如何在員工離職時撤銷 WiFi 存取權限

歡迎收聽 Purple 技術簡報。我是您的主持人，今天我們要探討企業離職流程中最常見的漏洞之一：當員工離職時，WiFi 存取權限實際上會發生什麼變化？ 這聽起來很簡單。有人交回識別證，人資關閉他們的帳戶，然後就結束了。但如果您的網路仍在使用共用的 WPA2 密碼，那個人走出大門時依然知道密碼。除非您為所有人輪換密碼，否則他們可以從停車場重新連線。 這就是我們今天要解決的問題。我們將介紹三種可行且可靠的每使用者 WiFi 撤銷模式，逐步說明當天撤銷檢查清單，並詳細解釋 ISO 27001 或 SOC 2 稽核員希望在您的記錄中看到什麼。讓我們開始吧。 第一部分：為什麼共用密碼是錯誤的工具。 WPA2-Personal（標準家用路由器設定）使用單一預先共用金鑰。網路上的每個人都知道同一個密碼。當一個人離職時，該密碼在他們的電話、筆記型電腦以及他們連線過的任何裝置上仍然有效。撤銷其存取權限的唯一方法是變更整個網路的密碼，並將其重新分發給所有剩餘的使用者和裝置。 在一家擁有 200 名員工的飯店中，這意味著要更新每個 POS 終端機、每台後台電腦、每位經理的手機。在擁有 50 家分店的零售連鎖店中，這意味著要在所有據點進行協調部署。營運成本很高，造成的干擾是實實在在的，而且離職者的最後一天到完成密碼輪換之間的時間差是一個真正的安全漏洞。 PCI DSS（支付卡產業標準）要求您在知悉共用認證的人員離職時變更這些認證。因此，如果您的收銀機與員工 WiFi 處於同一個網路中，離職者將觸發合規義務，而不僅僅是最佳實踐建議。 根本原因很簡單：共用密碼沒有附加身分識別。網路無法區分現有員工和前員工。要解決這個問題，您需要每使用者認證。 第二部分：三種真正有效的方法。 第一種是使用基於 EAP-TLS 憑證驗證的 802.1X。這是企業 WiFi 安全的金科玉律。 在此模式中，每個使用者或裝置都持有由您的憑證授權單位（CA）核發的唯一數位憑證。當他們連線到 WiFi 時，RADIUS 伺服器會對該憑證進行密碼學驗證。憑證與身分識別綁定，而不是密碼。要撤銷存取權限，您只需在 CA 層級撤銷該憑證。 RADIUS 伺服器使用線上憑證狀態協定（OCSP）即時檢查撤銷狀態。當您將憑證標記為已撤銷時，該裝置下一次嘗試驗證時，RADIUS 伺服器會查詢 OCSP 回應程式，收到已撤銷的回應，並向存取點傳送 Access-Reject。在下一次驗證嘗試的幾秒鐘內，該裝置就會被踢出網路。 對於作用中的工作階段，您可以使用 RADIUS 授權變更（CoA）立即終止現有的工作階段。結合 OCSP 和 CoA，意味著您可以在不到一分鐘的時間內撤銷離職者的 WiFi 存取權限，並在 RADIUS 記錄中留下完整的稽核軌跡。 EAP-TLS 的挑戰在於 PKI 開銷。您需要一個憑證授權單位、一個向裝置核發憑證的機制（通常透過 Microsoft Intune 等 MDM），以及一個撤銷憑證的流程。對於擁有成熟 MDM 和身分識別基礎架構的組織來說，這是正確的答案。對於較小的團隊或擁有無法支援憑證驗證之 IoT 裝置的環境，您需要不同的方法。 第二種是 iPSK（身分識別預先共用金鑰）。Cisco 稱其為 iPSK，Ruckus 稱其為 DPSK，Aruba 稱其為 MPSK，但概念是相同的：每個使用者或裝置都會獲得一個唯一的密碼，即使他們都連線到同一個 SSID。 RADIUS 伺服器將每個唯一的金鑰對應到特定的身分識別，並可選擇對應到特定的 VLAN。當您從 RADIUS 資料庫中刪除該金鑰時，該裝置將無法再進行驗證。離職者的波及範圍僅限於該特定人員。其他所有人的金鑰仍然有效。 iPSK 特別適用於混合裝置類型的環境。IoT 裝置、POS 終端機以及無法支援 802.1X 憑證的舊型硬體都可以使用 iPSK。它的操作也比完整的 PKI 部署更簡單，使其成為需要每使用者撤銷且無需基礎架構開銷的中型市場組織的正確選擇。 iPSK 的撤銷時間通常是幾分鐘，而不是幾秒鐘。金鑰刪除會傳播到 RADIUS 伺服器，但作用中的工作階段可能會持續存在，直到裝置重新驗證，或者直到您傳送 CoA 封包以強制中斷連線。 第三種是 SCIM 驅動的取消佈署。SCIM 代表跨網域身分識別管理系統。它是一個在 RFC 7643 和 RFC 7644 中定義的開放標準，允許您的身分識別提供者即時將使用者生命週期事件推送到下游系統。 以下是它在實務中的運作方式。您的身分識別提供者（無論是 Microsoft Entra ID、Okta 還是 Google Workspace）是使用者帳戶的權威信任來源。當人資在身分識別提供者中停用離職者的帳戶時，SCIM 會向每個連接的系統（包括您的 WiFi 管理平台）傳送請求。 Purple 透過 SCIM 連接到您的身分識別提供者。當您在 Entra ID、Okta 或 Google Workspace 中停用使用者時，Purple 會立即收到 SCIM 事件，並在下一次驗證時撤銷其 WiFi 認證。該事件會記錄時間戳記、使用者身分識別和所採取的行動。該記錄項目正是 ISO 27001 稽核員需要看到的內容。 SCIM 並不取代 802.1X 或 iPSK。它位於它們之上。SCIM 處理身分識別生命週期；驗證協定則處理網路強制執行。SCIM 加上 802.1X 的組合為您提供了自動、即時的撤銷，並具有完整的稽核軌跡，且無需任何手動步驟。 第三部分：當天撤銷檢查清單。 當離職者的最後一天到來時，以下是您的 IT 團隊應遵循的順序。 第一步：在您的身分識別提供者中停用帳戶。這是觸發其他所有操作的起點。在 Microsoft Entra ID 中，將帳戶設定為已停用。在 Okta 中，停用該使用者。在 Google Workspace 中，將帳戶停權。 第二步：如果您正在執行 SCIM，請驗證取消佈署事件是否已觸發。檢查您的 SCIM 記錄或您的 WiFi 管理平台是否有對應的事件。如果未部署 SCIM，請手動在 CA 中撤銷憑證，或從 RADIUS 資料庫中刪除 iPSK 金鑰。 第三步：傳送 RADIUS CoA 以終止任何作用中的 WiFi 工作階段。大多數企業級 RADIUS 伺服器以及像 Purple 這樣的平台都可以在取消佈署事件發生時自動執行此操作。如果您是手動執行，請使用 RADIUS 伺服器的 CoA 介面，透過 MAC 位址或工作階段 ID 中斷該使用者裝置的連線。 第四步：確認沒有殘留的作用中工作階段。檢查您的 WiFi 控制器儀表板。在 Cisco Meraki、HPE Aruba、Ruckus、Juniper Mist、Ubiquiti UniFi、Cambium、Extreme 或 Fortinet 上，您應該能夠透過使用者名稱或裝置進行搜尋，並確認作用中關聯為零。 第五步：封存稽核記錄項目。匯出或標記相關使用者和日期的 RADIUS 驗證記錄、SCIM 事件記錄和 CoA 記錄。將這些記錄儲存在您的 ITSM 或安全性資訊與事件管理平台中。ISO 27001 附錄 A 控制措施 A.9.2.6 要求您在終止合約時移除或調整所有員工和承包商的存取權限。您的記錄就是證據。 第六步：如果您正在執行 WPA2 共用 PSK 且上述皆不適用，請輪換密碼。如果可能，請在離職者最後一天之前或緊接其後，協調在所有站點和裝置上進行部署。 第四部分：稽核員期望看到什麼。 ISO 27001 和 SOC 2 都要求您證明在僱用關係結束時立即移除了存取權限。具體針對 WiFi，稽核員會尋找四個要素。第一，一份明確包含網路存取權限的書面離職程序。第二，該程序已針對離職者樣本執行的證據，通常是從過去 12 個月中選出的 10 到 25 個人。第三，顯示帳戶停用時間戳記和 WiFi 存取權限撤銷時間戳記的記錄，且兩者之間的時間差清晰可見。第四，確認沒有前員工帳戶顯示作用中的 WiFi 工作階段。 如果您正在執行 WPA2 共用 PSK，您將無法提供第三和第四項的證據。因為沒有每使用者記錄。您能做的最好方式就是顯示密碼輪換日期，並主張該操作是在離職者最後一天之前或當天完成的。稽核員對此做法的反對聲浪日益升高。 如果您正在執行帶有 SCIM 的 802.1X，記錄是自動生成的。Purple 會記錄每個 SCIM 取消佈署事件，並附帶 UTC 時間戳記、身分識別提供者來源、使用者唯一識別碼以及產生的行動。這是一份乾淨且可供稽核的記錄。 第五部分：實施陷阱及如何避免。 最常見的錯誤是假設在身分識別提供者中停用帳戶就足夠了。事實並非如此，除非您的 WiFi 平台透過 SCIM 或類似的即時整合連接到該身分識別提供者。如果沒有該連接，WiFi 系統就無法得知帳戶已被停用。 第二個陷阱是憑證快取。即使使用 OCSP，RADIUS 伺服器也會在可設定的期間（通常為 15 到 60 分鐘）內快取良好的回應。如果您撤銷了憑證，而 RADIUS 伺服器擁有快取的良好回應，則該裝置可能會繼續進行驗證，直到快取過期。對於高安全性環境，請將您的 OCSP 快取 TTL 設定為 15 分鐘或更短。 第三個陷阱是忘記作用中的工作階段。撤銷認證可防止新的驗證，但不會終止現有的 WiFi 工作階段。在撤銷認證後，務必傳送 RADIUS CoA 以立即中斷裝置連線。 第四個陷阱是 IoT 和共用裝置。註冊到離職者身分識別的裝置可能是共用工作站或某個營運硬體。在撤銷之前，請確認該裝置是個人裝置而非共用裝置。如果是共用裝置，請在撤銷離職者認證之前，將其重新註冊到服務帳戶下。 第六部分：快速問答。 問：基於憑證的 WiFi 存取權限撤銷速度有多快？ 透過 OCSP 和 RADIUS CoA，從您在 CA 撤銷憑證的那一刻起，不到 60 秒即可完成。OCSP 檢查會在下一次驗證嘗試時發生。CoA 則會立即終止作用中的工作階段。 問：SCIM 是否適用於所有 WiFi 硬體？ SCIM 運作於身分識別管理層，而非硬體層。Purple 與硬體無關，適用於 Cisco Meraki、HPE Aruba、Ruckus、Juniper Mist、Ubiquiti UniFi、Cambium、Extreme 和 Fortinet。SCIM 整合是與 Purple 進行，而不是直接與存取點進行。 問：如果我們沒有 MDM 且無法部署憑證該怎麼辦？ iPSK 就是您的答案。它為您提供每使用者撤銷，而無需憑證基礎架構。Purple 可以管理 iPSK 金鑰並連接到您的身分識別提供者以實現生命週期自動化。 摘要與後續步驟。 核心訊息是：如果您無法在不影響其他所有人的情況下撤銷某個人的 WiFi 存取權限，那麼您就面臨了共用認證的問題。解決方法是使用每使用者認證（無論是透過 802.1X EAP-TLS 的憑證，還是透過 iPSK 的唯一金鑰），並結合 SCIM 驅動的取消佈署，以便在人資採取行動的瞬間自動執行撤銷。 Purple 透過 SCIM 連接到 Microsoft Entra ID、Okta 和 Google Workspace，在 80,000 個實體場域中運作，並記錄每個取消佈署事件以供稽核。如果您正在為 ISO 27001 或 SOC 2 做準備，或者只是想在離職者漏洞演變成安全事件之前將其修補，這就是起點。 如需憑證撤銷和 OCSP 的完整技術分析，請參閱我們的「WiFi 驗證的 OCSP 與憑證撤銷指南」。如需更廣泛的新進-異動-離職自動化全景，請參閱我們的「企業級 WiFi 安全指南」。 感謝收聽 Purple 技術簡報。