Wi-Fi 資料擷取的安全機制概述

在過去 10 年來，IT 領域中的 Wi-Fi 網路安全機制已大幅提升，並成為資料擷取應用的實際解決方案。由於 Wi-Fi 是以空氣為其傳導媒介，因此安全性挑戰更高於接線式系統。下列概述將透過 NI Wi-Fi 資料擷取 (DAQ)，初步說明資料保護的標準安全技術。

Wi-Fi 安全機制的歷史

由 Wired Equivalent Privacy (WEP) 所使用的初始 802.11 標準，即是要阻絕惡意的無線網路存取。各用戶端電腦均有 1 組密碼，以進入網路上的存取點。該密碼除了存取網路之外，亦為存取點與用戶端之間的訊息加密基礎。

 

由於 WEP 設定簡單，因此廣泛用於大多數的家庭與小型辦公室網路。然而，若 WEP 使用不當，即容易遭受攻擊。WEP 使用 RC4 密碼進行資料加密，而 40 位元金鑰可編碼並解碼訊息。駭客早已發現此協定的弱點，並開發多種方法突破無適當防護機制的 WEP 網路：

• 字典攻擊 (Dictionary Attack) – 許多使用者的無線存取點與網路介面卡，均沿用設備的出廠預設設定。其他使用者則選擇可於字典中找到的「瘦弱」 WEP 金鑰。功力高深的駭客僅需「猜測」安全設定，即可利用這些網路。某些駭客可能使用強制突破的方式，但仍有更完整的運算式可供使用。只要選擇較複雜的密碼，即可避免字典攻擊。

• 中間人攻擊 (Man-in-the-Middle Attack) – 大多數的 Wi-Fi 網路存取點均會散播其 SSID，讓用戶端可輕鬆尋找並連接之。惡意存取點 (Rogue access point) 則會散播相同的 SSID，誘騙用戶端進入並輸入相關安全資訊，讓駭客得以存取實際網路。最好的防範方式，即是關閉路由器的 SSID 廣播功能。

• 重送攻擊 (Replay Attack) – 即是駭客竊聽無線通訊封包，並記錄其中的傳輸資料。駭客接著使用該資料回覆為錯誤資料或訊息，誘使存取點傳輸額外的位址解析協定 (ARP) 封包。只要有足夠的封包 (50,000 ~ 100,000)，駭客即可將 WEP 金鑰解密。

NI Wi-Fi DAQ 即支援 WEP 安全機制。然而，多組無線資料擷取應用，均需要更強力的安全協定。

 

NI Wi-Fi 資料擷取網路安全機制的元件

NI Wi-Fi DAQ 支援多項無線安全協定，包含 WEP、Wi-Fi Protected Access (WPA)，與 IEEE 802.11i (即為 WPA2)。針對重送攻擊，WPA 的安全性則高於 WEP。而 WPA2 提供最高的無線網路安全機制，並同時涵蓋資料保護 (加密) 與存取控制 (認證)。

 

加密 (Encryption)

若要有效保護無線資料傳輸作業，Wi-Fi 網路必須擁有強大的加密運算式 (cipher)，與某種型式的金鑰管理功能。Wi-Fi 網路目前常用 2 項加密標準：TKIP 與 AES。

IEEE 802.11i 工作團隊則透過 WPA 開發臨時金鑰完整性協定 (Temporal Key Integrity Protocol，TKIP)，以銜接現有的 WEP 網路。存取點與用戶端僅需小幅變更韌體或軟體，即可將 WEP 升級至 WPA/TKIP。TKIP 可超越 WEP 40 位元金鑰的優勢之一，即是 TKIP 使用 128 位元金鑰，而保留了相同的加密運算式 (RC4)。更大的差異之處，即在於 TKIP 針對每個訊息封包均使用不同的金鑰，也因此命名為「臨時 (Temporal)」協定。TKIP 整合了對稱暫態金鑰 (Pairwise transient key，PTK)，與各封包的用戶端 MAC 位址和序號，以動態產生所需的金鑰。當用戶端透過預先共享 (Pre-shared) 金鑰 (網路所屬成員知道的密碼 [Passphrase]) 與隨機號碼產生器連接至存取點時，才會建立 PTK。只要傳送出新的封包，則序號就會增加。由於每個封包均使用不同的金鑰，因此駭客不可能進行重送攻擊。當駭客企圖重送舊封包時，存取點即可進行偵測。

IEEE 802.11i 工作團隊選擇高階加密系統 (AES) 做為最後的安全解決方案，亦為 Wi-Fi 網路的加密運算式。與 TKIP 不同的是，由於加密運算式逐漸依賴處理器的效能，因此針對大多數的 WEP 安裝作業AES 必須進行硬體升級。相較於 TKIP 與 WEP 所使用的 RC4 運算式，AES 的 128 位元密碼更難以破解。事實上，美國國家標準與技術研究院 (National Institute of Standards and Technology，NIST)，即選擇 AES 做為所有美國政府機構的加密標準。(FIPS publication 197 即詳細說明相關需求。)政府獲軍事所採用的無線資料擷取應用，均必須使用 AES 傳輸資料。

 

認證(Authentication)

網路認證亦為用戶端存取控制的必備功能。在用戶端溝通無線存取點之前，必須先由網路給予認證。目前有 2 種基本認證形式：伺服器架構與 PSK 架構。

大多數的企業網路均具有至少 1 組授權伺服器，一般均執行遠端認證撥接使用者服務 (Remote Authentication Dial-In User Service，RADIUS)。WPA2 網路安全機制則利用 IEEE 802.1X 通訊埠架構的認證標準，並具有下列元件：

• 用戶端(Supplicant) – 存取網路的用戶端無線裝置

• 認證端(Authenticator) – 控制用戶端可否進入無線存取點

• 認證伺服器(Authentication server) – 將認證服務 (一般為 RADIUS) 提供給認證端

 

 

當用戶端要求存取網路時，認證端將提供不受控制的通訊步進行認證。認證端將存取要求轉寄至認證伺服器，以接受或拒絕用戶端的請求。認證端再將認證伺服器的回應轉寄至用戶端，使之可存取受控制的通訊埠，或繼續阻擋用戶端。

成功的認證程序將可使用對稱主金鑰 (PMK)，以加密無線網路。此交換作業的詳細過程，將根據可擴充認證協定 (EAP) 方式所支援的網路而定。下列為常見的 EAP 方式 (NI Wi-Fi 資料擷取卡均有支援)：

• LEAP (Lightweight EAP) – 由 Cisco Systems 公司所開發較舊式的 EAP 方式。任何的 Microsoft Windows 作業系統均不支援 LEAP。

• EAP-TLS (EAP-Transport Layer Security) – 大多數無線製造商所支援的開放式標準。EAP-TLS 將同時進行伺服器與用戶端的認證，因此安裝作業較為複雜。

• EAP-TTLS (EAP-Tunneled Transport Layer Security) – 此即去除 EAP-TLS 方式中的用戶端認證作業，可用於較具彈性的網路。

• PEAP (Protected EAP) – 由 Cisco Systems、Microsoft，與 RSA 共同開發的開放式標準。此普遍的 EAP 方式僅進行伺服器認證作業。PEAPv0/EAP-MsCHAPv2 則為此方式最常見的變形。

上述的所有 EAP 方式均支援 相互認證 (Mutual authentication)，由於用戶端必須通過伺服器認證，伺服器亦必須通過用戶端認證，因此可阻絕中間人攻擊。惡意存取點即無法假冒伺服器端的安全認證。

並非所有的網路均具有認證伺服器，因此無法完整進行上述的認證方式。小型辦公室或家庭辦公室 (SOHO) 網路，則可透過用戶端 (Wi-Fi DAQ 介面卡) 與存取點之間的預先共用金鑰 (PSK)，以取代相關的認證方式。此為使用者必備的密碼 (Passphrase)，以透過網路進行認證的初始化。

 

以 NI Wi-Fi 資料擷取技術建置安全的網路

NI Wi-Fi data acquisition (DAQ) 介面卡支援完整的 IEEE 802.11i 安全標準，包含 AES 加密與最常見的 EAP 認證方式。此為目前最廣泛使用的無線網路安全機制，因此可避免重要資料遭到惡意攻擊。事實上，於政府或軍事設施中的應用，則必須使用 AES 加密功能。針對其他應用，則可使用 WPA 搭配現有的存取點硬體。

 

觀看 NI Wi-Fi DAQ 導覽

 

若要連接企業網路，則必須協調 IT 團隊以決定所需的安全協定，與伺服器可用的 EAP 方式。由於 NI Wi-Fi DAQ 介面卡支援大多數常用的 EAP 方式 (LEAP、PEAP、EAP-TLS，與 EAP-TTLS)，因此使用者不需選擇應用與網路的最佳架構。

使用者並可輕鬆進行 Wi-Fi DAQ 介面卡的安全設定。可至 Measurement & Automation Explorer (MAX) 中，於 「NI-DAQmx Devices」選擇目前的 Wi-Fi DAQ 介面卡，並至畫面底端點選「Network」分頁。再點選「Wireless」分頁，透過下拉式功能表設定網路安全選項。

若使用的 EAP 方式必須進行用戶端認證，則在設定 DAQ 介面卡之前，請先確定系統已辨識到該介面卡。若要設定不包含認證伺服器的網路，則必須使用難以破解 PSK 密碼 (同時包含 WPA 與 WPA2 網路)。

 

[+] 放大圖

使用 MAX 設定自己的 Wi-Fi DAQ 加密與認證功能。

MAX 使用加密且唯讀的方式，將此組態與設定資料傳送至 Wi-Fi 或乙太網路 DAQ 介面卡，包含使用者名稱、密碼，與用戶端認證，以進一步保護網路。

若需更詳細的說明，請參閱 NI WLS-9163 使用者手冊。

 

Wi-Fi DAQ 網路安全機制的必要檢查項目

√ 若網路使用如 RADIUS 伺服器的認證伺服器，則應使用 802.1X (EAP)。

√ 若並未使用認證伺服器，則 PSK 應使用較複雜的密碼。避免使用字典可查得到的單字或常見片語，並混合大小寫與數字。

√ 當設定無線存取點或路由器時，避免使用常見或出廠預設的 SSID。

√ 若存取點硬體支援 AES 加密協定，就不要使用 TKIP。

√ 儘量不要使用 WEP。將存取點升級至 WPA，或下載 Windows XP WPA2 Patch。

√ 鎖定 Wi-Fi DAQ 介面卡的相關設定，更進一步確保安全機制。

 

更多資源

觀看以 NI LabVIEW 與 Wi-Fi 資料擷取簡化無線遠端監控應用網路研討會。

觀看 6 分鐘的Wi-Fi DAQ 導覽。

瀏覽 Wi-Fi DAQ 相關規格與報價。