在无线LAN认证系列文章的第一部分中,我们介绍了如何确保来宾无线网络安全。在第二部分,我们探讨无线LAN访问控制的方法,包括创建策略、设备识别和整合其他网络访问控制解决方案。
对于网络安全和无线LAN(WLAN)访问控制,企业已经取得了巨大的突破。最远可追溯到静态可破解的WEP密钥,然后是部署较强的认证和加密所需要的第三方Wi-Fi客户端和OS补丁。现在,一些Wi-Fi设备和现有的操作系统已经可以支持WPA2-Enterprise了,甚至电话等小型可识别设备也可提供支持。
即使有这样一些进步,(具备802.1X认证和AES加密的)WPA2-Enterprise仍然没有占据主导地位。802.1X需要整合很多组件,它们来自多个供应商,并且通常由不同部分管理。要想取得成功就必须要进行规划和协调,包括用户帐号管理、设备分配和网络整合。幸运的是,现在已经出现了更好的有助于解决无线LAN访问控制问题的工具。
从群组策略开始进行WLAN访问控制
虽然使用802.1X的企业往往能够很好地控制公司拥有的笔记本电脑,但这对其它无线设备则不可同日而语,特别是那些不由IT部门采购的设备。
IT经常会在发布笔记本电脑之前将它们添加到Active Directory,是通过使用Group Policy Objects自动配置802.1X参数来反映每个用户的组群成员身份而实现的。Windows 7、Vista和XP都支持802.1X群组策略,包括有线和无线客户,Microsoft Windows Server 2008 R2指南中有这方面的描述:
Access Group Policy Extensions for 802.1X Wired and Wireless
Configure 802.1X Wired Access Clients by using Group Policy Management
Configure 802.1X Wireless Access Clients by using Group Policy Management
但是目前大多数工作人员使用的一些无线设备往往都不是运行在Windows上,甚至也不是IT部门购买的。有些IT部门将这种员工自行购买的大量的智能手机和平板电脑作为来宾设备对待。例如,当CFO从他们的笔记本电脑登录到无线LAN上时,他们可能被要求连接到公司的SSID,并提供基于他们身份和角色的802.1X的登录信息来获得访问权限。然而,当CFO使用他们的个人iPad登录到无线LAN时,可能会连接到只提供因特网访问的来宾SSID。这对于那些还没有处理员工自行购买设备的公司而言是一个“权宜之计”,但是这并不是一个理想的长期策略。
通过设备识别实施WLAN访问控制策略
为了解决这个问题,大量的网络和安全产品目前都使用了设备识别技术。通过观察MAC地址、协议、请求和响应,人们可以猜测(有一定自信的)一个设备的制造商、模型和OS。然后这个“指纹”可以根据访问控制、设备分配和策略目的将设备映射到群组中。
目前,Aruba Networks所拥有的Amigopod Visitor Management Appliance (VMA)就是一个设备识别工具。该装置可以监控设备使用公司网络所发送的DHCP和HTTP。例如,通过检查这些流量,VMA云,区分CFO的公司笔记本电脑和他个人iPad,可以将每个识别的设备映射到正确的访问策略上。CFO的笔记本电脑可能由于其可信任状态而得到更宽松的访问权限,而iPad则只限于企业的邮件和内部网站的访问。然而,这两种设备发送的所有数据将受到WPA2-Enterprise的保护,其中使用802.1X来控制公司SSID的访问。
这个例子还漏掉了一个问题:CFO的iPad如何配置才能访问公司的SSID?手动配置是一种可能,但是显然自动化分配会更好一些。
自动化的Wi-Fi客户分配和配置文件
在这个例子中,我们的CFO可能先将他的iPad连接到访客SSID,并且访问了提供VMA自动登入页面。VMA将为我们CFO的iPad生成一个配置文件,并通过邮件或SMS发送。通过点击所包含的URL,CFO可以安装802.1X参数和证书,从而使能够iPad访问公司的SSID。
事实上,现在很多产品都提供这种类型的自动化Wi-Fi客户端分配功能。对于iPad和其他iOS设备,Apple的iPhone Configuration Utility可以生成(可选择锁定和加密的)Wi-Fi配置文件,它们可以发送到用户,发布在网站上,或者通过支持iOS4原生MDM的移动设备管理器即时安装。
后者适用于AirWatch、BoxTone、MobileIron、Sybase和其他的类型的设备,可以与企业的Active Directory注册整合在一起,同时为每个已经批准的iPad生成证书。如果有一台iPad丢失了,那么所有安装的MDM文件(包括Wi-Fi设置)都会被删除。然而,MDM并不局限于支持Apple设备——其中很多都可以用来注册和分配Androids、BlackBerrys以及员工拥有的笔记本电脑和上网本。
整合802.1X认证和网络访问控制
由于有了一种有效新无线设备识别方法,在没有IT协助的情况下使用WPA2-Enterprise进行登记并为每个员工应用恰当的访问策略并不是一件困难的事。但是如果WPA2与NAC整合到一起,那么策略的实施效果更佳。
接入端(AP)和控制器经过简单的配置就可以将请求转发到802.1X认证服务器上——其中有很多甚至已经内置在使用本地帐户数据库的认证服务器上了。为了简化多个供应商设备的互操作性,Wi-Fi Alliance现在对所有WPA2-Enterprise 认证的产品进行了Extensible Authentication Protocol (EAP)类型测试,包括EAP-TLS、EAP-TTLS/MSCHAPv2、PEAPv0/EAP-MSCHAPv2、PEAPv1/EAP-GTC、EAP-SIM、EAP-AKA和EAP-FAST。
然而,在没有使用NAC的情况下,802.1X可以作为简单交换使用:如果出错您就会无法连接无线LAN;如果成功,您就可以获得您所在用户/群组的对应访问权限(通常是通过RFC 3580 VLAN标签实现)。但是,如果与NAC一起使用时,802.1X就可以根据用户/群组的身份和设备安全状态来执行策略决定。虽然NAC可以在没有802.1X的情况下执行,但是这二种技术一起使用就可以实现更强大的企业无线LAN访问控制。