WiFi 证书身份验证：数字证书如何保护无线网络安全

WiFi证书身份验证：数字证书如何保护无线网络安全。Purple技术简报。 简介与背景。 欢迎来到Purple技术简报系列。我是主持人，今天我们将讨论企业网络安全中最重要且经常被误解的主题之一：WiFi证书身份验证。 如果您经营一家酒店集团、零售连锁店、会议中心，或任何员工和访客都连接到无线基础设施的组织，本次简报直接关系到您当前的安全态势。 让我描述一下场景。保护企业WiFi的传统方法是使用预共享密钥——一个每个人都知道的密码，它会被写在白板上，在Slack频道中共享，而且坦率地说，永远不会改变，因为更改它意味着要更新整个设施中的每一台设备。这种模式已经过时了。它一直都是错误的。基于证书的身份验证是严肃企业网络十多年来一直在做的事情，如果您还没有过渡，本次简报将为您提供清晰度来做出决定。 那么——究竟什么是WiFi证书身份验证，它为什么重要，以及如何实际部署？让我们深入探讨。 技术深入。 让我们从基础开始。在WiFi身份验证的背景下，数字证书是一种X.509数字凭证——本质上是一个经过加密签名的文档，证明设备或用户的身份。可以把它想象成网络端点的护照。与密码不同，密码是一种可以被窃取、猜测或泄露的共享秘密，证书在数学上绑定到一个特定的私钥，该私钥永远不会离开设备。您无法网络钓鱼证书。您无法暴力破解它。而且至关重要的是，当设备丢失或员工离职时，您可以立即吊销它。 使这一切工作的底层框架称为PKI——公钥基础设施。PKI是一个信任层次结构。顶部是根证书颁发机构——最终的信任锚点。在其下方，通常有一个或多个中间证书颁发机构，它们实际向设备和用户颁发终端实体证书。这个层次结构很重要，因为它意味着您的根CA可以完全离线并物理隔离，大大减少攻击面。如果中间CA被泄露，您可以吊销它而不影响根CA。 现在，这在WiFi网络上实际上是如何工作的？协议栈是IEEE 802.1X——基于端口的网络访问控制标准——结合EAP-TLS，代表可扩展身份验证协议与传输层安全。这是企业WiFi安全的黄金标准。 以下是身份验证流程。当客户端设备尝试连接到您的企业SSID时，接入点——在802.1X中称为认证器——不会立即授予网络访问权限。相反，它在客户端和您的RADIUS服务器（在802.1X术语中称为认证服务器）之间代理EAP对话。客户端出示其证书。RADIUS服务器根据您的PKI验证该证书——检查签名链、有效期和吊销状态。同时——这是使EAP-TLS真正优于大多数其他EAP方法的部分——客户端还验证服务器证书。这种相互认证防止了恶意接入点攻击，攻击者设置一个假的WiFi网络来收集凭据。使用EAP-TLS，双方在传输任何数据之前都证明自己的身份。 一旦相互认证成功，RADIUS服务器向接入点发送访问接受消息，客户端被放置在适当的网络段中——无论是企业VLAN、受限的访客段，还是基于证书属性的特定策略组。 让我们谈谈证书生命周期，因为这是许多部署遇到操作摩擦的地方。证书被颁发，它们有一个有效期——设备证书通常为1到3年——必须在到期前续订。它们也可以在到期前被吊销，如果设备被盗或退役。吊销通过两种机制处理：CRL，即证书吊销列表，它是定期发布的已吊销证书序列号列表；和OCSP，在线证书状态协议，它允许实时吊销检查。对于大型企业部署，强烈推荐OCSP，因为CRL文件可能变得非常大并引入延迟。 证书注册——首先将证书安装到设备上——通过如SCEP（简单证书注册协议）或EST（安全传输上的注册）等协议处理，后者是更现代的替代方案。在Microsoft环境中，您通常使用Active Directory证书服务和组策略自动向加入域的计算机注册证书。对于移动设备管理场景，您的MDM平台——无论是Intune、Jamf还是其他解决方案——作为设备配置文件的一部分处理证书分发。 现在，这与访客WiFi如何交叉？这是一个重要的区别。证书身份验证主要是一种企业网络控制。您的客人不会有企业PKI颁发的证书。对于访客访问，您在一种不同的身份验证模型下运行——通常是带有社交登录、电子邮件注册的Captive Portal，或者越来越多的Passpoint和OpenRoaming，它们在基础设施级别使用证书，以实现跨场所无缝、安全的漫游。Purple的平台正好处于访客WiFi领域，提供身份捕获、分析和参与层，位于安全无线基础设施之上。 关键的架构原则是网络分段：您经过证书身份验证的企业SSID和您的访客WiFi SSID在逻辑上是分开的，它们之间有适当的防火墙策略。如果您在无线基础设施附近处理信用卡支付，这对于PCI DSS合规是非协商性的，并且鉴于您在两个网络上处理的数据，强烈建议用于GDPR合规。 实施建议和陷阱。 让我给您实际部署指导——以及我看到组织反复陷入的陷阱。 首先，在您接触任何接入点之前规划您的PKI。最常见的错误是使用扁平的、单层CA结构部署证书身份验证。始终实施至少两层层次结构并使用离线根CA。操作开销很小；安全收益显著。 第二，搞好RADIUS基础设施。单个RADIUS服务器是单点故障。至少部署两台RADIUS服务器，以主动-被动或主动-主动配置，并测试故障转移。我见过组织正确部署802.1X，然后在中断期间发现他们的RADIUS故障转移没有在接入点上配置。 第三，证书有效期需要与MDM刷新周期对齐。如果MDM每90天推送证书续订，但证书有效期为12个月，您将出现缺口。自动续订并在到期前60天设置警报。 第四——这一点常常让人措手不及——iOS和Android处理证书信任的方式不同。iOS要求用户在首次连接时明确信任根CA证书，除非通过MDM推送。Android行为因版本和制造商而异。在正式上线前，在每种设备类别上测试客户端体验。 第五个陷阱是OCSP可用性。如果OCSP响应器位于内部，并且客户端在身份验证期间无法联系到它——也许因为他们第一次连接时还没有网络访问权限——身份验证可能会失败或回退到CRL。设计OCSP基础设施使其可从预身份验证状态访问，或配置RADIUS服务器适当缓存OCSP响应。 快速问答。 让我快速回答我最常被问到的问题。 问题：我们可以同时使用证书身份验证和我们现有的访客WiFi门户吗？绝对可以。它们是具有不同身份验证机制的独立SSID。企业用户通过EAP-TLS进行身份验证；访客通过Captive Portal流程。Purple处理访客端；RADIUS基础设施处理企业端。 问题：当设备丢失或被盗时会发生什么？您立即通过CA管理控制台吊销证书。下一次该设备尝试连接时，RADIUS服务器检查吊销状态并拒绝连接。使用OCSP，这可以近乎实时。使用CRL，则取决于您的CRL发布间隔——通常数小时。这就是为什么OCSP对于高安全性环境更受青睐。 问题：EAP-TLS与WPA3兼容吗？是的。WPA3-企业版对于最敏感的部署强制使用192位安全模式，而EAP-TLS完全兼容。事实上，WPA3-企业版与EAP-TLS结合是当今企业WiFi最高安全性的配置。 问题：这对我们的PCI DSS合规态势有何影响？积极影响。PCI DSS要求1和要求8都受益于基于证书的身份验证。消除共享预共享密钥消除了一个重大审计发现，并且每个设备的身份意味着您可以清晰审计哪个设备在何时访问了哪个网络段。 总结和后续步骤。 总结一下：通过802.1X和EAP-TLS的WiFi证书身份验证是任何认真对待网络安全的组织的正确方法。它消除了共享秘密，提供了相互认证，实现了细粒度访问控制，并与现有身份基础设施干净集成。 部署路径已经明确：设计PKI层次结构，部署冗余RADIUS基础设施，与MDM集成以进行证书分发，配置接入点为802.1X，并在整个设备群中彻底测试。 对于您的访客网络，那是另一个话题——正是像Purple这样的平台增加真正价值的地方，为您提供安全、合规的访客入门，以及分析和参与能力，将WiFi基础设施转变为业务资产，而不仅仅是公用设施。 如果您正在评估当前的身份验证态势，正确的起点是审计现有SSID配置并审查证书基础设施就绪性。从那里开始，分阶段推出——从一组试点受管设备开始——是全面部署风险最低的路径。 感谢收听本次Purple技术简报。如需进一步阅读，请查看我们企业WiFi安全和最安全的WiFi身份验证方法的指南，访问Purple网站purple.ai。