你可能還不知道的內網安全缺口：員工私接無線AP

智慧型手機成內網電腦連外網管道在上網政策規定嚴格的企業中，許多上班族會善用智慧型手機的連網功能，透過USB連線，或者啟動藍牙或Wi-F-連線功能，一端連上公司電腦， ... 你可能還不知道的內網安全缺口：員工私接無線AP，企業資安防線瓦解！ 你知道員工有私自使用無線AP基地臺嗎？你知道員工電腦上插著的小接收器，其實是3G網卡嗎？這些不易被察覺的連線設備，讓員工輕易突破公司管制，連上網際網路，使得企業資安防線一步步被瓦解。

如果你還不知道這些潛在的安全缺口，企業內網安全就要拉警報了。

私接AP成為企業內網資安新缺口 不論是咖啡店或是捷運站，拿著智慧型手機、眼睛永遠緊盯著小小的手機螢幕，手指則任意的在螢幕上滑動，這已經是目前臺灣街頭最普遍的現象了，其中，從衣著裝扮看得出來，有很多是臺灣的上班族。

這樣的現象從街頭回到辦公桌上，反而衍生了一個讓公司IT同仁非常頭痛的網路控管現象。

這些費率採用上網吃到飽的智慧型手機，或者是使用USB介面的3G/3.5G網卡等3C產品，有許多上班族因為不用擔心流量用了多少，在上網費率一口價的前提下，幾乎已經成為上班族人手必備的隨身連網產品。

智慧型手機成內網電腦連外網管道 在上網政策規定嚴格的企業中，許多上班族會善用智慧型手機的連網功能，透過USB連線，或者啟動藍牙或Wi-F-連線功能，一端連上公司電腦，一端則將自己吃到飽的3G網路分享給公司電腦做為上網之用。

讓企業網路控管嚴格的個人電腦，提供一個連接到網際網路的開後門方式。

這個智慧型手機上網，除了讓員工個人電腦有一個不受企業內部網路管控的網路連線外，透過手機熱點分享，這支手機也成為一臺無線AP（無線基地臺），只要可以接收到該手機無線網路訊號的地方，都可以透過這支智慧型手機連到外網。

目前包括iPhone和Android兩大智慧型手機最新版的作業系統，都已經支援熱點分享功能，手機使用者只需要透過幾個按鍵，就可以簡單啟動熱點功能，讓不懂IT技術的人都能夠輕易上手。

敦陽科技資安顧問劉俊雄表示，除了智慧型手機的熱點分享外，常見的3G網卡包含WiMax行動上網功能，也同樣讓公司內的個人電腦成為橋接網路的新通道，一端在企業內網、一端走到網際網路。

企業嚴格控管的內網出現新缺口，而且還是企業不知道的缺口。

只要企業內網的電腦，尤其是桌上型電腦可以透過無線網卡或相關連網裝置連線到上述這些行動網路，IT部門很難即時察覺這種網路橋接的現象，一旦這樣的連外網路被駭客利用，內網的電腦都可能成為入侵駭客的貢品。

所以說，這種透過智慧型手機或者是3G網卡從公司偷偷上網的現象已經越來越多，對IT部門同仁已經造成一種嚴厲的內網安全控管考驗。

數百元無線AP突圍百萬資安設備 IT部門為了防護駭客入侵攻擊，願意砸大錢投資動輒數十萬或上百萬元資安防護設備，但「家賊難防」，除了傳統閘道端的安全防護外，企業也發現，即便外網防護有如銅牆鐵壁，但公司網路安全罩門可能就在內網，更可怕的是，一個數百元就買得到的無線AP，就能讓價值幾百萬的資安防護網出現缺口，這個缺口甚至可能會致命。

員工為了增加自己的便利性，把公司原本接在公司電腦上的網路線，換個方向接到私自購買的無線AP上。

一臺便宜的無線AP搖身一變成為無線網路基地臺，當場可以提供給附近同事作為對外網路連線之用，讓這些公司內網的電腦，面臨網路橋接的資安風險。

資料遺失是最大的資安風險 對企業而言，員工私接AP造成的內、外網路橋接狀態，最大的風險就是，一旦駭客透過行動網路或私接AP的無線網路攻進企業內網，企業內的機敏資料便可能外洩。

劉俊雄表示，尤其臺灣有電信業者的行動網路可以取得實體IP，駭客只要能夠知道該行動上網實體IP位址，就可以對此發動攻擊。

他說，雖然電信業者提供行動上網都有實體IP，有利於更多行動上網的加值用途，但若只論行動上網的安全性，發放虛擬IP讓駭客無法直接對該行動網路發動攻擊，其實是相對安全的。

達友科技副總經理林皇興表示，除了USB線的橋接方式外，也有藍牙和Wi-Fi的網路連線方式。

他說，這時候的網路連線經常不會加密，幾乎都是很簡單的WEP加密方式，有經驗的駭客大約20秒內就可以破解。

因為無線網路沒有達到WPA2較安全的加密層級，駭客可以監聽（sniffer）封包內容，員工若利用此網路收發公司郵件或上網，帳號、密碼等都可能被駭客側錄。

林皇興指出，目前中國已經有破解這類無線網路的商品化工具，不僅可以增強無線功率，這類商品大約一千多元就可以買到。

他說，從掃描到附近可用的無線網路，到使用破解工具選定想要破解的無線網路後，只要幾秒鐘，這套產品就可以破解無線網路的連線，並且直接就把破解密碼顯示在電腦上。

智慧型手機成為網路入侵工具 因應平板電腦的盛行，有不少公司IT部門面臨提供內部同仁無線網路的需求。

但劉俊雄認為，現在只要高明一點的駭客，就可以利用手機作以前一臺電腦才能做到的事，例如無線網路竊聽、無線網路橋接，甚至是到公司內偽裝成內部無線AP，等公司同仁連上該偽冒的私接AP後，再將網路連線轉到真正公司內架設的AP等。

舉例而言，駭客將一臺無線AP名稱偽冒成Wifly，使用者不需要經過認證即可連網使用，當員工連上這臺駭客偽冒的無線AP時，員工鍵入的帳號、密碼都被駭客側錄後，再轉到其他合法無線AP。

員工在連網過程中，都無法判定無線連網的安全性。

有時候，劉俊雄說，駭客也可能用欺騙、偽冒的方式進行APRSpoofing的攻擊手法，由駭客取得區域網路上的資料封包，甚至竄改封包，讓網路上特定電腦或所有電腦都不能正常連線。

由於現在手機功能強大，在功能上，都已經可以取代以前的舊型電腦，劉俊雄表示，公司內部開放無線網路使企業內網資安風險比以往高很多，而這種APRSpoofing的攻擊手法，有線網路還比較容易管控，一旦使用無線網路，管控難度大幅提升。

企業應該制定包含內網安全的資安政策 微軟亞太區全球技術支援中心專案經理林宏嘉認為，面對這些內網安全的後門漏洞，除了利用許多IT工具進行控管外，公司對這類違反公司上網政策的連網行為，應該要制定一套公開的資安政策，作為公司同仁的上網準則。

林宏嘉建議，即便今天公司已制定資安政策，但只要員工為了貪圖方便，想要私接無線AP或利用其他的行動網路，讓相關電腦設備可以連到外部網路，資安政策還是有可能破功。

因此，公司除了制定資安政策外，實際執行面上，也可以經常性的做IT資產盤點，看是否有其他不明、未知的IT設備出現在公司的網路範圍中，最好也能夠拒絕公司允許員工使用私人電腦設備，才比較能夠進行深度控管。

除了透過無線網路通道入侵內網電腦，導致機敏資料可能外洩外，臺灣Websense技術顧問林秉忠認為，對於一些習慣「公務家辦」的上班族而言，員工把公司的筆記型電腦帶到資安防護比較鬆散的家裡辦公，一不小心，就會造成駭客入侵並植入後門程式。

林秉忠說，這臺中毒的筆記型電腦拿到公司內網使用前，並沒有經過任何掃毒的步驟，就可能在沒有察覺的情況下，該臺已經被植入木馬程式的中毒電腦，已經帶回公司內網使用並進一步擴散了。

這樣的威脅因為各種不受內網控管的連網網路氾濫，導致內網缺乏應有的防護，這將讓惡意程式有如入無人之境般的橫行。

事實上，臺灣企業內網對內網的管控，往往比外網對內網管控更為鬆散，像是存取內部的檔案伺服器、DMZ以及網路芳鄰等，因為使用者都有合法的存取權限，對於誰向誰存取了哪些資料，相較於誰從外網向內網存取哪些資料，管控相對鬆散。

現在又加上員工私接AP對企業內網造成難以控管的風險，企業已經到了要審慎面對員工私接AP的時候了。

員工私接AP的4大內網資安缺口 私接AP、3G行動上網、智慧型手機上網以及私接NAS等因素，已經是目前IT部門不可忽視的企業內網資安風險 資安缺口1：無線AP便宜易裝，降低內網電腦上網難度 資安缺口2：行動上網普及，主動控管難度高 資安缺口3：3G手機熱點隨處可連網，網路橋接風險大增 資安缺口4：NAS和USB儲存設備成外洩機敏資料管道 私接AP的5項防堵對策 企業很難只用單一作法解決員工私接AP造成的資安風險，必須多管齊下，綜合不同管控方式，才能有效封鎖 資安對策1：從USB裝置控管著手，限縮USB功能 資安對策2：安裝代理程式，發揮DLP控管功能 資安對策3：管控員工上網行為，善用虛擬桌面功能 資安對策4：NAC可深度控管，但仍有其盲點 資安對策5：透過W-IPS管控企業非法無線上網 《詳細內文請見iThome電腦報521期（www.ithome.com.tw），天瓏、誠品、何嘉仁、搜主義、敦煌、法雅客、Pageone書店均有銷售》 521期其他精采內容： ．CIOTALK：區域醫院IT要省錢也要創新　聖保祿醫院率先用iPad2看診 ．新聞：台新金以SOA架構開發法金系統 ．新聞：Windows8將內建Hyper-V ．新聞：NEC建置全日本瞬時警報系統爭取逃難時間 ．IT人甘苦談：將IT融入音樂教學，提高學習興趣 ．產品報導：IP/MAC位址管理軟體：台眾UPAS ．產品報導：郵件伺服器：IpswitchIMailServer11.5 關於本網頁內所有新聞內容，均係由各該合作夥伴所提供，除不代表『PChomeOnline網路家庭』之立場外，並由各該合作夥伴自行對使用者擔保其合法性。