無線網路的延伸與安全（Security of WDS）

現在無線網路的風行，算是一股無法檔的風潮，只要能減少電腦後方的線材，再加上誘人的便利性，這些都是造成流行的因素之一

雖然我先前也有討論過無線網路的設定，可是對於無線網路的擴充，並沒有談論太多（主要是針對設定部份說明），有些特殊的情況，光是一台無線AP的穿透能力與距離限制，並不足整個特定區域使用時，就得考慮無線網路的擴充（WDS）

其實對一般家用的AP來說，真的沒有什麼機會用WDS的功能（雖然AP的穿透力都偏低，但有時也是件好事），但是廠區內部或特定區域的使用上，就具一定的價值（例：透過AP把兩個距離較遠的辦公區串連起來，尤其是有重機械經過的廠區...）。

首先，我還是先介紹一下WDS的設定必須具備那些條件：

1.兩台AP都有WDS的功能：現在的AP大多具備（市面上還是有舊機種存在）。
2.兩台AP的 CHANNEL（通道）、WIRELESS MODE（連線模式）都需相同。
3.兩台AP的SSID（辨識名稱）可設為相同或不同，視應用不同而定。
3.兩台AP要把對方的MAC ADDRESS寫在內部設定檔中。
4.兩台AP只有一台能夠設定DHCP SERVER。
5.兩個AP的安全機制也要相同。（這一點就是安全性中最大的問題！！）

補充：一般AP的模式可分為AP ONLY、WDS ONLY和HYBRID三種，分別為：
　　　AP ONLY：僅做為ACCESS POINT，提供無線上網的功能。
　　　WDS ONLY：僅串接無線AP，讓兩端的LAN得以連接。
　　　HYBRID：同時做AP和WDS的功能，串連兩端的LAN，也提供上網服務。

有人會說：「為什麼我不寫WDS的安裝流程呢？」（節省網路資源）

其實是因為現在網路上的相關資訊已經蠻多了，想要找到詳細步驟的人可以上Google打個「WDS」，應該就可以找到一堆資料（連圖文說明的都有！），所以筆者就不再多加詳述，這裡主要是來探討安全性的問題。

WDS的主要優點：

1.解決不易建置實體線路的地形限制。
2.減少實體線路的維護成本（含安裝及查修時間及人力多寡）。

WDS的主要缺點：

1.頻寬使用率降低：使用同一通道（CHANNEL），會有重複傳送的問題。
　　例：WDS中，1人使用的頻寬為單一AP的1/2；2人使用只剩1/4...。

2.安全性的考量：這就是WDS的致命傷，包含的因素有...
　（1）SSID：AP能夠隱藏彼此的SSID嗎？還是一定要使用SSID廣播？
　（2）WEP/WPA：目前只能WEP或WPA-PSK加密，WPA2-TKIP或AES不能用。

對於無線網路的安全性，對於有使用無線網路的人來說，其實是最應該要注意的部份，可是在WDS的建構之下，卻只能遷就於便利性，來達成區網間的連接。

據筆者實際在網路上得到的資訊，現在的WEP、WEP-PSK、甚至是WPA（1）的無線網路加密，都可以再合理的時間內破解（只要有相關軟體，甚至不需什麼高深的技巧），光是這一點就足以讓人怯步。

合理的時間是多久呢？

只要你的SSID、加密模式被人得知（例：WEP），不用一天的時間，你的AP就成了公用熱點，如果允許無線的用戶共享資源，影響層面會更廣（開後門，時有所聞）。

現在有些人會說，只要隱藏SSID、鎖MAC ADDRESS、使用WPA（PSK）加密（非WPA2-AES），甚至是降低AP功率等方式，對大多數的人來說，也許能夠阻擋大部份的攻擊或惡意測試（因為其它的設定太過繁瑣或舊型網卡不支援）。

但是，手中握有相關程式的玩家（例：Airxxxx系列軟體），真的要突破「隱藏SSID、改MAC ADDRESS、破WEP（WPA-PSK）」，對它們來說，真的沒有太高的門檻，光是人性的誘因，就足以讓你防範不完了！

所以，WDS不是不能使用，而是安全性的顧慮！

如果你架設WDS的地方，方圓500M內沒有其它的遮蔽物的話，你當然可以比較放心的使用（雖然還是有功率放大器，可以抓到更遠距離的AP餘波）。

不然在無線網路的使用上，除了隱藏SSID、鎖MAC ADDRESS之外，請至少使用WPA-AES以上的加密法吧！雖然還是有可能被破解，但是對方要付出的代價也不輕（光是數以百計的小時數就夠瞧了！）

雖然AP互連的安全性問題，有機會在IEEE 802.11s（還未有實際產品，更何況是種先有產品再行定義標準的狀態）或RADIUS或相關機制中能得到解決，但是在建構的成本卻也相對墊高許多，著實是兩難的局面，只能取決於安全與預算之間。