為員工以及訪客智能手機(jī)、平板電腦進(jìn)行驗(yàn)證并提供企業(yè)無線LAN（WLAN）訪問的新策略已經(jīng)出現(xiàn)了，但是對于不帶用戶界面的嵌入Wi-Fi的設(shè)備，要如何管理呢？

在早期的無線LAN中，嵌入Wi-Fi的客戶端通常指的是條形碼掃描器、銷售點(diǎn)終端、語音IP手持設(shè)備或其他特殊用途的設(shè)備。對于訪問的控制一般都很寬松，采用的方法包括MAC地址和協(xié)議過濾器，以及隱藏SSID和靜態(tài)WEP密碼等。這些方法能夠減少偶然連接并阻止（但不保證一定能防止）未授權(quán)的嵌入式設(shè)備連接無線LAN。

如今，這種“含糊的安全性”策略在支持Wi-Fi的消費(fèi)電子設(shè)備中已經(jīng)很不受歡迎了。從無線打印機(jī)和攝像器到媒體播放器和顯示器，企業(yè)網(wǎng)絡(luò)中連接的嵌入Wi-Fi的設(shè)備簡直就泛濫成災(zāi)了，問題是這些設(shè)備與以往的設(shè)備不同，無法很好地納入現(xiàn)有的策略和IT過程中。禁止這些設(shè)備又是不可行的，而增加MAC地址過濾又達(dá)不到控制的目的。因此，IT必須尋找一些方法在保證安全使用的前提下防止不可接受的風(fēng)險(xiǎn)或成本。

使用WPA2-Personal來控制嵌入式Wi-Fi設(shè)備

在嵌入式無線LAN設(shè)備訪問控制方法中，WPA2-Personal是一種經(jīng)常被忽視的方法：Pre-Shared Key (PSK)驗(yàn)證和AES加密。“個(gè)人版（Personal）”表示這種方法不是針對企業(yè)無線LAN而設(shè)計(jì)的策略， PSK也不建議用來控制那些可以由WPA2-Enterprise有效控制的設(shè)備。然而，對于不支持WPA2-Enterprise或設(shè)備認(rèn)證的消費(fèi)電子產(chǎn)品，PSK是一種可行的替代方法。

現(xiàn)在，所有支持Wi-Fi的消費(fèi)電子產(chǎn)品都必須支持WPA2-Personal；有超過1800種設(shè)備支持Wi-Fi Protected Setup (WPS)。WPS是一種簡單的方法，它以包含少量或不包含數(shù)據(jù)項(xiàng)的相對較嚴(yán)格的方式啟用WPA2-Personal。

為了使用WPS，我們需要查找印在客戶端設(shè)備的包裝或LCD安裝面板上的唯一的WPS PIN碼。通過PIN碼進(jìn)入AP或控制器的WPS安裝頁面。通訊雙方將完成一次安全握手，在這個(gè)過程中客戶端會得到一個(gè)隨機(jī)PSK。有一些WPS客戶端也支持使用自動(dòng)化或Near-Field Communication (NFC)安裝作為基于PIN安裝的替代方法。無論是哪種一方法，WPS都不僅能夠?qū)崿F(xiàn)自動(dòng)的PSK安裝，還能夠生成足以對抗攻擊的較長隨機(jī)PSK。

當(dāng)嵌入式設(shè)備通過這種方式驗(yàn)證后，一般的策略都可用來控制流量流。各個(gè)SSID會映射到VLAN上，并根據(jù)協(xié)議進(jìn)行優(yōu)先級劃分和過濾，以適應(yīng)不同類型的設(shè)備和業(yè)務(wù)用途。例如，您可以只允許通過打印協(xié)議連接無線打印機(jī)，而不支持Telnet、SNMP或其他可能會攻擊這些嵌入式設(shè)備的未知數(shù)據(jù)包。

使用Wi-Fi Direct管理來自嵌入式Wi-Fi設(shè)備的流量

從一開始，WPS就沒有得到企業(yè)AP和控制器的廣泛支持。然而，每一個(gè)Wi-Fi Direct認(rèn)證產(chǎn)品都要求支持WPS。這種端到端Wi-Fi聯(lián)盟規(guī)范支持簡單的設(shè)備到設(shè)備的直連，不需要AP或傳統(tǒng)的Wi-Fi點(diǎn)對點(diǎn)模式。支持Wi-Fi Direct的設(shè)備能夠發(fā)現(xiàn)其他設(shè)備，形成由兩個(gè)或多個(gè)設(shè)備組成的Wi-Fi Direct“分組”。這些自我組織的分組是為了簡化通信所需要的Wi-Fi連接，如消費(fèi)電子產(chǎn)品之間的文件共享和打印。

為了方便使用和流量分離，企業(yè)可能希望有選擇性地授權(quán)Wi-Fi Direct使用。例如，網(wǎng)絡(luò)團(tuán)隊(duì)需要不通過企業(yè)網(wǎng)絡(luò)就能夠給用戶授權(quán)無線打印功能。為了與企業(yè)無線LAN共存，Wi-Fi Direct定義了一個(gè)“托管設(shè)備”選項(xiàng)，IT可使用這個(gè)選項(xiàng)來控制Wi-Fi Direct頻道和功率。然而，支持這個(gè)選項(xiàng)的產(chǎn)品還沒有，現(xiàn)在談?wù)揥i-Fi Direct對企業(yè)無線LAN的實(shí)際影響還為時(shí)過早。

更多嵌入式Wi-Fi設(shè)備的驗(yàn)證方法

為了支持WPA2-Enterprise驗(yàn)證，嵌入式Wi-Fi設(shè)備還需要無用戶干預(yù)的802.1X證書，如設(shè)備證書。這些證書還沒有在消費(fèi)電子設(shè)備中廣泛使用，但是一些更高端的設(shè)備可支持EAP-TLS，它使用了企業(yè)發(fā)布的證書。例如，有一些設(shè)備可能提供了TPM芯片以實(shí)現(xiàn)密鑰存儲安全，或者它們可能有一個(gè)特殊插槽，支持外接帶有證書的智能卡或USB。

此外，實(shí)現(xiàn)了Cisco Compatible Extensions (CCX)的Wi-Fi設(shè)備也支持EAP-FAST。這種EAP允許企業(yè)發(fā)布受保護(hù)訪問證書（PAC），它可用于保護(hù)不使用電子證書的非交互802.1X驗(yàn)證的安全。目前的CCX認(rèn)證設(shè)備包括Wi-Fi語音手持設(shè)備、便攜式電腦、加固耐用手持設(shè)備和一些智能手機(jī)。

GSM智能手機(jī)可選擇的另一個(gè)驗(yàn)證方法是EAP-SIM，這是一種通過它的用戶身份模塊（SIM）來識別設(shè)備的EAP類型。對于UMTS智能手機(jī)，類似的功能是由EAP-AKA提供的。這些證書可能更多的是被移動(dòng)運(yùn)營商使用，而不是一般企業(yè)，但是它們還有一個(gè)有趣的角色——Wi-Fi/3G漫游。特別是，Wi-Fi Alliance現(xiàn)在正在開發(fā)一種熱點(diǎn)認(rèn)證項(xiàng)目，它基于IEEE 802.11u的，幫助整合的移動(dòng)設(shè)備實(shí)現(xiàn)透明漫游（例如，智能手機(jī)和平板電腦）。認(rèn)證的設(shè)備可能能夠發(fā)現(xiàn)附近的最佳熱點(diǎn)，并使用帶有EAP-SIM或EAP-AKA的WPA2-Enterprise連接熱點(diǎn)，而不會出現(xiàn)中斷，也不需要用戶干預(yù)。實(shí)際上，運(yùn)營商可能會使用漫游協(xié)議來實(shí)現(xiàn)呼叫/會話切換和計(jì)費(fèi)，從而實(shí)現(xiàn)與現(xiàn)在的無線語音漫游類似的用戶體驗(yàn)。

嵌入式Wi-Fi設(shè)備仍然參差不齊，而且它們很大程度上受到設(shè)備類型、Wi-Fi安全功能（包括EAP類型）和目標(biāo)業(yè)務(wù)用途的影響。注意，設(shè)備指紋識別也可能在這里發(fā)揮作用——如果只是為了不需要進(jìn)行IT操作就實(shí)現(xiàn)嵌入式設(shè)備的可見性。企業(yè)應(yīng)該保持對這個(gè)問題的關(guān)注，并且可以考慮使用創(chuàng)造性“開箱即用”的策略來解決訪問控制需求，而不將企業(yè)無線LAN暴露于重大風(fēng)險(xiǎn)之下。

原文鏈接：http://network.51cto.com/art/201105/260812.htm