跳到主要內容區塊

計資中心電子報C&INC E-paper

校務服務

校園內安全的使用WiFi 6無線網路
  • 卷期:v0065
  • 出版日期:2023-06-20

作者:曾保彰 / 臺灣大學計算機及資訊網路中心資訊網路組技正


於2018年WPA3上市及2019年WiFi 6產品也跟著上市,目前市場上主流的無線網路基地台都支援這二樣協定,本文將提一些相關資訊,建議使用這兩個協定,並提供給大家參考。另外就校園無線網路,主要是使用NTU、ntu_peap及eduroam這三個無線網路名稱(SSID, Service Set Identifier),師生在使用上有一些注意事項,這些注意事項計資中心也在設定說明網頁上說明,內容是加強一些資安議題,也供大家參考。

 

WPA3及WIFI 6簡介

無線網路安全最關心的議題有二個:分別是無線網路的使用認證及無線傳輸內容的保密。WPA就是無線網路安全使用的協定,而WPA3,簡單的說是第三代的WPA,而WPA(WiFi Protected Access),意即「WiFi存取保護」,是一種由WiFi聯盟制訂並發佈用來保護無線網路(WiFi)存取安全的技術標準。WiFi第一代是WEP(Wired Equivalent Privacy),中文翻成”有線等效加密”,WEP因很快訧被破解(被發現嚴重的弱點),因此WiFi聯盟後續推出WPA、WPA2與WPA3系列來加強無線網路安全[1]。

    無線網路使用認證有分成家用的WPA-Personal或WPA-PSK (Pre-Shared Key)與企業用的WPA-Enterprise或WPA-802.1x,而企業用需要有另一台儲存無線使用者帳戶資料的認證伺服器。目前公開共同的協定為RADIUS (Remote Authentication Dial-In User Service)伺服器。到了第三代就稱為WPA3-Personal或WPA3-Enterprise, WPA3-Personal的設定方式與WEP相同,無線基地台與筆記型電腦必須設定相同的密碼(Pre-Shared Key)。WPA3最大的特點是對等實體同時驗證(Simultaneous Authentication of Equals,簡稱SAE)[2], SAE最大的好處:

  1. 自由的密碼選擇:允許使用者選擇容易記住的密碼。
  2. 容易使用:無需使用者多作網路的連接方式設定,就可提供更強的保護。
  3. 保密傳輸資料的強度增加:即使在資料發出後密碼遭到洩漏,也可保護傳輸資料安全。

接著我們來介紹WIFI 6:電機電子工程師學會(IEEE)在製訂無線區域網路規格時,係採用IEEE 802.11編號,如:802.11b、802.11a、802.11g、802.11n、802.11ac及802.11ax,可是一般使用者很難看出那個規格比較快,之後就依發展的時程,就重新取名為WiFi 1、WiFi 2、WiFi 3、WiFi 4、WiFi 5及WiFi 6來對應上述的802.11規格。而WiFi 6即為IEEE 802.11ax,是目前速度最快的協定,同時也向下相容WiFi 1至5,通過相容性認證,產品就會有圖一的標章。而圖二可以看出WiFi 6比WiFi 5作了那一些改善。WiFi 6(IEEE 802.11ax)實體層(PHY)已超過1G,可有效解決熱點問題。

目前新上市的無線基地台都是以WiFi 6為主,同時也會看到支援WPA 3,當您採購及使用此類的產品,加密方式請改用更安全的WPA 3協定。

 

校園無線網路使用上注意事項

就校園無線網路,主要是使用NTU、ntu_peap及eduroam這三個無線網路名稱,師生在使用上的注意事項:若您的上網設備支援ntu_peap或eduroam,請用這兩個方式使用無線網路,因這兩個協定都是使用WPA2-ENTERPRISE,無線電波的訊號會加密,而NTU本身是不加密的無線網路,若您的設備只能使用NTU,建議您只好使用加密協定HTTPS上網(在CHROME會顯示安全性連線),尤其是在輸入帳號及密碼時更要小心,不但要注意安全連線,還要注意網址正不正確,若沒有安全連線或網址錯誤就有可能是釣魚網站。

PEAP是目前台灣大學在無線網路認證(ntu_peap及eduroam)使用的認證方式,它是網際網路標準(RFC 5247)定義的Extensible Authentication Protocol(縮寫為 EAP)的一種,在無線網路或點對點協議中普遍使用的認證框架之一。

 

如何確認是台大計中的無線網路服務?

因ntu_peap及eduroam非計中專用的無線網路名稱,任何人有無線基地台也可以設這二個名稱,但計資中心的這二個服務是必需透過認證才能使用的服務,所以為避免被有心人士假造ntu_peap及eduroam來騙取師生連線,進而竊取上網內容,其實有些方式可確認是台大計中的無線網路服務,再進行連線。

就像網頁的安全的連線(HTTPS),我們都是透過官方的憑證來確定是台大的網站,同樣PEAP也是透過官方的憑證來確認台大計中的服務,以WINDOWS 10為例,在設定ntu_peap連線時,務必"顯示憑證詳細資料"(如圖三),結果務必如圖四:內容是發給台大計中,網域是adfs.ntu.edu.tw,簽發者是TWCA等,資料正確才能連線(其中指紋因每年都會更新憑證而不同,正確可參考下列安全組態說明網址);在設定ANDROID 11則如圖五。同樣在連eduroam時,網域是eduroam.ntu.edu.tw,簽發者是TWCA,資料正確才能連線。詳細安全組態說明可參考:

https://ccnet.ntu.edu.tw/wireless/ccnet/wireless.php?page=wireless

 

20230620_006501_01

圖一 設備通過Wi-Fi 6標準的測試,即可在商品上這個標誌

 

20230620_006501_02

圖二 WiFi5跟WiFi6的比較[3]

 

20230620_006501_03

圖三 WINDOWS 10截圖一

 

 20230620_006501_04

圖四 WINDOWS 10截圖二

 

20230620_006501_05

圖五 ANDROID ntu_peap截圖

 

結論

藉由WIFI 6及WPA3新協定的上市,配合本校逐步更新熱點之WIFI基地台至WIFI6,在速度變快的同時,使用者也注意一下無線網路的安全。

 

參考文獻

[1] https://zh.wikipedia.org/wiki/WPA

[2] https://www.wi-fi.org/zh-hant/discover-wi-fi/security

[3] https://www.arubanetworks.com/zh-hant/faq/what-is-wi-fi-6/