為員工以及訪客智能手機、平板電腦進行驗證并提供企業(yè)無線LAN（WLAN）訪問的新策略已經(jīng)出現(xiàn)了，但是對于不帶用戶界面的嵌入Wi-Fi的設備，要如何管理呢？

在早期的無線LAN中，嵌入Wi-Fi的客戶端通常指的是條形碼掃描器、銷售點終端、語音IP手持設備或其他特殊用途的設備。對于訪問的控制一般都很寬松，采用的方法包括MAC地址和協(xié)議過濾器，以及隱藏SSID和靜態(tài)WEP密碼等。這些方法能夠減少偶然連接并阻止（但不保證一定能防止）未授權(quán)的嵌入式設備連接無線LAN。

如今，這種“含糊的安全性”策略在支持Wi-Fi的消費電子設備中已經(jīng)很不受歡迎了。從無線打印機和攝像器到媒體播放器和顯示器，企業(yè)網(wǎng)絡中連接的嵌入Wi-Fi的設備簡直就泛濫成災了，問題是這些設備與以往的設備不同，無法很好地納入現(xiàn)有的策略和IT過程中。禁止這些設備又是不可行的，而增加MAC地址過濾又達不到控制的目的。因此，IT必須尋找一些方法在保證安全使用的前提下防止不可接受的風險或成本。

使用WPA2-Personal來控制嵌入式Wi-Fi設備

在嵌入式無線LAN設備訪問控制方法中，WPA2-Personal是一種經(jīng)常被忽視的方法：Pre-Shared Key (PSK)驗證和AES加密。“個人版（Personal）”表示這種方法不是針對企業(yè)無線LAN而設計的策略， PSK也不建議用來控制那些可以由WPA2-Enterprise有效控制的設備。然而，對于不支持WPA2-Enterprise或設備認證的消費電子產(chǎn)品，PSK是一種可行的替代方法。

現(xiàn)在，所有支持Wi-Fi的消費電子產(chǎn)品都必須支持WPA2-Personal；有超過1800種設備支持Wi-Fi Protected Setup (WPS)。WPS是一種簡單的方法，它以包含少量或不包含數(shù)據(jù)項的相對較嚴格的方式啟用WPA2-Personal。

為了使用WPS，我們需要查找印在客戶端設備的包裝或LCD安裝面板上的唯一的WPS PIN碼。通過PIN碼進入AP或控制器的WPS安裝頁面。通訊雙方將完成一次安全握手，在這個過程中客戶端會得到一個隨機PSK。有一些WPS客戶端也支持使用自動化或Near-Field Communication (NFC)安裝作為基于PIN安裝的替代方法。無論是哪種一方法，WPS都不僅能夠?qū)崿F(xiàn)自動的PSK安裝，還能夠生成足以對抗攻擊的較長隨機PSK。

當嵌入式設備通過這種方式驗證后，一般的策略都可用來控制流量流。各個SSID會映射到VLAN上，并根據(jù)協(xié)議進行優(yōu)先級劃分和過濾，以適應不同類型的設備和業(yè)務用途。例如，您可以只允許通過打印協(xié)議連接無線打印機，而不支持Telnet、SNMP或其他可能會攻擊這些嵌入式設備的未知數(shù)據(jù)包。

使用Wi-Fi Direct管理來自嵌入式Wi-Fi設備的流量

從一開始，WPS就沒有得到企業(yè)AP和控制器的廣泛支持。然而，每一個Wi-Fi Direct認證產(chǎn)品都要求支持WPS。這種端到端Wi-Fi聯(lián)盟規(guī)范支持簡單的設備到設備的直連，不需要AP或傳統(tǒng)的Wi-Fi點對點模式。支持Wi-Fi Direct的設備能夠發(fā)現(xiàn)其他設備，形成由兩個或多個設備組成的Wi-Fi Direct“分組”。這些自我組織的分組是為了簡化通信所需要的Wi-Fi連接，如消費電子產(chǎn)品之間的文件共享和打印。

為了方便使用和流量分離，企業(yè)可能希望有選擇性地授權(quán)Wi-Fi Direct使用。例如，網(wǎng)絡團隊需要不通過企業(yè)網(wǎng)絡就能夠給用戶授權(quán)無線打印功能。為了與企業(yè)無線LAN共存，Wi-Fi Direct定義了一個“托管設備”選項，IT可使用這個選項來控制Wi-Fi Direct頻道和功率。然而，支持這個選項的產(chǎn)品還沒有，現(xiàn)在談論Wi-Fi Direct對企業(yè)無線LAN的實際影響還為時過早。

更多嵌入式Wi-Fi設備的驗證方法

為了支持WPA2-Enterprise驗證，嵌入式Wi-Fi設備還需要無用戶干預的802.1X證書，如設備證書。這些證書還沒有在消費電子設備中廣泛使用，但是一些更高端的設備可支持EAP-TLS，它使用了企業(yè)發(fā)布的證書。例如，有一些設備可能提供了TPM芯片以實現(xiàn)密鑰存儲安全，或者它們可能有一個特殊插槽，支持外接帶有證書的智能卡或USB。

此外，實現(xiàn)了Cisco Compatible Extensions (CCX)的Wi-Fi設備也支持EAP-FAST。這種EAP允許企業(yè)發(fā)布受保護訪問證書（PAC），它可用于保護不使用電子證書的非交互802.1X驗證的安全。目前的CCX認證設備包括Wi-Fi語音手持設備、便攜式電腦、加固耐用手持設備和一些智能手機。

GSM智能手機可選擇的另一個驗證方法是EAP-SIM，這是一種通過它的用戶身份模塊（SIM）來識別設備的EAP類型。對于UMTS智能手機，類似的功能是由EAP-AKA提供的。這些證書可能更多的是被移動運營商使用，而不是一般企業(yè)，但是它們還有一個有趣的角色——Wi-Fi/3G漫游。特別是，Wi-Fi Alliance現(xiàn)在正在開發(fā)一種熱點認證項目，它基于IEEE 802.11u的，幫助整合的移動設備實現(xiàn)透明漫游（例如，智能手機和平板電腦）。認證的設備可能能夠發(fā)現(xiàn)附近的最佳熱點，并使用帶有EAP-SIM或EAP-AKA的WPA2-Enterprise連接熱點，而不會出現(xiàn)中斷，也不需要用戶干預。實際上，運營商可能會使用漫游協(xié)議來實現(xiàn)呼叫/會話切換和計費，從而實現(xiàn)與現(xiàn)在的無線語音漫游類似的用戶體驗。

嵌入式Wi-Fi設備仍然參差不齊，而且它們很大程度上受到設備類型、Wi-Fi安全功能（包括EAP類型）和目標業(yè)務用途的影響。注意，設備指紋識別也可能在這里發(fā)揮作用——如果只是為了不需要進行IT操作就實現(xiàn)嵌入式設備的可見性。企業(yè)應該保持對這個問題的關(guān)注，并且可以考慮使用創(chuàng)造性“開箱即用”的策略來解決訪問控制需求，而不將企業(yè)無線LAN暴露于重大風險之下。

原文鏈接：http://network.51cto.com/art/201105/260812.htm