第 2 章:制定安全的無線網路策略
本文內容
發佈日期: 2004 年 11 月 10 日 | 更新日期: 2005 年 5 月 26 日
本頁內容
簡介 無線網路的爭論 如何 (真正) 保護您 WLAN 的安全 選擇正確的 WLAN 選項 總結 參考資料
簡介
無線區域網路 (WLAN) 技術頗受爭議。已部署 WLAN 的組織會考慮到它是否安全的問題; 其他未部署的組織則擔心會錯失提升使用者生產效率和降低總擁有成本 (TCO) 的良機。關於 WLAN 用於公司環境是否安全的疑慮依然存在。
從發現第一代 WLAN 安全性軟體中的弱點開始,各分析團隊和網路安全公司都在致力於解決這些弱點問題。這些努力對於提高無線安全性可謂貢獻良多, 但仍有不盡完善之處:有些會引發一系列安全性漏洞;有些則要求使用昂貴的專用硬體;還有一些則把 WLAN 安全性的問題歸咎於其他問題,如虛擬私人網路 (VPN) 等相當複雜的安全性技術問題。
同樣地,美國電機電子工程師學會 (IEEE) 及其他標準組織多年來努力不懈,不斷重新定義並提高了無線安全性標準,才使得 WLAN 有能力抵擋 21 世紀初期的各種安全性環境威脅。感謝這些組織及業界領導者的持續努力,才使得「WLAN 安全性」有可能實現。您現在可以比較放心部署和使用 WLAN。
本章介紹 Microsoft 的兩種 WLAN 安全性解決方案,並回答有關保障 WLAN 安全的最佳實務問題。
無線解決方案概觀
本章主要目標是協助您確定保護您組織中 WLAN 安全的最佳方法。本文主要分成四個部分:
Microsoft 提供兩種 WLAN 解決方案,兩種解決方案均以標準組織 (如 IEEE、網際網路工程任務推動小組 [IETF] 及 Wi–Fi 聯盟) 的開放式標準為基礎。這兩種解決方案的標題分別是《以憑證服務保護無線區域網路的安全》和《使用 PEAP 和密碼保護無線區域網路的安全》。如名稱所示,前者使用公開金鑰憑證來驗證 WLAN 中的使用者和電腦,而後者則使用簡單的使用者名稱和密碼。但兩種解決方案的基本架構很類似, 都是以 Microsoft® Windows Server™ 2003 基礎結構為基礎,並且都使用執行 Microsoft Windows® XP 和 Microsoft Pocket PC 2003 的用戶端電腦。
儘管標題沒有明白指示,不過兩種解決方案的目標用戶並不相同。《以憑證服務保護無線區域網路的安全》解決方案主要針對資訊技術 (IT) 環境較複雜的大型組織;《使用 PEAP 和密碼保護無線區域網路的安全》解決方案則簡單許多,可方便小型組織部署。
但也不是說大型組織不能使用密碼驗證,而憑證驗證也並非不適合小型組織。此處僅反映使用各種解決方案最適合的組織類型。下圖所示簡易決策樹,可協助您選取最適合您組織的 WLAN 解決方案。
實作 WLAN 安全性時,三個主要技術選項的用途如下所示:
Wi–Fi 保護存取 (WPA) 預先共用金鑰 (PSK) 適用於超小型辦公室和家庭辦公室。
以密碼保護 WLAN 安全性適用於不想使用憑證的組織。
以憑證保護 WLAN 安全性適用於想要部署憑證的組織。
本章後續內容將會解釋以上三種實作選項,還會說明將後兩種選項的功能結合以提供混合解決方案的可能性。
圖 2.1 兩種 Microsoft 無線區域網路解決方案的決策樹
回到頁首
無線網路的爭論
WLAN對當今商務的吸引力顯而易見。WLAN 技術雖然早在十多年前就已初具雛形,但直到最近才獲得人們的認可。直到開發出可靠、標準化且低成本的技術滿足人們對於靈活的連線操作方式的需求後,WLAN 的接受度也才真正開始高漲。此技術的快速採用同時也突顯出第一代 WLAN 的一系列嚴重弱點。本節將討論 WLAN 的利與弊 (即功能與安全性問題)。
無線區域網路的優點
無線區域網路技術的優點分為兩類:核心業務效益和操作效益。核心業務效益包括提高員工生產力、加速業務處理流程和效率,以及提升建立整體新商業功能的潛力。操作效益包括降低管理成本、降低資本支出。
核心業務效益
WLAN 核心業務效益來自員工的工作彈性和行動力增加。員工們不再侷限於辦公桌前,他們可以自由地在辦公室裡走動,同時保持網路連線。以下範例有助於說明行動力和網路靈活性提高對企業的益處。
穿梭於各辦公室之間的行動工作者與公司區域網路 (LAN) 隨時保持連線,這樣既可省時又可省力。使用者可從無線網路覆蓋範圍內的任何實體位置立即進行連線,無需尋找網路連接埠、纜線,也無需 IT 人員協助連線。
只要知識工作者待在建築物中即能保持聯絡。藉由電子郵件、電子行事曆及聊天技術的使用,您的員工即使在開會或不在辦公桌前工作也能維持連線狀態。
總能使用線上資訊。不再因為與會人員衝進衝出擷取上月報表或更新簡報,而導致會議延遲。如此一來,可大幅提升會議的品質與效率。
組織彈性亦得到提升。由於員工不再被綁在辦公桌前,因此團隊和專案結構發生變化時,就可以快速調整辦公桌,甚至是整個辦公室。
新裝置、應用程式和公司 IT 環境的整合獲得顯著改善。有些裝置 (例如個人數位助理 [PDA] 和平板電腦) 至今仍作為主管的玩具,只能算是公司 IT 的小角色,而組織啟用無線網路後,這些裝置將變得更易整合且更有用。先前未受 IT 影響的工作者和業務程序現在會因為無線電腦、裝置和應用程式進入先前未使用網路的領域而獲益 (例如,製造現場、醫院病房、商店和餐廳) 。
不同組織會獲得不同益處,這要視您組織的業務性質、人員編制與地理分佈等因素而定。
操作效益
WLAN 技術的主要操作效益包括降低資本和操作成本,如下所示:
大幅降低提供建築物網路存取的成本。儘管大多數辦公室都裝設了網路,但工廠、倉庫和商店等還沒有普及。您還可以在使用有線網路有困難的地方 (如室外、海上甚至戰場) 提供網路。
當組織變更時,如有需要,您可以輕易調整網路以回應不同的需求層次,甚至每天都可進行調整;例如,與其增加有線網路連接埠的數量,不如在指定位置集中部署無線存取點 (AP)。
不再需要將大量資本花在建築物基礎結構上,因為將無線網路基礎結構移至新建築物比較容易。有線網路通常屬於永久固定成本。
無線區域網路的安全性考量
儘管有諸多優點,但對 WLAN 的一系列安全性考量限制了此技術的採用,特別是對安全性尤為重視的組織,如金融業和政府單位等。將未受保護的網路資料傳播給週圍的人顯然有風險,但仍有很多使用者在未啟用任何安全性功能的情況下就安裝了 WLAN。大多數公司都實作了某種無線安全性措施, 但這些安全性措施僅提供基本保護功能,以當今的標準來看,第一代功能所提供的保護並不足夠。
撰寫第一代 IEEE 802.11 WLAN 標準時,當時的安全性問題並不像今天這樣嚴重。當時各種威脅的程度及複雜性還不高,而且無線技術的採用尚處於起步階段。在這種背景下,第一代 WLAN 安全性配置 (亦稱為「有線等位私密 (WEP)」) 應運而生。WEP 低估了無線網路應採用等同於有線網路的安全性保護措施。與之相比,現代 WLAN 安全性方法專為各種不良環境 (如缺乏明確實體或網路界線的空中) 而設計。
請務必區別第一代靜態 WEP (使用共用密碼保護網路) 和使用 WEP 加密的安全性配置 (搭配強大的驗證和加密金鑰管理功能)。前者是包括驗證和資料保護在內的完整安全性配置,在本章中稱為「靜態 WEP」;而動態 WEP 只定義了資料加密與資料完整性的方法,此方法將用於更安全的解決方案,本章後續內容將會說明。
靜態 WEP 中發現的安全性弱點造成受其保護的 WLAN 產生漏洞,使得 WLAN 易於受到幾種類型的威脅影響。免費提供的「稽核」工具 (如 Airsnort 與 WEPCrack) 可以輕易侵入受靜態 WEP 保護的無線網路。安全性沒有保障的 WLAN 顯然會受到類似威脅;差別只是攻擊安全無保障的 WLAN 所需的專門知識、時間以及資源要少一些。
在探討現代 WLAN 安全性解決方案如何運作之前,有必要先瞭解 WLAN 遇到的主要威脅。下表簡要概述了這類威脅。
表 2.1:WLAN 遇到的主要安全性威脅
竊聽 (揭露資料)
竊聽網路傳輸將會導致機密資料及未受保護的使用者認證外洩,並有可能造成身份盜用。老練的入侵者還能藉此收集有關您 IT 環境的資訊,並利用這些資訊攻擊其他並不脆弱的系統或資料。
攔截和修改傳輸的資料
若攻擊者能夠存取網路,他 (她) 就能使用一台惡意電腦來攔截和修改兩個合法單位之間傳輸的網路資料。
欺騙
一旦入侵者能夠存取內部網路,即可利用網路以外不可行的方法來偽造合法資料,例如,電子詐騙郵件訊息。人們 (包括系統管理員) 傾向於信任內部產生的資料,而非來自公司網路之外的資料。
拒絕服務
蓄意攻擊者可以透過各種方式引發 DoS 攻擊。例如,透過微波爐等低階技術產品即可干擾無線電訊號。複雜的攻擊以低階無線通訊協定作為攻擊目標;此外,有些針對網路的攻擊並不複雜,只是利用隨機傳輸灌滿整個 WLAN。
自由負載 (或竊取資源)
入侵者可能只想利用您的網路作為進入網際網路的免費存取點。儘管不比其他的威脅危險,但自由負載不僅會降低您為合法使用者提供服務的層級,還會引入病毒及其他威脅。
意外的威脅
WLAN 的某些功能會加重非刻意威脅的嚴重性。例如,合法的訪客可能會啟動可攜式電腦,並無連線到您網路的意圖,卻還是自動連線到您的 WLAN。訪客的可攜式電腦現在成為病毒進入您網路的潛在入口。這種威脅僅僅是不安全 WLAN 的問題之一。
異常的 WLAN
即使貴公司沒有正式的 WLAN,仍會因為公司網路中出現未受管理的 WLAN 而受到威脅。熱心員工購買的廉價 WLAN 硬體可能會意外發掘您的網路漏洞。
有關 WLAN 的安全性考量 (主要是靜態 WEP) 成了媒體焦點。儘管有完善的安全性解決方案可以對付各種威脅,各種規模的組織仍對使用 WLAN 存有戒心,許多組織甚至停止部署或禁止使用 WLAN 技術。造成此誤解以及經常將 WLAN 和不安全網路混為一談的主要原因包括:
- 對於哪種 WLAN 技術安全,哪種技術不安全,存在著廣泛的不確定性。企業發現一連串靜態 WEP 的缺陷後,就對所有 WLAN 的安全性措施都產生了懷疑。令人疑惑的官方標準清單,以及宣稱能解決這些問題的專用解決方案,對清除疑惑作用甚微。
- 無線是無形的;不僅對網路安全性系統管理員造成心理壓力,還會確實引發安全性管理問題。您可以確實看到入侵者將纜線插入有線網路,但 WLAN 的入侵卻不是那麼具體。有助於保護有線網路安全性的門和牆等傳統防禦措施,卻對「無線」攻擊者的入侵束手無策。
- 目前對保護資訊安全性的意識更加強烈。商家對系統安全性的要求程度更高,而不信任可能會引發新安全性漏洞的技術。
- 隨著安全意識的高漲,越來越多的國家和產業部門會出現管理資料安全性的立法和管制要求。其中一個最知名的例子就是美國政府 1996 年制訂的「健康保險流通與責任法案 (HIPAA)」,此法案用來規範個人醫療保健資料的處理。
[](#mainsection)[回到頁首](#mainsection)
### 如何 (真正) 保護您 WLAN 的安全
自從發現 WLAN 的安全性弱點以來,主要網路廠商、標準訂定機構和分析師付出了大量心血,尋找補救這些漏洞的解決方案。針對 WLAN 的安全性考量,產生了多種應對措施。主要替代方案有:
- 不部署 WLAN 技術。
- 仍然使用 802.11 靜態 WEP 安全性。
- 使用 VPN 保護 WLAN 上的資料。
- 使用 IPsec 保護 WLAN 傳輸。
- 使用 802.1X 驗證和資料加密技術來保護 WLAN。
綜合安全性、功能、可用性等多方面考量 (儘管有一定的主觀性),上述替代方案按照滿意度從低到高的順序列出。Microsoft 傾向於使用最後一種替代方案==使用 802.1X 驗證和 WLAN 加密技術。此方法將在後續章節中說明,並與先前在表 2.1 中提出的主要 WLAN 威脅互相比較。本章後續章節還會說明其他解決方法的主要優缺點。
#### 使用 802.1X 驗證和資料加密來保護 WLAN
除了該標題以及一系列晦澀難懂的術語以外,還有很多原因足以解釋為何要建議採行此方法。討論此解決方案的優點之前,有必要先澄清一些術語概念,並且解釋該解決方案的運作方式。
##### 瞭解 WLAN 安全性
保護 WLAN 的安全主要包括三個項目:
- 驗證連線至網路的人員或裝置,讓您有信心掌握嘗試連線網路的對方。
- 驗證使用 WLAN 的人員或裝置,以便控制存取網路的人員。
- 保護網路中傳輸的資料,以防他人竊聽和未經授權便修改資料。
除以上三方面之外,您可能需要 WLAN 的稽核功能,儘管稽核主要是用作檢查與加強其他安全性元素的手段。
###### 網路驗證和授權
靜態 WEP 安全性依靠簡單的共用密碼 (密碼或金鑰) 來驗證 WLAN 的使用者與裝置。任何擁有此秘密金鑰的使用者均可存取 WLAN。WEP 中的密碼編譯缺陷為攻擊者提供了可趁之機,透過簡單易用的工具即可找出 WLAN 中所用的靜態 WEP 金鑰。原來的 WEP 標準同樣未提供可自動更新或散佈 WEP 金鑰的方法,因而很難變更金鑰。一旦破解了靜態 WEP WLAN,就表示它一直遭到破解。
為了提供功能更強的驗證和授權方法,Microsoft 和其他廠商提出了一種使用 802.1X 通訊協定的 WLAN 安全性架構。802.1X 通訊協定是一種 IEEE 標準,可用於驗證網路的存取權,並可選擇性地作為保護傳輸的管理金鑰。其使用範圍並不侷限於無線網路,它已實作於許多高階有線 LAN 交換器中。
802.1X 通訊協定包括網路使用者、如無線 AP 等網路存取 (或閘道) 裝置,以及「遠端驗證撥號使用者服務 」(RADIUS)伺服器形式的驗證與授權服務。RADIUS 伺服器主要執行驗證使用者憑證以及授權使用者 WLAN 存取權限的工作。
802.1X 通訊協定依靠名為「可延伸的驗證通訊協定 (EAP)」的 IETF 通訊協定,在用戶端與 RADIUS 伺服器之間執行驗證交換。此驗證交換將由 AP 轉送。EAP 是一種驗證常用通訊協定,支援多種驗證方法 (透過密碼、數位憑證或其他類型的認證進行驗證)。可延伸
由於 EAP 提供多種驗證方法選項,因此沒有一種所謂的標準 EAP 驗證類型。不同的 EAP 方法使用不同的認證類型和驗證通訊協定,因此也適用於不同的環境。本章後續章節中將會說明在 WLAN 驗證中使用 EAP 方法。
###### WLAN 資料保護
決定 802.1X 驗證與網路存取僅是構成此解決方案的一部份。另一個重要的解決方案項目是您要用來保護無線網路傳輸的工具。
如果靜態 WEP 中包含定期自動更新加密金鑰的方法,則上述 WEP 資料加密的缺陷會有所改善。用來破解靜態 WEP 的工具需要收集用同一個金鑰加密的一到一千萬個封包。由於靜態 WEP 金鑰通常數週甚至數月都不會變更,因此攻擊者很容易收集上述數量的資料。並且由於 WLAN 中的所有電腦都共用相同的靜態金鑰,因此攻擊者可以收集 WLAN 中所有電腦所傳輸的資料,以便破解金鑰。
使用基於 802.1X 的解決方案可讓您經常變更加密金鑰。作為 802.1X 安全驗證程序一部分,EAP 方法會為每個用戶端產生一個唯一的加密金鑰。為防 WEP 金鑰遇到破解 (如前所述),RADIUS 伺服器會定期強制產生新的加密金鑰。如此一來,可讓您以更安全的方式使用 WEP 加密演算法 (目前大多數 WLAN 硬體均會使用)。
###### WPA 與 802.11i
儘管使用 802.1X 動態金鑰再生的 WEP 對大多數實際用途來說是安全的,但仍存在一些問題:
- WEP 會將獨立靜態金鑰用於全域傳輸 (如廣播封包)。與每個使用者金鑰不同的是,全域金鑰不會定期更新。儘管機密資料不大可能透過廣播傳輸,但將靜態金鑰用於全域傳輸為攻擊者提供了發現網路資訊 (如 IP 位址、電腦和使用者名稱) 的可能性。
- WEP 保護的網路結構的完整保護力很差。攻擊者可以使用密碼編譯技術,修改 WLAN 結構中的資訊,並更新結構的完整性檢查值,而令接收者毫不知情。
- 隨著 WLAN 傳輸速度的提高,以及運算能力與密碼分析技術的進步,更新 WEP 金鑰的次數必須更頻繁。這會使 RADIUS 伺服器不堪負荷。
為解決這類問題,IEEE 正在開發一種新的 WLAN 安全性標準,這種標準稱為 802.11i,也稱為 Robust Security Network (RSN)。由 Wi-Fi 的業界領導廠商所組成的 Wi-Fi 聯盟,已將可謂 802.11i 早期版本的標準發佈為 WPA (Wi-Fi Protected Access) 業界標準。WPA 包括了 802.11i 功能的大型子集。透過發佈 WPA,Wi-Fi 聯盟得以授令所有帶有 Wi-Fi 標誌的設備遵守 WPA,並允許 Wi-Fi 網路硬體廠商在 802.11i 發行之前,提供標準化的高安全性選項。WPA 將一組目前普遍認為能確保 WLAN 安全的最安全技術的安全性功能結合在一起。
WPA 包括兩種模式:一種使用 802.1X 與 RADIUS 驗證 (簡稱為 WPA);而另一種則較為簡單,使用的是預先共用金鑰並適用於 SOHO 環境 (稱為 WPA PSK)。WPA 將強大的加密功能與 802.1X 通訊協定的強大驗證和授權機制相結合。WPA 資料保護則透過以下方式消除了 WEP 的已知漏洞:
- 每個封包都使用唯一的加密金鑰。
- 使用更長的初始化向量,可透過新增額外 128 位元金鑰資料來有效地加倍金鑰空間。
- 訊息完整性檢查值經過簽署,不容易遭竄改或欺騙。
- 整合了加密框架計數器可防止重新執行攻擊。
但由於 WPA 使用的加密演算法與 WEP 所用的相似,因此可透過簡單的韌體升級將其實作到現有硬體上。
WPA 的 PSK 模式還允許小型組織和家庭辦公室使用者在沒有任何靜態 WEP 漏洞的情況下使用共用金鑰 WLAN。但此選項是否可用有賴所選的預先共用金鑰是否夠強固,可以防止簡單的密碼猜測攻擊。與以 RADIUS 為主的 WPA 及動態 WEP 相同,會為每個無線用戶端產生單獨的加密金鑰。預先共用金鑰用作驗證認證;如果您擁有金鑰,即可授權使用 WLAN,並會收到唯一的加密金鑰來保護資料。
802.11i RSN 標準甚至可為 WLAN 提供更高的安全性層級,包括提供防止服務攻擊 (DoS) 更為完善的保護。新標準預計在 2004 年中期推出。
###### EAP 驗證方法
如其名稱中的「可延伸的」所示,EAP 支援多種驗證方法。這些方法可使用不同的驗證通訊協定,例如:Kerberos 第 5 版驗證通訊協定、傳輸層安全性 (TLS) 通訊協定以及 Microsoft-Challenge Handshake 驗證通訊協定 (MS-CHAP)。還可以使用一系列認證類型,包括密碼、憑證、一次性密碼權杖以及生物特徵等。雖然在理論上任何 EAP 方法都可與 802.1X 通訊協定配合使用,但並非所有方法都適用於 WLAN; 尤其是採用的方法必須適用於不受保護的環境,而且還要能夠產生加密金鑰。
用於 WLAN 的主要 EAP 方法有 EAP – TLS、受保護的 EAP (PEAP)、通道 TLS (TTLS) 以及輕量級 EAP (LEAP)。在上述方法當中,Microsoft 支援 PEAP 和 EAP – TLS。
**EAP – TLS**
EAP – TLS 是一種 IETF 標準 (RFC 2716),並且是無線用戶端與 RADIUS 伺服器最廣泛支援的一種驗證方法。EAP-TLS 方法透過在無線用戶端與 RADIUS 伺服器之間建立加密 TLS 工作階段,並使用公開金鑰憑證來驗證兩者。
**PEAP**
PEAP 是一種兩階段的驗證方法。第一階段會在伺服器上建立 TLS 工作階段,然後允許用戶端使用伺服器的數位憑證來驗證伺服器。第二階段則需要在 PEAP 工作階段內建立第二個 EAP 方法通道,來驗證 RADIUS 伺服器的用戶端。這可讓 PEAP 使用各種用戶端驗證方法,包括使用 MS – CHAP 第 2 版 (MS – CHAP v2) 通訊協定的密碼,以及在 PEAP 內部使用 EAP – TLS 通道的憑證。諸如 MS – CHAP v2 的 EAP 方法必須搭配 PEAP 保護使用才夠安全,否則很容易遭到離線字典式的攻擊。業界對 PEAP 的支援相當廣,Microsoft Windows XP SP1 和 Pocket PC 2003 也內建 PEAP 支援。
**TTLS**
TTLS 是一種與 PEAP 類似的兩階段通訊協定,它使用 TLS 工作階段來保護通道用戶端驗證。除了通道 EAP 方法外,TTLS 還使用一些非 EAP 版本的驗證通訊協定,例如 CHAP、MS – CHAP 等。Microsoft 與 Cisco 都不支援 TTLS,不過其他廠商提供適用於許多平台的 TTLS 用戶端。
**LEAP**
LEAP 是由 Cisco 開發的專屬 EAP 方法,此方法使用密碼來驗證用戶端。雖然 LEAP 很熱門,但只能用於 Cisco 及少數其他廠商的硬體和軟體。LEAP 也有一些已經公佈的安全性漏洞,例如容易受到離線字典式攻擊 (攻擊者可用來破解使用者的密碼) 和攔截式攻擊。在網域環境中,LEAP 只能驗證 WLAN 的使用者,而無法驗證電腦。如果沒有電腦驗證,機器群組原則將無法正確執行,軟體安裝設定、漫遊設定檔及登入指令碼全都可能失敗,而且使用者也無法變更過期的密碼。
有一些 WLAN 安全性解決方案會將 802.1X 通訊協定與其他 EAP 方法搭配使用。其中一些 EAP 方法 (如 EAP – MD5) 用於 WLAN 環境時,存在相當嚴重的安全性弱點。正因如此,請永遠避免使用這類方法。還有一些其他方法支援使用一次性密碼權杖和其他驗證通訊協定 (如 Kerberos 通訊協定), 但這些方法尚未對 WLAN 市場產生明顯影響。
##### 802.1X 對 WLAN 資料保護的優點
在 WLAN 中使用 802.1X 通訊協定解決方案的主要優點概述如下:
- 高安全性:由於通訊協定可使用用戶端憑證或使用者的名稱及密碼,從而提供高安全性驗證方式。
- 增強式加密:通訊協定允許網路資料增強加密。
- 透明:通訊協定可提供透明的 WLAN 驗證與連線。
- 使用者與電腦驗證:通訊協定允許在環境中單獨驗證使用者與電腦。即使在沒有任何使用者登入電腦的情況下,單獨電腦驗證也可以讓您管理環境中的電腦。
- 低成本:便宜的網路硬體。
- 高效能:由於加密是在 WLAN 硬體而非用戶端電腦 CPU 中執行,因此 WLAN 加密對用戶端電腦的效能等級沒有絲毫影響。
802.1X 通訊協定解決方案還有一些需要注意的地方。
- 儘管 802.1X 通訊協定幾乎獲得普遍認同,但使用不同 EAP 方法無法永遠保證其交互操作性。
- WPA 目前仍處於採用的初期階段,因此可能無法用於較舊硬體。
- 下一代 RSN (802.11i) 標準尚未獲得認可,並且需要部署硬體與軟體更新 (網路硬體通常都需要韌體更新)。
與 802.1X 通訊協定的優點相比,這些小問題顯得非常微不足道;特別是與其他替代方案 (本章後續內容中將會提到) 的嚴重缺點相比,802.1X 的優勢更勝一籌。
###### 802.1X 解決方案對安全性威脅的恢復力
本章之前的表格中已說明 WLAN 所面臨的主要安全性威脅。下表根據以 802.1X 通訊協定和 WLAN 資料保護為基礎的解決方案,重新評估了各種威脅。
**表 2.2:依據建議的解決方案評估安全性威脅**
竊聽 (揭露資料)
經常動態指派及變更加密金鑰,而且金鑰對每個使用者工作階段都是獨一無二,這意味著只要經常重新整理金鑰,目前已知的方法就無法破解金鑰及存取資料。
WPA 可透過變更每個封包的加密金鑰來提供更大的安全性。每個封包的全域金鑰 (用來保護廣播傳輸) 均會重設。
攔截和修改傳輸的資料
加強無線用戶端與無線 AP 之間的資料完整性並強化資料加密措施,可確保惡意使用者無法攔截和修改傳輸中的資料。
在用戶端、RADIUS 伺服器與無線 AP 間的手動驗證會使得攻擊者難於模擬任何一位人員。
WPA 會利用 Michael 通訊協定來提高資料完整性。
欺騙
網路的安全驗證阻止了未授權之個人連線至網路,並從內部引入詐騙資料。
DoS
透過使用 802.1X 通訊協定來控制對 WLAN 的存取權限,可防止網路層級中的資料流和其他 DoS 攻擊。但動態 WEP 或 WPA 中都沒有可防禦低階 802.11 DoS 攻擊的對策, 802.11i 標準中已說明這一點。
然而即使是最新標準,也無法保證不會發生網路實體層 (無線電層級) 中斷。
目前的 802.11 WLAN 都存在這類弱點,本章後續內容中談到的其他替代方案也有這些弱點。
自由負載 (竊取資源)
透過強大驗證需求來阻止未經授權的網路使用。
意外的威脅
透過安全驗證需求來阻止意外的 WLAN 連線。
異常的 WLAN
儘管解決方案不會直接提供任何解決方法,處理異常無線 AP 的問題,實作這類的安全無線解決方案可以打消設定非官方 WLAN 的動機。
但您應該計劃制訂與發佈明確的原則,以限制使用未核准的 WLAN。您可以透過使用軟體工具掃描網路中的無線 AP 硬體位址,並使用手持 WLAN 偵測設備來施行原則。
保護 WLAN 安全性的其他方法
以上內容詳細說明了使用 802.1X 驗證來保護 WLAN 資料。本節詳細說明之前提到的其他四種保護 WLAN 安全的替代方案 (在<如何 (真正) 保護您 WLAN 的安全>部分的開頭處)。
四種替代方案如下所示:
不部署 WLAN 技術
仍然使用 802.11 靜態 WEP 安全性
使用 VPN 保護 WLAN 中的資料
使用 IPsec 保護 WLAN 傳輸
下表概述這四種替代方法與使用 802.1X 通訊協定的解決方案之間的差異 (不包括第一種「不部署 WLAN」方法,因其無法與其他方法直接比較)。本章後續章節將進一步詳細說明這些選項。
表 2.3:保護 WLAN 安全性方法比較
增強式
驗證 (1)
是
否
是,
但使用共用金鑰驗證的 VPN 則無
是,
如果使用憑證或 Kerberos 驗證
增強式資料加密
是
否
是
是
WLAN 的透明連線和重新連線
是
是
否
是
使用者驗證
是
否
是
是
電腦驗證(2)
是
是
否
是
廣播與多點傳送傳輸保護
是
是
是
否
需要其他網路裝置
RADIUS 伺服器
否
VPN 伺服器、RADIUS 伺服器
否
安全存取 WLAN 本身
是
是
否
否
(1) 許多使用 IPsec 通道模式的 VPN 實作會採用安全性不足的共用金鑰驗證配置,稱為 XAuth。
(2) 電腦驗證意味著即使沒有使用者登入電腦,電腦仍將連線至 WLAN 與公司網路。需要啟用此功能,下列 Windows 網域功能才能正常運作:
- 漫遊使用者設定檔
- 電腦群組原則設定 (特別是啟動指令碼與部署的軟體)
- 使用者登入指令碼以及使用群組原則部署的軟體
##### 替代方案 1:不部署 WLAN 技術
解決 WLAN 安全性威脅最明顯的方法可能就是乾脆不部署任何 WLAN。除了不用本章之前所述的 WLAN 優點之外,此策略並非毫無陷阱。採用此方法的組織必須處理 META Group 所謂的「延期代價」,這不僅僅是機會成本的問題。META Group 研究是依據十年前在許多組織中發展出來,以未受管理的方式使用有線 LAN 的分析為主。在大多數情況下,中央 IT 部門被迫介入並接管 LAN 部署工作。一般來說,重新設計大量獨立且經常不相容的部門 LAN 的代價很大。如需相關資訊,請參閱<我如何限制受無線區域網路安全性威脅的程度? 保護公司資訊的最新資訊>一文,由 META Group 於 2002 年 12 月 12 日發行。
WLAN 中也出現同樣威脅,尤其在大型組織中,通常很難實際查看每個位置的狀況。以成本極低的元件部署未受管理的基層 WLAN 很可能是最糟的情況。這會使組織在中央 IT 群組對威脅一無所知或無法採取行動應付威脅的情況下,遭受之前所述的所有安全性威脅。
由於上述原因,如果您的策略未採用 WLAN 技術,您需要積極部署此項策略,而不是消極以對。您應該以明確、已公佈的原則來支持此項決策,並確保所有員工都瞭解此項決策,並且意識到違反原則的後果。您可能還需要考慮使用掃描設備和網路封包監視器,來偵測網路中未經授權而使用無線設備的情形。
##### 替代方案 2:使用 802.11 基本安全性 (靜態 WEP)
基本 802.11 安全性 (靜態 WEP) 使用共用金鑰來控制網路的存取,並使用相同金鑰加密無線傳輸。這套簡單的授權模型通常隨附以 WLAN 卡硬體位址為基礎的連接埠篩選功能,不過此功能並非 802.11 安全性的一部分。此方法的主要吸引力在於其簡單易用。雖然此方法為無安全保護的 WLAN 提供了某種程度的安全性,但它仍具有嚴重的管理和安全性缺點,尤其是對大型公司而言。
使用靜態 WEP 的缺點包括以下幾方面:
- 在忙碌的網路中,使用配有 WLAN 介面卡的電腦以及諸如 Airsnort 或 WEPCrack 等破解工具,即可在數小時之內破解靜態 WEP 金鑰。
- 靜態 WEP 最致命的缺陷是沒有可以動態指派或更新網路加密金鑰的機制。如果沒有 802.1X 和 EAP 來定期執行金鑰更新,靜態 WEP 所用的加密演算法很容易受到金鑰修復攻擊。
- 雖然可以變更靜態金鑰,但通常需要在 AP 和無線用戶端上手動變更金鑰,並且此程序相當耗時。更困難的是,必須同時在用戶端和 AP 上更新金鑰,才能防止用戶端連線中斷。在實際情況中,此操作很難完成,因而使得金鑰無法變更。
- 由於需要在 WLAN 的所有使用者和所有無線 AP 之間共用靜態金鑰, 因此無法在大量人員和裝置之間共用金鑰時,仍確保能長時間保密。
靜態 WEP 基於對 WEP 金鑰的瞭解,為 WLAN 提供了一個非常有限的存取控制機制。如果找到了網路名稱 (這很容易做到) 和 WEP 金鑰,就能與網路連線。
改善此情況的方法之一是將無線 AP 設定為僅允許一組預先定義的用戶端網路介面卡位址, 即一般所知的媒體存取控制 (MAC) 位址篩選;MAC 層指的是網路介面卡的低階韌體。
存取控制的網路介面卡位址篩選本身也存在一些問題:
- 管理能力相當匱乏, 連維護少量用戶端的硬體位址清單都很難。另外,將此清單散佈或同步到所有 AP 中也同樣困難。
- 延展性很差。AP 的篩選表格大小具有明顯限制,從而限制了可以支援的用戶端數量。
- 因為沒有將 MAC 位址關聯至使用者名稱的方法,您只能用電腦識別身分而非使用者身分進行驗證。
- 入侵者可能會詐騙「允許的」 MAC 位址。如果發現合法的 MAC 位址,對入侵者而言,使用此位址而非燒錄在介面卡上預先定義的位址就容易得多。
由於很難在多個位置上管理金鑰更新,因此預先共用金鑰解決方案僅適用於少量使用者和 AP。由於 WEP 具有加密缺點,即使在非常小型的環境中,人們都很懷疑它的實用性。
不過,WPA 的預先共用金鑰模式對小型組織而言,倒能以非常低廉的基礎結構成本提供相當不錯的安全性。有相當多的硬體都支援 WPA PSK,您可以手動設定 WLAN 用戶端。基於以上原因,SOHO 環境可以考慮使用 WPA PSK 設定。
##### 替代方案 3:使用虛擬私人網路
VPN 可能是最受歡迎的網路加密形式;許多人都仰賴此可靠 VPN 技術,保護透過網際網路傳送的資料機密性。特別是發現靜態 WEP 的弱點後,VPN 很快就被視為保護透過 WLAN 傳送的資料之最佳方法。一些分析團體 (如 Gartner Group) 都贊同此方法,VPN 解決方案廠商理所當然也熱心提倡此方法。
VPN 是一套可在不安全的網路環境中 (如網際網路) 安全周遊的絕佳解決方案 (VPN 實作的品質因具體情況而異), 但 VPN 並非保護內部 WLAN 安全的最佳解決方案。與 802.1X 解決方案相比,VPN 在這類環境中只能提供很低 (甚至未提供任何) 額外安全性,但是卻增加了複雜程度和成本,並且可用性也降低,還會造成一些重要功能無法運作。
**附註:**這些限制與使用 VPN 保護公用無線區域網路作用區上的傳輸有所差別。保護透過不安全遠端網路連線的使用者之網路資料是 VPN 的一個正當用途。在這類情形中,使用者預期安全性連線能力比 LAN 連線更容易被入侵且功能性稍低;在公司內部並不希望有這種結果。
使用 VPN 保護 WLAN 的優點包括以下幾項:
- 大部分組織已部署 VPN 解決方案,因此使用者和 IT 人員對解決方案會很熟悉。
- VPN 資料保護通常採用軟體加密,此方法與硬體加密相比,其演算法的變更與升級更加容易。
- 您可以使用便宜一些的硬體,因為 VPN 保護並不受 WLAN 硬體的影響 (雖然具有 802.1X 功能的網路硬體已無價格溢酬)。
使用 VPN 取代原始 WLAN 安全性的缺點包括:
- VPN 缺乏使用者透通。VPN 用戶端通常會要求使用者手動起始與 VPN 伺服器的連線;因此,連線永遠不可能和有線 LAN 連線一樣透明化。非 Microsoft VPN 用戶端 (除了標準網路或網域登入以外) 在嘗試連線至網路時,可能還會收到需要登入認證的提示。如果 VPN 因為 WLAN 訊號微弱或因為使用者在 AP 之間漫遊而中斷連線,則用戶端必須重新連線到網路。
- 由於 VPN 連線只能由使用者起始,因此閒置、登出的電腦將無法連線至 VPN (也同樣無法連線至公司 LAN)。只有使用者登入電腦後,才能從遠端管理或監控電腦。某些電腦群組原則物件 (GPO) 設定 (例如,啟動指令碼和電腦指派的軟體) 也都無法套用。
- 使用 GPO 部署到使用者的漫遊設定檔、登入指令碼及軟體可能無法如預期運作。除非使用者選擇在 Windows 登入提示出現時使用 VPN 連線登入,否則電腦要等到使用者登入並起始 VPN 連線後才能連線到公司 LAN。嘗試在這之前存取安全網路都會失敗。如果使用的是非 Microsoft VPN 用戶端,可能無法經由 VPN 連線進行完整的網域登入。
- 從待命或休眠模式恢復並不會自動重新建立 VPN 連線;使用者必須手動進行連線。
- 雖然 VPN 通道內部的資料已受到保護,但 VPN 對 WLAN 本身並沒有提供任何保護。入侵者仍然可以連線至 WLAN,並嘗試探測或攻擊 WLAN 的任何附加裝置。
- VPN 伺服器可能會成為約束。所有 WLAN 用戶端都是透過 VPN 伺服器通道存取公司 LAN。VPN 裝置在傳統上會服務大量相對低速的遠端用戶端; 因此,大多數 VPN 閘道無法應付上百個以 LAN 全速執行的用戶端。
- VPN 裝置的額外硬體和持續管理成本很可能比原始 WLAN 解決方案的成本還要高。每個站台除了 WLAN AP 之外,通常還需要自己的 VPN 伺服器。
- 當用戶端在 AP 之間漫遊時,VPN 工作階段很容易中斷。雖然應用程式在切換無線 AP 時可容忍短暫的中斷,但即使是短暫中斷 VPN 工作階段,仍然需要使用者手動重新連線至網路。
- 對於非 Microsoft VPN 解決方案來說,還需要考慮 VPN 伺服器和用戶端軟體授權成本,以及軟體部署成本的問題。您還需要考量 VPN 用戶端軟體的相容性問題,因為非 Microsoft 用戶端經常會取代 Windows 核心功能。
- 許多分析團體和廠商都做出假設,認為 VPN 的安全性要高於 WLAN。對靜態 WEP 來說可能的確如此,但對本文所述的 802.1X EAP 解決方案則不一定。特別是 VPN 驗證方法通常不夠安全,並且不太可能更強大。舉例來說,Microsoft 支援的 WLAN 解決方案就使用和 VPN 解決方案一模一樣的 EAP 驗證方法 (EAP – TLS 與 MS – CHAP v2)。許多 VPN 實作 (尤其以 IPsec 通道模式為基礎者) 也採用預先共用金鑰驗證 (群組密碼)。這一直以來都受到廣泛的質疑,事實表明它存在嚴重的安全性漏洞,更為諷刺的是,有些漏洞還與靜態 WEP 相同。
- VPN 並沒有辦法保護 WLAN 本身的安全。即使 VPN 通道內部的資料是安全的,任何人都可以進入 WLAN,並嘗試攻擊 WLAN 中的合法無線用戶端和其他裝置。
VPN 非常適用於保護透過不安全網路傳送的通訊,無論使用者是經由家用寬頻連線,還是從無線作用區連線。然而 VPN 並非專為保護內部網路傳輸安全而設計, 因此對大多數組織來說,這種角色的 VPN 太僵化,對使用者的功能限制過多,還會造成 IT 部門的維護費用及複雜性提高。
在特定連線或傳輸類型需要更高安全性的例外情況下,除了原始 WLAN 保護之外,還可透過 VPN 通道或 IPsec 傳輸模式提供此功能。這樣可以更合理使用網路資源。
##### 替代方案 4:使用 IP 安全性
IPsec 允許兩個對等網路彼此進行安全驗證,並驗證或加密個別網路封包。您可將 IPsec 用於兩個網路之間的安全性通道,也可以只用於保護兩台電腦之間傳輸的 IP 封包。
IPsec 通道通常用於用戶端存取或站台到站台的 VPN 連線。IPsec 通道模式是一種 VPN 形式,透過在受保護的 IPsec 封包中封裝整個 IP 封包的方式運作。這跟其他 VPN 解決方案一樣,會增加通訊的負荷,而同一網路中的系統之間進行通訊其實並不會有此負荷。IPsec 通道模式的利弊已在前一節有關 VPN 的說明中解釋過。
IPsec 還可以使用 IPsec 傳輸模式保護兩台電腦之間端對端傳輸的安全 (無需通道)。正如 VPN 一樣,IPsec 在許多情況下都是很好的解決方案,雖然它不能取代網路硬體層上實作的 WLAN 原始保護。
IPsec 傳輸模式保護的部分優點有:
- 對使用者而言是透明的。與 VPN 不同,此模式無需特殊的登入程序。
- IPsec 保護不受 WLAN 硬體的影響。它只需要開放、未經驗證的 WLAN。與 VPN 不同,由於通訊兩端的電腦直接交涉安全性,因此無需使用額外伺服器或裝置。
- WLAN 硬體並不限制加密演算法的使用。
使用 VPN 取代原始 WLAN 安全性的缺點包括:
- IPsec 僅使用電腦層級的驗證;沒有辦法同時實作以使用者為主的驗證配置。對許多組織而言,這可能並沒有多大問題,但它的確會允許未經授權的使用者在設法登入授權電腦後,連線至網路上其他受 IPsec 保護的電腦。
**附註:**部分在非 Windows 平台上的 IPsec 實作會使用僅限使用者的驗證。但如同 VPN 解決方案一樣,電腦在使用者未登入時並不會連線到網路,因此可阻止使用特定管理操作,並會停用使用者設定功能。
- 對大型組織來說,管理 IPsec 原則更加複雜。嘗試保護一般 IP 傳輸時,可能會干擾需要端對端保護的 IPsec 特殊應用。
- 完整的安全性需要加密所有的端對端傳輸,但某些裝置可能無法使用 IPsec。在此情況下,將迫使進入這些裝置的通訊未經加密即進行傳輸。IPsec 無法對這些裝置提供任何保護,因而這些裝置會在任何連線至 WLAN 的使用者面前曝光。
- 由於 IPsec 保護是發生在網路層而非 MAC 層,因而對網路裝置 (例如防火牆) 來說並非完全透明。部分 IPsec 實作無法透過網路位址轉譯 (NAT) 裝置運作。
- 端對端 IPsec 無法保護廣播或多點傳播傳輸,因為 IPsec 有賴兩個實體相互驗證和交換金鑰。
- 雖然 IPsec 封包內的資料會受到保護,但 WLAN 本身並沒有受到任何保護。入侵者仍然可以連線至 WLAN,並且嘗試探測或攻擊任何連線至 WLAN 的裝置,或竊聽未受到 IPsec 保護的所有傳輸。
- IPsec 網路傳輸加密和解密會增加電腦 CPU 負荷, 造成使用量大的伺服器超載。雖然這項處理負荷可卸載到特殊網路卡上,但一般伺服器大多未配備這種特殊網路卡。
與 VPN 相同,IPsec 對許多安全性案例來說是絕佳解決方案,但並不能提供 WLAN 安全性和原始 WLAN 保護。
[](#mainsection)[回到頁首](#mainsection)
### 選擇正確的 WLAN 選項
根據本文之前的討論可看出,802.1X WLAN 解決方案是目前為止最佳替代方案。然而,如<了解 WLAN 安全性>一節所述,一旦決定好使用 802.1X 解決方案,就必須在眾多選項中進行選擇,以便啟用此解決方案。
兩項關鍵的選擇是:
- 使用密碼還是憑證來驗證您的使用者和電腦。
- 使用動態 WEP 還是 WPA WLAN 資料保護。
以上兩種選擇互不相干。
如本文之前所述,Microsoft 提供兩套 WLAN 安全性解決方案指南;一套是關於使用密碼進行驗證,而另一套是關於使用憑證進行驗證。兩種解決方案都可與動態 WEP 或 WPA 配合使用。
#### 決定正確的 WLAN 安全性解決方案
以下流程圖概述了如何在兩種 WLAN 安全性解決方案中進行選擇。
.gif)
**圖 2.2 WLAN 安全性解決方案的決策樹**
此決策樹的結果視組織規模和特定安全性需求而定。大多數組織不需要任何修改就可以使用其中一種 Microsoft WLAN 解決方案。例如,大部份中小型組織可選擇使用《PEAP 和密碼保護 WLAN 的安全解決方案指南》中所述的較為簡單的密碼型驗證解決方案。較大型的組織可能會偏向採用以數位憑證為主的《以憑證服務保護無線區域網路的安全解決方案指南》。
雖然各解決方案專門針對其目標用戶而寫,但每種解決方案還是有一定的彈性空間。使用者人數從幾十名到數千名的組織都可以部署<使用 PEAP 和密碼保護無線區域網路的安全>。<保護無線區域網路憑證服務的安全解決方案>則適用於上百名至上萬名使用者的組織 (使用者不足五百名的組織通常沒有足夠的 IT 資源來部署和維護憑證授權單位)。
兩套指南均未涵蓋的一種常見情況是:部署以密碼為主 WLAN 解決方案的大型組織。雖然<使用 PEAP 和密碼保護無線區域網路的安全解決方案>中的技術細節同樣適用於大型和小型企業,但為求簡便,較大型組織所需的設計、規劃和操作細節均已省略。值得慶幸的是,兩種解決方案所用的架構和技術元件均相似,您可以輕鬆地混合搭配解決方案中的各個部分。<使用 PEAP 和密碼保護無線區域網路的安全解決方案>附錄中提供一些相關指引,顯示各解決方案的哪些部份與希望部署以密碼為主 WLAN 解決方案的大型組織有關。
#### 在動態 WEP 和 WPA 之間選擇
WEP 資料保護與 802.1X 及 EAP 提供的增強式驗證及動態金鑰更新功能相結合,提供的安全保護等級將遠超大部份組織所需。在此基礎之上改善的 WPA 標準將會提供更為完善的安全等級。
在兩種解決方案中使用 WPA 和動態 WEP 的差異微乎其微,而且從動態 WEP 環境遷移到 WPA 環境也非常簡單。從動態 WEP 遷移到 WPA 的關鍵變動有:
- 如果網路硬體 (無線 AP 和無線網路介面卡) 目前不支援 WPA,必須要為其取得並部署韌體更新。無線網路介面卡的韌體更新通常隨附在網路驅動程式更新中。
- 必須在無線 AP 上啟用 WPA。
- 必須將 WLAN 用戶端設定變更為交涉 WPA 而不是 WEP 安全性。
- 您應該增加網際網路驗證服務 (IAS) 遠端存取原則的工作階段逾時值,該值將用於強迫 WEP 金鑰更新,以減少 IAS 伺服器上的負載。
**附註:**IAS 是 Microsoft RADIUS 伺服器的實作, 而且已包含在 Windows Server 2003 中,但並未預設為安裝。
如果適用的話,WPA 應該是您的第一選擇。然而,您應該考慮以下每個問題是否會讓 WPA 的使用產生更多問題:
- 您的網路硬體可能尚未支援 WPA (新裝置應該不會有此問題,不過您可能有大量 WPA 前置硬體需要安裝)。
- 只有更新為 Windows Server 2003 才能支援 GPO 控制設定;其他版本並未提供此支援,您必須在 Windows XP 用戶端上手動設定 WPA 設定。
- 並非所有用戶端都支援 WPA;例如,Windows 2000 與早期版本以及 Pocket PC 目前都沒有內建 WPA 支援。
如果您決定部署 WPA 的時機未到,您應該部署動態 WEP 解決方案,並在情況允許的時候遷移到 WPA。
[](#mainsection)[回到頁首](#mainsection)
### 總結
本章提供為組織定義無線區域網路安全性策略所需的資訊。本章第一部分說明無線網路的商業效益,以及保護不周 WLAN 所面臨的安全性威脅。中間章節則說明以 802.1X 通訊協定、EAP 及增強式資料保護為主的無線區域網路安全性如何消除這些威脅。當中還談論到替代方案 (如 VPN、IPsec 和靜態 WEP) 安全性的一些優點。本章最後提供相關指引,說明如何決定最適合您組織的 WLAN 安全性選項,以及哪種 Microsoft WLAN 安全性解決方案最適合您的組織。
[](#mainsection)[回到頁首](#mainsection)
### 參考資料
本節提供了與本文相關的重要補充資訊及其他背景資料的參考資料。
- <Microsoft 的使用 PEAP 和密碼保護無線區域網路的安全性>(英文) 解決方案,網址為:https://go.microsoft.com/fwlink/?LinkId=23459。
- 如需有關 IEEE 802.11 與相關技術的詳細技術資訊,請參閱《Windows Server 2003 技術參考》(英文) 的<802.11 無線技術參考>章節 (英文),網址為:https://www.microsoft.com/technet/prodtechnol/windowsserver2003/proddocs
/techref/w2k3tr\_wir\_intro.mspx。
- 如需有關 802.11 的詳細資訊,請參閱<IEEE 802.11 標準新聞>的 IEEE 802.11 頁面 (英文),網址為:www.ieee802.org/11/。
- 如需有關 802.1X 的詳細資訊,請參閱 802.1x - 以連接埠為主的網路存取控制 頁面 (英文),網址為:www.ieee802.org/1/pages/802.1x.html。
- 如需有關 EAP 標準的詳細資訊,請參閱 RFC 2284:www.ietf.org/rfc/rfc2284.txt?number=2284。
- 如需有關 Wi–Fi 聯盟 WPA 標準的詳細資訊,請參閱:
Wi–Fi 聯盟概觀 (英文):www.wi-fialliance.org/OpenSection/pdf/Wi-Fi\_Protected\_Access\_Overview.pdf。
- 如需有關無線網路的詳細資訊,請參閱 Microsoft Windows Server System 網站的 Wi-Fi 頁面:https://www.microsoft.com/wifi。
- 如需有關 PEAP 的詳細說明及其與 LEAP 的比較 (還有 EAP–TLS 與 EAP–MD5),請參閱<受保護的可延伸驗證通訊協定 (PEAP) 的優點:IEEE 802.11 無線網路使用者驗證的標準方法>(英文):https://www.microsoft.com/windowsserver2003/techinfo/overview/peap.mspx。
- META Group 文章<我如何限制受無線區域網路安全性威脅的程度?[](https://www.metagroup.com/cgi-bin/inetcgi/jsp/displayarticle.do?oid=35725) 保護公司資訊的最新資訊>(英文):www.metagroup.com/cgi-bin/inetcgi/jsp/displayArticle.do?oid=35725。
[](#mainsection)[回到頁首](#mainsection)
.gif)