安全的访客接入：为非受管设备实施 NAC

安全的访客接入：为非受管设备实施 NAC。Purple WiFi 情报简报。 引言与背景。 欢迎。如果您负责酒店、零售连锁店、体育场或公共部门场所的网络安全，那么您正在处理一个日益严峻的问题：如何为客人、访客和承包商提供快速、便捷的 WiFi 访问——同时又不为企业基础设施打开后门？ 这正是我们今天要探讨的内容。这不是理论概述。我们将涵盖架构、部署决策、合规性要求以及现实场景中正确和错误的情况。 核心挑战在于：非受管设备。您的客人使用个人智能手机、笔记本电脑、平板电脑以及越来越多的物联网设备进行连接——您无法控制这些设备，它们都没有安装您的 MDM 代理，如果未正确分段和认证，所有这些都代表潜在的安全风险。网络访问控制 (NAC) 是解决这一问题的框架。让我们深入探讨。 技术深度解读。 首先，让我们明确 NAC 的实际含义。网络访问控制是一种安全框架，它根据策略对网络资源的访问进行强制。它在授予访问权限之前评估谁在连接、他们使用什么设备以及该设备是否符合您的安全态势要求。对于非受管访客设备，态势检查必然是轻量级的，但身份和分段组件至关重要。 该架构分为三个功能层。第一层是身份验证层。对于受管企业设备，您通常会使用带有 EAP-TLS 的 IEEE 802.1X，其中证书通过 MDM 中的 SCEP 推送。但对于非受管访客设备，802.1X 不切实际——客人没有证书，您也无法推送证书。因此，访客的身份验证层依赖于 Captive Portal：一个基于 Web 的身份验证页面，它会拦截初始 HTTP 或 HTTPS 请求，并将用户重定向到登录或注册流程。这就是像 Purple 的 Guest WiFi 解决方案这样的平台发挥作用的地方——通过社交登录、电子邮件、SMS 验证或基于表单的注册来捕获身份，并将该身份传递给 NAC 策略引擎。 第二层是策略引擎。这是做出访问决策的地方。NAC 系统根据您的访问策略评估经过认证的身份，并将设备分配到适当的网段。对于访客，这通常意味着一个专用的访客 VLAN，仅具有互联网访问权限且没有通往企业子网的路由。对于具有已知设备的承包商，您可以将其分配到具有特定内部资源访问权限的受限 VLAN。策略引擎还可以强制执行基于时间的访问——会议代表在活动期间获得访问权限，酒店客人在住宿期间获得访问权限。 第三层是强制执行。这在网络边缘处理——您的无线接入点、交换机和防火墙。NAC 系统通过 RADIUS（远程认证拨入用户服务协议）与这些设备通信。当访客认证时，RADIUS 服务器返回带有 VLAN 分配属性的 Access-Accept 消息，接入点将设备置于正确的 VLAN 上。如果认证失败，RADIUS 服务器返回 Access-Reject，设备将停留在预认证隔离 VLAN 中，只能访问 Captive Portal。 现在，让我们谈谈 WPA3。如果您正在部署或更新您的无线基础设施，WPA3 应该列入您的路线图。WPA3-SAE（意为对等同时认证）取代了 WPA2-PSK，并消除了离线字典攻击的漏洞。对于访客网络，WPA3-OWE（机会性无线加密）尤为相关。OWE 无需密码即可提供加密，这意味着访客无需任何额外操作即可获得加密连接。这比传统的开放访客 SSID 有了显著的改进，后者以明文形式传输数据。 在我们谈论的大多数垂直行业中，合规性是不容商量的。如果您经营着一家带有销售点系统的酒店，PCI DSS 要求持卡人数据环境与访客网络之间进行严格的网络分段。要求很明确：访客 WiFi 必须位于单独的网络段上，且没有通往 PCI 范围的路由。NAC 在网络层执行此操作，您的防火墙策略在外围执行。GDPR 增加了另一个维度——如果您通过 Captive Portal 收集访客身份数据，您需要明确同意、合法的处理依据以及数据保留策略。Purple 的平台原生支持符合 GDPR 的同意捕获，具有可配置的保留期限和审计跟踪。 我们还要讨论一下 MAC 地址随机化，因为这确实是一个操作上的麻烦。自 iOS 14、Android 10 和 Windows 10 起，设备默认每个 SSID 随机化其 MAC 地址。这会破坏任何依赖 MAC 地址作为持久标识符的 NAC 策略。正确的应对措施是将您的身份模型转移到经过身份验证的用户，而不是设备 MAC。当访客通过您的 Captive Portal 进行身份验证时，您将其会话绑定到其经过身份验证的身份——电子邮件、电话号码或社交资料——而不是他们的 MAC 地址。Purple 的分析平台正确处理了这一点，即使在 MAC 地址发生变化的情况下，也能跨会话维护用户级身份。 对于需要对非受管设备进行更强设备态势评估的组织，有基于代理和无代理两种方法。无代理态势评估使用操作系统指纹识别、开放端口扫描和 HTTP 用户代理分析等技术来分类设备并评估基本合规性。这适用于您希望识别设备类型以进行分析或应用差异化策略的访客网络——例如，阻止已知的物联网设备访问某些服务。基于代理的态势评估要求用户安装临时代理，这适用于承包商或合作伙伴访问场景，但会给临时访客带来不便。 实施建议与陷阱。 让我带您了解实际有效的部署顺序。在接触 NAC 配置之前，先从网络分段开始。定义您的 VLAN：一个仅能访问 Captive Portal 和 DNS 的预认证 VLAN，一个具有互联网访问权限且无内部路由的访客 VLAN，以及（可选）一个具有受限内部访问权限的承包商 VLAN。确保您的防火墙 ACL 就位。这是基础——其他一切都在其上构建。 其次，部署您的 RADIUS 基础设施。对于大多数中端市场部署，与您的 Captive Portal 平台集成的云托管 RADIUS 服务是正确的选择。它消除了管理本地 RADIUS 服务器的运营开销，并为您提供生产访客网络所需的冗余。确保您的 RADIUS 共享密钥强度高且定期轮换。 第三，配置您的 Captive Portal。门户需要从预认证 VLAN 可访问——这意味着门户域名的 DNS 解析必须在认证前正常工作。在预认证 VLAN 上配置 DHCP 作用域，以指向解析门户域名的 DNS 服务器。仔细测试——DNS 配置错误是 Captive Portal 故障的最常见原因。 第四，端到端测试您的 VLAN 分配。连接一个测试设备，完成身份验证流程，并验证设备是否以正确的访问策略落在正确的 VLAN 上。使用数据包捕获确认 RADIUS 属性被正确传递。检查访客 VLAN 是否有通往企业子网的路由——从访客 VLAN 到企业 IP 运行 traceroute 并确认它失败。 现在，谈谈陷阱。最常见的故障模式是分割隧道配置错误——由于防火墙规则配置错误或缺少 ACL，访客 VLAN 意外地有一条通往内部资源的路由。上线前审计您的防火墙规则。第二个常见故障是 RADIUS 超时处理——如果您的 RADIUS 服务器不可达，会发生什么？确保您的接入点配置为故障关闭，而不是故障开放。故障开放意味着即使 RADIUS 宕机，访客也能获得网络访问权限，这是一个安全风险。故障关闭意味着如果 RADIUS 不可达则没有访问权限，这是安全部署的正确姿态。第三个陷阱是 Captive Portal 上的证书过期。如果您的门户的 TLS 证书过期，访客将看到浏览器安全警告，您的身份验证率将降至接近零。使用 Let's Encrypt 或您的证书管理平台自动化证书续订。 快速问答。 访客网络需要 802.1X 吗？不需要。802.1X 适用于受管企业设备。对于非受管访客，带有基于 RADIUS 的 VLAN 分配的 Captive Portal 是正确的架构。 我可以为访客和企业设备使用同一个 SSID 吗？技术上可以，使用基于身份验证结果的动态 VLAN 分配。但在操作上，单独的 SSID 更易于管理和审计。将它们分开。 如何处理无法完成 Captive Portal 流程的物联网设备？对于具有预先注册 MAC 地址的已知物联网设备，使用基于 MAC 的身份验证绕过 (MAB)。对于未知的物联网设备，将其置于隔离 VLAN 中并手动检查。 访客访问的合适会话超时是多少？对于酒店业，与客人的住宿时间保持一致。对于零售业，通常为两到四小时。对于活动，与活动时间表保持一致。始终设置空闲超时——30 分钟不活动是一个合理的默认值。 我应该记录访客流量吗？是的，出于法律和合规目的。保留连接日志——源 IP、时间戳、经过身份验证的身份——至少 90 天，如果您的司法管辖区要求则更长。Purple 的平台原生提供此审计跟踪。 总结与后续步骤。 总结一下：为非受管设备提供安全的访客接入是一个已解决的问题，但它需要有意的架构。三个支柱是：身份——谁在连接；分段——他们可以去哪里；以及强制执行——如何确保策略得以实施。NAC 将这些结合在一起，RADIUS 作为身份验证平台与网络基础设施之间的通信协议。 对于您的后续步骤：如果您还没有这样做，请审计您当前的访客网络分段。确认从您的访客 VLAN 到企业子网没有路由。检查您的 Captive Portal 的 GDPR 同意流程和数据保留配置。如果您正在使用带有开放访客 SSID 的 WPA2，请将 WPA3-OWE 纳入您的基础设施更新路线图。 Purple 的平台与此架构直接集成——提供 Captive Portal、身份捕获、GDPR 合规层以及位于 NAC 基础设施之上的分析。如果您想了解这如何映射到您特定的场所环境，Purple 团队可以为您介绍适用于您的用例的参考架构。 感谢收听。这是 Purple WiFi 情报简报，关于安全的访客接入：为非受管设备实施 NAC。