為員工以及訪客智能手機、平板電腦進行驗證并提供企業無線LAN（WLAN）訪問的新策略已經出現了，但是對于不帶用戶界面的嵌入Wi-Fi的設備，要如何管理呢？

在早期的無線LAN中，嵌入Wi-Fi的客戶端通常指的是條形碼掃描器、銷售點終端、語音IP手持設備或其他特殊用途的設備。對于訪問的控制一般都很寬松，采用的方法包括MAC地址和協議過濾器，以及隱藏SSID和靜態WEP密碼等。這些方法能夠減少偶然連接并阻止（但不保證一定能防止）未授權的嵌入式設備連接無線LAN。

如今，這種“含糊的安全性”策略在支持Wi-Fi的消費電子設備中已經很不受歡迎了。從無線打印機和攝像器到媒體播放器和顯示器，企業網絡中連接的嵌入Wi-Fi的設備簡直就泛濫成災了，問題是這些設備與以往的設備不同，無法很好地納入現有的策略和IT過程中。禁止這些設備又是不可行的，而增加MAC地址過濾又達不到控制的目的。因此，IT必須尋找一些方法在保證安全使用的前提下防止不可接受的風險或成本。

使用WPA2-Personal來控制嵌入式Wi-Fi設備

在嵌入式無線LAN設備訪問控制方法中，WPA2-Personal是一種經常被忽視的方法：Pre-Shared Key (PSK)驗證和AES加密。“個人版（Personal）”表示這種方法不是針對企業無線LAN而設計的策略， PSK也不建議用來控制那些可以由WPA2-Enterprise有效控制的設備。然而，對于不支持WPA2-Enterprise或設備認證的消費電子產品，PSK是一種可行的替代方法。

現在，所有支持Wi-Fi的消費電子產品都必須支持WPA2-Personal；有超過1800種設備支持Wi-Fi Protected Setup (WPS)。WPS是一種簡單的方法，它以包含少量或不包含數據項的相對較嚴格的方式啟用WPA2-Personal。

為了使用WPS，我們需要查找印在客戶端設備的包裝或LCD安裝面板上的唯一的WPS PIN碼。通過PIN碼進入AP或控制器的WPS安裝頁面。通訊雙方將完成一次安全握手，在這個過程中客戶端會得到一個隨機PSK。有一些WPS客戶端也支持使用自動化或Near-Field Communication (NFC)安裝作為基于PIN安裝的替代方法。無論是哪種一方法，WPS都不僅能夠實現自動的PSK安裝，還能夠生成足以對抗攻擊的較長隨機PSK。

當嵌入式設備通過這種方式驗證后，一般的策略都可用來控制流量流。各個SSID會映射到VLAN上，并根據協議進行優先級劃分和過濾，以適應不同類型的設備和業務用途。例如，您可以只允許通過打印協議連接無線打印機，而不支持Telnet、SNMP或其他可能會攻擊這些嵌入式設備的未知數據包。

使用Wi-Fi Direct管理來自嵌入式Wi-Fi設備的流量

從一開始，WPS就沒有得到企業AP和控制器的廣泛支持。然而，每一個Wi-Fi Direct認證產品都要求支持WPS。這種端到端Wi-Fi聯盟規范支持簡單的設備到設備的直連，不需要AP或傳統的Wi-Fi點對點模式。支持Wi-Fi Direct的設備能夠發現其他設備，形成由兩個或多個設備組成的Wi-Fi Direct“分組”。這些自我組織的分組是為了簡化通信所需要的Wi-Fi連接，如消費電子產品之間的文件共享和打印。

為了方便使用和流量分離，企業可能希望有選擇性地授權Wi-Fi Direct使用。例如，網絡團隊需要不通過企業網絡就能夠給用戶授權無線打印功能。為了與企業無線LAN共存，Wi-Fi Direct定義了一個“托管設備”選項，IT可使用這個選項來控制Wi-Fi Direct頻道和功率。然而，支持這個選項的產品還沒有，現在談論Wi-Fi Direct對企業無線LAN的實際影響還為時過早。

更多嵌入式Wi-Fi設備的驗證方法

為了支持WPA2-Enterprise驗證，嵌入式Wi-Fi設備還需要無用戶干預的802.1X證書，如設備證書。這些證書還沒有在消費電子設備中廣泛使用，但是一些更高端的設備可支持EAP-TLS，它使用了企業發布的證書。例如，有一些設備可能提供了TPM芯片以實現密鑰存儲安全，或者它們可能有一個特殊插槽，支持外接帶有證書的智能卡或USB。

此外，實現了Cisco Compatible Extensions (CCX)的Wi-Fi設備也支持EAP-FAST。這種EAP允許企業發布受保護訪問證書（PAC），它可用于保護不使用電子證書的非交互802.1X驗證的安全。目前的CCX認證設備包括Wi-Fi語音手持設備、便攜式電腦、加固耐用手持設備和一些智能手機。

GSM智能手機可選擇的另一個驗證方法是EAP-SIM，這是一種通過它的用戶身份模塊（SIM）來識別設備的EAP類型。對于UMTS智能手機，類似的功能是由EAP-AKA提供的。這些證書可能更多的是被移動運營商使用，而不是一般企業，但是它們還有一個有趣的角色——Wi-Fi/3G漫游。特別是，Wi-Fi Alliance現在正在開發一種熱點認證項目，它基于IEEE 802.11u的，幫助整合的移動設備實現透明漫游（例如，智能手機和平板電腦）。認證的設備可能能夠發現附近的最佳熱點，并使用帶有EAP-SIM或EAP-AKA的WPA2-Enterprise連接熱點，而不會出現中斷，也不需要用戶干預。實際上，運營商可能會使用漫游協議來實現呼叫/會話切換和計費，從而實現與現在的無線語音漫游類似的用戶體驗。

嵌入式Wi-Fi設備仍然參差不齊，而且它們很大程度上受到設備類型、Wi-Fi安全功能（包括EAP類型）和目標業務用途的影響。注意，設備指紋識別也可能在這里發揮作用——如果只是為了不需要進行IT操作就實現嵌入式設備的可見性。企業應該保持對這個問題的關注，并且可以考慮使用創造性“開箱即用”的策略來解決訪問控制需求，而不將企業無線LAN暴露于重大風險之下。

原文鏈接：http://network.51cto.com/art/201105/260812.htm