice University）的 Stubblefield、Ioanndis和Rubin所作的一種被動式攻擊實驗過程。這個實驗是根據Shamir所提出如何捕獲隱藏的WEP金鑰的理論來進行攻擊，而這種攻擊只需花費幾個小時就可成功。

從WEP所暴露的缺陷中，可以找出其中的問題根源，分別是初始化向量（Initialization Vector，IV）的限制，與使用靜態WEP金鑰。當兩者結合在一起時，WEP的弱點便暴露了出來。換句話說，當使用者在多個資料上同時使用帶有相同WEP金鑰的相同IV時，IV衝突就產生了所謂的「弱」WEP金鑰。當此類弱金鑰的數量一多時，就可以攻擊WEP，並加以破解其中的密碼。

某些早期的報告指出，用於WEP加密的序列密碼（RC4）是一個嚴重缺陷，所以這個問題值得再度被提起及重視。不過這不是問題的本質，正如RSA實驗室的高級研究工程師Hikan Andersson博士所解釋：「WEP中所擁有的缺陷是藉由組合初始化向量和WEP金鑰的方法，以獲得每個封包的RC4金鑰。而一些IV產生了弱RC4金鑰，也因此洩露了WEP金鑰上的資訊。」

這個發現帶來了決堤般的影響，因為在Shamir的報告發表後的一個月，網際網路上就出現了像AirSnort和WEPCrack這樣的免費指令碼（駭客）工具。可怕的是，任何人都可以用它們來攻擊WEP。且AirSnort的作者們聲稱，他們的工具只要收集到2,000個弱金鑰的封包資訊後，就可以破解WEP的金鑰。

據估計，使用128位元WEP加密生成的1,600萬金鑰中，就會出現3,000個弱金鑰。值得注意的是，802.11b實際上是使用40位元的WEP加密技術，這讓WEP更加脆弱了。不過現在有許多供應商的動作比規範領先了一步，並在自己的產品中提供128位元的WEP加密，但即使是這種更嚴密的安全性，在新的工具面前也是很脆弱的。如AirSnort這樣的駭客工具，就能分析弱金鑰以發現無線用戶端和接取點之間的共用密碼。一旦發現了共用密碼，網路破壞者就能夠獲得對WLAN的網路存取權，並能夠反過來對在網路上所傳送的資料封包進行解密。

RC4演算法的發明者Ron Rivest，在公開聲明中建議：「使用者應該考慮通過諸如 MD5之類的散列函數傳遞基本金鑰，並對它們進行預先處理的動作，以加強金鑰調度演算法。使用者也可以通過在開始加密之前丟棄偽隨機生成器的前256個輸出位元組，以防止金鑰在調度演算時產生缺陷。以上技術中的任意一種都足以抵禦對WEP和WEP2的Fluhrer、Mantin和Shamir攻擊法。」

“強身份認證”的重要性

網路安全性的能力如同基礎的認證系統一樣強大，適當的認證技術可以防止許多流行的攻擊，如“中間人”攻擊和“拒絕服務”攻擊。

在當前的802.11b標準中，WEP是允許系統使用密碼型態的用戶端認證，但系統對於上文所描述的攻擊仍然是很脆弱。基於這點，RSA Security、Cisco和 Microsoft在新的802.1x標準中，便加入了受保護的可擴展認證協定（Extensible Authentication Protocol），藉以改進802.11標準（如802.11b或802.11a）中的認證機制。該標準解決了三個關鍵問題：

* 它能夠防止“無法認證者”從接取點進入網路。

* 它已包括多種廣泛使用的認證方法，用戶可以用自己的方式向接取點作“強身份認證”的工作。

* 它允許用戶在組成網路WLAN的各個接取點之間漫遊時，作“強身份認證”的工作。

用於漫遊用戶的“受保護的EAP”

目前EAP與傳輸層安全性（Transport Layer Security，TLS）協定兩者被拿出來討論是否能夠結合在一起應用，以成為「受保護的EAP（Protected EAP）。因EAP和TLS都是在網際網路廣泛使用的IETF標準，所以將這兩種協定結合起來，便可以產生對WLAN網路的保護。此外，也可以免除用戶端和伺服器端在作認證時，密碼被竊取的困擾。

EAP分兩個階段作認證，分別是TLS Handshake協定，及EAP認證。

第一階段 - TLS Handshake協定

第一階段所作的TLS Handshake協定，是用於向無線用戶端認證接取點，如(圖一)。首先，無線用戶端會向後端伺服器發送一個消息，宣佈自己要連接到無線接取點。該消息通知伺服器後，會開始一個新的連接，並告知伺服器用戶端所能理解的密碼演算法，以便能夠理解兩者之間發送的安全消息。

在接收了這個消息後，後端伺服器會給用戶端三種認證工具，分別是新建的會話標識、一個用於通信的演算法列表，以及一個公鑰證書（該證書允許用戶端信任後端伺服器，並建立一個網路連接的接取點）。這時無線用戶端會用驗證伺服器證書的簽名和有效性來生成金鑰，並用從伺服器證書所獲得的公鑰來加密，然後再進行回應的動作。

接下來，這個受保護的資訊會被送回到伺服器。而伺服器在解密這個資訊後，會將這個受保護的資訊認證為「用伺服器的私鑰來解密，以及用伺服器公鑰來加密」的訊息。在訊息交換的動作做完之後，便完成了接取點認證，同時也建立了安全的TLS來保護第二階段中的用戶憑證。

《圖一　TLS Handshake協定》

第二階段 - EAP認證

第二個階段是利用EAP的認證機制，來為系統提供一個保護層。換句話說，它可以通過使用合適的EAP機制，來認證無線用戶端的最終用戶，如(圖二)。合適的EAP機制包括使用密碼、智慧卡、數位證書，或時間同步機制（如產生一次性通行代碼所提問的RSA SecurID機制）。當EAP被傳遞到後端認證伺服器後，該伺服器會自動連接到位於公司WLAN中的無線接取點。其中EAP的通用性是一個關鍵，因為EAP允許企業繼續使用任何對員工合適的認證方式，而這認證方將會擴展到全公司的WLAN裡，如此的作法會讓在公司WLAN內漫遊的用戶感受到實際的好處。

《圖二　受保護的EAP認證階段》

大部份的用戶都希望擁有可移動性和便利性的認證，如果每次從一個會議室轉到另一個會議室都要求用戶作認證的動作，那麼他們便會希望放棄安全性以求得便利。「它是兩星期規則。」RSA Security系統工程師Pete Wann說：「只要用戶覺得不方便，大約兩星期內，企業中的安全性機制就會被除去，我們一次又一次看到這種情況發生。所以EAP在產品開發階段時，就考慮到用戶的需求，建置可移動性和安全性的設定。」

用戶也可以利用TLS Handshake所提供的連接重建機制，來連接到同一個後端伺服器的不同接取點。如果用戶的會話標識仍然有效，那麼無線用戶端和伺服器也可以共用舊的金鑰協定來保持連接的有效性和安全性，如(圖三)。

《圖三　在受保護的EAP中漫遊》

結論

隨著時間的前進，我們可以預料多種802.11標準（如 802.11a）會採用802.1x的安全措施。從安全性角度來看，這是個好消息，因為現在正在建置的WLAN產品將可以使用802.1x，且也能夠和企業所部署的“強身份認證”系統相容，進而讓用戶能以更方便和更安全的方式來漫遊。此外，它也是解決在漫遊環境中，用戶和接取點認證的長期修正方法。

802.11b所衍生出來的安全問題，實際上是說明了編寫安全性協定的重要性，這些協定允許供應商提供高層級資料保護、用戶認證和互操作性。不過安全性專家要在標準開發階段的早期參與進來，才編寫安全性的協定，但遺憾的是，802.11b 的教訓證明了無論是在那方面，安全性仍然是一種亡羊補牢的產物。有鑑於802.11b慘痛教訓，802.1x的研發或許能夠替未來的802.11標準做一些有效的預防。

＜作者為RSA Security產品市場營銷經理，本文選自IBM developerWorks開發者中文網站，程裕翔整理＞