為員工以及訪客智能手機(jī)、平板電腦進(jìn)行驗(yàn)證并提供企業(yè)無線LAN(WLAN)訪問的新策略已經(jīng)出現(xiàn)了,但是對于不帶用戶界面的嵌入Wi-Fi的設(shè)備,要如何管理呢?
在早期的無線LAN中,嵌入Wi-Fi的客戶端通常指的是條形碼掃描器、銷售點(diǎn)終端、語音IP手持設(shè)備或其他特殊用途的設(shè)備。對于訪問的控制一般都很寬松,采用的方法包括MAC地址和協(xié)議過濾器,以及隱藏SSID和靜態(tài)WEP密碼等。這些方法能夠減少偶然連接并阻止(但不保證一定能防止)未授權(quán)的嵌入式設(shè)備連接無線LAN。
如今,這種“含糊的安全性”策略在支持Wi-Fi的消費(fèi)電子設(shè)備中已經(jīng)很不受歡迎了。從無線打印機(jī)和攝像器到媒體播放器和顯示器,企業(yè)網(wǎng)絡(luò)中連接的嵌入Wi-Fi的設(shè)備簡直就泛濫成災(zāi)了,問題是這些設(shè)備與以往的設(shè)備不同,無法很好地納入現(xiàn)有的策略和IT過程中。禁止這些設(shè)備又是不可行的,而增加MAC地址過濾又達(dá)不到控制的目的。因此,IT必須尋找一些方法在保證安全使用的前提下防止不可接受的風(fēng)險(xiǎn)或成本。
使用WPA2-Personal來控制嵌入式Wi-Fi設(shè)備
在嵌入式無線LAN設(shè)備訪問控制方法中,WPA2-Personal是一種經(jīng)常被忽視的方法:Pre-Shared Key (PSK)驗(yàn)證和AES加密。“個(gè)人版(Personal)”表示這種方法不是針對企業(yè)無線LAN而設(shè)計(jì)的策略, PSK也不建議用來控制那些可以由WPA2-Enterprise有效控制的設(shè)備。然而,對于不支持WPA2-Enterprise或設(shè)備認(rèn)證的消費(fèi)電子產(chǎn)品,PSK是一種可行的替代方法。
現(xiàn)在,所有支持Wi-Fi的消費(fèi)電子產(chǎn)品都必須支持WPA2-Personal;有超過1800種設(shè)備支持Wi-Fi Protected Setup (WPS)。WPS是一種簡單的方法,它以包含少量或不包含數(shù)據(jù)項(xiàng)的相對較嚴(yán)格的方式啟用WPA2-Personal。
為了使用WPS,我們需要查找印在客戶端設(shè)備的包裝或LCD安裝面板上的唯一的WPS PIN碼。通過PIN碼進(jìn)入AP或控制器的WPS安裝頁面。通訊雙方將完成一次安全握手,在這個(gè)過程中客戶端會得到一個(gè)隨機(jī)PSK。有一些WPS客戶端也支持使用自動(dòng)化或Near-Field Communication (NFC)安裝作為基于PIN安裝的替代方法。無論是哪種一方法,WPS都不僅能夠?qū)崿F(xiàn)自動(dòng)的PSK安裝,還能夠生成足以對抗攻擊的較長隨機(jī)PSK。
當(dāng)嵌入式設(shè)備通過這種方式驗(yàn)證后,一般的策略都可用來控制流量流。各個(gè)SSID會映射到VLAN上,并根據(jù)協(xié)議進(jìn)行優(yōu)先級劃分和過濾,以適應(yīng)不同類型的設(shè)備和業(yè)務(wù)用途。例如,您可以只允許通過打印協(xié)議連接無線打印機(jī),而不支持Telnet、SNMP或其他可能會攻擊這些嵌入式設(shè)備的未知數(shù)據(jù)包。
使用Wi-Fi Direct管理來自嵌入式Wi-Fi設(shè)備的流量
從一開始,WPS就沒有得到企業(yè)AP和控制器的廣泛支持。然而,每一個(gè)Wi-Fi Direct認(rèn)證產(chǎn)品都要求支持WPS。這種端到端Wi-Fi聯(lián)盟規(guī)范支持簡單的設(shè)備到設(shè)備的直連,不需要AP或傳統(tǒng)的Wi-Fi點(diǎn)對點(diǎn)模式。支持Wi-Fi Direct的設(shè)備能夠發(fā)現(xiàn)其他設(shè)備,形成由兩個(gè)或多個(gè)設(shè)備組成的Wi-Fi Direct“分組”。這些自我組織的分組是為了簡化通信所需要的Wi-Fi連接,如消費(fèi)電子產(chǎn)品之間的文件共享和打印。
為了方便使用和流量分離,企業(yè)可能希望有選擇性地授權(quán)Wi-Fi Direct使用。例如,網(wǎng)絡(luò)團(tuán)隊(duì)需要不通過企業(yè)網(wǎng)絡(luò)就能夠給用戶授權(quán)無線打印功能。為了與企業(yè)無線LAN共存,Wi-Fi Direct定義了一個(gè)“托管設(shè)備”選項(xiàng),IT可使用這個(gè)選項(xiàng)來控制Wi-Fi Direct頻道和功率。然而,支持這個(gè)選項(xiàng)的產(chǎn)品還沒有,現(xiàn)在談?wù)揥i-Fi Direct對企業(yè)無線LAN的實(shí)際影響還為時(shí)過早。
更多嵌入式Wi-Fi設(shè)備的驗(yàn)證方法
為了支持WPA2-Enterprise驗(yàn)證,嵌入式Wi-Fi設(shè)備還需要無用戶干預(yù)的802.1X證書,如設(shè)備證書。這些證書還沒有在消費(fèi)電子設(shè)備中廣泛使用,但是一些更高端的設(shè)備可支持EAP-TLS,它使用了企業(yè)發(fā)布的證書。例如,有一些設(shè)備可能提供了TPM芯片以實(shí)現(xiàn)密鑰存儲安全,或者它們可能有一個(gè)特殊插槽,支持外接帶有證書的智能卡或USB。
此外,實(shí)現(xiàn)了Cisco Compatible Extensions (CCX)的Wi-Fi設(shè)備也支持EAP-FAST。這種EAP允許企業(yè)發(fā)布受保護(hù)訪問證書(PAC),它可用于保護(hù)不使用電子證書的非交互802.1X驗(yàn)證的安全。目前的CCX認(rèn)證設(shè)備包括Wi-Fi語音手持設(shè)備、便攜式電腦、加固耐用手持設(shè)備和一些智能手機(jī)。
GSM智能手機(jī)可選擇的另一個(gè)驗(yàn)證方法是EAP-SIM,這是一種通過它的用戶身份模塊(SIM)來識別設(shè)備的EAP類型。對于UMTS智能手機(jī),類似的功能是由EAP-AKA提供的。這些證書可能更多的是被移動(dòng)運(yùn)營商使用,而不是一般企業(yè),但是它們還有一個(gè)有趣的角色——Wi-Fi/3G漫游。特別是,Wi-Fi Alliance現(xiàn)在正在開發(fā)一種熱點(diǎn)認(rèn)證項(xiàng)目,它基于IEEE 802.11u的,幫助整合的移動(dòng)設(shè)備實(shí)現(xiàn)透明漫游(例如,智能手機(jī)和平板電腦)。認(rèn)證的設(shè)備可能能夠發(fā)現(xiàn)附近的最佳熱點(diǎn),并使用帶有EAP-SIM或EAP-AKA的WPA2-Enterprise連接熱點(diǎn),而不會出現(xiàn)中斷,也不需要用戶干預(yù)。實(shí)際上,運(yùn)營商可能會使用漫游協(xié)議來實(shí)現(xiàn)呼叫/會話切換和計(jì)費(fèi),從而實(shí)現(xiàn)與現(xiàn)在的無線語音漫游類似的用戶體驗(yàn)。
嵌入式Wi-Fi設(shè)備仍然參差不齊,而且它們很大程度上受到設(shè)備類型、Wi-Fi安全功能(包括EAP類型)和目標(biāo)業(yè)務(wù)用途的影響。注意,設(shè)備指紋識別也可能在這里發(fā)揮作用——如果只是為了不需要進(jìn)行IT操作就實(shí)現(xiàn)嵌入式設(shè)備的可見性。企業(yè)應(yīng)該保持對這個(gè)問題的關(guān)注,并且可以考慮使用創(chuàng)造性“開箱即用”的策略來解決訪問控制需求,而不將企業(yè)無線LAN暴露于重大風(fēng)險(xiǎn)之下。
原文鏈接:http://network.51cto.com/art/201105/260812.htm