解決方案

圖 24 SPIDER LAN 架構圖

在本篇論文中則提出了一個可以平衡上述兩大問題的建議方案，

SPIDER LAN。我們將企業內部的網路環境區分為三大部分，在客戶 端層的部分必須夠做到使用者管理的功能；在無線網路設備層必須能 夠防止非法 AP 私接上線；而主網路層則代表企業內部的主要網路部 分。企業內部網路必須具備下列三個條件：

l 必須開啟 AP 的路由路模式。

l 必須開啟上層主要交換器的 MAC 過濾器功能。

l 必須建置認證伺服器。

目前市面上的 AP 均具備路由器模式或 NAT(Network Address Translation)功能。但是某些廠牌的 AP 只支援 NAT 模式，甚至無法變 更其私有網路的設定。SPIDER LAN 的方式是將 AP 開啟路由器模式 或 NAT 模式，則所有的網路封包通過 AP 後，會轉換成 AP 對外連線。

另外我們將 MAC 過濾器的功能移至上層主要交換器中開啟，但是為避

免主要的交換器的效率降低，所以交換器中只允許 AP 的 MAC 位址通 過。但是如果不管制客戶端設備的 MAC 或 IP 位址，可能會造成駭客 經由合法 AP 進入網路，因此我們必須在網路中增加一台認證伺服器，

再將 AP 的 802.1x 認證功能開啟，要求所有客戶端設備必須經過認證 後始能上網。整個 SPIDER LAN 的架構圖與流程如圖 24，說明如下:

1. 客戶端與 AP 建立關聯，並由 AP 端發起 802.1x 認證要求。

2. 後端伺服器認證是否為合法使用者，若不是，則使用者無法 上線；若是，則繼續進行第三步驟。

3. 客戶端設備送出封包到 AP，AP 將封包的 MAC Header 及 IP Header 改為 AP 的位址。再傳送至上層的主要交換器。

4. 主要交換器即可透過 MAC Address 驗證該封包是否來自合 法 AP。

5. 來自合法 AP 的封包經由主要交換器向外連接網際網路。

另外管理者也可以額外增加憑證伺服器來加強使用者的認證方 式，或是使用主要交換器中的 VLAN 功能來區隔有線網路與無線網路，

也可以選擇使用 DHCP 來簡化 IP 管理的複雜度。因此下列三點做法是 SPIDER LAN 的選擇性方案：

l 新增認證伺服器。

l 使用上層主要交換器的 VLAN 功能。

l 開啟 DHCP 功能。

上述各點做法分別說明如下：

開啟 AP 的路由器模式(NAT 模式)

在路由器模式下，客戶端設備必須設定 AP 為其閘道器，所有對外 的封包會先傳送至路由器後再轉發出去，因此轉發出去的封包其 MAC

標頭則會是路由器自己的 MAC 位址，我們可以透過 MAC 位址來驗證 封包是否由合法 AP 傳送出來；而 NAT 也是一種路由器模式最主要的 目的是用來節省 IP 位址，透過 NAT 閘道器可以分配許多的私有的 IP 位址給內部使用者，讓內部使用者在對外連線時經過 NAT 閘道器把內 部的私有 IP 位址取代成 NAT 對外的合法位址。透過 NAT 功能，傳送 出去的封包其 MAC 標頭也會是 NAT 閘道器自己的 MAC 位址。使用 NAT 轉址功能也可以提供另一個層面的保護，以防止駭客直接從網際 網路連線到企業內網路的電腦。NAT 把所有電腦的 IP 位址都隱藏起 來，網際網路的使用者只能看到閘道器的外部 IP 位址，而無法得知內 部電腦的 IP 位址或電腦數量。

開啟上層主要交換器的 MAC 過濾器功能

在本建議方案中，所有的 AP 均需開啟 NAT 功能，並在上層的主 要交換器中開啟 MAC 過濾器的功能，設定成只能讓這些合法 AP 的 MAC 位址通過。

對於私接的非法 AP 而言，分成以下兩點來探討：

l 橋接器模式：

無論合法或是非法的無線客戶端設備，在上層交要交換器中均無 記錄客戶端的 MAC 位址，所以使用者即使連上 AP 也無法對外連線。

l 路由器模式

即使非法 AP 擁有合法的 IP 位址，由於上層交換器中並沒有記錄 該非法 AP 的 MAC 位址，所有經由非法 AP 的合法及非法客戶端均無 法上線。

如果選擇了 IP 過濾器而非 MAC 過濾器的話，有心人士只要得知 企業內部的合法 IP 位址並且開啟 AP 的 NAT 模式，則無法有效防止非

法私接企業網路。因此，綜合以上各點，開啟上層主要交換器的 MAC

Core Switch w/MAC filter

Access Point

網際網路 Core Switch w/MAC filter

Access Point Domain)，可以有效地區隔不同 VLAN 的廣播封包。現在的有線網路 環境中，一個連接埠都連接一台電腦設備，對於廣播封包的攻擊，只 要找出交換器中的最大流量連接埠將之關閉，可以暫時解決威脅。由

於駭客可能在無線網路上發起廣播封包攻擊，如果將最大流量的 AP 斷線，恐會影響其他使用者的正常使用，所以短時間內較難找出攻擊 者所在。如果企業內部的所有網路皆在同一個廣播區域內，無線網路 的廣播攻擊則會影響到有線網路的使用，所以管理者可以將無線網路 所銜接之有線網路區段使用 VLAN 將之隔離，可以區隔有線網路與無 線網路使用者的網路封包。

使用 DHCP 功能

如 7.1.1 中提到的，DHCP 有可能會造成駭客輕易得知企業內部的 IP 配置情形。由於我們已經在內部建置了認證伺服器，除非駭客得知 密碼或憑證，才有可能進入網路。因此我們可以選擇使用 DHCP 功能 來減少 IP 管理的複雜度。