原文 http://mic1491.pixnet.net/blog/post/30237227-wi-fi%E7%84%A1%E7%B7%9A%E7%B6%B2%E8%B7%AF%E7%9A%84%E8%AA%8D%E8%AD%89%E8%88%87%E5%8A%A0%E5%AF%86%E6%96%B9%E5%BC%8F%E7%B0%A1%E4%BB%8B
Wi-Fi無線網路的認證與加密方式簡介
Wi-Fi (IEEE 802.11b, IEEE 802.11g, IEEE 802.11n)無線網路的認證與加密方式,有Open System, WEP, WPA, WPA2, MAC ACL, Web Redirection幾種。
所謂「認證(Authentication)」,就是用來確定無線上網者的身分,身分可以是使用者的帳號/密碼、數位憑證(Digital Certificate)、或是無線網卡的MAC (Media Access Control)位址,MAC位址也可稱為實體位址(Physical Address)。在Windows中,打開「命令提示字元」,輸入ipconfig /all,再按下Enter,就可以看到網卡的Physical Address,例如00-0C-6E-10-AD-7F。
所謂「加密(Encryption)」,就是網路封包(Packet)資料在空氣中無線傳輸時,被加密鎖碼(Encrypted)保護,因此就算有第三者截聽到封包,也無法解譯出裡面的資料內容。
無線網路啟用認証,以確定連上無線基地台的人,都是合法的無線網路使用者,來防止無線網路遭人盜用。無線網路啟用加密,以防止在空氣中傳輸的資料,被人竊聽。
以下進一步解釋無線網路的幾種認証與加密方式:
Open System: 完全不認證也不加密,任何人都可以連到無線基地台使用網路。採取這種方式,大多對無線網路安全性的問題不了解、不在意,或是不知道如何設定無線基地台與筆記型電腦。
WEP (Wired Equivalent Privacy): 無線網路基地台設定有 WEP金鑰(Key),筆記型電腦也必須設定相同的WEP Key,才可以連上無線基地台。WEP可以用在認證或是加密,例如認證使用Open System,而加密使用WEP;或者認証與加密都使用WEP。WEP加密現在已經有軟體可以輕易破解,因此不是很安全。
WPA (Wi-Fi Protected Access): 由Wi-Fi Alliance (http://www.wi-fi.com/)所提出的無線安全標準,有分成家用的WPA-PSK (Pre-Shared Key)與企業用的IEEE 802.1x Port-Based Network Access Control版本。WPA-PSK的設定方式與WEP相同,無線基地台與筆記型電腦必須設定相同的Key,電腦才可以連入基地台。因為WPA-PSK運用了TKIP (Temporal Key Integrity Protocol)技術,因此比WEP難被破解而更加安全。採用IEEE 802.1x則需要有另一台儲存無線使用者帳戶資料的RADIUS (Remote Authentication Dial-In User Service)伺服器,當筆記型電腦連入無線基地台時,無線基地台會要求使用者輸入帳號密碼、或是自動向筆記型電腦索取儲存在電腦硬碟的使用者數位憑證,然後向RADIUS伺服器確認使用者的身分。而用來加密無線封包的加密金鑰(Key),也是在認証的過程中自動產生,並且每一次連線所產生的金鑰都不同(專業術語稱為Session Key),因此非常難被破解。IEEE 802.1x的設定非常複雜,因此只適用於對無線安全要求很高的企業。
WPA2: WPA2顧名思義就是WPA的加強版,也就是IEEE 802.11i無線網路標準。同樣有家用的PSK版本與企業的IEEE 802.1x版本。WPA2與WPA的差別在於,它使用更安全的加密技術AES (Advanced Encryption Standard),因此比WPA更難被破解、更安全。
MAC ACL (Access Control List): MAC ACL只能用於認証而不能用於加密。在無線基地台輸入允許被連入的無線網卡MAC位址,不在此清單的無線網卡無法連入無線基地台。
Web Redirection: 這種方式是WISP (Wireless Internet Service Provider,例如統一安源WiFly)最常用的方式。無線基地台設定成Open System,但是另外在後台利用存取控制閘道器(Access Control Gateway, ACG),攔截筆記型電腦發出的Web封包(開啟瀏覽器嘗試上網),並強制重導到認證網頁要求輸入帳號密碼,然後ACG向RADIUS認證伺服器來確認使用者的身分,認證通過才可以自由到其它的網站。
在家裡裝設無線網路,除非你完全不在乎頻寬與鄰居分享或讓人偷用,否則最好還是啟用WEP或是WPA-PSK。
咖啡店家們應該也要注意到無線網路的認證問題,因為設定成Open System,不只是來電消費的客人,其實左鄰右舍也在使用你的無線網路,你只是不知道而已。如果你希望確定只有來電消費的客人可以使用無線網路,那就需要一台支援Web Redirection的進階無線基地台,並且有無線網路認證代管服務公司(例如Qon http://www.qon.com.tw/),來協助你控管無線網路。
關於如何設定無線安全設定,Microsoft的技術文件「為居家或小型企業設定 Windows XP IEEE 802.11 無線網路」,有非常詳細的步驟說明。
沒有留言:
張貼留言