機場 WiFi 安全：如何在公共網路上保護旅客

執行摘要

對於管理高密度公共環境的 CTO 和 IT 總監來說，「機場 WiFi 安全嗎」不是消費者的疑問，而是一項具有直接法律責任的合規和基礎設施挑戰。機場網路呈現出獨特的易受攻擊面：每小時數千次的瞬時連線、從消費者手機到企業筆電等多樣化的裝置類型，以及旅客、員工、零售租戶和營運技術流量在落後於當前安全標準多年的基礎設施上混雜傳輸。

主要威脅——邪惡雙生存取點 (Evil Twin AP) 和非法硬體安裝——是低成本、高影響力的攻擊，執行時所需的技術能力不高。若不加以處理，旅客會面臨憑證盜竊和金融詐騙的風險，機場營運者則可能遭受 GDPR 執法行動和聲譽損害。透過實施 WPA3 和機會性無線加密 (Opportunistic Wireless Encryption)，嚴格執行 VLAN 分割，部署無線入侵防禦系統 (WIPS)，並整合一個安全且符合 GDPR 的 訪客 WiFi 平台，場地營運者可以在確保順暢連線的同時保護旅客資料。Purple 的 WiFi Analytics 層在此安全基礎上增加了營運智慧，將安全登錄轉化為可衡量的商業投資回報率。

技術深入探討：機場 WiFi 威脅格局

機場環境是無線攻擊最常見的目標之一。高客流量、不太可能回報問題的短暫用戶群，以及傳輸敏感資料的商務旅客，共同為惡意行為者營造了理想環境。了解具體的威脅向量是設計有效對策架構的先決條件。

邪惡雙生存取點 (Evil Twin Access Points)

邪惡雙生存取點是一個惡意 AP，被設定為廣播與合法機場網路完全相同的服務集識別碼 (SSID)——例如「Airport Free WiFi」或「LHR_Passenger_WiFi」。由於標準用戶端裝置根據 SSID 匹配和訊號強度進行自動網路選擇，如果邪惡雙生 AP 提供的訊號比合法基礎設施更強，旅客的裝置就會優先連接至邪惡雙生 AP。這很容易達成：一個便攜式路由器在附近的座位上以最大功率廣播，就能超越安裝在天花板上的企業級 AP（後者以受管制的功率水平運作）。

一旦用戶端連接至邪惡雙生 AP，攻擊者就能執行多種攻擊類型。被動攔截 (Passive interception) 會捕獲未加密的 HTTP 流量、DNS 查詢和 session cookie。SSL 剝離 (SSL stripping) 會將 HTTPS 連線即時降級為 HTTP，從而在未強制執行 HTTP 嚴格傳輸安全 (HSTS) 的網站上暴露憑證。DNS 欺騙 (DNS spoofing) 則將用戶重新導向至模仿銀行入口或航空公司預訂系統的釣魚頁面。旅客看到的是一個看似正常的連線，沒有任何警告，因為邪惡雙生 AP 透過其自己的上游連線提供真正的網際網路存取——攻擊對終端用戶完全透明。

攻擊者的運作成本極低：一台消費級旅行路由器、一台運行開源工具的筆記型電腦，以及候機室的一個座位。這種攻擊無需實體存取機場的基礎設施。

非法存取點 (Rogue Access Points)

非法 AP 是未經授權的裝置，實際連接到機場的有線網路基礎設施。與完全透過無線操作的邪惡雙生 AP 不同，非法 AP 代表了一種內部威脅向量——它們需要實體存取網路連接埠。然而，在一個擁有數百個零售店面、服務承包商和清潔人員的大型機場環境中，取得網路連接埠的實體存取權並不困難。

非法 AP 最常見的來源不是惡意行為者，而是出於好意的員工。第三航廈的零售特許經營商因 WiFi 覆蓋不佳，購買了一台消費級路由器，並將其插入櫃檯後面的乙太網路連接埠。該路由器廣播自己的 SSID，繞過企業防火牆、網路存取控制 (NAC) 政策和 WPA3 企業設定，並建立一條從公共網際網路到機場內部網路的直接、不受管理的通路。從那一刻起，任何連接到該非法 AP 的裝置——無論是特許經營商的 POS 終端還是恰好連接的旅客——都可能對本應完全隔離的系統具有網路級存取權。

對於 交通 營運商和機場 IT 團隊來說，非法 AP 問題因環境規模而加劇。一個大型國際機場可能有數百個網路連接埠，分佈在航廈、零售單位、休息室和後場區域。在沒有自動偵測工具的情況下，手動稽核是不切實際的。

中間人攻擊 (Man-in-the-Middle Attacks)

邪惡雙生 AP 和非法 AP 情境都可能導致中間人攻擊 (MitM)，攻擊者將自己置於用戶端裝置和合法網路之間。在 MitM 情境中，攻擊者可以攔截、讀取和修改雙向流量。現代 TLS 加密顯著降低了 MitM 攻擊對 HTTPS 流量的影響，但攻擊表面仍然很大：未加密的協定、錯誤設定的 TLS 實作，以及不強制執行憑證驗證的舊版應用程式，都會製造可被利用的漏洞。

對於佔機場 WiFi 用戶相當大比例的商務旅客而言，針對 VPN 憑證捕獲或企業郵件 session 劫持的 MitM 攻擊代表著一種高價值的攻擊向量，其影響範圍遠超過個別旅客。

實作指南：安全架構

應對機場 WiFi 威脅格局需要分層、縱深防禦的架構。沒有任何單一控制措施是足夠的；目標是讓攻擊的每一層都變得越來越困難且可偵測。

第一層：加密和認證標準

過渡到 WPA3 是基本要求。對於開放的公共網路，WPA3 引入了 機會性無線加密 (Opportunistic Wireless Encryption, OWE)，定義於 IEEE 802.11-2020。OWE 為每個用戶端 session 提供個別化的加密，而無需共享密碼或預共享金鑰。每個用戶端與 AP 的關聯都會協商一個唯一的 Diffie-Hellman 金鑰交換，這意味著即使攻擊者捕獲了整個航廈的原始無線電頻率流量，也無法解密任何個別的 session。這直接緩解了被動竊聽，並消除了開放網路攔截的主要攻擊向量。

對於已認證的網路區段——員工、營運、零售租戶——IEEE 802.1X 搭配 RADIUS 認證是正確的標準。802.1X 在授予網路存取權之前強制進行每個裝置的認證，每個認證事件都會記錄下來以供合規和稽核之用。結合基於憑證的可擴展認證協定 (EAP-TLS)，這完全消除了針對員工網路的憑證攻擊。

對於尋求順暢旅客登入的場地，OpenRoaming——無線寬頻聯盟的聯邦式身分標準——提供基於配置檔的認證，讓旅客自動連接到驗證過的網路，無需手動選擇 SSID。Purple 在其 Connect 授權下作為 OpenRoaming 生態系統中的免費身分提供者，使機場能夠提供順暢、安全的連線，消除網路選擇中的人為錯誤因素。這與邪惡雙生威脅直接相關：如果旅客的裝置透過驗證過的配置檔自動連接，它就不會連接到廣播相同 SSID 的邪惡雙生 AP。

第二層：網路分割和用戶端隔離

訪客流量必須與營運技術 (OT)、員工網路和零售銷售點 (POS) 系統完全隔離，在 AP 層級使用嚴格的 VLAN 標記。機場環境的最小分割模型應包括：公共訪客 VLAN（僅限網際網路存取，無內部路由）、員工 VLAN（透過 802.1X 認證，存取內部系統）、零售租戶 VLAN（與訪客和員工隔離，為 POS 系統提供網際網路存取），以及營運 VLAN（物理隔離或嚴格防火牆保護，用於數位看板、建築管理和空側系統）。

用戶端隔離——在同一 VLAN 上的裝置之間進行第二層隔離——必須在訪客 VLAN 上啟用。若未啟用用戶端隔離，連接至相同訪客網路的兩名旅客可以在 IP 層級直接通訊，從而導致裝置對裝置的攻擊。這是在無線控制器上的一項設定，在舊有部署中經常被忽略。

對於在機場航廈內營運的 餐旅 和 零售 環境，相同的分割原則同樣適用。機場空側休息室或零售特許經營商必須被視為不受信任的網路區段，無論其與機場營運者的商業關係如何。

第三層：無線入侵偵測和防禦 (WIDS/WIPS)

無線入侵防禦系統是對抗邪惡雙生 AP 和非法 AP 威脅的主要自動化防禦措施。WIPS 必須設定為連續掃描所有頻道和頻段（2.4 GHz、5 GHz，以及 Wi-Fi 6E 部署的 6 GHz）的無線電頻率環境，以尋找未經授權的 SSID、MAC 位址偽造和解除認證洪水攻擊。

一旦偵測到邪惡雙生 AP——透過比對 SSID 並發現 BSSID 與管理基礎設施中任何授權 AP 都不相符來識別——WIPS 應自動部署遏制措施。遏制措施包括向試圖與惡意 AP 關聯的用戶端傳送目標 IEEE 802.11 解除認證幀，阻止成功連線。這是機器速度的自動回應，遠比任何人為操作員干預要快。

對於非法 AP 偵測，WIPS 將無線觀測結果與有線網路拓撲相關聯。一個被偵測到在無線上廣播的 AP，同時也作為有線網路上的已連接裝置出現——但不在授權 AP 清單中——就會被標記為非法。然後，系統可以觸發受管理交換器上的自動連接埠關閉，以實體中斷該裝置。

第四層：DNS 過濾和安全的 Captive Portal 設計

DNS 層級的過濾提供了一項關鍵控制措施，用於保護用戶免受惡意網域的侵害，無論裝置本身的安全狀態如何。透過將所有 DNS 查詢路由到一個過濾解析器，網路可以阻止對已知釣魚網域、命令與控制基礎設施以及惡意軟體散佈網站的解析。這在機場環境中尤其有價值，因為旅客可能連接著在抵達前就已受感染的受妥協裝置。

正如我們在 透過強大的 DNS 和安全性保護您的網路 指南中所詳細說明的，為解析器連線實施 DNS over HTTPS (DoH) 或 DNS over TLS (DoT)，可以防止 DNS 查詢在傳輸過程中被攔截或偽造——當 WIPS 遏制可能無法立即捕捉到每一個邪惡雙生 AP 時，這是一項相關的考量。

Captive Portal 是旅客的主要登入接觸點，必須將安全性作為首要要求來設計，而非事後才想到。Portal 必須透過 HTTPS 提供，並使用來自受信任憑證機構的有效憑證。登入表單必須僅收集所陳述目的所需的資料（GDPR 第 5 條資料最小化原則），並為任何行銷用途提供明確且細分的同意機制。Purple 的 captive portal 平台是專為此合規要求而設計的，提供符合 GDPR 的資料捕獲、同意管理，並與分析層無縫整合。若要了解其如何在多航廈機場環境中擴展，請參閱 機場 WiFi：營運商如何在不同航廈間提供連線 以及義大利語版本 WiFi Aeroportuale 。

第五層：分析、監控和持續改善

安全性不是一次性的部署；它需要持續監控和迭代改善。Purple 的 WiFi Analytics 平台提供營運可視性層，將原始連線資料轉化為可據以行動的情報。透過監控裝置連線模式、停留時間和 session 異常，網路營運團隊可以識別入侵指標——異常的連線尖峰、裝置從意想不到的實體位置連接，或暗示掃描攻擊的認證失敗模式。

分析層也為安全投資提供了商業理由。由值得信賴的安全登入體驗所驅動的更高旅客選擇加入率，會產生更豐富的第一方資料集。這些資料可用於定向行銷、零售客流分析和航廈佈局優化，為基礎設施投資帶來可衡量的投資回報率。對於在機場醫療設施中營運 WiFi 的 醫療保健 環境，相同的分析框架同樣適用，並需配合額外的 GDPR 特殊類別資料控制。

最佳實務和風險緩解

在技術層面強制執行零售租戶網路政策。 政策文件是不夠的。必須為零售特許經營商提供受管理、分割的網路存取——一個具有網際網路存取且無內部路由的專用 VLAN，並且其單位內的實體網路連接埠必須設定為透過 802.1X 連接埠認證或 MAC 位址允許清單來拒絕未經授權的硬體。藉由提供充足且受管理的連線，消除部署非法 AP 的誘因。

定期進行射頻現場調查。 每季進行實體和射頻現場調查，可識別出因訊號衰減、實體障礙或蓄意射頻屏蔽而可能未被 WIPS 偵測到的未經授權硬體。調查應涵蓋所有航廈、休息室、零售單位和後場區域。記錄授權 AP 清單，並與調查結果進行比對。

為關鍵基礎設施實作專線或專用商業網路連線。 正如我們在 什麼是專線？專用商業網路 指南中所討論的，將關鍵營運流量分離到專用、無競爭的連線上，可確保訪客網路上的 DDoS 攻擊或頻寬耗盡事件不會影響空側營運系統。

測試事件回應程序。 進行模擬邪惡雙生 AP 偵測事件的桌上演練。驗證 WIPS 遏制功能是否正常，NOC 團隊是否了解升級程序，並且是否已為訪客網路必須暫時中斷的情境準備好面向旅客的溝通。

投資回報率和商業影響

保護網路是商業價值的基礎，而非獨立的成本中心。一個安全、可靠且受信賴的訪客 WiFi 網路，能直接提高旅客在 captive portal 的選擇加入率。更高的選擇加入率能產生更大、更高品質的第一方資料集。這些資料使機場營運者能夠提供個人化的零售促銷、根據實際客流數據優化航廈佈局，並建立能帶動重複參與的忠誠計畫。

安全事件的代價——GDPR 執法行動、聲譽損害以及事件回應的營運成本——遠遠超過部署本指南所述安全控制措施的成本。英國資訊專員辦公室已根據英國 GDPR 對資料保護失敗案件開出高達 1,750 萬英鎊的罰款。對於每年處理數百萬旅客連線的大型國際機場而言，風險暴露程度極高。

Purple 的平台設計旨在將安全投資與商業成果相結合。安全的 captive portal、符合 GDPR 的資料捕獲和分析層是單一的整合部署——而非三個獨立的採購作業。這降低了總擁有成本，並加速了 IT 和行銷團隊的價值實現時間。