如何管理嵌入式Wi-Fi设备的访问控制

日期: 2011-05-09 作者:Lisa Phifer翻译:曾少宁 来源:TechTarget中国 英文

在无线LAN身份验证系列文章的前2篇中,我们介绍了如何管理来宾无线网络和实施无线LAN访问控制的方法。   为员工以及访客智能手机、平板电脑进行验证并提供企业无线LAN(WLAN)访问的新策略已经出现了,但是对于不带用户界面的嵌入Wi-Fi的设备,要如何管理呢?   在早期的无线LAN中,嵌入Wi-Fi的客户端通常指的是条形码扫描器、销售点终端、语音IP手持设备或其他特殊用途的设备。对于访问的控制一般都很宽松,采用的方法包括MAC地址和协议过滤器,以及隐藏SSID和静态WEP密码等。这些方法能够减少偶然连接并阻止(但不保证一定能防止)未授权的嵌入式设备连接无线LAN。

  如今,这种“含糊的安……

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

在无线LAN身份验证系列文章的前2篇中,我们介绍了如何管理来宾无线网络和实施无线LAN访问控制的方法。

  为员工以及访客智能手机、平板电脑进行验证并提供企业无线LAN(WLAN)访问的新策略已经出现了,但是对于不带用户界面的嵌入Wi-Fi的设备,要如何管理呢?

  在早期的无线LAN中,嵌入Wi-Fi的客户端通常指的是条形码扫描器、销售点终端、语音IP手持设备或其他特殊用途的设备。对于访问的控制一般都很宽松,采用的方法包括MAC地址和协议过滤器,以及隐藏SSID和静态WEP密码等。这些方法能够减少偶然连接并阻止(但不保证一定能防止)未授权的嵌入式设备连接无线LAN。

  如今,这种“含糊的安全性”策略在支持Wi-Fi的消费电子设备中已经很不受欢迎了。从无线打印机和摄像器到媒体播放器和显示器,企业网络中连接的嵌入Wi-Fi的设备简直就泛滥成灾了,问题是这些设备与以往的设备不同,无法很好地纳入现有的策略和IT过程中。禁止这些设备又是不可行的,而增加MAC地址过滤又达不到控制的目的。因此,IT必须寻找一些方法在保证安全使用的前提下防止不可接受的风险或成本。

  使用WPA2-Personal来控制嵌入式Wi-Fi设备

  在嵌入式无线LAN设备访问控制方法中,WPA2-Personal是一种经常被忽视的方法:Pre-Shared Key (PSK)验证和AES加密。“个人版(Personal)”表示这种方法不是针对企业无线LAN而设计的策略, PSK也不建议用来控制那些可以由WPA2-Enterprise有效控制的设备。然而,对于不支持WPA2-Enterprise或设备认证的消费电子产品,PSK是一种可行的替代方法。

  现在,所有支持Wi-Fi的消费电子产品都必须支持WPA2-Personal;有超过1800种设备支持Wi-Fi Protected Setup (WPS)。WPS是一种简单的方法,它以包含少量或不包含数据项的相对较严格的方式启用WPA2-Personal。

  为了使用WPS,我们需要查找印在客户端设备的包装或LCD安装面板上的唯一的WPS PIN码。通过PIN码进入AP或控制器的WPS安装页面。通讯双方将完成一次安全握手,在这个过程中客户端会得到一个随机PSK。有一些WPS客户端也支持使用自动化或Near-Field Communication (NFC)安装作为基于PIN安装的替代方法。无论是哪种一方法,WPS都不仅能够实现自动的PSK安装,还能够生成足以对抗攻击的较长随机PSK。

  当嵌入式设备通过这种方式验证后,一般的策略都可用来控制流量流。各个SSID会映射到VLAN上,并根据协议进行优先级划分和过滤,以适应不同类型的设备和业务用途。例如,您可以只允许通过打印协议连接无线打印机,而不支持Telnet、SNMP或其他可能会攻击这些嵌入式设备的未知数据包。

  使用Wi-Fi Direct管理来自嵌入式Wi-Fi设备的流量

  从一开始,WPS就没有得到企业AP和控制器的广泛支持。然而,每一个Wi-Fi Direct认证产品都要求支持WPS。这种端到端Wi-Fi联盟规范支持简单的设备到设备的直连,不需要AP或传统的Wi-Fi点对点模式。支持Wi-Fi Direct的设备能够发现其他设备,形成由两个或多个设备组成的Wi-Fi Direct“分组”。这些自我组织的分组是为了简化通信所需要的Wi-Fi连接,如消费电子产品之间的文件共享和打印。

  为了方便使用和流量分离,企业可能希望有选择性地授权Wi-Fi Direct使用。例如,网络团队需要不通过企业网络就能够给用户授权无线打印功能。为了与企业无线LAN共存,Wi-Fi Direct定义了一个“托管设备”选项,IT可使用这个选项来控制Wi-Fi Direct频道和功率。然而,支持这个选项的产品还没有,现在谈论Wi-Fi Direct对企业无线LAN的实际影响还为时过早。

  更多嵌入式Wi-Fi设备的验证方法

  为了支持WPA2-Enterprise验证,嵌入式Wi-Fi设备还需要无用户干预的802.1X证书,如设备证书。这些证书还没有在消费电子设备中广泛使用,但是一些更高端的设备可支持EAP-TLS,它使用了企业发布的证书。例如,有一些设备可能提供了TPM芯片以实现密钥存储安全,或者它们可能有一个特殊插槽,支持外接带有证书的智能卡或USB。

  此外,实现了Cisco Compatible Extensions (CCX)的Wi-Fi设备也支持EAP-FAST。这种EAP允许企业发布受保护访问证书(PAC),它可用于保护不使用电子证书的非交互802.1X验证的安全。目前的CCX认证设备包括Wi-Fi语音手持设备、便携式电脑、加固耐用手持设备和一些智能手机。

  GSM智能手机可选择的另一个验证方法是EAP-SIM,这是一种通过它的用户身份模块(SIM)来识别设备的EAP类型。对于UMTS智能手机,类似的功能是由EAP-AKA提供的。这些证书可能更多的是被移动运营商使用,而不是一般企业,但是它们还有一个有趣的角色——Wi-Fi/3G漫游。特别是,Wi-Fi Alliance现在正在开发一种热点认证项目,它基于IEEE 802.11u的,帮助整合的移动设备实现透明漫游(例如,智能手机和平板电脑)。认证的设备可能能够发现附近的最佳热点,并使用带有EAP-SIM或EAP-AKA的WPA2-Enterprise连接热点,而不会出现中断,也不需要用户干预。实际上,运营商可能会使用漫游协议来实现呼叫/会话切换和计费,从而实现与现在的无线语音漫游类似的用户体验。

  嵌入式Wi-Fi设备仍然参差不齐,而且它们很大程度上受到设备类型、Wi-Fi安全功能(包括EAP类型)和目标业务用途的影响。注意,设备指纹识别也可能在这里发挥作用——如果只是为了不需要进行IT操作就实现嵌入式设备的可见性。企业应该保持对这个问题的关注,并且可以考虑使用创造性“开箱即用”的策略来解决访问控制需求,而不将企业无线LAN暴露于重大风险之下。

系列一:

如何加强来宾无线网络的安全管理?

系列二:

无线LAN访问控制:管理用户及其设备(上)

无线LAN访问控制:管理用户及其设备(下)

作者

Lisa Phifer
Lisa Phifer

Lisa Phifer owns Core Competence Inc., a consultancy specializing in safe business use of emerging Internet technologies.

翻译

曾少宁
曾少宁

TechTarget中国特约技术编辑,某高校计算机科学专业教师和网络实验室负责人,曾任职某网络国际厂商,关注数据中心、开发运维、数据库及软件开发技术。有多本关于思科数据中心和虚拟化技术的译著,如《思科绿色数据中心建设与管理》和《基于IP的能源管理》等。

相关推荐