440 likes | 641 Views
仁通資訊. 資訊安全-無線網路之安全防護說明會. 成大醫院-無線網路系統. 主講人:仁通資訊 陳東煜. 成大醫院 WLAN 無線區域網路使用管理. 目的. 為方便醫療人員使用網路與建立正確使用 WLAN 安全辦理本教育訓練 醫療資訊是醫事行為與病患間重要的資訊 醫院工作人員使用與傳遞醫療資訊應該注意使用醫療資訊的安全 醫院工作人員有義務保護好民眾就醫資料不外洩. 使用 WLAN 應注意下列事項. 使用前應向資訊室申請 填使用者名稱、密碼、單位、聯絡電話 資訊室接獲申請會請你攜帶你的電腦檢查是否安裝防毒軟體與個人防火牆 紀錄 MAC 網路卡位址
E N D
仁通資訊 資訊安全-無線網路之安全防護說明會 成大醫院-無線網路系統 主講人:仁通資訊 陳東煜
目的 • 為方便醫療人員使用網路與建立正確使用WLAN 安全辦理本教育訓練 • 醫療資訊是醫事行為與病患間重要的資訊 • 醫院工作人員使用與傳遞醫療資訊應該注意使用醫療資訊的安全 • 醫院工作人員有義務保護好民眾就醫資料不外洩
使用WLAN應注意下列事項 • 使用前應向資訊室申請 • 填使用者名稱、密碼、單位、聯絡電話 • 資訊室接獲申請會請你攜帶你的電腦檢查是否安裝防毒軟體與個人防火牆 • 紀錄MAC網路卡位址 • 建立管理的資料與使用帳號、密碼
目前院內無線網路基地台佈建狀況(無線網路系統架構圖)目前院內無線網路基地台佈建狀況(無線網路系統架構圖)
WLAN 上網設定與操作(使用者設定IP說明,以Windows XP為例)
使用者設定IP說明,以Windows XP為例 1.設定網路 方法一:「開始」「控制台」「網際連線」「無線網路連線」。 方法二: 如下圖所示
使用者設定IP說明,以Windows XP為例 2.「無線網路連線狀態」的視窗。在「一般」頁面中,點選「內容」按鈕,如下圖所示。
使用者設定IP說明,以Windows XP為例 3.「無線網路連線內容」的視窗。在「一般」的頁面中,選擇「Internet Protocol(TCP/IP)」,點選「內容」的按鈕,如下圖所示。
使用者設定IP說明,以Windows XP為例 4.「Internet Protocol(TCP/IP)內容」的視窗。選擇資訊室提供的DHCP服務,即「自動取得IP位址」,以及「自動取得DNS伺服器位址」。
使用者設定IP說明,以Windows XP為例 5.首先請到「開始」->「執行」,鍵入「cmd」指令後按「確定」。
使用者設定IP說明,以Windows XP為例 6.此時跳出終端機介面視窗,請鍵入「ipconfig/all」指令來查詢您的無線網路卡是否已經從AP抓到IP,請在輸入後按下Enter鍵。
使用者設定IP說明,以Windows XP為例 7.在視窗內出現的資訊中尋找最下方有關「無線網路連線」的資訊,如果在下圖中紅色圈選區塊有IP(本例為192.168.201.150)出現,即是有分配IP。
使用者設定IP說明,以Windows XP為例 8.「無線網路連線內容」的視窗在「無線網路」的頁面中,「可用的網路」的部分 (1) 按下「重新整理」按鈕 (2) 找到「nckmwlan」 (3) 按下「設定」按鈕 (4) 跳到「設定」的視窗 (5) 按下「確定」按鈕
無線網路登入說明 1.無線網路卡驅動程式安裝完成並正常運作。 2.無線網路卡設定中之 Network Name 請留空白或設為 Any。 3.網路卡設定中 TCP/IP 選擇自動取得IP。(註:可參考下列使用者設定IP說明,以Windows XP為例)
無線網路登入說明 4. 打開瀏覽器,會自動導入無線認證網頁,首先出現安全性警訊的畫面,請按「是」。
無線網路登入說明 5.出現以下畫面請輸入資訊室所提供之帳號與密碼,點選「連線」及「DHCP」,再點選「確定」。
無線網路登入說明 6. 出現以下畫面,即登入成功,重新開啟瀏覽器上網。
無線網路登入說明 7.無線認證系統採五分鐘無動作時自動斷線,如需手動離線,請上網「http://aaa.ncku.edu.tw」出現以下畫面,可無需輸入帳號密碼,點選「離線」及「DHCP」,再點選「確定」,即可完成手動離線。
一、無線網路概說: • IEEE 802標準是IEEE為區域網路(LAN)和都會網路(MAN)所提出的通訊協定,較為出名的家族成員有802.3乙太網路、802.11無線區域網路,最新成員還包含802.16(WiMax)和802.20(MBWA)等。 • 無線網路使用的網路媒介存取控制方法是CDMA/CD。 • 近年來,以無線電波為基礎的通訊技術快速發展,相關器材也如雨後春筍般地在人們周圍出現。常見的無線網路包括無線通訊(GSM, WAP, GRPS, PHS)、藍芽科技(Bluetooth)、802.11系列無線區域網路協定(802.11a/b/g)。本文將以電腦上的無線網路802.11b/g之介紹為主,說明802.11b/g在安全上所應注意的事項。
WLAN(無線區域網路) • WLAN(Wireless Local Area Networks)無線區域網路,是一種網路類型。它是利用無線電波來做為資料傳輸的媒介。它主要利用射頻(Radio Frequency,RF)的技術,取代過去具有實體的雙絞銅線(Coaxial)來做為資料傳輸的媒介。 • 802.11b標準中有兩種連接模式:簡易模式(Ad hoc Mode)和基礎建設模式(Infra-structure Mode)。簡易模式是指電腦與電腦間的點對點傳輸,無須另設一個中央存取點;而基礎建設模式下,所有無線網路通訊設備均會連結到一個中央存取點,再由存取點連到其他網路去。由於無線網路的特性,802.11標準先天就有安全上的疑慮,其探討範圍大多在於無線網路通訊設備與存取點之間,本次將就該部分做一番說明。
SSID (Service Set Identifier) 是無線區域網路溝通的識別碼,不論是無線基地台(AP)或無線工作站,都必須設定相同的 SSID,才可在同一個服務集中(Service Set)互相連線。 使用者認證可區分為無加密認證和加密認證兩類。在無加密認證無線網路環境中,主要是以SSID(Service Set ID)作為其認證方式;加密認證無線網路環境中,則以分享金鑰的方式進行身分認證,該方法又稱為挑戰-回應。 SSID為無線網路服務區域的名稱,每個無線網路服務區域都以不同的SSID切割開來。 無加密認證又分成開放系統認證和封閉系統認證兩種。在開放系統認證環境下,存取點會啟動SSID廣播,無線網路通訊設備只要接收到該SSID廣播,即可與存取點進行連線;而封閉系統認證環境下,存取點不會廣播其SSID,因此使用者必須指定正確的SSID名稱才可進行連線。 SSID (Service Set Identifier)及安全機制
資料保密方面,802.11協定所定義的標準為WEP(Wired Equivalent Privacy)。WEP是一種對稱式加密技術,在使用了該技術的無線網路中,所有客戶端和基地台都會以一把共享的金鑰進行加密,金鑰長度可為40bits或128bits,金鑰長度愈長則愈不易破解。所有無線網路基地台都應該啟用WEP加密機制,以保護無線網路中的資料傳輸。但WEP技術存在著許多弱點,例如金鑰長度太短(大多機器都只支援40bits的金鑰)、使用靜態的金鑰、無線電波傳遞容易操到攔截…有心的駭客只要花些時間進行破解,即可進入WEP加密的無線網路中。 • 針對這些弱點,另一個通訊協定WPA(Wi-Fi Protected Access)已被發展出來改善這些WEP所隱含的安全問題。WPA為IEEE下一代無線網路規格802.11i的一部分,不僅使用全新的TKIP(Temporal Key Integrity Protocol)演算法來進行資料加密,也加強了金鑰分配的安全性。另一方面,WPA也可以用來確認登入網路的使用者身份,透過802.1x/EAP等技術來提供更確實的使用者認證功能,此種認證方法能有效補強802.11對於使用者認證缺乏彈性的缺點。
三、無線安全 人人有責 • 隨著內建無線網卡的筆記型電腦成為市場主流規格,在公共場合、辦公室或家中架設無線橋接器(Access Point)延伸有線網路,進而打造無線上網環境的作法十分風行。然而,無線網路不受建築與線路侷限,只要惡意分子可以偵測到無線訊號,就有入侵網路的機會,隱含的安全威脅遠高於實體網路。 • 更改SSID名稱 • 取消SSID廣播 • 設定存取控制列表 • 啟動ESSID功能 • 使用WEP加密及WPA 認證加密機制 • 更改作業系統設定 • 部署其他安全工具
How is the WiFi effects the human? • GSM station • 10 ~ 100W • Mobile phone • 1W max. • WiFi station • 30 ~ 100mW • Wifi client • 20 ~ 50mW WLAN improves the receive sensitivity by using antenna gains. The output power of WLAN is 1/20 fewer than mobile phone.
Key Components of a WLAN • Clients or Wireless “STA”tions • laptop, PC, PDA • Access Points (APs) • Fat vs Thin • WLAN Switches • Connecting thin APs • Centralized management and control • Gateways / VPN termination points • Behind the access point/switch • Other Servers • RADIUS, DHCP, DNS
無線網路的Infrastructure模式 電腦之間的無線連線必須透過無線基地台 (AP),若將無線網路的架構設為Infrastructure 模式,則無線基地台可以作為無線與有線網路的橋接器,對無線節點 (Node) 而言不需設定頻道(channel)。
無線網路的Ad-Hoc模式 無線網路的 Ad-Hoc 模式意指以對等方式進行無線網路存取,電腦之間直接做點對點無線連線,不需要透過無線基地台 (AP)。不過此模式的無線傳輸距離受限於電腦之間的距離,且各無線節點 (Node) 需設定相同頻道(channel)與SSID才能互相傳輸。
Standards Specific to WLANs • IEEE 802.11-The original wireless LAN standard that specified 1-2 Mbps speeds over the air. [1997] • 802.11 ”b”-Described faster data rates (11 Mbps) over the 2.4 GHz radio frequency (RF) bands [early 1999] • 802.11 “a” -Described a much faster data rate (54 Mbps) over the 5 GHz UNI frequency bands. Although faster, it is incompatible with 802.11b. [late 1999] • 802.11 “g”-Rates equally as fast as 802.11a (54 Mbps) over 2.4 GHz and backward compatible with 802.11b [2003]
使用者自建WLAN應注意安全 • 醫院內醫師、員工在辦公室自建WLAN網路應注意事項: • 無線網路不能開放沒有密碼安全認證機制 • 至少要使用WEP 128 Bits密碼加密方式處理或使用更好WPA的安全認證機制 • 若不知道設定方法可以申請資訊室「電腦需求單」協助,資訊室會派員協助處理。