通過設(shè)備識別實施WLAN訪問控制策略

在無線LAN認(rèn)證系列文章的第一部分中，我們介紹了如何確保來賓無線網(wǎng)絡(luò)安全。在第二部分，我們探討無線LAN訪問控制的方法，包括創(chuàng)建策略、設(shè)備識別和整合其他網(wǎng)絡(luò)訪問控制解決方案。

　　對于網(wǎng)絡(luò)安全和無線LAN(WLAN)訪問控制，企業(yè)已經(jīng)取得了巨大的突破。最遠(yuǎn)可追溯到靜態(tài)可破解的WEP密鑰，然后是部署較強(qiáng)的認(rèn)證和加密所需要的第三方Wi-Fi客戶端和OS補(bǔ)丁?，F(xiàn)在，一些Wi-Fi設(shè)備和現(xiàn)有的操作系統(tǒng)已經(jīng)可以支持WPA2-Enterprise了，甚至電話等小型可識別設(shè)備也可提供支持。

　　即使有這樣一些進(jìn)步，(具備802.1X認(rèn)證和AES加密的)WPA2-Enterprise仍然沒有占據(jù)主導(dǎo)地位。802.1X需要整合很多組件，它們來自多個供應(yīng)商，并且通常由不同部分管理。要想取得成功就必須要進(jìn)行規(guī)劃和協(xié)調(diào)，包括用戶帳號管理、設(shè)備分配和網(wǎng)絡(luò)整合。幸運的是，現(xiàn)在已經(jīng)出現(xiàn)了更好的有助于解決無線LAN訪問控制問題的工具。

　　從群組策略開始進(jìn)行WLAN訪問控制

　　雖然使用802.1X的企業(yè)往往能夠很好地控制公司擁有的筆記本電腦，但這對其它無線設(shè)備則不可同日而語，特別是那些不由IT部門采購的設(shè)備。

　　IT經(jīng)常會在發(fā)布筆記本電腦之前將它們添加到Active Directory，是通過使用Group Policy Objects自動配置802.1X參數(shù)來反映每個用戶的組群成員身份而實現(xiàn)的。Windows 7、Vista和XP都支持802.1X群組策略，包括有線和無線客戶，Microsoft Windows Server 2008 R2指南中有這方面的描述：

　　Access Group Policy Extensions for 802.1X Wired and Wireless

　　Configure 802.1X Wired Access Clients by using Group Policy Management

　　Configure 802.1X Wireless Access Clients by using Group Policy Management

　　但是目前大多數(shù)工作人員使用的一些無線設(shè)備往往都不是運行在Windows上，甚至也不是IT部門購買的。有些IT部門將這種員工自行購買的大量的智能手機(jī)和平板電腦作為來賓設(shè)備對待。例如，當(dāng)CFO從他們的筆記本電腦登錄到無線LAN上時，他們可能被要求連接到公司的SSID，并提供基于他們身份和角色的802.1X的登錄信息來獲得訪問權(quán)限。然而，當(dāng)CFO使用他們的個人iPad登錄到無線LAN時，可能會連接到只提供因特網(wǎng)訪問的來賓SSID。這對于那些還沒有處理員工自行購買設(shè)備的公司而言是一個“權(quán)宜之計”，但是這并不是一個理想的長期策略。

　　通過設(shè)備識別實施WLAN訪問控制策略

　　為了解決這個問題，大量的網(wǎng)絡(luò)和安全產(chǎn)品目前都使用了設(shè)備識別技術(shù)。通過觀察MAC地址、協(xié)議、請求和響應(yīng)，人們可以猜測(有一定自信的)一個設(shè)備的制造商、模型和OS。然后這個“指紋”可以根據(jù)訪問控制、設(shè)備分配和策略目的將設(shè)備映射到群組中。

　　目前，Aruba Networks所擁有的Amigopod Visitor Management Appliance (VMA)就是一個設(shè)備識別工具。該裝置可以監(jiān)控設(shè)備使用公司網(wǎng)絡(luò)所發(fā)送的DHCP和HTTP。例如，通過檢查這些流量，VMA云，區(qū)分CFO的公司筆記本電腦和他個人iPad，可以將每個識別的設(shè)備映射到正確的訪問策略上。CFO的筆記本電腦可能由于其可信任狀態(tài)而得到更寬松的訪問權(quán)限，而iPad則只限于企業(yè)的郵件和內(nèi)部網(wǎng)站的訪問。然而，這兩種設(shè)備發(fā)送的所有數(shù)據(jù)將受到WPA2-Enterprise的保護(hù)，其中使用802.1X來控制公司SSID的訪問。

　　這個例子還漏掉了一個問題：CFO的iPad如何配置才能訪問公司的SSID?手動配置是一種可能，但是顯然自動化分配會更好一些。

　　自動化的Wi-Fi客戶分配和配置文件

　　在這個例子中，我們的CFO可能先將他的iPad連接到訪客SSID，并且訪問了提供VMA自動登入頁面。VMA將為我們CFO的iPad生成一個配置文件，并通過郵件或SMS發(fā)送。通過點擊所包含的URL，CFO可以安裝802.1X參數(shù)和證書，從而使能夠iPad訪問公司的SSID。

　　事實上，現(xiàn)在很多產(chǎn)品都提供這種類型的自動化Wi-Fi客戶端分配功能。對于iPad和其他iOS設(shè)備，Apple的iPhone Configuration Utility可以生成(可選擇鎖定和加密的)Wi-Fi配置文件，它們可以發(fā)送到用戶，發(fā)布在網(wǎng)站上，或者通過支持iOS4原生MDM的移動設(shè)備管理器即時安裝。

　　后者適用于AirWatch、BoxTone、MobileIron、Sybase和其他的類型的設(shè)備，可以與企業(yè)的Active Directory注冊整合在一起，同時為每個已經(jīng)批準(zhǔn)的iPad生成證書。如果有一臺iPad丟失了，那么所有安裝的MDM文件(包括Wi-Fi設(shè)置)都會被刪除。然而，MDM并不局限于支持Apple設(shè)備——其中很多都可以用來注冊和分配Androids、BlackBerrys以及員工擁有的筆記本電腦和上網(wǎng)本。

　　整合802.1X認(rèn)證和網(wǎng)絡(luò)訪問控制

　　由于有了一種有效新無線設(shè)備識別方法，在沒有IT協(xié)助的情況下使用WPA2-Enterprise進(jìn)行登記并為每個員工應(yīng)用恰當(dāng)?shù)脑L問策略并不是一件困難的事。但是如果WPA2與NAC整合到一起，那么策略的實施效果更佳。

　　接入端(AP)和控制器經(jīng)過簡單的配置就可以將請求轉(zhuǎn)發(fā)到802.1X認(rèn)證服務(wù)器上——其中有很多甚至已經(jīng)內(nèi)置在使用本地帳戶數(shù)據(jù)庫的認(rèn)證服務(wù)器上了。為了簡化多個供應(yīng)商設(shè)備的互操作性，Wi-Fi Alliance現(xiàn)在對所有WPA2-Enterprise 認(rèn)證的產(chǎn)品進(jìn)行了Extensible Authentication Protocol (EAP)類型測試，包括EAP-TLS、EAP-TTLS/MSCHAPv2、PEAPv0/EAP-MSCHAPv2、PEAPv1/EAP-GTC、EAP-SIM、EAP-AKA和EAP-FAST。

　　然而，在沒有使用NAC的情況下，802.1X可以作為簡單交換使用：如果出錯您就會無法連接無線LAN;如果成功，您就可以獲得您所在用戶/群組的對應(yīng)訪問權(quán)限(通常是通過RFC 3580 VLAN標(biāo)簽實現(xiàn))。但是，如果與NAC一起使用時，802.1X就可以根據(jù)用戶/群組的身份和設(shè)備安全狀態(tài)來執(zhí)行策略決定。雖然NAC可以在沒有802.1X的情況下執(zhí)行，但是這二種技術(shù)一起使用就可以實現(xiàn)更強(qiáng)大的企業(yè)無線LAN訪問控制。

【推薦閱讀】

◆網(wǎng)管軟件專區(qū)

◆網(wǎng)管員教程：教你測試局域網(wǎng)網(wǎng)速

◆網(wǎng)管員經(jīng)驗分享：單物理接口NAT的總結(jié)

◆網(wǎng)管員經(jīng)驗：誤設(shè)IP引發(fā)路由異常問題解決

◆IT運維管理專區(qū)