為員工以及訪客智能手機(jī)、平板電腦進(jìn)行驗(yàn)證并提供企業(yè)無(wú)線LAN（WLAN）訪問(wèn)的新策略已經(jīng)出現(xiàn)了，但是對(duì)于不帶用戶界面的嵌入Wi-Fi的設(shè)備，要如何管理呢？

在早期的無(wú)線LAN中，嵌入Wi-Fi的客戶端通常指的是條形碼掃描器、銷(xiāo)售點(diǎn)終端、語(yǔ)音IP手持設(shè)備或其他特殊用途的設(shè)備。對(duì)于訪問(wèn)的控制一般都很寬松，采用的方法包括MAC地址和協(xié)議過(guò)濾器，以及隱藏SSID和靜態(tài)WEP密碼等。這些方法能夠減少偶然連接并阻止（但不保證一定能防止）未授權(quán)的嵌入式設(shè)備連接無(wú)線LAN。

如今，這種“含糊的安全性”策略在支持Wi-Fi的消費(fèi)電子設(shè)備中已經(jīng)很不受歡迎了。從無(wú)線打印機(jī)和攝像器到媒體播放器和顯示器，企業(yè)網(wǎng)絡(luò)中連接的嵌入Wi-Fi的設(shè)備簡(jiǎn)直就泛濫成災(zāi)了，問(wèn)題是這些設(shè)備與以往的設(shè)備不同，無(wú)法很好地納入現(xiàn)有的策略和IT過(guò)程中。禁止這些設(shè)備又是不可行的，而增加MAC地址過(guò)濾又達(dá)不到控制的目的。因此，IT必須尋找一些方法在保證安全使用的前提下防止不可接受的風(fēng)險(xiǎn)或成本。

使用WPA2-Personal來(lái)控制嵌入式Wi-Fi設(shè)備

在嵌入式無(wú)線LAN設(shè)備訪問(wèn)控制方法中，WPA2-Personal是一種經(jīng)常被忽視的方法：Pre-Shared Key (PSK)驗(yàn)證和AES加密。“個(gè)人版（Personal）”表示這種方法不是針對(duì)企業(yè)無(wú)線LAN而設(shè)計(jì)的策略， PSK也不建議用來(lái)控制那些可以由WPA2-Enterprise有效控制的設(shè)備。然而，對(duì)于不支持WPA2-Enterprise或設(shè)備認(rèn)證的消費(fèi)電子產(chǎn)品，PSK是一種可行的替代方法。

現(xiàn)在，所有支持Wi-Fi的消費(fèi)電子產(chǎn)品都必須支持WPA2-Personal；有超過(guò)1800種設(shè)備支持Wi-Fi Protected Setup (WPS)。WPS是一種簡(jiǎn)單的方法，它以包含少量或不包含數(shù)據(jù)項(xiàng)的相對(duì)較嚴(yán)格的方式啟用WPA2-Personal。

為了使用WPS，我們需要查找印在客戶端設(shè)備的包裝或LCD安裝面板上的唯一的WPS PIN碼。通過(guò)PIN碼進(jìn)入AP或控制器的WPS安裝頁(yè)面。通訊雙方將完成一次安全握手，在這個(gè)過(guò)程中客戶端會(huì)得到一個(gè)隨機(jī)PSK。有一些WPS客戶端也支持使用自動(dòng)化或Near-Field Communication (NFC)安裝作為基于PIN安裝的替代方法。無(wú)論是哪種一方法，WPS都不僅能夠?qū)崿F(xiàn)自動(dòng)的PSK安裝，還能夠生成足以對(duì)抗攻擊的較長(zhǎng)隨機(jī)PSK。

當(dāng)嵌入式設(shè)備通過(guò)這種方式驗(yàn)證后，一般的策略都可用來(lái)控制流量流。各個(gè)SSID會(huì)映射到VLAN上，并根據(jù)協(xié)議進(jìn)行優(yōu)先級(jí)劃分和過(guò)濾，以適應(yīng)不同類(lèi)型的設(shè)備和業(yè)務(wù)用途。例如，您可以只允許通過(guò)打印協(xié)議連接無(wú)線打印機(jī)，而不支持Telnet、SNMP或其他可能會(huì)攻擊這些嵌入式設(shè)備的未知數(shù)據(jù)包。

使用Wi-Fi Direct管理來(lái)自嵌入式Wi-Fi設(shè)備的流量

從一開(kāi)始，WPS就沒(méi)有得到企業(yè)AP和控制器的廣泛支持。然而，每一個(gè)Wi-Fi Direct認(rèn)證產(chǎn)品都要求支持WPS。這種端到端Wi-Fi聯(lián)盟規(guī)范支持簡(jiǎn)單的設(shè)備到設(shè)備的直連，不需要AP或傳統(tǒng)的Wi-Fi點(diǎn)對(duì)點(diǎn)模式。支持Wi-Fi Direct的設(shè)備能夠發(fā)現(xiàn)其他設(shè)備，形成由兩個(gè)或多個(gè)設(shè)備組成的Wi-Fi Direct“分組”。這些自我組織的分組是為了簡(jiǎn)化通信所需要的Wi-Fi連接，如消費(fèi)電子產(chǎn)品之間的文件共享和打印。

為了方便使用和流量分離，企業(yè)可能希望有選擇性地授權(quán)Wi-Fi Direct使用。例如，網(wǎng)絡(luò)團(tuán)隊(duì)需要不通過(guò)企業(yè)網(wǎng)絡(luò)就能夠給用戶授權(quán)無(wú)線打印功能。為了與企業(yè)無(wú)線LAN共存，Wi-Fi Direct定義了一個(gè)“托管設(shè)備”選項(xiàng)，IT可使用這個(gè)選項(xiàng)來(lái)控制Wi-Fi Direct頻道和功率。然而，支持這個(gè)選項(xiàng)的產(chǎn)品還沒(méi)有，現(xiàn)在談?wù)揥i-Fi Direct對(duì)企業(yè)無(wú)線LAN的實(shí)際影響還為時(shí)過(guò)早。

更多嵌入式Wi-Fi設(shè)備的驗(yàn)證方法

為了支持WPA2-Enterprise驗(yàn)證，嵌入式Wi-Fi設(shè)備還需要無(wú)用戶干預(yù)的802.1X證書(shū)，如設(shè)備證書(shū)。這些證書(shū)還沒(méi)有在消費(fèi)電子設(shè)備中廣泛使用，但是一些更高端的設(shè)備可支持EAP-TLS，它使用了企業(yè)發(fā)布的證書(shū)。例如，有一些設(shè)備可能提供了TPM芯片以實(shí)現(xiàn)密鑰存儲(chǔ)安全，或者它們可能有一個(gè)特殊插槽，支持外接帶有證書(shū)的智能卡或USB。

此外，實(shí)現(xiàn)了Cisco Compatible Extensions (CCX)的Wi-Fi設(shè)備也支持EAP-FAST。這種EAP允許企業(yè)發(fā)布受保護(hù)訪問(wèn)證書(shū)（PAC），它可用于保護(hù)不使用電子證書(shū)的非交互802.1X驗(yàn)證的安全。目前的CCX認(rèn)證設(shè)備包括Wi-Fi語(yǔ)音手持設(shè)備、便攜式電腦、加固耐用手持設(shè)備和一些智能手機(jī)。

GSM智能手機(jī)可選擇的另一個(gè)驗(yàn)證方法是EAP-SIM，這是一種通過(guò)它的用戶身份模塊（SIM）來(lái)識(shí)別設(shè)備的EAP類(lèi)型。對(duì)于UMTS智能手機(jī)，類(lèi)似的功能是由EAP-AKA提供的。這些證書(shū)可能更多的是被移動(dòng)運(yùn)營(yíng)商使用，而不是一般企業(yè)，但是它們還有一個(gè)有趣的角色——Wi-Fi/3G漫游。特別是，Wi-Fi Alliance現(xiàn)在正在開(kāi)發(fā)一種熱點(diǎn)認(rèn)證項(xiàng)目，它基于IEEE 802.11u的，幫助整合的移動(dòng)設(shè)備實(shí)現(xiàn)透明漫游（例如，智能手機(jī)和平板電腦）。認(rèn)證的設(shè)備可能能夠發(fā)現(xiàn)附近的最佳熱點(diǎn)，并使用帶有EAP-SIM或EAP-AKA的WPA2-Enterprise連接熱點(diǎn)，而不會(huì)出現(xiàn)中斷，也不需要用戶干預(yù)。實(shí)際上，運(yùn)營(yíng)商可能會(huì)使用漫游協(xié)議來(lái)實(shí)現(xiàn)呼叫/會(huì)話切換和計(jì)費(fèi)，從而實(shí)現(xiàn)與現(xiàn)在的無(wú)線語(yǔ)音漫游類(lèi)似的用戶體驗(yàn)。

嵌入式Wi-Fi設(shè)備仍然參差不齊，而且它們很大程度上受到設(shè)備類(lèi)型、Wi-Fi安全功能（包括EAP類(lèi)型）和目標(biāo)業(yè)務(wù)用途的影響。注意，設(shè)備指紋識(shí)別也可能在這里發(fā)揮作用——如果只是為了不需要進(jìn)行IT操作就實(shí)現(xiàn)嵌入式設(shè)備的可見(jiàn)性。企業(yè)應(yīng)該保持對(duì)這個(gè)問(wèn)題的關(guān)注，并且可以考慮使用創(chuàng)造性“開(kāi)箱即用”的策略來(lái)解決訪問(wèn)控制需求，而不將企業(yè)無(wú)線LAN暴露于重大風(fēng)險(xiǎn)之下。

原文鏈接：http://network.51cto.com/art/201105/260812.htm