Embed Size (px)
Citation preview
WiFi/WiMAX
無線網路基礎建設與應用系統 安全查核指引方案
(草案)
經濟部工業局
行動台灣應用推動計畫
中 華 民 國 96 年 6 月
i
目 錄
1. 前言.........................................................................................................1
1.1 目的 ...............................................................................................................1 1.2 適用對象 .......................................................................................................1 1.3 章節架構 .......................................................................................................1
2. 無線網路安全威脅與風險減輕方式 ....................................................2
2.1 安全需求與威脅 ...........................................................................................2 2.2 風險減輕 .......................................................................................................4 2.3 無線網路安全查核比較與分類 ................................................................. 11
3. 無線網路安全查核 ..............................................................................15
3.1 架設無線網路基礎建設之安全查核 .........................................................15 3.2 架設無線網路應用系統之安全查核 .........................................................20
4. 無線網路安全等級分類 ......................................................................29
4.1 WiFi安全等級分類 ....................................................................................29 4.2 WiMAX安全等級分類 ..............................................................................30
5. 參考文獻...............................................................................................32
附件一 WiFi與WiMAX網路安全等級分類 ....................................34
ii
表 目 錄
表 1 無線網路安全在管理方面的問題與解決方式.......................................................................... 11 表 2 無線網路安全在技術方面的問題與解決方式..........................................................................12 表 3 無線網路安全在操作方面的問題與解決方式..........................................................................13 表 4 無線網路安全在營運方面的問題與解決方式..........................................................................14 表 5 架設無線網路基礎建設安全查核表..........................................................................................16 表 6 無線網路基礎建設安全查核表之未達到(不適用)理由 ......................................................19 表 7 架設無線網路應用系統安全查核表..........................................................................................20 表 8 無線網路應用系統安全查核表之未達到(不適用)理由 ......................................................28 表 9 無線網路安全等級分類 .............................................................................................................29 表 10 WIFI安全等級分類 ..................................................................................................................30 表 11 WIMAX安全等級分類 ............................................................................................................30
iii
常用的詞彙表
ACL Access Control List AP Access Point CRC Cyclic Redundancy Code DHCP Dynamic Host Configuration Protocol DoS Denial of Service IDS Intrusion Detection System IEEE Institute of Electrical and Electronics Engineers IETF Internet Engineering Task Force IPsec IP Security LAN Local Area Network MAC Message Authentication Code MAN Metropolitan Area Network NIC Network Interface Card PKI Public Key Infrastructure PKM Privacy Key Management SNMP Simple Network Management Protocol SOC Security Operation Center SSID Service Set Identifier SSL Secure Sockets Layer TLS Transport Layer Security UPS Uninterruptible Power Supply VPN Virtual Private Networks WEP Wired Equivalent Privacy WLAN Wireless LAN WMAN Wireless MAN
1
1. 前言
1.1 目的 本文件目的為提供 M-Taiwan 建置廠商一個用於建立安全無線網路及應用系統的指引方案,建置廠商可針對他們的特別需求或業務需求來引用此指引方
案。 本文件包含針對建立無線區域網路(WLAN)之Wi-Fi與無線都會網路(WMAN)之 WiMAX 的無線網路基礎與應用建設之安全考量建議之描述。本文件只敘述在 IEEE 802.11(Wi-Fi)與 IEEE 802.16(WiMAX)標準之內的無線技術。
1.2 適用對象 說明本文件之適用對象,包含準備或已完成建置 WLAN、WMAN 或其應用之建置廠商,其相關人員可參考本文件來獲得所需安全相關資料,包含業務
主管、資訊人員、資安稽核人員與一般使用者。
1.3 章節架構 第 1 章為本文件的簡介,說明本文件適用範圍、適用對象與章節架構。第 2章介紹無線網路安全威脅與風險的減輕方式,包含安全需求與威脅的介紹,
以及風險減輕的分類與方法。 第 3 章為無線網路安全檢查,包含了「架構無線網路基礎建設」與「架構無線網路應用系統」兩大部分的安全檢查。「架構無線網路基礎建設」說明架構
無線網路基礎建設應該遵守的要項,其中包含架設無線網路基礎建設安全查
核表,架構無線網路基礎建設的建置廠商應逐項仔細察看是否達成此查核表
列出的建議。而「架構無線網路應用系統」說明在無線網路應用的建設上,
應該要遵守的要項,其中包含架設無線網路應用系統安全查核表,對於無線
網路應用建設的建置廠商應逐項仔細察看是否達成此查核表列出的建議。 第 4 章為無線網路安全等級分類,為因應無線網路在安全上不同的需求,由其保護的程度,將WiFi與WiMAX等無線網路安全分級。附件一為WiFi與WiMAX網路安全等級分類,說明若WiFi與WiMAX欲達到某個等級的安全強度,必須採用那些密碼協定。
2
2. 無線網路安全威脅與風險減輕方式
2.1 安全需求與威脅 典型地網絡安全攻擊可劃分成被動攻擊和主動攻擊兩種。這兩種廣泛的分類
可以再細分成其他攻擊類型。茲說明如下:
被動攻擊 一種未授權者可以對有用資訊存取但不改變資訊內容的攻擊方式(如竊
聽)。被動攻擊可以是竊聽或是流量分析的方式,這兩種方式分別說明
如下。 竊聽: 攻擊者監測傳輸訊息以得到訊息內容。
流量分析: 攻擊者用一個更加微妙的方式,通過監測傳輸並比對通訊樣本
(patterns)來獲取情報,在通訊者之間的資訊流中,將有可觀的資訊量。
主動攻擊 一種藉由未授權者變更訊息、資料流(data stream)或文件檔案的攻擊,偵測出這個類型的攻擊是可能的,但它可能是不可預防的。主動攻擊也
許採取以下四種類型之一(或其組合):偽裝、重送、訊息竄改與阻斷服務。這四種攻擊分別說明如下。
偽裝: 攻擊者偽裝一個授權用戶,並從中獲取一些未授權的特權。
重送: 攻擊者監測傳輸資料並重送訊息,以佯裝合法的用戶。
訊息竄改: 攻擊者通過刪除、增加、改變或重新排列來修改一個合法的訊息。
阻斷服務: 攻擊者妨礙或禁止通信設備的正常使用或管理。
這些攻擊的後果包括(但不限制)私人資訊的虧損、法律和補救費用、被損
害的形象與網絡服務的虧損。
3
2.1.1 機密性 (confidentiality) 資訊的機密性是指未授權的個體、實體或程序無法獲得或揭露資訊。一般
來說,這是多數組織的基本安全要求。由於無線技術的廣播和無線電本
質,機密性是一個在無線網路中比較困難的安全需求,因為敵人不須經由
網路纜線來存取網路資源。而且,控制傳輸出現的距離也許是不可能的,
這使得傳統實體安全的對抗措施較無效果。
2.1.2 完整性 在無線網路的資料完整性問題與在有線網路上的資料完整性問題是相似
的。由於組織頻繁地在沒有充分密碼保護資料的情況下實施無線和有線的
通訊,完整性是難以達到的。例如一位駭客能夠藉由從一個無線帳戶中刪
除或修改在電子郵件中的資料來影響資料的完整性。如果重要電子郵件在
郵件接收者之中廣泛地被分佈出去,這可是能夠損害到組織的。由於
802.11 與 802.16 標準的現有安全性特點不提供強健的訊息完整性,所以存在著減弱系統完整性的其他種類主動攻擊是可能的。如上所述,基於
WEP (WEP based)的完整性機制其實是一個簡單的線性錯誤檢查碼(CRC)。當密碼檢查機制(如訊息驗證碼(MAC)和單向雜湊函數)沒有使用時,是可能會出現訊息竄改的攻擊。
2.1.3 網路可用性 網路可用性的阻斷包含阻斷服務(DoS)的攻擊,例如干擾。干擾發生在一名惡意用戶從一個無線設備故意發出訊號來覆蓋合法的無線訊號的時
候。干擾可能也會不慎地由無線電話或微波爐放射所造成,因為合法的無
線訊號無法在網路上通訊,所以干擾也會導致在通訊時發生故障。非惡意
的用戶也能導致阻斷服務。例如一名用戶,可以通過下載大量文件而有意
無意地獨佔一個無線訊號頻寬,有效阻斷對網路上其他用戶的存取。所
以,建置廠商安全策略應該限制用戶能夠在無線網路下載資料的種類和數
量。
2.1.4 其它安全風險 (untrusted network, SSL, TLS) 隨著無線設備的流行,更多的用戶正在尋找可以遠端連線到他們自己組織
網路的方式,其中一種方式就是使用非信任的第三者網路。例如會議中心
(conference center)為用戶共同提供無線網路來連接到網際網路,並接著(當會議進行時)連線到他們自己的組織。機場、旅館與甚至一些咖啡經
銷商開始為他們的顧客部署可公開存取的 802.11與 802.16無線網路,甚
4
至為了增加安全性而提供虛擬私人網路(VPN)功能。 這些不信任的公共網路引進三個主要風險:(1)因為他們是公開的,他們可由任何人甚至是惡意用戶來存取;(2)他們擔任對用戶自己網路的橋梁,因而潛在地允許在公共網路上的任何人對橋接網路的攻擊或有利的存
取;(3)他們使用高效益的天線來改善接收和增加覆蓋範圍,因此允許惡意用戶欣然地竊聽他們的訊號。 通過經由一個不信任的網路來連接到他們自己的網路,用戶也許會為他們
的公司網路和系統製造出弱點,除非他們的組織採取某些步驟來保護他們
的用戶和他們自己。基本上,用戶需要存取在他們組織視為作為公開或私
有的資源。建置廠商也許想要考慮使用一個像是 TLS(即 IETF標準版的SSL)的應用層安全協議來保護他們的公共資源,然而,在多數建置廠商中這是多餘的,因為訊息的確已經是公開的了。為了保護私人資源,建置
廠商應該考慮使用虛擬私人網路(VPN)解決方案來使他們的連接變得安全,因為這有助於防止私人資料被竊聽和被未授權的存取。 最後,當連接到任何網路時,像是偽裝發信來源的「社會工程學」(social engineering)和把垃圾搜尋一遍以找出可能含有密碼的廢棄文檔的垃圾搜尋(dumpster diving)也是必須注意的議題。當計劃部署無線網路時,企業應該考慮網路安全的所有層面。
2.2 風險減輕 政府機構可能透過運用對策來記載具體威脅和弱點,以對他們的無線網路減
低風險。管理對策與操作和技術對策結合,可以有效地減低與無線網路相關
的風險。以下指導方針(guideline)將不會防止所有敵人入侵,這些對策也將不會必定保證有一個絕對安全的無線網路環境,此章節是為建置廠商描述風
險減輕(Risk Mitigation)步驟,並認為去除所有的風險是不可能的。另外很明顯地,當面臨安全時,不會有「一體適用」的解決方案。有些建置廠商也許
比其他機構能夠或者願意容忍更多風險,並且,安全來在費用上,要不是在
安全設備上付出費用,就是選擇不方便且需要維護的方法,不然就是選擇在
操作上付出代價。有些建置廠商也許是願意接受風險,因為運用各種各樣的
對抗措施也許超出財力或其他的限制。
5
2.2.1 管理對策 針對使無線網路獲得安全的管理對策,從綜合安全準則開始做起,一個安
全準則是其他對策(操作與技術部分)被實行合理化與執行的基礎。一個
WLAN或WMAN安全準則應該可以做到以下幾點:
定義誰能夠在一個系統中使用WLAN或WMAN技術 定義是否網際網路的存取是需要的 描述誰可以安裝無線基地台和其他的無線設備 規定無線基地台在區域中與實體安全中的限制 描述可在無線網路中被傳送的資訊類型 描述哪一種無線裝置在什麼樣的狀態下允許被使用 為無線基地台定義標準安全設定 描述無線裝置可以如何使用的限制,例如使用場地的限制 描述所有無線裝置的硬體和軟體配置(configuration) 提供記錄和回報無線裝置遺失和安全事故發生的指導方針 提供幫無線用戶做防盜保護的指導方針 提供使用加密和金鑰管理的指導方針 定義包含對無線基地台搜尋的安全評估的頻率和範圍
一個建置廠商應該確保所有的關鍵員工已經在無線技術的使用上適當地
被訓練過了。網路管理員需要完全地意識到WLAN、WMAN和裝置造成的安全風險。他們必須經營以確保安全準則被遵循,並且在一個攻擊事件
中知道接下來該怎麼作。最後,最重要的對策則是用戶是被訓練過並且是
有所警覺的。
2.2.2 操作對策 實體安全是保證只有授權用戶得以對無線電腦設備存取的最基本步驟。實
體安全結合了一些像是「存取控制」、「人員證明」以及「外在界限保護」
這樣的措施。伴隨著有線網路的設施,支持無線網路的設施需要實體存取
控制。例如,可以使用照片證明、識別證讀卡機或生物辨識等設備來將不
當入侵設施的風險減到最小。實體存取控制的生物辨識系統包含指紋掃
瞄、手掌紋路、虹膜掃瞄、視網膜掃瞄、指印、聲音樣式、動態簽名和面
部辨識。外在界限保護可能包括鎖門和安裝攝影機來監視場所的周邊以勸
阻對於像是無線基地台之無線網路設備的越權存取。
6
2.2.3 技術對策 技術對策有助於使無線環境獲得安全,包含使用硬體和軟體的解決方案。
軟體對策包含適當的 AP 配置(configuration)(即 AP 上的操作和安全設定)、軟體補丁(patches)與升級(upgrades)、認證、防火牆、防毒軟體、入侵偵測系統、加密和其他的安全評估。硬體對策包含智慧卡、虛擬私人網
路(VPN)、公開金鑰基礎建設(PKI)和生理特徵(biometrics)。值得注意的是,硬體解決方案通常含有軟體元件(component),但只會簡單的列出並標示「硬體解決方案」。
2.2.3.1 軟體解決方案
技術對策牽涉到軟體的問題,包括適當地配置無線基地台、定期地更新軟
體、實行認證和入侵偵測系統(IDS)解決方案、執行安全稽核,以及採用有效的加密。以下描述有關軟體技術對策的問題。
1. 無線基地台配置(configuration) 網路管理員需要配置無線基地台並符合建立的安全策略和要求,適當
地配置管理員密碼、加密設定、重置功能、自動網路連接功能、以太
網路MAC存取控制表(ACL)、分享金鑰、以及SNMP,代理廠商將幫助排除許多在供應商軟體預設配置的弱點。以下為無線基地台需要被
配置的安全策略和要求。 (1) 更新預設密碼 (2) 建立適當的加密設定 (3) 控制重設(reset)功能 (4) 使用MAC ACL功能 (5) 變更識別碼(如SSID) (6) 將Beacon interval最大化 (7) 取消識別碼(如SSID)的廣播特性 (8) 變更預設密碼金鑰 (9) 使用SNMP (10) 變更預設頻道 (11) 使用DHCP
2. 軟體補丁(patches)與升級(upgrades) 供應商一般會在當軟體(和硬體)的安全漏洞被找到的時候,才設法修正這些已知的安全漏洞。軟體(和硬體)的安全修正會以安全補丁和升
7
級的形式出現,網路管理員需要與供應商定期檢查看看是否安全補丁
和升級是可使用的,並在需要時執行他們。並且,許多供應商有「安
全性警告」電子郵件名單來通知顧客有新的安全漏洞和攻擊,管理員
應該為這些重要警告簽名。最後,管理員應該為正在執行的軟體和硬
體檢查是否有一些已知的安全漏洞,並逐一列出這些安全漏洞。
3. 認證 一般來說,一個有效的認證解決方案是只允許授權用戶來存取網路的
可信賴方式。認證解決方案包括對使用者名稱和密碼、智慧卡、生物
辨識或公開金鑰基礎建設(PKI)的使用,或者對以上的方法結合使用(例如智慧卡與公開金鑰基礎建設的結合)。當倚賴使用者名稱和密
碼作為認證時,有一個政策來指定最小的密碼長度、要求的密碼字元
以及密碼有效期限是重要的。智慧卡、生物辨識和公開金鑰基礎建設
應該有不同的要求。 不管操作的安全等級為何,所有建置廠商應該實施強密碼政策,簡單
來說,強密碼的要求在任何的環境裡都是一項基本措施。如果安全等
級要擔保額外的認證,建置廠商也應該考慮其他形式的認證機制(例
如智慧卡與公開金鑰基礎建設的結合),這些機制也許可以結合WLAN或WMAN的解決方案來加強系統的安全。然而,用戶應該小心並充分地瞭解這些額外認證所提供的安全,不代表可以解決所有的問題。例
如,將強密碼方式使用於存取網路介面卡(NIC)上參數,對使用WEP密碼本身的問題並沒有任何的幫助。
4. 個人防火牆 在公開無線網路上的資源,有攻擊上更高的風險,因為一般來說他們
並沒有像內部資源同一個等級的保護。個人防火牆提供一些針對某些
攻擊的保護,個人防火牆是存在客戶端的軟體解決方案,它是由客戶
端或者由中央來控管的。 客戶端管理的版本最好可以適合低階用戶,因為獨立用戶能夠配置他
們自己的防火牆,且可能不會遵循任何具體的安全指導方針。集中管
理的解決方案提供了一個更高階的防護,因為IT部門會配置且遠端地管理。集中管理的解決方案允許組織修改客戶端的防火牆來保護遠端
的用戶使他們免於遭受已知的弱點攻擊,並為他們維護一致的安全性
8
政策。有些高階產品也有虛擬私人網路(VPN)和稽核的能力。雖然個人防火牆提供某些保護措施,但他們不能提供免於受到更進階形式攻
擊的保護。根據安全需求,建置廠商也許仍然需要更上階層的保護,
例如,對於在機場或會議中心來存取公開無線網路的用戶,應該使用
個人防火牆,個人防火牆也對那些可以簡單地在公開場所架設的惡意
無線基地台,提供了額外的防護。
5. 入侵偵測系統 入侵偵測系統(IDS)對於偵測未授權的用戶是否正試圖存取、已經存取了或已經危急了網路,它是一個有效的工具。無線的入侵偵測系統可
以是基於主機、基於網路或混和式的,混和式系統結合了基於主機和
基於網路的入侵偵測系統的特徵。基於主機的入侵偵測系統對特別脆
弱或最基本的系統,增加了目標鎖定方式的安全性。基於主機的代理
程式被安裝在一個個別的系統(例如資料庫伺服器),並且為可疑行
為監視稽核軌跡和系統紀錄,例如重複嘗試性的錯誤登入或是對檔案
權限的改變。代理程式也許可以利用固定區間的檢驗和(checksum)來檢查對系統檔案的變動。在某些情況下,雖然主機代理程式的主要
功能是登入、分析事件並發送警告,代理程式也可以制止對系統的攻
擊。 基於網路的入侵偵測系統對每一個封包監視區域網路(或區域網路區
段)的網路流量,並即時(或盡可能近乎即時)來判斷流量是否符合
一種已知的攻擊特徵(也就是一種符合已知攻擊樣版的行為)。例如,
一種名為TearDrop的阻斷服務攻擊利用一種傳送分割封包(fragment packet)的方法來使目標系統當機。網路監視可以認出符合這種樣式的封包並採取某些行動,像是刪除網路對話(network session)、給網路管理員送出電子郵件警告,或是其他指定的行動。當包含秘密通道(如
SSL網路對話或虛擬私人網路(VPN)通道)時,跟基於網路的入侵偵測系統比起來,基於主機的系統有一個優點,因為代理程式是存在元件
的本身,基於主機的系統能夠在資料被解密之後檢查它。相反地,基
於網路的入侵偵測系統由於不能將資料解密,因此,被加密的網路流
量在未調查的情況下會被允許通過。
6. 加密 一般來說,無線基地台有三種加密設定:無加密、40位元分享金鑰,
9
和104位元分享金鑰設定。「無加密」的設定代表最嚴重的風險,因為未加密的資料在網路中傳送時容易被攔截、讀取和修改。「40位元分享金鑰」可以將網路通訊資料加密,但仍然有洩漏秘密的風險。40位元加密方法已經可使用高階電腦(甚至低階電腦)用暴力攻擊法破解,
因此,這種加密方式的價值是存疑的。一般來說,因為在密碼金鑰長
度空間大小的重大差別,104位元加密方法比40位元加密方法更安全。雖然對WEP加密方法來說,由於它不良的使用初始向量(IV)加密方式的設計,這種說法可能不是正確的,但與「無加密」的設定比起來,
仍然推薦這種方式來實踐。最後,無線基地台和無線客戶端的用戶應
該對廠商的韌體和軟體的升級檢查有所警戒,因為這也許可以克服一
些WEP的問題。WiFi的部分建議可以使用WPA或WPA2來取代WEP,而WiMAX的部分建議可以使用PKMv2的3DES或AES來取代PKM的DES。
7. 安全評估 安全評估(或稽核),是檢查無線網路安全狀態和判斷正確行為,並
確保保持安全的一個根本工具。對建置廠商來說,使用無線網路分析
和其他工具來執行定期的稽核是重要的,一個分析工具是一個對引導
安全稽核和無線網路問題解決的有效工具。安全管理員或安全稽核員
能使用網路分析工具來判斷無線產品是否正確地傳送以及是否在正確
的通道中。管理員應該在辦公樓空間(和園區)之內,週期性地檢查
是否有惡意無線基地台的存在,並對抗其他未授權的存取。建置廠商
可能也可以考慮利用獨立的第三者來辦理安全稽核,獨立第三者安全
顧問經常在安全漏洞上有較新的資訊、在安全解決方案上有較好的訓
練,並且對評估無線網路安全上有良好的裝備,一個獨立第三者的稽
核(也許可以包括入侵測試)將幫助一個建置廠商來確保無線網路是
否遵從安全程序和政策,並且系統是保持在最新的軟體補丁和升級的
情況下。重要的是確保網路的無線部分是安全的,而且有線的部分也
是安全的。
2.2.3.2 硬體解決方案 針對減輕無線網路風險的硬體對策包括實現智慧卡、虛擬私有網路
(VPN)、公開金鑰基礎建設(PKI)、生物辨識,和其他硬體解決方案。
1. 智慧卡
10
智慧卡也許可以增加另一個保護層級,雖然他們也增加了另一個複雜
層級。建置廠商可以將智慧卡單獨使用,或者同時與使用者名稱或密
碼一起使用,他們可以利用雙重認證來使用智慧卡。建置廠商也可以
將智慧卡與生物辨識結合。在無線網路上,智慧卡提供了認證功能的
額外認證。智慧卡在只需要簡單的使用者名稱和密碼的環境中是有利
的。用戶憑證和其他資訊儲存在他們自己的卡片中,一般來說,只要
求用戶記住個人識別密碼(PIN number)。智慧卡也有攜帶式的功能,因而用戶可以從各個地方安全地存取他們的網路。與認證軟體解決方案
並存,這些具防篡改(tamper-resistant)的設備可以整合到無線網路解決方案以加強系統的安全。用戶應該小心充分地瞭解智慧卡解決方案提
供的安全。
2. 虛擬私人網路(VPN) 虛擬私有網路(VPN)技術是提供在公共網路基礎建設中安全資料傳輸的迅速成長的技術。虛擬私有網路允許公司利用網際網路的方式來遠
程存取。目前,虛擬私有網路典型地使用於三個不同情景:遠端用戶
存取、LAN對LAN(或網點對網點)的連接,以及企業外部網路(extranet)(由公共網路的通路到達虛擬私有網路)。當IP資訊從一個網路通過到下一個網路,或從一個地點到下一個地點,虛擬私有網路會使用密
碼技術來保護IP資訊,在虛擬私有網路「隧道」裡面的資料是被加密並隔绝在另一個網路流量。
3. 公開金鑰基礎建設(PKI) 公開金鑰基礎建設(PKI)為公開金鑰憑證的產生、量產、分配、控制和稽核提供了一個架構和服務。它並藉著公開金鑰憑證來提供了網路交
易的安全加密和認證的應用,達到完整性和不可否認性。無線網路可
以整合公開金鑰基礎建設來達到認證和安全網路交易。要求高層級安
全性的用戶應該強烈考慮使用公開金鑰基礎建設,它提供藉由用戶憑
證提供強的認證,用戶憑證也可以用來簽章和加密訊息的安全應用。
因為憑證通常可以整合到智慧卡,如此智慧卡甚至可以提供更加強大
的功效,智慧卡為儲存密碼憑證提供了充當符記(token)和安全(防篡改)的兩個功能。另一方面,需要低階安全的用戶在採取這種解決方
案之前,需要仔細地考慮實施和執行公開金鑰基礎建設的複雜度和費
用。
11
4. 生物特徵(biometrics) 生物辨識的設備包括指紋/掌紋掃描器、光掃描器(包括視網膜和虹膜掃描器)、面部識別掃描器,和語音識別掃描器。當單獨使用或與另一種安全解決方案一起使用時,生物辨識可以提供額外層次的保護,例如,
針對需要更高安全層級的建置廠商,生物辨識可以在使用用戶名稱和
密碼來存取無線網路的場合中,與無線智慧卡、無線筆記型電腦或其
他無線設備整合。另外,生物辨識可以與虛擬私有網路解決方案整合
以提供認證和資料的機密性。
2.3 無線網路安全查核比較與分類 無線網路安全基本上可以分成管理、技術、操作與營運4種類型,我們就無
線網路安全目前狀況、可能問題與解決方式分別來說明這4種類型的問題。
無線網路安全在管理方面的問題如表 1所示,管理方面的問題又可細分成人員管理問題、硬體管理問題、資訊管理問題、安全管理問題與歷史紀錄可解
決的問題。例如一般目前狀況為「授權人員使用已授權的資源」,而可能發
生的問題為「未授權人員嘗試使用某些特定資源」,這個就是人員管理出了
問題,我們需要的解決方式為「人員管理」,也就是去定義誰能夠使用某些
特定儀器、資源或技術。
表 1 無線網路安全在管理方面的問題與解決方式 目前狀況 可能問題 解決方式 說明
1 授權人員使用
已授權的資源
未授權人員嘗試
使用某些特定資
源
人員管理 定義誰能夠使用某些特定
儀器、資源或技術
2 儀器由多數人
共同使用
設 備 可 能 被 破
壞、偷竊或不當使
用
硬體管理
定義某些特定儀器使用的
方式與權限,或保護某些
特定儀器的方式
3 資料儲存在特
定地方
資料被毀壞、移
除、覆寫或不經授
權的存取
資訊管理
描述可在無線網路中被傳
送的資訊類型或對資訊的
分類、管制
4 資訊由授權的
使用者使用
未授權的使用者
使用或破壞資訊 安全管理
定義資訊設備、軟體或相
關服務的安全性
5
正常運作下,
以為沒有安全
問題
無法即時得知或
處理安全問題 歷史紀錄
建立Log檔或活動日誌,
以便事後追蹤
12
無線網路安全在技術方面的問題如表 2所示,技術方面的問題又可細分成
無線基地台配置不當所引起的安全問題、將來軟體或硬體的安全漏洞被找
到、未授權用戶來存取網路、網路上許多種類的攻擊、未授權用戶試圖存取
或攻擊網路、攻擊者竊聽傳輸訊息以得到訊息內容,與其他未想到或新的安
全漏洞所衍生出的問題。例如一般目前狀況為「使用無線基地台來傳輸資
料」,而可能發生的問題為「無線基地台配置不當引起的安全問題」,這個就
是無線基地台配置出了問題,我們需要的解決方式為「無線基地台適當配
置」,也就是去更新預設密碼、建立適當的加密設定、控制重設(reset)功能⋯
等。
表 2 無線網路安全在技術方面的問題與解決方式
目前狀況 可能問題 解決方式 說明
1 使用無線基地
台來傳輸資料
無線基地台配置
不當引起的安全
問題
無 線 基 地
台 適 當 配
置
更新預設密碼 建立適當的加密設定 控制重設(reset)功能 使用MAC ACL功能 變更識別碼(如SSID) 將Beacon interval最大化
取消識別碼(如SSID)的廣播特性
變更預設密碼金鑰 使用SNMP 變更預設頻道 使用DHCP
2
使用目前認為
安全的軟體或
硬體
將來軟體或硬體
的安全漏洞被找
到
軟 體 補 丁
與升級
網路管理員需要與供應商
定期檢查看看是否安全補
丁和升級是可使用的,並
在需要時執行他們
3 允許授權用戶
來存取網路
未授權用戶來存
取網路 認證
對使用者名稱和密碼、智
慧卡、生物辨識或公開金
鑰基礎建設(PKI)的使用
4 網路上資訊的
傳遞與分享
網路上許多種類
的攻擊 防火牆
提供一些針對某些攻擊的
保護
13
目前狀況 可能問題 解決方式 說明
5 允許授權用戶
來存取網路
未授權用戶試圖
存取或攻擊網路
入 侵 偵 測
系統
偵測未授權的用戶是否正
試圖存取、已經存取或已
經危急的網路
6 訊息在網路上
傳輸給接收者
攻擊者竊聽傳輸
訊息以得到訊息
內容
加密 將資料加密以防止竊聽
7 實施安全保護 仍存在未想到的
或新的安全漏洞
安 全 評 估
(或稽核)
檢查無線網路安全狀態和
判斷正確行為,並確保安
全
無線網路安全在操作方面的問題如表 3所示,操作方面的問題又可細分成 敏感管理資訊可能暴露出來、實體上對設施的不當入侵、可能有對於無線基
地台之無線網路設備的越權存取的問題。例如一般目前狀況為「透過網路來
控制硬體」,而可能發生的問題為「敏感管理資訊可能暴露出來」,這個就是
實體存取在控制上出了問題,我們需要的解決方式為「實體存取的控制」,
也就是可以使用區域序列阜介面來管理硬體等解決方式。
表 3 無線網路安全在操作方面的問題與解決方式
目前狀況 可能問題 解決方式 說明
1 透過網路來控
制硬體
敏感管理資訊可
能暴露出來
實 體 存 取
的控制
例如使用區域序列阜介面
來管理硬體
2
某些特定儀器
由特定人員使
用
實體上對設施的
不當入侵 人員證明
使用照片證明、識別證讀
卡機或生物辨識等設備
3 架設無線網路
設備
可能有對於無線
基地台之無線網
路設備的越權存
取
外 在 界 限
保護 例如鎖門和安裝攝影機
無線網路安全在營運方面的問題如表 4所示,營運方面的問題又可細分成 營運或管理過程中斷、營運計畫過多、老舊或不清、重要記錄的遺失、毀損、
及偽造、保密資料洩漏、無遵照標準實施、稽核工具不當使用與存取的問題。
例如一般目前狀況為「持續營運管理」,而可能發生的問題為「營運或管理
過程中斷」,雖然我們無法防止不可避免的中斷產生,但如果我們有了中斷
14
的對策,就可以知道中斷之後應該如何處理,所以我們需要的解決方式為「營
運或管理過程中斷處理」,也就是去定義維持或恢復作業,並考慮資訊安全
的衝擊與後果。
表 4 無線網路安全在營運方面的問題與解決方式
目前狀況 可能問題 解決方式 說明
1 持續營運管理 營運或管理過
程中斷
營運或管理過
程中斷後的處
理
維持或恢復作業,並考慮
資訊安全的衝擊與後果
2 訂定營運計畫
營 運 計 畫 過
多、老舊或不
清
單一的營運持
續計畫
對組織與每一資訊系統應
清楚定義,並維持單一營
運持續計畫之架構,且定
期測試與更新
3 記錄重要資訊
重要記錄的遺
失、毀損、及
偽造
重要記錄的保
護
保護重要記錄,以防止遺
失、毀損、及偽造
4 紀錄保密資料 保密資料洩漏資料保護與控
制
確保資料保護與隱私、密
碼控制措施
5 訂定安全實施
標準
無遵照標準實
施 核對實施標準
核對資訊系統是否符合安
全實施標準,並確保可能
有智慧財產權及專屬軟體
產品資料的使用可以遵守
法令的、管理規定的及合
約的要求
6 使用稽核工具 稽核工具不當
使用與存取
稽核工具之保
護措施
保護資訊系統稽核工具之
存取
15
3. 無線網路安全查核
在這個章節,針對「架設無線網路基礎建設」與「架設無線網路應用系統」,
分別列出了「架設無線網路基礎建設安全查核表」與「架設無線網路應用系
統安全查核表」。對於架設無線網路基礎建設的建置廠商,可以逐一針對架設
無線網路基礎建設安全查核表上的每一點,檢查自己的無線網路基礎建設
中,是否符合上面的每一項建議;而對於架設無線網路應用系統的建置廠商,
可以逐一針對架設無線網路應用系統安全查核表上的每一點,檢查自己的無
線網路應用系統中,是否符合上面的每一項要求。 3.1 架設無線網路基礎建設之安全查核
表 5提供了一個架設無線網路基礎建設安全查核表,這個查核表列出了建立和維護一個安全的 802.11與 802.16無線網路之指導方針和各種建議。對每一項建議或指導方針,提供了 2個欄位。
第 1欄為「應實施」(Best practice)或「應考慮」(Should consider)欄
位。如果此欄位註明「應實施」,代表這項建議是針對所有建置廠商所提供的,
應該要做到這一點。如果此欄位註明「應考慮」,代表這項建議是一個建置廠
商應該小心地考慮的部分;有三個原因,第一,實行這項建議可以經由提供
一些額外的保護,來為無線環境提供一個較高等級的安全;第二,這項建議
提供一個深度防禦的策略;第三,實行這項建議可以擁有較佳的性能、操作
或成本效益。總而言之,如果此欄位註明「應考慮」,那麼建置廠商應該小心
地考慮這項選擇並衡量其投資報酬率。 第 2 欄為「檢查」欄位,此欄刻意留白以便讓建置廠商使用此表格來當
一個可勾選的查核表。例如對建置廠商來說,一個在 Wi-Fi 或 WiMAX 環境的個別無線網路稽核,可以快速地檢查每一項建議,並問自己此系統是否已
經達到了此建議。 在檢查了表 5之後,可能有某些項次無法達成。為了能夠瞭解原因、方
便紀錄以及未來可能的改善,表 6提供了一個「無線網路基礎建設安全查核表之未達到(不適用)理由」表格,以提供建置廠商參考使用。
16
表 5 架設無線網路基礎建設安全查核表 分類 檢查
項
次 基本安全建議 「應實施」
或「應考慮」 是否
達到
管理建議
1 制訂一個載明無線技術使用的安全準則,包含802.11與802.16。
應實施
2 確保在網路上的用戶已經完全地在電腦安全意識與無
線技術相關風險上被訓練。 應實施
3 進行風險評估來瞭解需要被保護的資產價值。 應實施
4 (在購買之前)確認客戶端的網路介面卡(NIC)和無線基地台支援韌體升級(firmware upgrade),以便讓安全補丁可以在可提供時被執行。
應實施
5 定期且隨機地執行綜合安全評估(包括確認惡意的無線
基地台)來完全地瞭解無線網路安全狀況。 應實施
6 確保在建置的建築物周圍附近,其外部邊界防護是恰當
的。 應實施
7 部署對建築物與其他安全區域的實體存取控制(如照片
證件或識別證辨識器等)。 應實施
8 完成佈點審視以幫助建置廠商來測試和建立無線基地
台的覆蓋範圍。 應實施
9 對無線基地台和802.11、802.16等無線產品作一個完整的詳細紀錄清單。
應實施
10 保證無線網路不被使用直到他們遵從建置廠商的安全
準則。 應實施
11 將802.11之無線基地台設置在建築物內部,而非附近合適的牆壁或窗戶外面。
應實施
12 將無線基地台放置在安全的領域以防止未授權的實體
存取和使用者操控。 應實施
13 根據實地測試來得知無線基地台範圍邊界以判斷精確
的無線覆蓋範圍。 應實施
14 確保無線基地台在不使用的時間(如下班與週末)是關
閉的。 應實施
17
分類 檢查項
次 基本安全建議 「應實施」
或「應考慮」 是否
達到
15 確認在無線基地台上的重設(reset)功能只有在需要的時候被使用且只有被授權的群組才可以啟動。
應實施
16 當使用重設(reset)功能後,將無線基地台復原到最新的安全設定。
應實施
17 若使用WiFi,須變更在無線基地台上的識別碼(如SSID)預設值。
應實施
18 若使用WiFi,須關閉廣播識別碼(如SSID)的特性,以便讓客戶端的識別碼必須與其無線基地台的識別碼相
匹配。 應考慮
19 若使用WiFi,須證實識別碼符號字串無法反映出建置廠商的名稱(如區域、領域、街道等)或產品。
應實施
20 確保無線基地台頻道至少有5個與其他鄰近無線網路不同的頻道以防止干擾。
應實施
21 瞭解並確認所有預設參數被變更。 應實施 22 關閉無線基地台上所有不安全和不重要的管理協定。 應實施
23 啟動所有WLAN或WMAN產品的安全特性,包括密碼認證和隱私特性(privacy feature)。
應實施
24 在有需要加密的環境,確認加密金鑰長度至少有128 bit或者盡可能地更大。
應考慮
25 確認預設分享金鑰(default shared keys)定期地更換成較安全的唯一金鑰。
應考慮
26 在有線架構與無線網路之間(無線基地台到無線基地台
或集線器到無線基地台)安裝一個適當的可設定防火牆
(configured firewall)。 應實施
27 在所有的無線客戶端安裝防毒軟體。 應考慮 28 在所有的無線客戶端安裝個人防火牆軟體。 應考慮
29 關閉在無線客戶端的檔案分享(特別是在非信任的環
境)。 應考慮
30 若使用WiFi,須設定MAC存取控制列表。 應考慮
31 在讓無線基地台連線時,考慮安裝Layer 2 switch替代集線器。
應實施
18
分類 檢查項
次 基本安全建議 「應實施」
或「應考慮」 是否
達到
32 在無線通訊中部署基於IPsec的虛擬私人網路(VPN)技術。
應考慮
33 確保使用的加密技術對網路上的敏感資料與計算機的
處理速度是足夠的。 應實施
34 定期並徹底地測試與部署軟體補丁 (patch)與升級(upgrade)。
應實施
35 確保所有的無線基地台有強健的(strong)管理密碼。 應實施 36 確保所有密碼定期地變更。 應實施
37 部署用戶認證,例如生物特徵、智慧卡、雙重認證機制
和公開金鑰基礎建設(PKI)機制。 應考慮
38 確保點對點(ad hoc)模式被關閉,除非此為可忍受風險的環境。(註:若某些產品無法使這些功能關閉,則使用
時要有警告,或者更換不同的廠商。) 應實施
39 在網路上使用靜態的IP位址。 應考慮 40 關閉DHCP。 應考慮 41 啟動無線基地台管理介面時,須使用使用者認證機制。 應實施 42 確保無線基地台的管理通路位於有線子網路。 應實施
43 無線基地台的管理網頁(web-based management)須使用SNMPv3和/或SSL/TLS。
應實施
44
配置在無線基地台的 SNMP設定(例如將預設的community string更改成較強的community string,並經常更換其值),使之僅能提供用戶所需要的最小權限(例
如只能讀取)。若SNMP不使用時,關掉SNMP的功能。不建議使用SNMPv1和SNMPv2。
應實施
45 使用SNMPv3或同等的密碼保護協定來提升無線基地台管理通路安全。
應實施
46 使用區域序列阜介面(local serial port interface)來設定無線基地台的配置(configuration),將敏感管理資訊的暴露減到最小。
應考慮
47 考慮如RADIUS和Kerberos等其他種類的無線網路認證。
應考慮
19
分類 檢查項
次 基本安全建議 「應實施」
或「應考慮」 是否
達到
48 在網路的無線部分部署入侵偵測代理程式,來偵測可疑
行為或未授權的存取和動作。 應考慮
49 部署稽核技術來分析RADUIS因可疑行為產生的記錄。 應考慮
50 部署可提供其他安全特性的802.11或802.16安全產品,例如更強健的密碼學保護或使用者認證。
應考慮
51 若使用WiFi,須讓特定分享金鑰(如802.11WEP的key-mapping keys)的使用取代系統預設金鑰(default key),以便每個session可以使用不同的分享金鑰。
應實施
52 在部署之前完全瞭解部署所有安全特性或者產品的影
響。 應實施
53 指定一個個體來追蹤802.11或802.16安全產品和標準(如IETF和IEEE等),以及相關技術的威脅和弱點。
應考慮
54 等待未來802.11或802.16更多技術的釋放後,合併此技術並安裝到相關安全特性上;或者提供可提升的安全特
性。 應考慮
55 當建置的無線基地台不再使用時,需清除無線基地台的
配置(configuration)來防止網路配置、金鑰與密碼等資訊的洩漏。
應實施
56 如果無線基地台有歷史紀錄(logging)功能,將此功能啟動並且定期檢查歷史紀錄檔(log)。
應實施
表 6 無線網路基礎建設安全查核表之未達到(不適用)理由
項
次 查核表項次與
基礎建設安全建議內容 分類:應實
施或應考慮未達到(不適用)理由
1 2 3 4 5
20
3.2 架設無線網路應用系統之安全查核 表 7提供了一個架設無線網路應用系統安全查核表,這個查核表列出了
建立和維護一個在 802.11 與 802.16 無線網路應用安全之指導方針和各種建議。同樣地,此查核表也對每一項建議或指導方針,提供了 2個欄位。
第 1欄為「應實施」(Best practice)或「應考慮」(Should consider)欄
位。如果此欄位註明「應實施」,代表這項建議是針對所有建置廠商所提供的,
應該要做到這一點。如果此欄位註明「應考慮」,代表這項建議是一個建置廠
商應該小心地考慮的部分,建置廠商應該小心地考慮這項選擇並衡量其投資
報酬率。 第 2 欄為「檢查」欄位,此欄刻意留白以便讓建置廠商使用此表格來當
一個可勾選的查核表。例如對建置廠商來說,一個在 Wi-Fi 或 WiMAX 環境的個別無線網路稽核,可以快速地檢查每一項建議,並問自己此系統是否已
經達到了此建議。 在檢查了表 7之後,可能有某些項次無法達成。為了能夠瞭解原因、方
便紀錄以及未來可能的改善,表 8提供了一個「無線網路應用系統安全查核表之未達到(不適用)理由」表格,以提供建置廠商參考使用。
表 7 架設無線網路應用系統安全查核表
分類 檢查項
次 應用安全建議 「應實施」
或「應考慮」 是否
達到
技術建議
1 確保應用程式或設備在不使用的時間(如下班與週末)
是關閉的。 應實施
2 確認在應用程式上的重設(reset)功能只有在需要的時候被使用且只有被授權的群組才可以啟動。
應實施
3 當使用重設(reset)功能後,將應用程式復原到最新的安全設定。
應實施
4 須變更在應用程式相關安全變數的預設值(例如密
碼),不應該使用該設備或程式所預設的密碼。 應實施
5 瞭解並確認所有預設值要被變更。 應實施
21
分類 檢查項
次 應用安全建議 「應實施」
或「應考慮」 是否
達到
6 在有需要加密的環境,確認加密金鑰長度至少有128 bit或者盡可能地更大。
應實施
7 確保使用的加密技術對網路上的敏感資料與計算機的
處理速度是足夠的。 應實施
8 定期並徹底地測試並部署軟體補丁 (patch)與升級(upgrade)。
應實施
9 確保所有的應用程式有強健的(strong)管理密碼。 應實施 10 確保所有密碼定期地變更。 應實施 11 啟動應用程式的管理介面,須使用使用者認證機制。 應實施 12 確保應用程式的管理通路,位於有線子網路。 應實施
13 應用程式的管理網頁 (web-based management)須使用SSL/TLS。
應實施
14 應用程式應考慮其使用上是否須達到單方認證或雙方
認證。若必須時,則使用標準的安全相關技術(例如SSL認證)。
應實施
15 應用程式應考慮其使用上是否須達到內容的完整性。若
必須時,則使用標準的安全相關技術(例如MAC)。 應實施
16 應用程式應考慮其使用上是否須達到內容的隱密性。若
必須時,則使用標準的安全相關技術(例如AES加密)。應實施
17 應用程式應考慮其使用上是否須達到內容的不可否認
性。若必須時,則使用標準的安全相關技術(例如RSA電子簽章)。
應實施
操作建議
18 應用程式或設備之存取控制可考慮如RADIUS和Kerberos等其他種類的網路認證。
應考慮
19 在應用程式的前端可部署入侵偵測機制或委託代理服
務(如資安監控中心(SOC)),來偵測可疑行為或未授權的存取和動作。
應考慮
20 設備可採用部署稽核技術來分析應用系統產生的可疑
行為記錄。 應考慮
21 須對影響應用程式之套件或作業系統瞭解其安全特性
或者影響。 應實施
22
分類 檢查項
次 應用安全建議 「應實施」
或「應考慮」 是否
達到
22 指派人員來追蹤相關技術的威脅和弱點。 應考慮
23 安裝應用程式之作業系統或設備,當未來更多的安全技
術釋放後,合併此技術並安裝到安全特性上;或者提供
可提升的安全特性。 應考慮
24 當設備上的應用程式不再使用,需移除並清除不再使用
的安全資訊,來防止金鑰與密碼等資訊的洩漏。 應實施
25 如果應用程式或設備有歷史紀錄(logging)功能,將此功能啟動並且定期檢查歷史紀錄(log)。
應實施
管理建議
26 代理廠商應對其內部員工要求簽署保密協議書,保障使
用者之資訊不會外洩。 應實施
27 代理廠商應與特殊利益團體或其他專業人員的安全論
壇及專業協會維持適當聯繫。 應考慮
28 代理廠商涉及存取、處理、通訊或管理的資訊或資訊處
理設施,或對服務的第三方合約,應涵蓋所有相關安全
要求。 應實施
29 代理廠商應鑑別所有資訊設備,並製作與維護其資產清
冊。 應實施
30 對於每一個資訊設備,代理廠商應指派人員維護與負責
設備中資訊及流程。 應實施
31 與資訊處理設施相關的資訊及資產,其使用規則應予以
識別、記錄、及實施。 應實施
32 資訊應以其對代理廠商的價值、法律要求、敏感性、及
重要性加以分類。 應實施
33 受雇人員、承包商及第三方使用者應將聘用條件與限制
視為契約合約的一部份,同意與簽訂陳述本身與組織對
資訊安全之責任的聘雇合約。 應實施
34 組織所有受雇人員及相關的承包商及第三方使用者應
接受定期資通安全教育訓練。 應實施
35 對違反安全的受雇人員,應有正式的懲罰程序。 應實施
36 所有受雇人員、承包商及第三方使用者在終止其聘雇、
合約或協議時應歸還其擁有的所有組織的資產。 應實施
23
分類 檢查項
次 應用安全建議 「應實施」
或「應考慮」 是否
達到
37 受雇人員、承包商及第三方使用者對資訊及資訊處理設
施的存取權限,在終止其聘雇、合約、協議、或因變更
而調整時應予以移除。 應實施
38 代理廠商應安置或保護所管理的設備,以降低威脅及危
險,例如偷竊、火災、以及未經授權存取之機會。 應實施
39 代理廠商應為重要設備提供電力備援設施,例如不斷電
電源裝置(UPS)系統。 應實施
40 代理廠商應利用實體措施,包含門禁或建築物保護傳送
資料之電源與通訊纜線,以防止竊聽或損害。 應實施
41 代理廠商應定期指派人員正確地維護設備,確保其持續
的可用性與完整性。 應實施
42 代理廠商置放於開放空間之設備,應考慮其被破壞或偷
竊等風險。 應實施
43 代理廠商管理的設備,報廢前應核對內部之儲存媒體,
確保任何敏感性資料及授權的軟體已被移除或安全地
覆寫。 應實施
44 代理廠商所提供服務之作業程序應製作文件,包含使用
者手冊、規格說明書與隱私權政策等等相關文件;並定
期維護與審查相關文件。 應實施
45 當代理廠商變更資訊設施、軟體、或相關服務,必須確
保其安全性符合變更前之強度。 應實施
46 代理廠商應區分職務與責任範圍,以降低組織資產遭未
經授權或非故意的修改之機會。 應實施
47 代理廠商應於網路中增加防毒軟體或防火牆以抵擋惡
意碼攻擊。 應實施
48 代理廠商在提供服務時應明確定義行動碼 (例如ActiveX、Java Applet)之安全準則,並防止使用者執行未經授權的行動碼。
應實施
49 代理廠商應定期備份重要資訊,並測試備份資訊之完整
性。 應實施
50 不使用的媒體應使用適當程序安全地報廢。 應實施
24
分類 檢查項
次 應用安全建議 「應實施」
或「應考慮」 是否
達到
51 代理廠商提供服務之機密系統文件應確保其不被未經
授權的存取。 應實施
52 代理廠商應有適當的交換政策、程序、及控制措施,以
保護經由使用所有型式通訊設施的資訊交換。 應實施
53 代理廠商與相關外部團體(包含外包廠商與協力單位)間資訊與軟體的交換應建立協議,例如簽署保密協議。
應考慮
54 代理廠商應保護運送中之媒體,不被未經授權的存取、
誤用或毀損。 應實施
55 代理廠商應適當地保護涉及電子傳訊的資訊。 應實施
56 應發展與實施政策及程序,以保護與營運資訊系統互連
有關的資訊。 應實施
57 代理廠商應利用加密及認證技術保護涉及線上交易的
資訊。 應實施
58 代理廠商應保護在公眾開放系統上(如入口網站)可取得資訊的完整性,以防止未經授權的修改。
應實施
59 代理廠商應保存一段期間內之監視日誌記錄以及系統
歷史紀錄(log),以協助未來資安事故之調查與追蹤。 應實施
60 代理廠商應建立監控伺服器(如tripwire),來定期審查監控的歷史紀錄(log)。
應實施
61 系統管理者與操作員應定期填寫活動日誌。 應實施
62 系統歷史紀錄(log)應安全地儲存,不受竄改及未經授權的存取。
應實施
63 代理廠商所管理之系統(包含軟硬體)產生之錯誤日誌應予以記錄、分析、及採取適當行動。
應實施
64 代理廠商應建立符合安全準則的存取控制政策,並建立
相關的文件得以接受審查。 應實施
65 代理廠商應有正式、適當的使用者註冊及註銷流程,對
所有資訊系統及服務之核准與撤銷都要規範適宜的處
理方針。 應實施
66 代理廠商應限制及控制管理者權限的分配與使用,避免
造成其權限的濫用,危害一般使用者的權益。 應實施
67 應用服務的管理者應週期性審查使用者的存取權限。 應實施
25
分類 檢查項
次 應用安全建議 「應實施」
或「應考慮」 是否
達到
68 代理廠商應要求使用者遵守良好的方式,來使用及選擇
密碼。 應考慮
69 使用者應確保無人看管的設備有良好的保護措施。 應實施
70 應採取文件與可攜式儲存媒體的桌面淨空政策,及資訊
處理措施的螢幕淨空政策。 應實施
71 代理廠商應只能提供使用者存取被明確准許使用的服
務,要有相對應的安全政策限制使用者的非法存取。 應實施
72 代理廠商應使用適當的鑑別法,例如密碼、憑證等等,
來區分使用者的身分,以控制遠端使用者的存取。 應實施
73 應考慮自動鑑別設備的方法(例如tripwire),來鑑別來自特定位置與設備的連線(例如MAC Address、 IP Address或其他鑑別方法)。
應考慮
74 需控制與保護遠端診斷埠及組態埠的實體與邏輯存
取。(例如將提供網路服務的port與控制的port分開來。)應實施
75 代理廠商應區隔在網路上的資訊服務、使用者及資訊系
統群組。 應實施
76 應限制員工連線至共享網路的能力(例如只能上網瀏覽
而不能使用FTP),特別是穿越組織界線的能力應該與存取控制政策以及營運運用的要求一致。
應實施
77 應實施網路路由控制,以確保電腦連線的方式與資訊流
的範圍不會破壞應用系統之存取控制政策(例如重要資
訊流不會外流至網路框架(範圍)之外)。 應實施
78 管理者應有安全登入程序控制作業系統的存取。 應實施
79 所有使用者應有唯一的使用者識別序號,並應選擇適切
的認證技術來證實使用者宣稱之身分。 應實施
80 驗證密碼的系統應為互動式,且需確保密碼品質,避免
容易被破解。 應實施
81 代理廠商應限制與嚴密控制可能置換系統與應用的程
式之使用,避免造成對服務造成破壞或影響。 應實施
82 一段時間的不活動後,應關閉不活動的連線階段。 應實施
26
分類 檢查項
次 應用安全建議 「應實施」
或「應考慮」 是否
達到
83 對於高風險的應用系統,應限制連線時間以提供額外的
安全性。 應實施
84 代理廠商應根據已定義的存取控制政策來限制使用者
與支援人員對資訊及應用系統功能之存取。 應實施
85 敏感性系統及資料應有專屬(隔離)的電腦作業環境,
以維護其安全。 應實施
86 應制定政策及採取適當的安全量測,以防止使用行動式
電腦與通訊設施的風險。 應實施
87 應發展與實施遠距工作活動的政策、作業計劃與流程。 應考慮
88 新資訊系統與提升現有系統的要求聲明中,應詳述安全
控制措施的要求。 應實施
89 管理者輸入應用系統的資料應予確認,以確保該資料正
確且適當。 應實施
90 應用系統內應包含有確認性核對,以偵測任何資訊經由
處理錯誤或故意行為的損壞。 應實施
91 代理廠商應確保應用系統內資訊鑑別性且保護訊息的
完整性,並實施適當的控制措施。 應實施
92 應確認應用系統的輸出資料(如資料格式與資料正確性
(例如質數)),以確保儲存資訊的處理程序正確且合乎
實際情況。 應實施
93 代理廠商應發展與實施使用密碼控制措施以保護資訊
的政策。 應實施
94 代理廠商應有金鑰管理以支援組織使用密碼技術。 應實施 95 應有個程序以管制作業系統上軟體的安裝。 應考慮
96 做系統測試時,應小心地選擇測試資料(如避免選擇敏
感性的客戶資料),並保護及控制測試資料以避免隱密
資料外流。 應考慮
97 應限制對程式原始碼的存取。 應實施 98 變更的實施應使用正式變更控制程序予以控制。 應考慮
99 作業系統變更時,應審查與測試重要營運應用系統,以
確保對組織作業或安全無不利的衝擊。 應實施
27
分類 檢查項
次 應用安全建議 「應實施」
或「應考慮」 是否
達到
100應阻止修改套裝軟體(如修改其程式碼),限制有必要
的變更,並嚴格管制所有的修改。 應實施
101 應防止資訊洩漏的機會。 應實施 102 組織應監督與監控軟體開發委外。 應考慮
103
代理廠商應有技術脆弱性(例如JRE不同版本的漏洞或不穩定性)控制,應取得使用中資訊系統之技術脆弱性
資訊、評估組織對該脆弱性的暴露、及採取適當的量
測,以處理有關的風險。
應實施
104 應循適當的管理管道儘快通報資訊安全事件。 應實施
105應要求資訊系統與服務的所有受雇人員、承包商及第三
方使用者記錄與通報明顯的或可疑的系統或服務之任
何安全弱點。 應實施
106應建立管理職務與程序,確保對資訊安全事故迅速、有
效、及有條理的回應。 應實施
107應有適當的機制使資訊安全事故的型式、數量、及成本
能被量化與監控。 應實施
108資訊安全事故後,對人或組織的跟催行動涉及法律行動
(民事或刑事)時,應遵照證據規則收集、保留、及提
交證據,以在相關審判時交出。 應實施
營運建議
109代理廠商在發展與維護全組織持續營運的管理過程的
同時,需達成營運所需的資訊安全要求。 應實施
110代理廠商應識別能導致營運過程中斷的事件,連同該中
斷的機率及衝擊,以及它們對資訊安全的衝擊與後果。應實施
111代理廠商應發展與實施持續計畫,在重要營運過程中斷
或失效後,能夠維持或恢復作業,並確保所要求等級的
資訊能在所要求時間之前恢復其可用性。 應實施
112代理廠商應維持單一營運持續計畫之架構,以確保所有
計畫皆一致,一貫地處理資訊安全要求,並識別測試及
維護程序的優先順序。 應實施
113營運持續計畫應定期測試與更新,以確保維持最新且有
效。 應實施
28
分類 檢查項
次 應用安全建議 「應實施」
或「應考慮」 是否
達到
114對組織與每一資訊系統,應清楚定義、文件化、及維持
最新所有與資訊系統有關之法規、管理規定及合約要
求。 應實施
115代理廠商應實施適當流程,以確保可能有智慧財產權及
專屬軟體產品資料的使用可以遵守法令的、管理規定的
及合約的要求。 應實施
116代理廠商應依據法令、管理規定、合約及營運的要求保
護重要記錄,以防止遺失、毀損、及偽造。 應實施
117代理廠商應如相關法令、管理規定及若干適用之合約條
款所要求的,來確保資料保護與隱私。 應實施
118代理廠商應依照所有相關的協議、法律、及管理規定使
用密碼控制措施。 應實施
119管理者應確保其責任範圍內所有安全流程皆正確地執
行,以達到安全政策與標準。 應實施
120 管理者應定期核對資訊系統是否符合安全實施標準。 應實施
121涉及作業系統檢查的稽核要求與活動應謹慎規劃且獲
得同意,以降低營運過程崩潰之風險。 應實施
122應保護資訊系統稽核工具之存取,以防止任何可能的誤
用或危害。 應實施
表 8 無線網路應用系統安全查核表之未達到(不適用)理由 項
次 查核表項次與
應用系統安全建議內容 分類:應實
施或應考慮未達到(不適用)理由
1 2 3 4 5
29
4. 無線網路安全等級分類
因應無線網路在安全上不同的需求,可由其保護的程度,將無線網路安
全分級。無線網路安全建議分成四級(如表 9所示),分別是 第一級:無安全保護 (No Security) 第二級:使用者認證 (User authentication only)並使用較弱的加密演算法加密 第三級:雙向認證 (Mutual Authentication) (between SS/MS and BS)並使用較
強的加密演算法加密 第四級:使用硬體保護的雙向認證 (Mutual Authentication using hardware
protection)並使用較強的加密演算法加密 級數越大代表越安全,但認證的時間與建置成本也越高,可視不同的需求來
選擇需要的安全等級。
表 9 無線網路安全等級分類 等級 加密程度 認證程度 第 1級 無安全保護 無認證 第 2級 使用弱加密機制 對使用者單向認證 第 3級 使用強加密機制 雙向認證 第 4級 使用強加密機制 雙向認證+硬體保護
4.1 WiFi安全等級分類
WiFi一般使用WEP、WPA或WPA2等協定來加密的動作,以達到訊息隱密性的保護。在認證方面,最常使用的是 802.1X 等的 EAP 協定,例如EAP-MD5、EAP-SIM、EAP-TLS…等。
根據「無線網路安全等級分類」,WiFi的安全分級建議可以分成四級(如表 10所示),分別是 第一級:無安全保護 第二級:使用者認證(EAP-MD5、EAP-SIM或 EAP-AKA)與加密(WEP) 第三級:雙向認證(EAP-TLS、EAP-TTLS或 EAP-PEAP)與加密(WPA或
WPA) 第四級:使用硬體保護的雙向認證(例如 IC卡認證加上 EAP-TLS、EAP-TTLS
或 EAP-PEAP)與加密(WPA或WPA)。其中 IC卡如 SIM、USIM或自然人憑證等。
30
表 10 WiFi安全等級分類 WiFi 技術面
第 1級 第 2級 單向認證
第 3級 雙向認證
第 4級 雙向認證+硬體保護
加密 不加密 WEP WPA或WPA2 WPA2
認證 不認證
以下其中一項 – EAP-MD5 – EAP-SIM – EAP-AKA
以下其中一項– EAP-TLS – EAP-TTLS – EAP-PEAP
硬體保護認證加上以下其中一項 – EAP-TLS – EAP-TTLS – EAP-PEAP
4.2 WiMAX安全等級分類
WiMAX 可以分成固定式的 IEEE802.16-2004(802.16d)與移動式的IEEE802.16e-2005兩類,使用的協定為 PKM(v1)與 PKMv2兩種,其中 PKM(v1)為固定式的 IEEE802.16-2004使用的協定,而移動式的 IEEE802.16e-2005可以選擇使用 PKM(v1)或 PKMv2協定。一般來說 IEEE802.16e-2005會選擇使用 PKMv2協定。
PKM(v1)只能達到單向認證,主要認證的對象為用戶台本身,使用的加密演算法為 DES、AES 或 3DES,其中 AES 與 3DES 的密碼保護強度高於DES。而 PKMv2可以達到雙向認證,所使用的密碼器為 AES或 3DES。 根據「無線網路安全等級分類」,WiMAX的安全分級建議可以分成四級
(如表 11所示),分別是 表 11 WiMAX安全等級分類
WiMAX (802.16d &
802.16e) 技術面
第 1級 第 2級
(PKMv1) 第 3級
(PKMv2)
第 4級 (PKMv2+硬體保
護)
加密 不加密 DES
(56 bit key) 3DES或 AES (128 bit key)
3DES或 AES (128 bit key)
認證 不認證
使用單向認證 使用「RSA 認證 模 式 」 或
「EAP 認證模式」
使用雙向認證 使 用 雙 重 認證:「RSA 與EAP 認 證 模
式 」 或
「EAP-in-EAP認證模式」
使用雙向認證 使 用 雙 重 認證:「RSA 與
EAP 認 證 模
式 」 或
「EAP-in-EAP認證模式」
31
第一級:無安全保護 第二級:PKMv1的使用者認證(使用「RSA認證模式」或「EAP認證模式」)
與加密(DES) 第三級:PKMv2 的雙向認證(雙重認證:「RSA 與 EAP 認證模式」或
「EAP-in-EAP認證模式」)與加密(3DES或 AES) 第四級:PKMv2並使用硬體保護的雙向認證(例如 IC卡認證加上雙重認證:
「RSA與 EAP認證模式」或「EAP-in-EAP認證模式」)與加密(例如 3DES或 AES)
32
5. 參考文獻
[1] Aboba, B., Blunk, L., Vollbrecht, J., Carlson, J., and H. Levkowetz, “Extensible Authentication Protocol (EAP),” RFC 3748, June 2004.
[2] B. Aboba, J. Wood. “Authentication, Authorization and Accounting (AAA) Transport Profile.,” RFC 3539, June 2003.
[3] C. Adams, S. Farrell, T. Kause, T. Mononen. “Internet X.509 Public Key Infrastructure Certificate Management Protocol (CMP).,” RFC 4210, September 2005.
[4] C. Adams, P. Sylvester, M. Zolotarev, R. Zuccherato. “Internet X.509 Public Key Infrastructure Data Validation and Certification Server Protocols.,” RFC 3029, February 2001.
[5] Michel Barbeau, "802.16/WiMAX Threat Analysis", October 2005. [6] Aaron E. Earle, “Wireless Security handbook,” Auerbach Publications, 2005. [7] Matthew S.Ga, “802.11無線網路技術通論”, 歐萊禮, 2003年 6月。 [8] Matthew S.Ga, “Redes Wireless 802.11 / Wireless Network 802.11”,
O’REILLY, 2003年 6月。 [9] Jonathan Hassell, “RADIUS,” O’REILLY, October 2002. [10] Krawczyk, H., Bellare, M. and R. Canetti,” HMAC: Keyed-Hashing for
Message Authentication”, RFC 2104, February 1997. [11] C. de Laat, G. Gross, L. Gommans, J. “Generic AAA Architecture,” RFC
2903, August 2000. [12] IEEE Std 802.11-1999, Information technology- Telecommunications and
information exchange between systems- Local and metropolitan area networks- Specific requirements- Part 11: Wireless LAN Medium Access Control (MAC) and Physical Layer (PHY) Specifications.
[13] IEEE Std 802.11a, 802.11b, 802.11g. [14] IEEE Std 802.16 – 2004, IEEE Standard for Local and metropolitan area
networks, Part 16: Air Interface for Fixed Broadband Wireless Access Systems.
[15] IEEE Std 802.16e – 2005 and IEEE Std 802.16 – 2004/Cor1-2005, IEEE Standard for Local and metropolitan area networks, Part 16: Air Interface for Fixed and Mobile Broadband Wireless Access Systems.
[16] IEEE Std 802.1X – 2004, IEEE Standard for Local and metropolitan area networks Port-Based Network Access Control.
33
[17] International Organization for Standardization, BS7799-2:2005/ISO 27001:2005 - Information technology -- Security techniques -- Information security management systems – Requirements, 2005.
[18] International Organization for Standardization, BS7799-1:2005/ISO 17799:2005 - Information technology -- Security techniques – Code of practice for information security management, 2005.
[19] National Institute of Standards and Technology, Wireless Network Security: 802.11, Bluetooth, and Handheld Devices, November 2002.
[20] Technical Specification Group SA WG3, A Guide to 3rd Generation Security, 3rd Generation Partnership Project, Technical Specification, 3G TR 33.900 V1.2.0, 2000.
[21] Wi-Fi Planet, http://www.wi-fiplanet.com/. [22] WiMAX Forum, http://www.wimaxforum.org/
34
附件一 WiFi與WiMAX網路安全等級分類
本報告第 4章說明了無線網路安全等級的分類,而WiFi與WiMAX可根據使用密碼原件與認證方式來區分他們的安全等級。為了易於辨別 WiFi 與WiMAX使用的安全等級,此部分針對WiFi與WiMAX使用的密碼協定,說明了WiFi與WiMAX不同安全等級的分類,並詳細地將WiFi與WiMAX的安全等級分成 4級(如圖 1所示)。
WiFi與WiMAX都包含了加密與驗證兩種達到無線安全的方式,這兩種方式又各分成 4級,分別代表第一級:無安全保護 (No Security);第二級:使用者認證 (User authentication only)並使用弱密碼器加密;第三級:雙向認證 (Mutual Authentication) (between SS/MS and BS)並使用強密碼器加密;第四級:使用硬體保護的雙向認證 (Mutual Authentication using hardware protection)並使用強密碼器加密。 安全等級達到某一等級,代表加密與認證都必須達到此級數以上,例如
WiFi 的加密達到第 3級,但認證只達到第 2級,那麼此 WiFi 的安全等級只有達到第 2級。
WiFi 在加密部分使用的是 WEP、WPA 與 WPA2 三種協定。其中 WEP的演算法較不安全,若強調具隱密性的加密功能則不建議使用WEP,需改採用 WPA或 WPA2。在認證部分,大都採用 802.1X協定,或者可以採用 SSL加上 ID/Password 等認證。其認證方式可分成第 2 級的單向認證、第 3 級的雙向認證與第 4級的硬體保護雙向認證(如圖 1所示)。
WiMAX使用的協定有兩種,分別為固定式 IEEE802.16-2004(802.16d)協定使用的 PKM(v1)協定,以及設計給移動式 IEEE802.16e-2005協定使用的PKMv2協定。PKM(v1)協定使用的加密演算法為 DES,只能達到認證使用者的單向認證功能,而 PKMv2 的加密演算法為 3DES 或 AES,可以達到雙向認證的功能。
35
圖 1 WiFi與WiMAX網路安全等級分類
