Cómo administrar el control de acceso para dispositivos Wi-Fi integrados

Utilice WPA2-Personal para controlar dispositivos Wi-Fi integrados

WPA2-Personal es un método que a menudo se pasa por alto entre los métodos de control de acceso a dispositivos LAN inalámbricos integrados: Clave precompartida (PSK)

Autenticación y cifrado AES. "Personal" significa que este método no es una estrategia diseñada para LAN inalámbricas empresariales y no se recomienda PSK para controlar dispositivos que puedan ser controlados efectivamente por WPA2-Enterprise. Sin embargo, para productos de electrónica de consumo que no admiten WPA2-Enterprise o autenticación de dispositivos, PSK es una alternativa viable.

Ahora, todos los productos de electrónica de consumo que admiten Wi-Fi deben admitir WPA2-Personal; más de 1.800 dispositivos admiten la configuración protegida de Wi-Fi (WPS). WPS es un método simple que habilita WPA2-Personal de una manera relativamente estricta con pocos o ningún elemento de datos.

Para utilizar WPS, debemos buscar el código PIN WPS único impreso en el embalaje o en el panel de montaje LCD del dispositivo cliente.

Ingrese a la página de instalación WPS del AP o controlador a través del código PIN. Las partes que se comunican completarán un protocolo de enlace seguro, durante el cual el cliente obtendrá un PSK aleatorio. Hay algunos clientes WPS que también admiten el uso de instalación automatizada o de comunicación de campo cercano (NFC) como alternativa a la instalación basada en PIN. No importa qué método se utilice, WPS no solo puede lograr la instalación automática de PSK, sino también generar un PSK aleatorio largo que es lo suficientemente fuerte como para resistir ataques.

Cuando un dispositivo integrado se autentica de esta manera, se pueden utilizar políticas generales para controlar el flujo de tráfico. Cada SSID se asignará a una VLAN y se priorizará y filtrará según el protocolo para adaptarse a diferentes tipos de equipos y propósitos comerciales. Por ejemplo, sólo puede permitir que las impresoras inalámbricas se conecten a través del protocolo de impresión, sin admitir Telnet, SNMP u otros paquetes desconocidos que podrían atacar estos dispositivos integrados.

Utilice Wi-Fi Direct para gestionar el tráfico desde dispositivos Wi-Fi integrados

Desde el principio, los controladores y AP empresariales no admitían ampliamente WPS. Sin embargo, todos los productos con certificación Wi-Fi

Direct deben ser compatibles con WPS. Esta especificación de Wi-Fi Alliance de extremo a extremo admite conexiones directas simples de dispositivo a dispositivo sin la necesidad de AP o modelos tradicionales de Wi-Fi punto a punto. Los dispositivos que admiten Wi-Fi Direct pueden descubrir otros dispositivos, formando un "grupo" de Wi-Fi Direct que consta de dos o más dispositivos. Estas agrupaciones autoorganizadas están diseñadas para simplificar las comunicaciones requeridas a través de una conexión Wi-Fi, como el intercambio de archivos y la impresión entre productos electrónicos de consumo.

Para facilitar el uso y la separación del tráfico, es posible que las empresas deseen autorizar selectivamente el uso

Directo de Wi-Fi. Por ejemplo, el equipo de red debe poder autorizar capacidades de impresión inalámbrica a los usuarios sin pasar por la red corporativa. Para coexistir con las LAN inalámbricas empresariales, Wi-Fi

Direct define una opción de "dispositivo administrado" que TI puede usar para controlar los canales y la energía de Wi-Fi

Direct. Sin embargo, los productos que admiten esta opción aún no están disponibles y es demasiado pronto para hablar sobre el impacto real de Wi-Fi Direct en las LAN inalámbricas empresariales.

Más métodos de autenticación para dispositivos Wi-Fi integrados

Para admitir la autenticación WPA2-Enterprise, los dispositivos Wi-Fi integrados también requieren un certificado 802.1X sin intervención del usuario, como el Certificado del dispositivo. Estos certificados aún no se utilizan ampliamente en dispositivos electrónicos de consumo, pero algunos dispositivos de gama alta pueden admitir EAP-TLS, que utiliza certificados emitidos por empresas. Por ejemplo, algunos dispositivos pueden proporcionar un chip TPM para el almacenamiento seguro de claves o pueden tener una ranura especial que admita una tarjeta inteligente externa o un USB con certificado.

Además, los dispositivos Wi-Fi que implementan Cisco Compatible Extensions

(CCX) también admiten EAP-FAST. Este EAP permite a las empresas emitir certificados de acceso protegido (PAC), que se pueden utilizar para proteger la autenticación 802.1X no interactiva que no utiliza certificados electrónicos. Los dispositivos certificados CCX actuales incluyen dispositivos portátiles de voz Wi-Fi, computadoras portátiles, dispositivos portátiles resistentes y algunos teléfonos inteligentes.

Otro método de autenticación disponible para smartphones GSM es EAP-SIM, un tipo de EAP que identifica el dispositivo a través de su Módulo de Identidad de Suscriptor (SIM). Para los teléfonos inteligentes UMTS,

EAP-AKA proporciona una funcionalidad similar. Estos certificados probablemente sean más utilizados por los operadores móviles que por las empresas en general, pero también tienen una función interesante: la itinerancia Wi-Fi/3G. En particular, Wi-Fi Alliance está desarrollando ahora un programa de certificación de puntos de acceso basado en IEEE 802.11u para ayudar a los dispositivos móviles integrados a lograr una itinerancia transparente (por ejemplo, teléfonos móviles inteligentes y tabletas). Los dispositivos certificados pueden descubrir los mejores puntos de acceso cercanos y conectarse a ellos mediante WPA2-Enterprise con EAP-SIM o EAP-AKA sin interrupción y sin intervención del usuario. En la práctica, los operadores pueden utilizar protocolos de roaming para implementar la conmutación y facturación de llamadas/sesiones, lo que resulta en una experiencia de usuario similar a la roaming de voz inalámbrica actual.

Los dispositivos Wi-Fi integrados siguen siendo una mezcla y están fuertemente influenciados por el tipo de dispositivo, las características de seguridad de Wi-Fi (incluido el tipo EAP) y el uso empresarial objetivo. Tenga en cuenta que la toma de huellas digitales del dispositivo también puede entrar en juego aquí, aunque sólo sea para lograr visibilidad de los dispositivos integrados sin la necesidad de operaciones de TI. Las empresas deben ser conscientes de este problema y pueden considerar el uso de estrategias creativas "listas para usar" para abordar las necesidades de control de acceso sin exponer la LAN inalámbrica empresarial a riesgos significativos.