資訊安全─入門手冊
Download
1 / 60

資訊安全─入門手冊 - PowerPoint PPT Presentation


  • 94 Views
  • Uploaded on

資訊安全─入門手冊. 第 18 章 無線網路安全. 第 18 章 無線網路安全. 組織使用無線網路的情況越來越普及,主要是因為價格低廉和容易設定。 某些組織在比較更換建物線路的費用之後,轉向採用無線網路以節省更新線路工程的成本。 雖然無線網路可以節省可觀的費用,但是也為組織帶來更為嚴重的安全問題。 目前已經公佈許多可以用來處理竊聽和身份認證的安全機制標準,但是許多建置這些標準的商品,同樣也存在著許多嚴重的安全弱點。. 迄今,尚未出現真正完全解決無線網路風險的安全解決方案提案。 本章將要深入探討組織內部網路附掛無線網路得安全風險,以及認證組織管理這些風險的對策。

loader
I am the owner, or an agent authorized to act on behalf of the owner, of the copyrighted work described.
capcha
Download Presentation

PowerPoint Slideshow about ' 資訊安全─入門手冊' - romeo


An Image/Link below is provided (as is) to download presentation

Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author.While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server.


- - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - -
Presentation Transcript

資訊安全─入門手冊

第 18 章 無線網路安全


18 章 無線網路安全

  • 組織使用無線網路的情況越來越普及,主要是因為價格低廉和容易設定。

  • 某些組織在比較更換建物線路的費用之後,轉向採用無線網路以節省更新線路工程的成本。

  • 雖然無線網路可以節省可觀的費用,但是也為組織帶來更為嚴重的安全問題。

  • 目前已經公佈許多可以用來處理竊聽和身份認證的安全機制標準,但是許多建置這些標準的商品,同樣也存在著許多嚴重的安全弱點。


  • 迄今,尚未出現真正完全解決無線網路風險的安全解決方案提案。迄今,尚未出現真正完全解決無線網路風險的安全解決方案提案。

  • 本章將要深入探討組織內部網路附掛無線網路得安全風險,以及認證組織管理這些風險的對策。

  • 本章的內容如下:

    • 18-1 認識目前的無線網路技術

    • 18-2 認識無線網路的安全問題

    • 18-3 架設安全無虞的無線網路


18-1 迄今,尚未出現真正完全解決無線網路風險的安全解決方案提案。認識目前的無線網路技術

  • 無線區域網路(local area network,LAN)是以802.1x(a、b、g等等)標準做為技術的發展中心。

  • 這些標準允許工作站和無線存取點之間,使用高達54Mbps的傳輸速度建立連線,接著再和有線LAN或其他工作站連線(詳見圖18-1)。

  • 無線區域網路標準最主要是做為身份認證資訊的交換和資訊加密。


  • 本節的內容如下:迄今,尚未出現真正完全解決無線網路風險的安全解決方案提案。

    • 18-1-1 標準架構

    • 18-1-2 傳輸安全

    • 18-1-3 身份認證


迄今,尚未出現真正完全解決無線網路風險的安全解決方案提案。18-1 典型的無線網路架構


18 1 1
18-1-1 迄今,尚未出現真正完全解決無線網路風險的安全解決方案提案。標準架構

  • 為了讓組織更有效地使用無線區域網路(wireless LAN,WLAN),無線信號的涵蓋範圍必須完整地涵蓋員工或訪客放置電腦的區域。

  • 室內:典型的802.11x WLAN有效涵蓋範圍大約是150英尺。

  • 室外:涵蓋範圍大約可達1500英尺。

在這裡所說的距離,只是一個約略的數字。實際的距離是依據使用的設備、建料和實際障礙而定。


  • 這些數字也就表示 - 存取點(迄今,尚未出現真正完全解決無線網路風險的安全解決方案提案。access point,AP)必須放在現有的涵蓋範圍內。

  • 在無線網路的架構中,一般都會含有提供IP位址的DHCP伺服器,以及其他讓工作站適當地透過網路通訊所需的資訊。

  • 這些資訊允許可攜式電腦隨意漫遊且無須特別留意,也照樣可以在WLAN進行溝通。

DHCP伺服器不止能夠提供WLAN所需的IP位址,也可以提供組織內部系統所需的IP位址。且在預設的條件下,WLAN也是使用現有的DHCP伺服器。



18 1 2
18-1-2 在身份認證方面,則是採用和其他網路工作站相同的方式(通常是傳輸安全

  • 由於WLAN是以無線電做為傳送和接收資訊的媒體(因此只要位在信號範圍內即可接收信號),因此傳輸安全對整個系統的安全非常重要。

  • 在工作站和AP之間,如果沒有適當地保護資訊的機密性和完整性,也會產生資訊是否遭到侵害、入侵者是否已經取代工作站或AP等疑慮。

  • 802.11x標準在透過WLAN傳送資訊方面,定義用來保護資訊的有線設備隱私(Wired Equipment Privacy,WEP)協定。


  • WEP在身份認證方面,則是採用和其他網路工作站相同的方式(通常是三種基本的服務如下:

    • 身份認證

    • 機密性

    • 完整性


身份認證在身份認證方面,則是採用和其他網路工作站相同的方式(通常是

  • 工作站可以使用WEP的身份認證服務,對AP證明用自己的身份。

  • 在使用開放式身份認證系統的過程中,工作站是以MAC位址做為AP初始交換的身份認證回應。

  • 在現實環境中,這種方式並不足以做為AP對工作站的身份認證。

  • WEP也同樣可以使用密碼身份認證機制。

  • 共享秘密是這類機制主要的依據,例如AP使用RC4演算法認證工作站,或是使用交互換認證的盤查/回應系統(詳見圖18-2)。


  • 雖然在身份認證方面,則是採用和其他網路工作站相同的方式(通常是AP和工作站完成了身份認證流程,但是AP並未將身份認證回送給工作站,所以這種AP身份認證方式會讓工作站處於更加險惡的環境中。

  • 在整體交換的過程中,可能會遭到中間人或攔截攻擊。


在身份認證方面,則是採用和其他網路工作站相同的方式(通常是18-2 WEP交換身份認證


  • WEP在身份認證方面,則是採用和其他網路工作站相同的方式(通常是的另一種問題 - 初始向量的選用,嚴重地影響到資訊如何加密的問題。

  • WEP利用封包的特定部分傳送初始向量,這樣也會提高竊聽者看到初始向量的機率。

  • 一旦入侵者擷取了初始向量,就有可能可以擷取用來判斷加密金鑰的大量封包。

  • 目前已經有了這種工具程式(詳見WEPCrack,網址是http://sourceforge.net/projects/wepcrack/)。


機密性在身份認證方面,則是採用和其他網路工作站相同的方式(通常是

  • RC4是機密性採用的機制。

  • RC4是一種非常知名、牢靠的演算法,因而不太容易遭到攻擊。

  • WEP依據RC4的功能性,定義出提供金鑰管理和其他支援服務的系統。

  • RC4提供將資訊轉換成密文所需的虛擬隨機金鑰串流。

  • 此一機制可以用來保護所有的協定標頭資訊,以及802.11x協定層以上的資料(也就是第2層以上的資料)。


  • WEP在身份認證方面,則是採用和其他網路工作站相同的方式(通常是支援40位元和128位元的金鑰(實際的金鑰和演算法的初始向量相結合)。

  • WEP並未指定金鑰管理機制,也就是說使用靜態金鑰來安裝WEP。

  • 在現實的環境中,網路上所有的工作站通常都是使用相同的金鑰。

某些供應商已經採用了階段性變更WEP金鑰的標準機制。不過,這些都是標準以外的機制。


  • WEP在身份認證方面,則是採用和其他網路工作站相同的方式(通常是的另一種問題 - 初始向量的選用,嚴重地影響到資訊如何加密的問題。

  • WEP利用封包的特定部分傳送初始向量,這樣也會提高竊聽者看到初始向量的機率。

  • 一旦入侵者擷取了初始向量,就有可能可以擷取用來判斷加密金鑰的大量封包。

  • 目前已經有了這種工具程式(詳見WEPCrack,網址是http://sourceforge.net/projects/wepcrack/)。


  • 在分析了在身份認證方面,則是採用和其他網路工作站相同的方式(通常是RC4演算法之後雖然沒有找到弱點,但是WEP建置的RC4之中,卻含有缺陷且容易遭到侵害。


完整性在身份認證方面,則是採用和其他網路工作站相同的方式(通常是

  • WEP協定規格包括每一個封包的完整性檢查。

  • 完整性檢查是採用32位元循環冗餘檢查(cyclic redundancy check,CRC)。

  • 在每一個封包加密之前會先使用CRC計算過,接著再將資料和加密過的CRC相加並傳送給目標。

  • 雖然CRC並不是安全密碼(詳見第12章安全雜湊功能),但仍然受到加密的保護。

  • 如果加密系統相當牢靠,或許也不至於造成嚴重的問題。


  • 受限於在身份認證方面,則是採用和其他網路工作站相同的方式(通常是WEP可能導致封包完整性遭到侵害的缺陷,也可顯現出CRC對於整體系統安全設計的重要性。

  • 只要WEP適當地採用牢靠的加密系統,就不會產生封包完整性的問題(甚至單純使用CRC檢查),也可以做為保護資訊避免遭受未經授權竄改的機密性服務。


18 1 3
18-1-3 在身份認證方面,則是採用和其他網路工作站相同的方式(通常是身份認證

  • 身份認證是保護WLAN安全性的重要部分。選擇性地開放WLAN使用者,非常適用於管理WLAN本身的風險。

    • 服務辨識器

    • MAC位址

    • WEP

    • 802.1X連接埠型的網路存取控制


服務辨識器在身份認證方面,則是採用和其他網路工作站相同的方式(通常是

  • 服務辨識器(Service Set Identifier,DDID)是一種做為網路名稱的32位元組字串。

  • 工作站和AP都必須擁有相同的SSID才能順利地連結。

  • 如果工作站沒有適當的SSID,也就無法順利地連結網路。

  • SSID是透過許多AP進行廣播。

  • 任何監聽中的工作站皆可取得SSID,並嘗試和網路連結。

雖然某些AP可以設定成不要廣播SSID。然而,如果這種組態結合了不適當的傳輸安全,利用流量監聽也可以判斷出SSID。


MAC在身份認證方面,則是採用和其他網路工作站相同的方式(通常是位址

  • 某些AP允許工作站使用MAC位址做為身份認證(不同的供應商會有不同的規格)。

  • 在這種組態類型之中,AP設定成只能和認可的MAC位址進行通訊。

  • AP認可的MAC位址,是透過管理員將認可的MAC位址加入到設備的清單之中。

  • 工作站必須傳送完整的MAC才能連結網路。



WEP在身份認證方面,則是採用和其他網路工作站相同的方式(通常是

  • 就像先前曾經提過的,WEP是一種用來提供身份認證的服務。

  • 這種服務只能提供AP認證工作站的身份。它並不提供相互認證的機制,所以工作站也無法證明AP的真實身份。

  • 使用WEP並無法防範中間人攻擊或攔截攻擊(詳見圖18-3)。


802 1x
802.1X在身份認證方面,則是採用和其他網路工作站相同的方式(通常是連接埠型的網路存取控制

  • 802.1x協定含有乙太網路和WLAN這兩種存取控制協定。

  • 當WLAN研發人員找尋WEP問題的解決方案時,802.1x協定就成了最佳的解決方案。

  • 這個協定主要是提供一般性的網路存取身份認證機制,且可廣泛地提供下列各種身份認證方式:

  • 認證端(Authenticator):

    • 這是一種用來找尋其他認證實體的網路設備。在WLAN的案例中,可利用AP來擔任這項工作。


  • 需求端(在身份認證方面,則是採用和其他網路工作站相同的方式(通常是Supplicant):

    • 這是用來找尋存取的實體。在WLAN的案例中,工作站就是扮演這種角色。

  • 認證伺服器:

    • 認證服務的來源。802.1x允許中控化管理功能,所以也可能是RADIUS伺服器扮演這種角色。

  • 網路存取點:

    • 工作站連結到網路的連接點。在實體環境中,是由交換式集線器或共享式集線器的連接埠扮演這個角色。在無線網路的環境中,是由工作站和AP共同扮演這個角色。


  • 連接埠存取實體(在身份認證方面,則是採用和其他網路工作站相同的方式(通常是Port access entity,PAE):

    • PAE是一種執行認證協定的流程。認證端和需求端都具有PAE流程。

  • 可延伸認證協定(Extensible Authentication Protocol,EAP):

    • EAP協定(RFC 2284定義)是一種實際用來交換認證的協定。透過EAP也可以使用其他較高階的認證協定。


  • 802.1x在身份認證方面,則是採用和其他網路工作站相同的方式(通常是提供比802.11x任何選項更為牢靠的認證機制。如果能夠結合RADIUS伺服器,也有可能達成中控化使用者管理的目標。

  • 相互認證是屬於802.1x的選項,但是許多系統都將這個選項設定成預設值,因此也就容易遭到攔截攻擊。

只有工作站和AP緊密地結合,802.1x才能夠正常地運作。也就是說,在認證發生之前,工作站也許已經連線到無線網路。


  • 802.1x在身份認證方面,則是採用和其他網路工作站相同的方式(通常是也同樣是屬於一次性認證(開始進行交談時)。

  • 如果攻擊者可以取得合法工作站的MAC位址,攻擊者也就可以攔截交談並扮演著WLAN合法使用者的角色。


在身份認證方面,則是採用和其他網路工作站相同的方式(通常是18-3 針對WEP的中間人攻擊


18-2 在身份認證方面,則是採用和其他網路工作站相同的方式(通常是認識無線網路的安全問題

  • 以組織普遍架設的WLAN來說,認識這些網路架構的安全風險是非常重要的環節。

  • 風險的範圍從竊聽到內部攻擊都有,甚至也可能攻擊外部辦事處。

  • 本節的內容如下:

    • 18-2-1 偵測WLAN

    • 18-2-2 竊聽

    • 18-2-3 發起攻擊

    • 18-2-4 可能的法律問題


18 2 1 wlan
18-2-1 在身份認證方面,則是採用和其他網路工作站相同的方式(通常是偵測WLAN

  • 偵測WLAN非常容易,目前也已經出現許多這種類型的工具程式。

  • NetStumbler(網址:http://www.netstumbler.com/)是一種在Windows系統執行的工具程式,且可使用全球定位系統(Global Positioning System,GPS)接收器測探WLAN。

  • 這個工具程式可以辨識WLAN使用的SSID,甚至也可以辨識WEP。


  • Kismet在身份認證方面,則是採用和其他網路工作站相同的方式(通常是(網址:http://www.kismetwireless.net/)是另外一種工具程式,也同樣可以辨識和AP交談中的工作站,以及這些設備的MAC位址。

  • 具有外部天線的可攜式電腦,也可用來找尋鄰近地區或都會區的無線網路,並認證是否可以存取WLAN。

  • 帶著可攜式電腦繞著建築物轉一圈,也同樣是偵測WLAN的好方法。



18 2 2
18-2-2 竊聽

  • 或許大多數無線網路最明顯的安全風險,就是入侵者具有取得組織內部網路存取的能力。

  • 建築物停車場的某些車輛,也有可能連接組織的WLAN(詳見圖18-4)。

  • 如果無線網路是架接在組織的內部網路上,也就允許某種距離範圍的電腦實際連接組織內部網路。


18-4 竊聽WLAN


  • 使用 WEP的組織,也會發生這種竊聽攻擊類型的弱點。

  • 在非常繁忙的網路上,只需要一點點時間即可擷取所需的封包數量,並判斷出加密金鑰。

  • 即使組織在允許存取機密檔案和系統之前,使用可靠的認證機制,入侵者或許只要利用被動式監聽網路的方式,也可能獲取機密資訊。

  • 組織無法察覺被動式竊聽攻擊。


18 2 3
18-2-3 發起攻擊

  • 當竊聽成為嚴重的問題時,也許就會發生更加危險的攻擊行為。

  • 和WLAN結合的主要風險:

    • 入侵者成功地滲透組織的網路安全碉堡。

  • 雖然大多數組織架設安全防護(防火牆、入侵偵測系統等)的碉堡,而且也有難以入侵的堡壘。但是仍然會有無法防範入侵的處所(最脆弱的地方)。

  • 經常修補的內部系統,就是『受到保護』的核心所在。



  • 即使不是直接攻擊組織的內部,入侵者照樣可以利用連線攻擊其他組織(詳見圖即使不是直接攻擊組織的內部,入侵者照樣可以利用連線攻擊其他組織(詳見圖18-5)。因而組織就成了攻擊他人電腦系統的流量來源。

  • 如果可以偵測到入侵者,這個問題就會變成『入侵者從哪裡闖入』?或許可以追查到入侵者的IP位址來源,但是這個IP位址也可能不是的真正源頭。

  • 入侵者可能會在無線網路系統範圍之內的任何地點。


即使不是直接攻擊組織的內部,入侵者照樣可以利用連線攻擊其他組織(詳見圖18-5 利用WLAN存取並攻擊外部站台


先不要假設入侵者只會攻擊弱點。如果入侵者竊聽網路,也有可能擷取使用者的帳號和密碼。


18 2 4
18-2-4 從攻擊內部網路來說,入侵者已經繞過了許多組織的安全機制,而且這些機制都是用來追蹤入侵者行為的安全機制。可能的法律問題

  • 如果入侵者獲取組織內部網路的存取權,隨之而來的法律問題變成了組織必須面對的另一種風險。

  • 會發生組織該如何採取保護極機密資訊的流程問題。

  • 如果入侵者利用組織的WLAN成功地攻擊其他組織。WLAN的擁有人是否應該負責所有的損害?


18-3 從攻擊內部網路來說,入侵者已經繞過了許多組織的安全機制,而且這些機制都是用來追蹤入侵者行為的安全機制。架設安全無虞的無線網路

  • 在架設WLAN之前,應該要完整地評估每一個項目的風險。

  • 組織應該深入調查可能導入的風險,除此之外也應該認證目前的所有防範措施。

  • 如果組織選擇架設無線網路,也應該要建置可以降低組織風險的安全措施,下列內容都是可以用來協助處理風險的安全措施。


  • 本節的內容如下:從攻擊內部網路來說,入侵者已經繞過了許多組織的安全機制,而且這些機制都是用來追蹤入侵者行為的安全機制。

    • 18-3-1 存取點安全

    • 18-3-2 傳輸安全

    • 18-3-3 工作站安全

    • 18-3-4 站台安全


18 3 1
18-3-1 從攻擊內部網路來說,入侵者已經繞過了許多組織的安全機制,而且這些機制都是用來追蹤入侵者行為的安全機制。存取點安全

  • 設定安全的AP,是非常重要的起點。

  • AP應該要允許設定WEP金鑰,而且也應該要確定不容易猜到金鑰。

  • 雖然都無法防範金鑰遭到破解,但是相對的也會提高困難度。

  • 如果可能的話,應該要限制允許工作站連線的MAC位址。

  • 這種作法雖然會增加整個管理專案的工作量,不過卻可以協助限制某些AP的偵測。


  • 盡可能認證從攻擊內部網路來說,入侵者已經繞過了許多組織的安全機制,而且這些機制都是用來追蹤入侵者行為的安全機制。AP不會廣播SSID。

  • 目前市場上大多數的AP,都已經提供管理介面。

  • 這些管理介面可能是Web介面或SNMP介面。

  • 如果可能的話,最好使用HTTPS管理AP,並使用牢靠的密碼來防範入侵者。

  • 最後必須思考的項目就是架設AP的地點。

  • 無線網路的信號涵蓋範圍非常廣闊。


雖然可能無法完全地限制信號的涵蓋範圍,不過也要盡可能地嘗試,且不要讓信號涵蓋範圍擴散到不容易掌控的區域。如果可以防範不能從某些步行區域或人行道上,使用無線網路卡存取組織的WLAN時,那麼 - 放手去做就對了!


18 3 2
18-3-2 這些距離可能會包含建築物的其他樓層、停車場,或是外部的人行步道。傳輸安全

  • 即便是WEP具有嚴重的弱點,但是仍然應該要用。

  • 雖然偶而會發生入侵者事件(例如Internet客戶?樓下的人不會想要進入組織的網路?),也不見得那麼容易存取。

  • WEP可能會遭到破壞,不過也沒有理由讓入侵者不勞而獲。

  • 假設WEP無法充分地保護機密資訊,還是可以適用於WLAN頂端的其他類型加密系統。

  • 如果將WLAN視為不能完全信任或不信任的網段時,用來保護遠端員工存取內部系統的方式,很明顯的也可以用來保護WLAN。


  • 大多數的這些距離可能會包含建築物的其他樓層、停車場,或是外部的人行步道。VPN都是採用非常牢靠的演算法,且沒有類似WEP的缺陷。

將WLAN放在防火牆或其他存取設備的後方,且同時使用VPN即可解決很多WLAN的問題。


18 3 3
18-3-3 這些距離可能會包含建築物的其他樓層、停車場,或是外部的人行步道。工作站安全

  • WLAN的工作站很容易遭受到直接的攻擊。

  • 如果入侵者得以存取WLAN,那麼入侵者即可使用sniffer辨識其他工作站。

  • 即便是無法攻擊內部系統或竊聽網路資料流的資訊,也一樣可以攻擊其他WLAN的工作站。

  • 保護WLAN工作站的方式和一般桌上型系統一樣,所以也應該使用適當的防毒軟體。

  • 假如風險仍然很高,WLAN工作站也應該要安裝個人防火牆。


18 3 4
18-3-4 這些距離可能會包含建築物的其他樓層、停車場,或是外部的人行步道。站台安全

  • 如果將WLAN視為不完全信任或不信任網路時,也就沒有任何理由將WLAN架設在內部網路上,也不能允許WLAN工作站存取其他內部工作站可以存取的機密系統。

  • 在16章曾經討論過不完全信任的系統應該架設的網段,所以WLAN也是採用相同的架設方式,只不過WLAN是架設在內部網路特定的網段中。

  • 將WLAN架設在它們自己的網段上,且在WLAN網段和內部網路之間,安裝某種類型的防火牆加以區隔。


  • 在這些這些距離可能會包含建築物的其他樓層、停車場,或是外部的人行步道。WLAN網段中,也應該架設用來偵測未獲授權訪客的入侵偵測系統。

  • 或許完全無法認證入侵者所在的位置,不過至少也該知道入侵者執行了某種攻擊行為。

  • 不論工作站何時想和WLAN連線,都應該使用牢靠的身份認證機制。

  • 802.1x提供比SSID或MAC位址更好的身份認證機制,但是仍然會遭到攔截。


  • 這些距離可能會包含建築物的其他樓層、停車場,或是外部的人行步道。VPN連線使用更為牢靠的身份認證機制,將可大幅降低入侵者獲取內部系統存取權的風險。

  • 非法或未經授權的AP則是組織必須定位的另一種問題。

  • 任何人都可能以低價的方式購得AP,並安裝在網路上。

  • 組織應該定期在自己的內部網路上,執行無線網路評估。


  • 這些工作都可以利用類似這些距離可能會包含建築物的其他樓層、停車場,或是外部的人行步道。NetStumbler工具程式來達成,或是採用其他掃瞄AP的工具程式。

  • APTools(網址:http://winfingerprint.sourceforge.net/aptools.php)或FoundScan(http://www.foundstone.com/)也都可以達成相同的效果。


18 wlan
專案實作這些距離可能會包含建築物的其他樓層、停車場,或是外部的人行步道。18:建置WLAN

  • 您的組織決定採用WLAN,來大幅降低建築物配線的成本,且WLAN信號覆蓋範圍包含了餐廳和休息區在內。

  • 計畫中,許多員工都不會在新的區域工作,不過卻希望在餐廳或休息區也可以使用WLAN。

  • 您負有認證安全風險的責任,並對這些風險提出管理策略的建議,並建置WLAN系統。


專案實作這些距離可能會包含建築物的其他樓層、停車場,或是外部的人行步道。18:步驟

  • 1.開始在紙上研究風險的問題。認證需要員工需要在辦公室的哪些區域內使用這項服務,同時也別忘了將餐廳和休息區包含在內。

  • 2.認證WLAN架構將為組織帶來的風險。組織外的人們也可以收到信號?哪些人是訪客?哪些人是承包商?

  • 3.以認證過的風險為起點,開始思考可以將風險降到可管理等級的對策。不要單純地只有想到技術問題而已,也應該同時思考管理性和操作性的問題。

  • 4.如果您已經擁有AP和無線網路卡,試著建置自己的解決方案。


專案摘要這些距離可能會包含建築物的其他樓層、停車場,或是外部的人行步道。

  • 配置WLAN是一種範圍相當廣泛的專案,而且涉入的人員也應該包含網路、系統管理員甚至是安全幕僚在內。

  • 在表面上,尤其是在比較重新配置CAT5等級線路所需的費用比較之後,許多組織多半都是受到WLAN低廉的建置成本所引誘。

  • 架設相關的安全措施,也一樣會減少因為建置WLAN而節省的費用。

  • 不要忽略操作性和管理性的問題,因為採用這些程序也可以協助降低WLAN的安全問題。