员工离职时如何撤销其 WiFi 访问权限

欢迎收听 Purple 技术简报。我是您的主持人，今天我们将探讨企业员工离职流程中最常见的漏洞之一：当员工离职时，他们的 WiFi 访问权限实际上会发生什么变化？ 这听起来很简单。员工交回工牌，人力资源部门关闭他们的账户，然后一切照常。但如果您的网络仍运行在共享的 WPA2 密码上，那么该员工走出大门时依然知道该密码。除非您为所有人轮换密码，否则他们甚至可以在停车场重新连接。 这就是我们今天要做解决的问题。我们将介绍三种可行的基于用户的 WiFi 撤销模型，逐步讲解当天撤销清单，并详细说明 ISO 27001 或 SOC 2 审计员希望在您的日志中看到什么。让我们开始吧。 第一部分：为什么共享密码是错误的工具。 WPA2-Personal（标准的家用路由器设置）使用单一的预共享密钥。网络上的每个人都知道相同的密码。当一个人离职时，该密码在他们的手机、笔记本电脑以及他们连接过的任何设备上仍然有效。撤销其访问权限的唯一方法是更改整个网络的密码，并将其重新分发给每个留任的用户和设备。 在一家拥有 200 名员工的酒店中，这意味着要更新每个销售终端、每台后台电脑以及每位经理的手机。在拥有 50 家门店的零售连锁店中，这意味着要在每个站点进行协调部署。运营成本高昂，业务中断是实实在在的，而且离职人员的最后一天与完成密码轮换之间的时间窗口是一个真正的安全漏洞。 PCI DSS（支付卡行业标准）要求，只要知晓共享凭据的人员离职，就必须更改共享凭据。因此，如果您的收银机与员工 WiFi 处于同一网络，员工离职就会触发合规义务，而不仅仅是最佳实践建议。 根本原因很简单：共享密码没有附加身份。网络无法区分当前员工和前员工。要解决这个问题，您需要基于用户的凭据。 第二部分：三种真正有效的模型。 模型一是基于 802.1X 与 EAP-TLS 证书的身份验证。这是企业 WiFi 安全的金牌标准。 在此模型中，每个用户或设备都持有由您的证书颁发机构（CA）颁发的唯一数字证书。当他们连接到 WiFi 时，RADIUS 服务器会对该证书进行加密验证。证书与身份绑定，而不是密码。要撤销访问权限，您只需在 CA 级别撤销该证书。 RADIUS 服务器使用在线证书状态协议（OCSP）实时检查撤销状态。当您将证书标记为已撤销时，该设备下一次尝试进行身份验证时，RADIUS 服务器会查询 OCSP 响应程序，获取已撤销的响应，并向接入点发送 Access-Reject。在下一次身份验证尝试的几秒钟内，该设备就会被移出网络。 对于活动会话，您可以使用 RADIUS 授权变更（CoA）立即终止现有会话。结合使用 OCSP 和 CoA，意味着您可以在不到一分钟的时间内撤销离职人员的 WiFi 访问权限，并在 RADIUS 日志中保留完整的审计追踪。 EAP-TLS 的挑战在于 PKI（公钥基础设施）的开销。您需要一个证书颁发机构、一种向设备颁发证书的机制（通常通过 Microsoft Intune 等 MDM），以及一个撤销证书的流程。对于拥有成熟 MDM 和身份基础设施的组织，这是正确的解决方案。对于较小的团队或拥有无法支持证书身份验证的 IoT 设备的环境，您需要采用不同的方法。 模型二是 iPSK（身份预共享密钥）。Cisco 称其为 iPSK，Ruckus 称其为 DPSK，Aruba 称其为 MPSK，但概念是相同的：每个用户或设备都会获得一个唯一的密码，即使他们都连接到同一个 SSID。 RADIUS 服务器将每个唯一的密钥映射到特定的身份，并可选择映射到特定的 VLAN。当您从 RADIUS 数据库中删除该密钥时，该设备将无法再进行身份验证。离职人员的影响范围仅限于其个人。其他所有人的密钥仍然有效。 iPSK 特别适用于混合设备类型的环境。物联网设备、销售终端和无法支持 802.1X 证书的传统硬件都可以使用 iPSK。它的操作也比完整的 PKI 部署更简单，这使其成为需要基于用户进行撤销但又不想承担基础设施开销的中型市场组织的正确选择。 iPSK 的撤销时间通常是几分钟，而不是几秒钟。密钥删除会同步到 RADIUS 服务器，但活动会话可能会持续存在，直到设备重新进行身份验证，或者直到您发送 CoA 数据包强制断开连接。 模型三是 SCIM 驱动的自动停用。SCIM 代表跨域身份管理系统。它是一个在 RFC 7643 和 RFC 7644 中定义的开放标准，允许您的身份提供商实时将用户生命周期事件推送给下游系统。 以下是它在实践中的工作原理。您的身份提供商（无论是 Microsoft Entra ID、Okta 还是 Google Workspace）是用户账户的权威信任源。当人力资源部门在身份提供商中禁用离职人员的账户时，SCIM 会向每个连接的系统（包括您的 WiFi 管理平台）发送请求。 Purple 通过 SCIM 连接到您的身份提供商。在您于 Entra ID、Okta 或 Google Workspace 中禁用用户的瞬间，Purple 就会收到 SCIM 事件，并在下一次身份验证时撤销其 WiFi 凭据。该事件会被记录下来，包含时间戳、用户身份和所采取的操作。该日志条目正是 ISO 27001 审计员需要看到的内容。 SCIM 并不能取代 802.1X 或 iPSK。它位于它们之上。SCIM 处理身份生命周期；身份验证协议处理网络执行。SCIM 与 802.1X 的结合为您提供了自动、实时的撤销，并带有完整的审计追踪，且无需任何手动步骤。 第三部分：当天撤销清单。 当离职人员的最后一天到来时，以下是您的 IT 团队应该遵循的步骤顺序。 第一步：在您的身份提供商中禁用该账户。这是触发其他所有操作的源头。在 Microsoft Entra ID 中，将账户设置为禁用。在 Okta 中，停用该用户。在 Google Workspace 中，暂停该账户。 第二步：如果您运行了 SCIM，请验证停用事件是否已触发。检查您的 SCIM 日志或 WiFi 管理平台以获取相应的事件。如果未部署 SCIM，请在您的 CA 中手动撤销证书，或从 RADIUS 数据库中删除 iPSK 密钥。 第三步：发送 RADIUS CoA 以终止任何活动的 WiFi 会话。大多数企业 RADIUS 服务器以及像 Purple 这样的平台都可以在发生停用事件时自动执行此操作。如果您是手动操作，请使用 RADIUS 服务器's CoA 接口，通过 MAC 地址或会话 ID 断开用户设备的连接。 第四步：确认没有残留的活动会话。检查您的 WiFi 控制器仪表板。在 Cisco Meraki、HPE Aruba、Ruckus、Juniper Mist、Ubiquiti UniFi、Cambium、Extreme 或 Fortinet 上，您应该能够通过用户名或设备进行搜索，并确认活动关联为零。 第五步：归档审计日志条目。导出或标记相关用户和日期的 RADIUS 身份验证日志、SCIM 事件日志和 CoA 日志。将这些日志存储在您的 ITSM 或安全信息和事件管理平台中。ISO 27001 附录 A 控制项 A.9.2.6 要求您在终止雇佣时删除或调整所有员工和承包商的访问权限。您的日志就是证据。 第六步：如果您运行的是 WPA2 共享 PSK 且上述方法均不适用，请轮换密码。如果可能，在离职人员的最后一天之前，或紧随其后，协调在所有站点和设备上完成密码部署。 第四部分：审计员期望看到什么。 ISO 27001 和 SOC 2 都要求您证明在雇佣关系结束时能立即取消访问权限。具体针对 WiFi，审计员会寻找四样东西。第一，一份明确包含网络访问权限的书面离职流程。第二，证明该流程已针对离职人员样本（通常是从过去 12 个月中抽取的 10 到 25 个人）得以执行的证据。第三，显示账户禁用时间戳和 WiFi 访问权限撤销时间戳的日志，且两者之间的时间差清晰可见。第四，确认前员工账户没有显示活动的 WiFi 会话。 如果您运行的是 WPA2 共享 PSK，您将无法提供第三项和第四项的证据。因为没有基于用户的日志。您能做的最好的事情就是展示密码轮换日期，并辩称该操作是在离职人员的最后一天之前或当天完成的。审计员对此的反对意见正越来越多。 如果您运行的是带有 SCIM 的 802.1X，日志是自动生成的。Purple 会记录每个 SCIM 停用事件，并带有 UTC 时间戳、身份提供商来源、用户的唯一标识符以及产生的操作。这是一个干净、可审计的记录。 第五部分：实施陷阱及如何避免。 最常见的错误是认为在身份提供商中禁用账户就足够了。事实并非如此，除非您的 WiFi 平台通过 SCIM 或类似的实时集成连接到该身份提供商。如果没有这种连接，WiFi 系统就无法得知账户已被禁用。 第二个陷阱是证书缓存。即使使用 OCSP，RADIUS 服务器也会在可配置的时间段内（通常为 15 到 60 分钟）缓存良好的响应。如果您撤销了证书，而 RADIUS 服务器拥有缓存的良好响应，则该设备可能会继续通过身份验证，直到缓存过期。对于高安全性的环境，请将您的 OCSP 缓存 TTL 设置为 15 分钟或更短。 第三个陷阱是忘记活动会话。撤销凭据可以阻止新的身份验证，但不会终止现有的 WiFi 会话。在撤销凭据后，务必发送 RADIUS CoA 以立即断开设备连接。 第四个陷阱是物联网和共享设备。注册在离职人员身份下的设备可能是共享工作站或某件运营硬件。在撤销之前，请确认该设备是个人设备而非共享设备。如果是共享设备，请在撤销离职人员凭据之前，将其重新注册在服务账户下。 第六部分：快速问答。 问：基于证书的 WiFi 访问权限撤销速度有多快？ 答：结合使用 OCSP 和 RADIUS CoA，从您在 CA 撤销证书的那一刻起，不到 60 秒即可完成。OCSP 检查会在下一次身份验证尝试时发生。CoA 会立即终止活动会话。 问：SCIM 是否适用于所有 WiFi 硬件？ 答：SCIM 运行在身份管理层，而不是硬件层。Purple 与硬件无关，适用于 Cisco Meraki、HPE Aruba、Ruckus、Juniper Mist、Ubiquiti UniFi、Cambium、Extreme 和 Fortinet。SCIM 集成是与 Purple 进行的，而不是直接与接入点集成。 问：如果我们没有 MDM 且无法部署证书怎么办？ 答：iPSK 就是您的解决方案。它为您提供基于用户的撤销，而无需证书基础设施。Purple 可以管理 iPSK 密钥并连接到您的身份提供商以实现生命周期的自动化。 总结与后续步骤。 核心信息是：如果您无法在不影响其他所有人的情况下撤销单个人的 WiFi 访问权限，那么您就存在共享凭据问题。解决方案是基于用户的凭据，无论是通过 802.1X EAP-TLS 的证书，还是通过 iPSK 的唯一密钥，并结合 SCIM 驱动的自动停用，以便在人力资源部门采取行动的瞬间自动执行撤销。 Purple 通过 SCIM 连接到 Microsoft Entra ID、Okta 和 Google Workspace，在 80,000 个活跃场所运行，并记录每个停用事件以供审计。如果您正在为 ISO 27001 或 SOC 2 做准备，或者只是想在离职漏洞演变成安全事件之前将其堵塞，这就是您的起点。 有关证书撤销和 OCSP 的完整技术分析，请参阅我们的《用于 WiFi 身份验证的 OCSP 和证书撤销指南》。有关更广泛的入职-异动-离职自动化全景，请参阅我们的《企业 WiFi 安全指南》。 感谢收听 Purple 技术简报。