在無(wú)線LAN認(rèn)證系列文章的第一部分中,我們介紹了如何確保來(lái)賓無(wú)線網(wǎng)絡(luò)安全。在第二部分,我們探討無(wú)線LAN訪問(wèn)控制的方法,包括創(chuàng)建策略、設(shè)備識(shí)別和整合其他網(wǎng)絡(luò)訪問(wèn)控制解決方案。
對(duì)于網(wǎng)絡(luò)安全和無(wú)線LAN(WLAN)訪問(wèn)控制,企業(yè)已經(jīng)取得了巨大的突破。最遠(yuǎn)可追溯到靜態(tài)可破解的WEP密鑰,然后是部署較強(qiáng)的認(rèn)證和加密所需要的第三方Wi-Fi客戶端和OS補(bǔ)丁。現(xiàn)在,一些Wi-Fi設(shè)備和現(xiàn)有的操作系統(tǒng)已經(jīng)可以支持WPA2-Enterprise了,甚至電話等小型可識(shí)別設(shè)備也可提供支持。
即使有這樣一些進(jìn)步,(具備802.1X認(rèn)證和AES加密的)WPA2-Enterprise仍然沒(méi)有占據(jù)主導(dǎo)地位。802.1X需要整合很多組件,它們來(lái)自多個(gè)供應(yīng)商,并且通常由不同部分管理。要想取得成功就必須要進(jìn)行規(guī)劃和協(xié)調(diào),包括用戶帳號(hào)管理、設(shè)備分配和網(wǎng)絡(luò)整合。幸運(yùn)的是,現(xiàn)在已經(jīng)出現(xiàn)了更好的有助于解決無(wú)線LAN訪問(wèn)控制問(wèn)題的工具。
從群組策略開(kāi)始進(jìn)行WLAN訪問(wèn)控制
雖然使用802.1X的企業(yè)往往能夠很好地控制公司擁有的筆記本電腦,但這對(duì)其它無(wú)線設(shè)備則不可同日而語(yǔ),特別是那些不由IT部門(mén)采購(gòu)的設(shè)備。
IT經(jīng)常會(huì)在發(fā)布筆記本電腦之前將它們添加到Active Directory,是通過(guò)使用Group Policy Objects自動(dòng)配置802.1X參數(shù)來(lái)反映每個(gè)用戶的組群成員身份而實(shí)現(xiàn)的。Windows 7、Vista和XP都支持802.1X群組策略,包括有線和無(wú)線客戶,Microsoft Windows Server 2008 R2指南中有這方面的描述:
Access Group Policy Extensions for 802.1X Wired and Wireless
Configure 802.1X Wired Access Clients by using Group Policy Management
Configure 802.1X Wireless Access Clients by using Group Policy Management
但是目前大多數(shù)工作人員使用的一些無(wú)線設(shè)備往往都不是運(yùn)行在Windows上,甚至也不是IT部門(mén)購(gòu)買(mǎi)的。有些IT部門(mén)將這種員工自行購(gòu)買(mǎi)的大量的智能手機(jī)和平板電腦作為來(lái)賓設(shè)備對(duì)待。例如,當(dāng)CFO從他們的筆記本電腦登錄到無(wú)線LAN上時(shí),他們可能被要求連接到公司的SSID,并提供基于他們身份和角色的802.1X的登錄信息來(lái)獲得訪問(wèn)權(quán)限。然而,當(dāng)CFO使用他們的個(gè)人iPad登錄到無(wú)線LAN時(shí),可能會(huì)連接到只提供因特網(wǎng)訪問(wèn)的來(lái)賓SSID。這對(duì)于那些還沒(méi)有處理員工自行購(gòu)買(mǎi)設(shè)備的公司而言是一個(gè)“權(quán)宜之計(jì)”,但是這并不是一個(gè)理想的長(zhǎng)期策略。
通過(guò)設(shè)備識(shí)別實(shí)施WLAN訪問(wèn)控制策略
為了解決這個(gè)問(wèn)題,大量的網(wǎng)絡(luò)和安全產(chǎn)品目前都使用了設(shè)備識(shí)別技術(shù)。通過(guò)觀察MAC地址、協(xié)議、請(qǐng)求和響應(yīng),人們可以猜測(cè)(有一定自信的)一個(gè)設(shè)備的制造商、模型和OS。然后這個(gè)“指紋”可以根據(jù)訪問(wèn)控制、設(shè)備分配和策略目的將設(shè)備映射到群組中。
目前,Aruba Networks所擁有的Amigopod Visitor Management Appliance (VMA)就是一個(gè)設(shè)備識(shí)別工具。該裝置可以監(jiān)控設(shè)備使用公司網(wǎng)絡(luò)所發(fā)送的DHCP和HTTP。例如,通過(guò)檢查這些流量,VMA云,區(qū)分CFO的公司筆記本電腦和他個(gè)人iPad,可以將每個(gè)識(shí)別的設(shè)備映射到正確的訪問(wèn)策略上。CFO的筆記本電腦可能由于其可信任狀態(tài)而得到更寬松的訪問(wèn)權(quán)限,而iPad則只限于企業(yè)的郵件和內(nèi)部網(wǎng)站的訪問(wèn)。然而,這兩種設(shè)備發(fā)送的所有數(shù)據(jù)將受到WPA2-Enterprise的保護(hù),其中使用802.1X來(lái)控制公司SSID的訪問(wèn)。
這個(gè)例子還漏掉了一個(gè)問(wèn)題:CFO的iPad如何配置才能訪問(wèn)公司的SSID?手動(dòng)配置是一種可能,但是顯然自動(dòng)化分配會(huì)更好一些。
自動(dòng)化的Wi-Fi客戶分配和配置文件
在這個(gè)例子中,我們的CFO可能先將他的iPad連接到訪客SSID,并且訪問(wèn)了提供VMA自動(dòng)登入頁(yè)面。VMA將為我們CFO的iPad生成一個(gè)配置文件,并通過(guò)郵件或SMS發(fā)送。通過(guò)點(diǎn)擊所包含的URL,CFO可以安裝802.1X參數(shù)和證書(shū),從而使能夠iPad訪問(wèn)公司的SSID。
事實(shí)上,現(xiàn)在很多產(chǎn)品都提供這種類(lèi)型的自動(dòng)化Wi-Fi客戶端分配功能。對(duì)于iPad和其他iOS設(shè)備,Apple的iPhone Configuration Utility可以生成(可選擇鎖定和加密的)Wi-Fi配置文件,它們可以發(fā)送到用戶,發(fā)布在網(wǎng)站上,或者通過(guò)支持iOS4原生MDM的移動(dòng)設(shè)備管理器即時(shí)安裝。
后者適用于AirWatch、BoxTone、MobileIron、Sybase和其他的類(lèi)型的設(shè)備,可以與企業(yè)的Active Directory注冊(cè)整合在一起,同時(shí)為每個(gè)已經(jīng)批準(zhǔn)的iPad生成證書(shū)。如果有一臺(tái)iPad丟失了,那么所有安裝的MDM文件(包括Wi-Fi設(shè)置)都會(huì)被刪除。然而,MDM并不局限于支持Apple設(shè)備——其中很多都可以用來(lái)注冊(cè)和分配Androids、BlackBerrys以及員工擁有的筆記本電腦和上網(wǎng)本。
整合802.1X認(rèn)證和網(wǎng)絡(luò)訪問(wèn)控制
由于有了一種有效新無(wú)線設(shè)備識(shí)別方法,在沒(méi)有IT協(xié)助的情況下使用WPA2-Enterprise進(jìn)行登記并為每個(gè)員工應(yīng)用恰當(dāng)?shù)脑L問(wèn)策略并不是一件困難的事。但是如果WPA2與NAC整合到一起,那么策略的實(shí)施效果更佳。
接入端(AP)和控制器經(jīng)過(guò)簡(jiǎn)單的配置就可以將請(qǐng)求轉(zhuǎn)發(fā)到802.1X認(rèn)證服務(wù)器上——其中有很多甚至已經(jīng)內(nèi)置在使用本地帳戶數(shù)據(jù)庫(kù)的認(rèn)證服務(wù)器上了。為了簡(jiǎn)化多個(gè)供應(yīng)商設(shè)備的互操作性,Wi-Fi Alliance現(xiàn)在對(duì)所有WPA2-Enterprise 認(rèn)證的產(chǎn)品進(jìn)行了Extensible Authentication Protocol (EAP)類(lèi)型測(cè)試,包括EAP-TLS、EAP-TTLS/MSCHAPv2、PEAPv0/EAP-MSCHAPv2、PEAPv1/EAP-GTC、EAP-SIM、EAP-AKA和EAP-FAST。
然而,在沒(méi)有使用NAC的情況下,802.1X可以作為簡(jiǎn)單交換使用:如果出錯(cuò)您就會(huì)無(wú)法連接無(wú)線LAN;如果成功,您就可以獲得您所在用戶/群組的對(duì)應(yīng)訪問(wèn)權(quán)限(通常是通過(guò)RFC 3580 VLAN標(biāo)簽實(shí)現(xiàn))。但是,如果與NAC一起使用時(shí),802.1X就可以根據(jù)用戶/群組的身份和設(shè)備安全狀態(tài)來(lái)執(zhí)行策略決定。雖然NAC可以在沒(méi)有802.1X的情況下執(zhí)行,但是這二種技術(shù)一起使用就可以實(shí)現(xiàn)更強(qiáng)大的企業(yè)無(wú)線LAN訪問(wèn)控制。
