-
留 意 Wi-Fi 標 準 的 發 展
自 從 802.11標 准 推 出 並 不 斷 加 以 改 良 , 數 據 傳 輸 率 、 訊 號 范 圍 和 無 線 網 絡 的 保 安 都 得 以 加 強 , 因 此 , 當 采 購 新 設 備 或 獲 取 新 的 無 線 網 絡 服 務 時 , 最 好 時 常 留 意 新 標 准 的 發 展 。 在 采 購 新 設 備 時 , 應 考 慮 以 較 安 全 的 無 線 保 安 規 約 如 WPA/AES 或 WPA2/AES 作 保 護 。 由 於 日 後 可 能 在 這 些 規 約 中 發 現 新 的 保 安 漏 洞 , 故 不 能 只 依 賴 這 些 保 安 規 約 作 為 確 保 資 料 保 密 性 和 完 整 性 的 唯 一 措 施 。
-
進 行 保 安 風 險 評 估 及 審 計 以 識 別 保 安 漏 洞
保 安 風 險 評 估 及 審 計 是 檢 查 無 線 網 絡 安 全 程 度 的 重 要 方 法 , 用 以 確 定 所 需 的 修 正 措 施 , 維 持 可 接 受 的 保 安 水 平 。 這 些 方 法 有 助 於 識 別 無 線 網 絡 的 漏 洞 , 例 如 使 用 預 設 或 易 猜 的 密 碼 和 簡 單 網 絡 管 理 規 約 ( SNMP ) 的 社 群 字 串 的 無 線 接 駁 點 , 以 及 偵 測 是 否 已 啟 動 加 密 功 能 等 。 然 而 , 保 安 風 險 評 估 只 能 揭 示 資 訊 系 統 於 某 一 段 時 間 的 部 份 風 險 , 故 在 無 線 網 絡 運 作 後 , 應 定 期 進 行 風 險 評 估 及 審 計 。
-
進 行 實 地 調 查
基 於 射 頻 ( RF) 的 性 質 , 無 線 網 絡 訊 號 一 般 不 會 受 樓 宇 阻 隔 。 無 線 訊 號 的 覆 蓋 範 圍 過 大 , 可 能 會 對 網 絡 構 成 重 大 威 脅 如 停 車 場 攻 擊 。 因 此 , 在 網 絡 策 劃 階 段 中 , 應 充 份 了 解 無 線 網 絡 的 覆 蓋 範 圍 要 求 並 進 行 實 地 調 查 , 以 便 確 定 :
- 適 宜 採 用 的 技 術 ;
- 須 避 免 、 刪 除 或 處 理 的 障 礙 ;
- 應 採 用 的 覆 蓋 模 式 ; 及
- 需 要 的 容 量 。
-
採 用 縱 深 防 禦 方 式
有 線 網 絡 的 保 安 設 計 , 一 直 廣 泛 採 用 「 縱 深 防 禦 」 的 概 念 , 這 原 理 亦 適 用 於 無 線 網 絡 。 經 採 取 多 重 保 安 措 施 後 , 無 線 網 絡 遭 成 功 入 侵 的 風 險 將 大 幅 減 少 。 如 一 項 措 施 受 襲 , 尚 有 多 重 保 安 措 施 可 保 護 網 絡 。
分 隔 無 線 與 有 線 網 絡 數 據 段 、 使 用 強 化 的 裝 置 及 用 戶 認 證 方 法 、 依 據 位 址 及 規 約 作 出 網 絡 過 濾 , 以 及 對 無 線 與 有 線 網 絡 進 行 監 視 和 入 侵 偵 測 , 均 是 多 重 防 禦 的 措 施 。
-
分 隔 無 線 網 絡 與 有 線 網 絡
基 於 無 線 技 術 的 特 質 , 無 線 網 絡 比 較 難 以 受 樓 宇 阻 隔 , 故 一 般 被 視 為 不 可 靠 的 網 絡 。 連 接 網 絡 時 , 最 佳 的 作 業 實 務 是 有 線 和 無 線 網 絡 不 應 直 接 連 接 在 一 起 。 防 火 牆 的 安 裝 通 常 用 於 分 隔 和 控 制 不 同 網 絡 的 通 訊 。 譬 如 , 有 線 網 絡 的
ARP 廣 播 封 包 不 應 傳 送 至 無 線 網 絡 , 否 則 惡 意 用 戶 便 可 揭 露 內 部 信 息 , 例 如 這 些 廣 播 的 以 太 網
MAC 位 址 。
-
無 線 接 駁 點 的 覆 蓋 範 圍 分 段
由 於 無 線 網 絡 的 傳 送 容 量 有 限 , 惡 意 攻 擊 者 可 輕 易 進 行 拒 絕 服 務 ( DoS) 攻 擊 , 使 網 絡 停 頓 。 把 無 線 接 駁 點 的 覆 蓋 範 圍 分 段 , 可 平 衡 無 線 網 絡 的 負 荷 , 並 減 少
DoS 攻 擊 的 影 響 。
