【無線網路安全篇】
這兩年來，ADSL與Cable不斷地削價競爭帶動了全民寬頻的熱潮，當年「寬頻」還是個新名詞，更是各大媒體爭相報導的主題，但今日看來再平常不過了。寬頻的使用人口數已邁入疲緩成長的階段，有需求的人都已安裝，而觀望的人仍觀望，在這個看似飽和的市場中，業界與消費者都期盼新技術或新應用能激起新的需求浪花。於是「無線網路」便肩負起再造市場需求的責任。

注重生活品質和工作效率的現代人，不斷運用科技改進資訊設備的便利性與實用性，設備「無線化」已大勢所趨，從無線滑鼠鍵盤到筆記型電腦，現在這股無線風潮已延燒到網路設備上。

1999年，IEEE提出802.11無線區域網路標準(Wireless Local Area Networks)，WLAN因此誕生，願景是讓PC、NB或PDA等行動裝置，以無線的方式登入網路，傳輸介值從有形的網路線，轉變為無形的空氣，就如同聽廣播或收看衛星節目般自然。WLAN目前適合用來建構非大型的區域網路，例如家中、小型辦公室、圖書館等，或是公眾點(Hot Spot)。理論上一台基地台可支援254台電腦使用，但真正的實際值約16-32台，過多的電腦會使流量激增導致Crash，這也是無線區網不適合大規模建置的原因。

相較於傳統的有線網路，無線區域網路節省了佈線的成本，能更快速的架構起網路環境，對於使用者來說則大幅增加了行動力與便利性。

但「水能載舟亦能覆舟」，網路無線化帶來了使用上的便利性，卻也帶來了安全上的隱憂。對企業來說，e化已經引爆出許多資訊安全問題，從紅色警戒到布雷斯特，癱瘓主機、塞爆網路、工作延宕……，企業已飽嚐「科技副作用」，不得不鉅資投入資訊安全的善後與預防工作，因此若安全問題仍與無線網路形影不離，那麼企業也只能觀望再觀望。

WEP不夠安全

傳輸介質從有形的網路線變成無形的空氣，對於經常越權存取資料與竊聽他人溝通行為的駭客來說實是件容易的事。消費者在採購無線網路設備時，一定有看過或聽過WEP加密機制，產品的彩盒上也都會註明支援64或128bit的WEP加密（目前是面上每款產品最少都支援64位元WEP），當然，矽統科技所開發的SiS160、SiS162與SiS 163無線網路晶片也支援WEP加密。WEP安全協定的英文全名為wired equivalent privacy protocol，是由Wi-Fi聯盟制定，預期提供一個跟使用有線網路一樣的安全等級。

無線網路十分的方便，理論上WEP也可以保護無線網路的私密性，另外也可防止未經授權就存取無線網路。但是事實上，無線網路在安全性上確實有欠缺考量的地方，使得有心人士能非法存取無線網路上傳輸的資料；另一方面，有心人士也可能使用您的無線網路為非作歹，而您就成為了代罪羔羊。

2001年八月，兩位以色列魏茲曼研究所的專家與一位思科公司的研究員，在多倫多的密碼會議中公布破解加密技術的結果。這三位解密專家利用裝置無線網路卡的筆記型電腦，成功竊取網路中的一小部分資料，在不到一小時內即破解用戶密碼。此外，AT&T實驗室的研究員也號稱可以同樣的方法成功破解密碼。目前網路上到處都可找到破解WEP的工具。很難想像經過各界專家研究公布的WEP會是如此薄弱，無怪乎消費者對無線網路裹足不前。無疑的，安全性是目前無線區域發路在發展上的一大重要問題，如何克服使用者對於安全性的考量是當前刻不容緩的當務之急。

為何WEP能輕易被破解？這是因為WEP使用的加密法RC4有著技術本質上的問題，加上WEP後天的缺陷使得WEP變得薄弱不已。WEP加密的原理與過程大致如下：RC4一開始使用40bits的WEP key和24bits的亂數產生一個簽章(Initialization Vector)來加密每個封包的資料，由於每個封包都經過加密，所以就算有心人士擷取了封包，也會因為沒有WEP key而無法解讀原始資料。

但問題是簽章中的亂數數字長度只有24 bits，也就是2*24次方可能的值，所以當2*24次方的值都用完時，同樣的簽章又會在封包中重複產生，也就是說，有心人士只要竊取足夠的封包，就一定可以比對出WEP Key，進而將加密後的資料還原成明碼。

WPA標準替無線網路增添安全性

Wi-Fi聯盟公布Wi-Fi Protected Access（WPA）無線通訊新安全標準，無線網路廠商紛紛表示支援，為提高無線網路安全性，核心邏輯晶片組領導廠商矽統科技不遺餘力，搶先在市場上推出支援WPA的802.11b無線網路晶片SiS 160與SiS162，SiS163亦全面支援WPA 2.0及802.11i的802.11g。

WPA的出現能有效解決過去WEP輕易遭破解的問題，堅定一般消費者市場的信心，並預期能帶動部分企業用戶市場使用無線網路的意願，尤其若對行動網路有較大需求時(如會客室、會議室、展覽室等網路佈建)，相信支援WPA的SiS 162/SiS163能滿足傳輸速度、穩定性、安全性等各層面的需求。

WPA是即將推出的802.11i標準技術的其中一部分，2002年由Wi-Fi聯盟公布。以下是Wi-Fi用來解釋WPA意義的簡單公式，這個簡單的公式說明了WPA的組成架構以及每個基本元素。

WPA=TKIP+MIC+802.1X+EAP

在這個公式中，802.1x和延伸認證協定（EAP）是WPA的認證機制。無線區域網路的使用者都必須提出身份證明，經過對照查核資料庫證實為合法使用者後，才能使用無線區域網路，每個要登入網路的人都必須經過這樣的認證過程。在企業中，資料庫的驗證工作則通常有專責伺服器來完成。不過為了簡化使用方式，讓所有WLAN的使用者都方便使用，所以WPA提供了一個不需額外設備的簡易認證方式，稱為預先公用金鑰，只需在每個WLAN的無線基地台無線網路卡橋接器等輸入單一密碼，當密碼相符合，Client端便會被視為合法用戶，並獲得WLAN的存取權限，對使用者來說就如同Windows「登入網域」般自然。

剛剛提到WEP最主要的問題，在於加密機制本身的缺點(RC4)，使得封包中的金鑰過於相似，當然，WPA針對加密機制加以補強，公式中的TKIP和MIC便是在在WPA裡便扮演著強化加密的角色。

請主動捍衛資訊安全
由於WLAN具有易安裝，以及提供企業內部隨處存取企業資源的上網能力等特性，因此使用數量日益增加；但令人驚訝的是，絕大多數的企業卻未啟動無線 安全功能！

即便無線網路安全晶片已支援WEP、WPA，但通常設備出廠預設值是不啟動的，因此要請讀者特別注意，一定要「主動」捍衛自己的無線網路資訊安全，將WEP和WPA啟動，此外，千萬要記得更改出廠預設的SSID值，最好是不容易猜到的字串，更不可以把SSID當作密碼來設定，只是在作業上可能會稍微麻煩，因為當基地台的SSID更改時，所有使用該SSID的裝置也得跟著修改。另外，用戶也可用實體的方式來保護資訊安全，例如在建築內裝設遮蔽訊號的裝置，讓建築以外的人無法接收到無線訊號。

對高度重視資訊安全的企業、政府機關或是軍事單位來說，可以採取額外的機制來保護資訊安全，例如在WLAN上架設VPN。透過VPN建立的安全通道來傳輸資料，能確保企業內部資料在網際網路上傳輸時的隱密性，不過VPN無法保證企業內部區網的安全性，因為只要是WLAN的合法IP就有使用網路的權限，因此VPN的重點在於IP管理。

當然，若能從VPN到防毒、防駭都作全盤的建置，便可期望達到滴水不漏的資訊安全，但對廣大消費者而言，VPN不是個經濟實惠又方便的解決方案，此時採購支援WPA及802.1x安全規格的產品才是最經濟實惠且有效的解決方式(例如SiS162/SiS163)，因為WPA及802.1x能對所有要使用WLAN的使用者作身份認證，確認為合法用戶後才可進行連結，有效遏止非法人士的入侵，而且無須加裝硬體設備，在使用上更輕鬆容易。