9 181 183 185 186 194 Fallstudie: Das drahtlose Netzwerk von Microsoft Geschichte des drahtlosen Microsoft-LANs Vorüberlegungen bei der Planung Installation des drahtlosen Netzwerks Aktuelle Ausbaustufe und Infrastruktur Zusammenfassung Dieses Kapitel beschreibt, wie Microsoft das eigene sichere Drahtlosnetzwerk mit 802.11b und EAP-TLS-Authentifizierung (Extensible Authentication Protocol – Transport Layer Security) implementiert hat. Als früher Anwender der Drahtlosnetzwerktechnik wurde Microsoft mit einigen Herausforderungen konfrontiert, als es an den Aufbau einer sicheren und zuverlässigen globalen Drahtlosnetzwerkinfrastruktur ging. Inzwischen hat Microsoft über 30.000 drahtlose Clients, und das Drahtlosnetzwerk ist ein Schlüsselelement der unternehmensweiten Infrastruktur. Geschichte des drahtlosen Microsoft-LANs Der Bedarf an einem drahtlosen Zugang zu Unternehmens-LANs steigt durch die wachsende Zahl mobiler Computer wie Laptops und Persönliche Digitale Assistenten (PDAs) immer weiter, ebenso durch den Wunsch der Benutzer, über stabile Verbindungen zum Netzwerk zu verfügen, ohne mit Kabeln an Steckdosen gebunden zu sein, die einen Ortswechsel während der Arbeit verhindern. Microsofts Bestreben, dem Endbenutzer überall und jederzeit eine Verbindung zu ermöglichen, treibt die Entwicklung der eigenen Produkte für drahtlose Verbindungen ebenso voran wie die Bemühungen, eine sichere und zuverlässige unternehmensweite Drahtlosnetzwerkinfrastruktur bereitzustellen. Als erstes Großunternehmen wandte sich Microsoft der Drahtlos-LAN-Technologie (Wireless LAN, WLAN) als Alternative zu verkabelten Laptops zu. Nach der Ratifizierung des IEEE 802.11 WLAN-Standards als internationalen Standard unterstützte Microsoft die IEEE 802.11bErweiterung des frisch veröffentlichten Standards (ratifiziert am 16. September 1999) und begann im Dezember 1999 mit der praktischen Umsetzung von IEEE 802.11b auf dem eigenen Firmengelände in Redmond. Seitdem war Microsoft in den IEEE 802.11-Standardgremien aktiv und führend an der Weiterentwicklung und Verbesserung der Bereiche Datenschutz, Authentifizierung und Netzwerkzuverlässigkeit beteiligt. 181 Kurz nach der Ratifizierung von IEEE 802.11b begann die IEEE 802.1 MAC Bridging-Gruppe mit der Arbeit an der IEEE 802.1X-Erweiterung des 802.1-Bridging-Standards, um einen authentifizierten Portzugriff auf herkömmliche Kabelnetzwerke zu ermöglichen, wie IEEE 802.3 (Ethernet), IEEE 802.5 (Token Ring), Fiber Distributed Data Interface (FDDI) und IEEE 802.11. Anfangs bot Microsoft die Drahtlosverbindung als Ergänzung zu den allgegenwärtigen Kabelnetzwerken an. Obwohl er nicht als Hauptverbindung für den Endbenutzer konzipiert war, entwickelte sich der WLAN-Dienst schnell zu einer begehrten Verbindungsalternative für improvisierte Diskussionen, Software-Vorführungen und die Möglichkeit, die Arbeit in Besprechungen mitzunehmen – und alles wirkte sich positiv auf die Produktivität aus. Nach dem Abschluss der Installation verfügte Microsoft zwar über das größte unternehmensweite WLAN-Netzwerk der Welt, hatte aber sofort die Probleme mit der Einrichtung, Integration und Wartung zu lösen, die ein großes WLAN-Netzwerk mit sich bringt. Mit einer ersten Installation von 2.800 Access Points (Zugriffspunkte) und 19.000 Drahtlosnetzwerkadaptern musste sich Microsoft von Anfang an um Sicherheits- und Skalierbarkeitsprobleme kümmern. So kam Microsoft zum Beispiel zu der Überzeugung, dass die MAC-Adressenfilterung (Media Access Control) und die frühen VPN-Lösungen (Virtual Private Network) keine gut skalierbaren Lösungen für ein globales WLAN darstellen. Bei der ersten Installation von 802.11b auf dem Firmengelände in Redmond wurden statische 128-Bit-Schlüssel zur WEP-Verschlüsselung verwendet, um die Vertraulichkeit der Daten zu gewährleisten und eine IEEE 802.11 Shared Key-Authentifizierung zu ermöglichen. Berichte über erfolgreiche Angriffe auf WEP und Shared Key-Authentifizierung veranlassten Microsoft, sich noch intensiver um die Sicherheit der eigenen WLAN-Struktur zu kümmern. Das Ergebnis dieser Haltung ist die aktuelle WLAN-Installation, die mit 802.1X, EAP-TLS-Authentifizierung auf Zertifikatbasis und sitzungsbezogenen WEP-Schlüsseln arbeitet. Microsoft leitet weiterhin die Entwicklungen in den Bereichen Authentifizierung und Datenschutz in der IEEE 802.11i-Sicherheitsgruppe. Microsoft ist sich zudem der Vorteile für andere Funktionsbereiche bewusst und leistet Beiträge zur Unterstützung eines Weltmodus (world mode) der Drahtlosnetzwerkadapter und eines Access Point-übergreifenden Protokolls, das mit Verbindungsblöcken arbeitet, in denen Informationen zur Zuordnung von Sitzungen erfasst werden. HINWEIS Der »Weltmodus« (world mode) macht es möglich, einen Drahtlosnetzwerkadapter in verschiedenen Ländern zu benutzen, von denen jedes die Verwendung des S-Band ISMFrequenzbereichs für die drahtlose 802.11b-Vernetzung anders definieren kann. Verschiedene Länder teilen das S-Band ISM in unterschiedliche Kanäle auf und definieren unterschiedliche Vorgaben für die Übertragungsleistung. Access Points und Drahtlosnetzwerkadapter unterstützen den Weltmodusbetrieb. Die Microsoft-WLAN-Technologie Das Microsoft-WLAN benutzt folgende Technologien: b IEEE 802.11b b IEEE 802.1X b EAP-TLS-Authentifizierung b RADIUS b Active Directory-Verzeichnisdienst b X.509-Zertifikate 182 Kapitel 9 Vorüberlegungen bei der Planung Die drahtlose Verbindung dient bei Microsoft für den Zugriff auf das Intranet des Unternehmens (im Folgenden kurz Corpnet genannt). Einmal im Microsoft-Corpnet, hindern keine Firewalls die Angestellten oder andere autorisierte Benutzer am Zugriff auf Netzwerk- und Unternehmensressourcen. Leistung Weil das WLAN von Microsoft als Ergänzung, nicht als Ersatz der verkabelten Ethernet-LANInfrastruktur gedacht war, teilen sich durchschnittlich zwei bis vier Benutzer 11 MBit/s Bandbreite pro Access Point. Der tatsächliche Datendurchsatz schwankt zwischen 4 und 6, 5 MBit/s. Unter voller Last (25 Benutzer pro Access Point) verhält sich die drahtlose Netzwerkverbindung aus der Sicht eines Benutzers wie eine langsame DSL- oder Kabelmodemverbindung. Eine spezielle Technik wurde zur Sicherung einer hohen Übertragungsleistung benutzt, wenn viele Benutzer auf relativ engem Raum versammelt sind, wie zum Beispiel bei Mitarbeiterversammlungen und Schulungen. Durch die Verringerung der Sendeleistung der Access Points von 30 Milliwatt (mW) auf 15 oder 5 mW (oder sogar nur 1 mW) entstanden kleinere Sendebereiche. Die Verringerung der Sendeleistung machte es möglich, auf derselben Fläche eine größere Anzahl von Access Points aufzustellen. Zum Beispiel wurden in einem Raum für 200 Leute, in dem sich normalerweise drei Access Points mit normaler Sendeleistung aufstellen lassen, ohne dass es zu Problemen mit den sich überlappenden Sendebereichen kommt, zusätzliche Access Points mit geringer Sendeleistung eingesetzt. Das Ergebnis war eine kleinere Anzahl drahtloser Clients pro Access Point und eine höhere durchschnittlich verfügbare Bandbreite pro drahtlosen Client. Skalierbarkeit Microsofts WLAN-Design beruht auf einem Sendebereich mit 20 Metern Durchmesser, der eine hinreichend redundante Abdeckung ergibt, um Ausfälle einzelner Access Points aufzufangen, und es den Benutzern ermöglicht, sich im Gebäude frei zu bewegen. Microsofts Operations and Technology Group (OTG) hat überprüft, ob die Installation der Access Points mit einer international entwickelten Checkliste übereinstimmt. Außerdem hat sie die Abdeckungen und die Netzwerkverbindungen der einzelnen Access Points überprüft. Auf der technischen Seite hat man sich bei Microsoft außerdem um einen kleineren Abdeckungsbereich bemüht, um eine Überlappung der Abdeckungsbereiche mit entsprechender Kanalkonfiguration und um eine Abschwächung der Bluetoothinterferenzen. Ortsveränderung und Mobilität In Microsofts WLAN-Installation liegen alle Access Points, die im selben Gebäude aufgestellt werden, im selben IP-Subnetz, so dass sich bei Bewegungen eines Benutzers innerhalb des Gebäudes lückenlose Übergänge ergeben. Wenn drahtlose Clients verschiedenen Access Points zugeordnet sind, führt der DHCP-Erneuerungsprozess zu einer Bestätigung der vorhandenen TCP/IP-Konfiguration. Bei Ortswechseln zwischen verschiedenen Gebäuden führt der DHCPErneuerungsprozess zu einer Änderung der IP-Adressenkonfiguration. Daraus können sich Probleme ergeben, wenn die Anwendungen nicht auf solche IP-Adressenänderungen oder andere Fallstudie: Das drahtlose Netzwerk von Microsoft 183 Konfigurationsänderungen ausgelegt sind. In beiden Fällen wird der Benutzer nicht zur Authentifizierung beim WLAN aufgefordert, weil die Authentifizierung mit EAP-TLS und Zertifikaten erfolgt. Sicherheit Bei der Konzeption der Sicherheitsvorkehrungen wurden auch folgende Punkte berücksichtigt (sie werden in den folgenden Abschnitten ausführlicher beschrieben): b Authentifizierung b Lauschangriffe b Bösartige Access Points Authentifizierung Microsoft verwendet als Authentifizierungsmethode für drahtlose Verbindungen EAP-TLS mit Benutzer- und Computerzertifikaten, die auf dem Computer gespeichert werden, und zwar aus folgenden Gründen: b EAP-TLS führt nicht zur Abhängigkeit vom Kennwort des Benutzerkontos. b Die EAP-TLS-Authentifizierung erfolgt automatisch und erfordert normalerweise kein Eingreifen des Benutzers. b EAP-TLS verwendet Zertifikate, die einen relativ starken Authentifizierungsmechanismus ergeben. b Der EAP-TLS-Datenaustausch wird durch eine Verschlüsselung mit öffentlichem Schlüssel geschützt und ist nicht für Offline-Wörterbuchangriffe anfällig. b Der EAP-TLS-Authentifizierungsprozess liefert gegenseitig abgestimmtes Verschlüsselungsmaterial zur Datenverschlüsselung (den WEP-Unicastsitzungsschlüssel) und Signatur. Lauschangriffe Der Drahtlosnetzwerkdatenverkehr im Microsoft WLAN wird auf folgende Weise vor Lauschangriffen geschützt: b EAP-Nachrichten für IEEE 802.1X-Verhandlungen werden im Klartext versendet. Allerdings verhindert die Anwendung von EAP-TLS und Verschlüsselung mit öffentlichem Schlüssel, dass Angreifer die Informationen erhalten, die sie brauchen, um sich als drahtloser Client oder als authentifizierender Server ausgeben zu können. b Nach dem Abschluss der EAP-TLS-Verhandlungen werden die Daten, die zwischen einem authentifizierten Client und seinem zugeordneten Access Point ausgetauscht werden, entweder mit dem WEP-Multicast-/Global- oder mit dem Unicastsitzungsschlüssel verschlüsselt. Durch das Auffangen der 802.1X-Nachrichten, der 802.11-Steuernachrichten und der übermittelten Daten könnte ein Angreifer, der den Drahtlosnetzwerkdatenverkehr belauscht, folgende Informationen erhalten: b Namen der Computer- oder Benutzerkonten, die an den EAP-TLS-Verhandlungen beteiligt sind b MAC-Adressen des drahtlosen Clients und des Access Points b MAC-Adressen der Knoten in den Subnetzen der Access Points b Zeitpunkte der Zuordnung und Trennung 184 Kapitel 9 Ein Angreifer könnte solche Informationen zur Erstellung von Nutzungsprofilen verwenden, aus denen sich Erkenntnisse über Benutzer oder Geräte ableiten lassen könnten. Als Schutz vor Lauschangriffen werden sensible Attribute in den RADIUS-Nachrichten, die zwischen Access Points, RADIUS-Servern und Proxys ausgetauscht werden, mit dem geheimen RADIUS-Schlüssel geschützt. Bösartige Access Points Das Microsoft-WLAN wird vor bösartigen Access Points durch die Verwendung von EAP-TLS geschützt, das eine gegenseitige Authentifizierung des drahtlosen Clients und des authentifizierenden RADIUS-Servers verlangt. Um sich als Microsoft-Access-Point ausgeben zu können, wäre ein bösartiger Zugangspunkt auf eine Sicherheitsbeziehung mit einem Microsoft OTG RADIUSServer angewiesen, die durch die Konfiguration des Access Points als RADIUS-Client des RADIUS-Servers oder -Proxys und einen geheimen RADIUS-Schlüssel definiert und kontrolliert wird. Verfügt ein Access Point nicht über diese Sicherheitsbeziehung und Konfiguration, kann er keine RADIUS-Nachrichten mit dem RADIUS-Server austauschen und daher keine drahtlosen 802.1X-Clients authentifizieren. Allerdings könnte ein bösartiger Access Point als RADIUS-Client eines bösartigen RADIUS-Servers konfiguriert werden. Microsoft-Drahtlosclients überprüfen aber von Haus aus das Zertifikat des RADIUS-Servers. Wenn also der RADIUS-Server des Access Points kein gültiges Zertifikat vorlegen kann und nicht beweisen kann, dass er den dazugehörigen geheimen Schlüssel kennt, beendet der drahtlose Client die Verbindung. Installation des drahtlosen Netzwerks Microsoft hat das drahtlose Netzwerk in vier Phasen aufgebaut, die in den folgenden Abschnitten genauer beschrieben werden. b Phase 1: Planung b Phase 2: Installation b Phase 3: Abnahme b Phase 4: Übergabe an Microsoft-Benutzer Phase 1: Planung Zu den Vorbereitungen gehörten folgende Schritte: 1. Entwicklung eines Aufstellungsplans für die Access Points, wobei die Richtlinien so ausgelegt sind, dass 95 Prozent der Installationen keine spezielle Antenne erfordern. 2. Durchführung eines Feldversuchs, bei dem überprüft wird, ob sich bei den ermittelten Standorten der Access Points irgendwelche Besonderheiten ergeben. 3. Vorlage des endgültigen Standortplans zur Genehmigung bei einem Microsoft-OTG-Designer. Er muss zustimmen, bevor die Installation beginnen kann. Phase 2: Installation Auch die Installation der Access Points umfasste mehrere Schritte: 1. Unterbringung der Access Points und Antennen in speziellen Gehäusen, die den Anforderungen an den Brandschutz genügen. Fallstudie: Das drahtlose Netzwerk von Microsoft 185 2. Konfiguration einer zentralen Niederspannungs-Stromversorgung durch eine unterbrechungsfreie Stromquelle. 3. Aufbau der RADIUS-Infrastruktur. Phase 3: Abnahme Zur Abnahme gehörten folgende Schritte: 1. Stichproben der Access-Point-Installation nach einer vorbereiteten Checkliste. 2. Überprüfung der Bereichsabdeckung und der Netzwerkverbindung jedes Access Points. 3. Auslieferung der Dokumentation, in welcher der endgültige Standort jedes Access Points verzeichnet ist. Phase 4: Übergabe an Microsoft-Benutzer Die Übergabe an Microsoft-Benutzer erfolgte in folgenden Schritten: 1. Erstellung eines CAPICOM-Skripts (Cryptographic API Component Object-Modell) zur Installation der Zertifikate. 2. Erstellung einer Website für Anleitungen, aktualisierte Treiber und das CAPICOM-Skript. 3. Information der Benutzer der Website darüber, wie man drahtlosen Zugriff erhält. Zur Beschaffung der Computer- und Benutzerzertifikate, die für die drahtlose Verbindung mit dem firmeneigenen drahtlosen Microsoft-Netzwerk erforderlich sind, muss der Computer, im Normalfall ein drahtloser Laptop, über einen Ethernet-Anschluss Verbindung mit dem Microsoft-Corpnet aufnehmen. WEITERE INFORMATIONEN Weitere Informationen zu CAPICOM finden Sie auf der Webseite »Cryptography, CryptoAPI, and CAPICOM« unter http://msdn.microsoft.com. Aktuelle Ausbaustufe und Infrastruktur Weltweit gibt es derzeit mehr als 3.200 installierte Access Points im Microsoft-WLAN. Die Größenordnung dieser Installation zog für Microsoft große Herausforderungen in den Bereichen Sicherheit und Authentifizierung nach sich. Microsoft OTG richtete für den Aufbau und die Einrichtung der 802.11 WLAN-Lösung mehrere Abteilungen ein: End User Services (EUS), Corporate Security, Enterprise Network Engineering und Corporate Server-Supportgruppen waren für die Integrationstests und den Aufbau eines sicheren Microsoft-WLANs zuständig. Die aktuelle WLAN-Installation besteht aus folgenden Elementen: b Active Directory-Domänencontroller b Windows Server 2003-Zertifizierungsstellen (Certification Authorities, CAs) b Drahtlose Windows XP-Clients b Access Points der Serien Cisco Aironet 340 und 350 b RADIUS-Server und -Proxys unter Windows Server 2003 186 Kapitel 9 Active Directory-Domänencontroller Die Domänen im Microsoft-Corpnet arbeiten im einheitlichen Modus mit Domänencontrollern, auf denen ein Mitglied der Windows Server 2003-Familie läuft. Während des Übergangs auf Windows Server 2003 gab es Domänencontroller, auf denen Windows 2000 Server mit Service Pack 2 (SP2) und den erforderlichen Patches für Active Directory lief, damit Einwähleigenschaften und die SChannel-Zertifikatzuordnung verfügbar waren (diese Patches sind nun Bestandteil von Windows 2000 SP3). Im Microsoft-Corpnet gibt es folgende Active Directory-Gesamtstrukturen: b Corpnet.ms.com b NT.Dev b Win.SE b Win.Deploy Die Gesamtstruktur corpnet.ms.com enthält die Domäne corpnet.ms.com und eine Reihe von untergeordneten Domänen, mit denen die größeren geografischen Regionen der Microsoft Corporation nachgebildet werden. Abbildung 9.1 zeigt den Aufbau dieser Gesamtstruktur. corpnet.ms.com ... Nordamerika Redmond Europa Südpazifik Abbildung 9.1: Der Aufbau der Gesamtstruktur corpnet.ms.com Wie durch die Gesamtstruktur für Active Directory definiert, kann ein Mitgliedsserver aus einer Domäne der Gesamtstruktur die Anmeldeinformationen von jedem Konto aus jeder Domäne der Gesamtstruktur überprüfen. So kann zum Beispiel ein Mitgliedsserver der Domäne Redmond die Benutzer- oder Computeranmeldeinformationen von Konten aus den untergeordneten Domänen Nordamerika, Europa, Südpazifik und anderen überprüfen. WEITERE INFORMATIONEN Weitere Informationen zur Active Directory-Infrastruktur von Microsoft-Corpnet finden Sie in einer Veröffentlichung mit dem Titel »Windows 2000: Designing and Deploying Active Directory Service for the MS Internal Corpnet« unter http://www.microsoft.com/technet. Die RAS-Berechtigung auf der Registerkarte Einwählen der Benutzer- und Computerkonten wurde auf Zugriff über RAS-Richtlinien steuern eingestellt. Da sich Microsoft dafür entschieden hat, allen zugelassenen Domänencomputern und Benutzerkonten den Drahtloszugriff zu gestatten, werden die Einwähleigenschaften des Kontos bei der Bewertung der Autorisierung und der Bestimmung der Beschränkungen für die Verbindung ignoriert. Es gibt keine globale oder universelle Gruppe für alle Konten, die Drahtloszugriff haben. (Weitere Informationen finden Sie in diesem Kapitel unter »RADIUS-Server und -Proxys unter Windows Server 2003«.) Fallstudie: Das drahtlose Netzwerk von Microsoft 187 Zertifizierungsstellen unter Windows Server 2003 Zur Ausgabe von Benutzer- und Computerzertifikaten und zur Veröffentlichung der Zertifikatsperrliste (CRL) wurde die vorhandene Microsoft-PKI benutzt. Entsprechend den PKI-Empfehlungen von Microsoft hat die Microsoft-PKI folgenden Aufbau: b Eine Stammzertifizierungsstelle, die offline betrieben wird b Eine Ebene mit Zwischenzertifizierungsstellen, die ebenfalls offline arbeiten b Eine Ebene mit ausstellenden Zertifizierungsstellen, die online erreichbar sind Diese PKI-Hierarchie ist in Abbildung 9.2 zu sehen. Stammzertifizierungsstelle (offline) Zwischenzertifizierungsstelle 1 (offline) Zwischenzertifizierungsstelle 2 (offline) Ausstellende Zertifizierungsstelle1 (online) Ausstellende Zertifizierungsstelle 2 (online) Abbildung 9.2: Die Hierarchie der Microsoft-PKI Diese PKI ist flexibel und schützt die Stammzertifizierungsstelle vor den Versuchen böswilliger Benutzer, ihren geheimen Schlüssel aufzudecken. Alle Zertifizierungsstellen in der MicrosoftPKI laufen auf einem Windows Server 2003-Mitgliedsserver. WEITERE INFORMATIONEN Weitere Informationen zur PKI finden Sie auf der Website »Windows 2000 Security Services« unter http://www.microsoft.com/windows2000/technologies/security/default.asp und der Website »Windows Server 2003 Security Services« unter http://www.microsoft.com/windowsserver2003/technologies/security/default.mspx. Zur Ausstellung von Computerzertifikaten wurde die automatische Registrierung – unter Verwendung der Einstellungen der automatischen Zertifikatanforderung in der Computerkonfigurations-Gruppenrichtlinie – in den entsprechenden Domänensystemcontainern aller Gesamtstrukturen konfiguriert. Alle Mitgliedscomputer fordern von der zuständigen ausstellenden Zertifizierungsstelle ein Computerzertifikat an, wenn sie eine aktualisierte Computerkonfigurations-Gruppenrichtlinieneinstellung vorfinden. Zur Ausstellung von Benutzerzertifikaten hat die Microsoft-OTG-Abteilung ein CAPICOMSkript entwickelt. Da die automatische Registrierung von Benutzerzertifikaten mit den Windows 188 Kapitel 9 2000-Unternehmenszertifizierungsstellen, die anfangs nur zur Verfügung standen, nicht möglich war, standen als Alternativen die Verwendung von CAPICOM-Skripts oder die Webregistrierung mit dem Zertifikate-Snap-In zur Verfügung, um ein Zertifikat anzufordern oder zu importieren. Die Wahl fiel auf CAPICOM-Skripts, weil sie keine weiteren Aktionen seitens des Benutzers erfordern. Damit sich die Microsoft-Benutzer informieren können und es einen Ort gibt, an dem sich das CAPICOM-Skript starten lässt, hat die Microsoft-OTG-Abteilung eine interne Website eingerichtet. Das CAPICOM-Skript überprüft, ob bereits ein Benutzer- oder Computerzertifikat installiert ist. Wenn das nicht der Fall ist, veranlasst das Skript den Computer, von der zuständigen ausstellenden Zertifizierungsstelle ein Benutzer- oder Computerzertifikat anzufordern. Das Computerzertifikat (mit automatischer Registrierung installiert) und das Benutzerzertifikat (mit dem CAPICOM-Skript installiert) werden beschafft, während der Computer über eine Ethernet-Verbindung mit dem Microsoft-Corpnet verbunden ist. Drahtlose Clients mit Windows XP Im Hause Microsoft ist Microsoft Windows XP die Betriebssystemplattform für drahtlose Clients. Es unterstützt 802.11 und 802.1X. Der Benutzer eines Drahtlosclients stellt die Verbindung mit dem drahtlosen Microsoft-Firmennetzwerk mit Hilfe des konfigurationsfreien Dienstes für drahtlose Verbindungen (WZC) von Windows XP her. Die standardmäßigen Einstellungen aktivieren die WEP-Verschlüsselung, die Verwendung der 802.1X-Authentifizierung und die EAP-TLSAuthentifizierungsmethode mit Benutzer- und Computerzertifikaten. Alle Drahtlosnetzwerkadapter, die bei Microsoft benutzt werden, unterstützen den WZC-Dienst. Wenn Microsoft-Benutzer auch zu Hause über ein drahtloses Netzwerk verfügen, macht es der konfigurationsfreie Dienst für drahtlose Verbindungen möglich, beide drahtlosen Netzwerke in die Liste der bevorzugten drahtlosen Netzwerke aufzunehmen, also das drahtlose MicrosoftFirmennetzwerk und das private drahtlose Netzwerk. Bei der Arbeit nimmt der drahtlose Laptop dann Verbindung mit dem Microsoft-Firmennetzwerk auf, während er zu Hause eine Verbindung zum privaten drahtlosen Netzwerk herstellt. Jedes drahtlose Netzwerk kann seine eigene Konfiguration haben, wie zum Beispiel die Netzwerkart (Infrastruktur oder Ad-hoc) und die Einstellungen für Authentifizierung und Verschlüsselung. Access Points aus der Produktreihe Cisco Aironet 340 und 350 Das Microsoft-WLAN benutzt Access Points der Produktreihe Cisco Aironet 340 und 350, auf denen das Wireless IOS Release 11.21 oder höher läuft. Anfangs werden die Access Points mit einer Minimalkonfiguration installiert, die den TCP/IP-Zugriff und das Simple Network Management-Protokoll (SNMP) bietet. Ein von Microsoft entwickeltes SNMP-Skript auf PERL-Basis wird gestartet und konfiguriert die Standardeinstellungen für den Access Point und individuelle Einstellungen, wie die Kanalnummer oder die Sendeleistung, die aus einer relationalen Datenbank ausgelesen werden. Die Access Point- und Sende-Firmware wird installiert, indem in jedem Gebäude ein Access Point aktualisiert wird und dann die »Distribute Image«-Fähigkeit der Access Points genutzt wird, um diese Firmware auf alle Access Points im Gebäude zu übertragen. Alle Access Points werden als RADIUS-Clients von zwei RADIUS-Servern konfiguriert, die beide zu einer untergeordneten Domäne der Gesamtstruktur corpnet.ms.com gehören. Es gibt Fallstudie: Das drahtlose Netzwerk von Microsoft 189 keine Access Points, welche die RADIUS-Server in den Gesamtstrukturen NT.Dev, Win.SE oder Win.Deploy benutzen. Diese Konfiguration wird von Abbildung 9.3 dargestellt. Gesamtstruktur NT.Dev Gesamtstruktur corpnet.ms.com corpnet.ms.com Gesamtstruktur Win.SE Nordamerika Redmond Europa Südpazifik RADIUSServer Gesamtstruktur Win.Deploy RADIUSClients Abbildung 9.3: Konfiguration der Access Points als RADIUS-Clients Die Access Points werden zwar mit einem primären und einem sekundären RADIUS-Server konfiguriert, benutzen aber normalerweise nur den primären RADIUS-Server, es sei denn, er ist nicht erreichbar. Dann wechseln sie auf den sekundären RADIUS-Server und benutzen ausschließlich diesen. Lässt sich der sekundäre RADIUS-Server nicht erreichen, wechseln die Access Points wieder auf den primären RADIUS-Server und benutzen ausschließlich diesen. Zur besseren Verteilung der Authentifizierungsanforderungen von allen Access Points einer Domäne wird ungefähr die Hälfte der Access Points mit bestimmten primären und sekundären RADIUS-Servern konfiguriert (der primäre ist zum Beispiel RAD1 und der sekundäre RAD2). Die andere Hälfte der Access Points wird mit der umgekehrten Anordnung der primären und sekundären RADIUSServer konfiguriert (der primäre wäre dann zum Beispiel RAD2 und der sekundäre RAD1). Diese manuelle Konfiguration der Access Points sorgt dafür, dass die RADIUS-Authentifizierungslast mehr oder weniger gleichmäßig unter den beiden RADIUS-Servern der Domäne aufgeteilt wird (sofern beide RADIUS-Server verfügbar sind). RADIUS-Server und -Proxys mit Windows Server 2003 Die RADIUS-Infrastruktur des Microsoft-WLANs besteht aus Paaren von Domänenmitgliedsservern, auf denen jeweils Windows Server 2003 und der Internetauthentifizierungsdienst (IAS) laufen. Die IAS-Server dienen als RADIUS-Server, RADIUS-Proxys oder beides. Die Computer werden paarweise eingesetzt, damit der verbleibende Computer die gesamte Arbeit übernehmen kann, falls einer der beiden Computer ausfällt. Die RADIUS-Infrastruktur ist in Abbildung 9.4 zu sehen. 190 Kapitel 9 Gesamtstruktur NT.Dev Gesamtstruktur corpnet.ms.com corpnet.ms.com SQL Server RADIUSServer Nordamerika RADIUSServer Gesamtstruktur Win.SE Andere RADIUSServer/ Proxys RADIUSServer RADIUSProxys Gesamtstruktur Win.Deploy RADIUSServer Abbildung 9.4: Die RADIUS-Infrastruktur für das Microsoft-WLAN Die untergeordnete Domäne Nordamerika Die Domäne Nordamerika enthält die meisten Access Points und Konten, die authentifiziert werden müssen. Um die sich dadurch ergebende starke Belastung bewältigen zu können, werden die IAS-Server als RADIUS-Proxys eingesetzt, die sich um den RADIUS-Datenverkehr kümmern. Die RADIUS-Proxys verteilen den RADIUS-Datenverkehr auf die RADIUS-Server und ermöglichen eine Skalierung der Authentifizierungsinfrastruktur, bei der keine Neukonfigurierung aller Access Points erforderlich ist. Ein IAS-Serverpaar, das als RADIUS-Proxy dient, leitet Nachrichten in folgender Weise weiter: b Für Konten aus der Gesamtstruktur corpnet.ms.com leiten die IAS-Server Nachrichten von den Access Points aus Nordamerika an die Nordamerika-RADIUS-Server weiter. b Für Konten aus den Gesamtstrukturen NT.Dev, Win.SE oder Win.Deploy leiten die IASServer Nachrichten von den Access Points aus Nordamerika an die RADIUS-Server der entsprechenden Gesamtstruktur weiter. Fallstudie: Das drahtlose Netzwerk von Microsoft 191 Dieses Routen wird durch die Konfiguration der folgenden Verbindungsanforderungsrichtlinien in der folgenden Reihenfolge erreicht: 1. Authentifizierungsanforderungen, in denen das Attribut User-Name auf corpnet.ms.com endet, werden an die Remote-RADIUS-Servergruppe NorthAmerica weitergeleitet (sie besteht aus den beiden RADIUS-Servern in der Domäne Nordamerika). 2. Authentifizierungsanforderungen, in denen das Attribut User-Name auf NT.Dev.ms.com endet, werden an die Remote-RADIUS-Servergruppe NT.Dev weitergeleitet (sie besteht aus den beiden RADIUS-Servern in der Gesamtstruktur NT.Dev.ms.com). 3. Authentifizierungsanforderungen, in denen das Attribut User-Name auf Win.SE.ms.com endet, werden an die Remote-RADIUS-Servergruppe Win.SE weitergeleitet (sie besteht aus den beiden RADIUS-Servern in der Gesamtstruktur Win.SE.ms.com). 4. Authentifizierungsanforderungen, in denen das Attribut User-Name auf Win.Deploy.ms.com endet, werden an die Remote-RADIUS-Servergruppe Win.Deploy weitergeleitet (sie besteht aus den beiden RADIUS-Servern in der Gesamtstruktur Win.Deploy.ms.com). 5. Für Windows XP (vor SP1) werden die Computerkontennamen, die während der Computerauthentifizierung übermittelt werden, im Format Domäne/Computerkonto angegeben. Im Gegensatz dazu haben die Benutzerkontennamen, die während der Benutzerauthentifizierung übermittelt werden, das Format Benutzerkonto@Domäne.Gesamtstruktur. Wegen des unterschiedlichen Formats der Computerkontennamen wurden für jede Domäne zusätzliche Verbindungsanforderungsrichtlinien erstellt, die den Computerkontennamen anpassen und den RADIUS-Datenverkehr an die entsprechende Remote-RADIUS-Servergruppe weiterleiten. So wurde zum Beispiel eine Verbindungsanforderungsrichtlinie für die Computerkonten in der Domäne Nordamerika folgendermaßen konfiguriert: Authentifizierungsanforderungen, bei denen das User-Name-Attribut mit NorthAmerica/ beginnt, werden an die Remote-RADIUS-Servergruppe NorthAmerica weitergeleitet. Und für die Computerkonten in der Domäne NT.Dev wurde zum Beispiel eine Verbindungsanforderungsrichtlinie folgendermaßen konfiguriert: Authentifizierungsanforderungen, bei denen das User-NameAttribut mit NT.Dev/ beginnt, werden an die Remote-RADIUS-Servergruppe NT.Dev weitergeleitet. Unter Windows XP (SP1 und höher), Windows Server 2003 und Windows 2000 werden Computerkontennamen bei der Computerauthentifizierung im Format Computerkonto@ Domäne.Gesamtstruktur gesendet. Zusätzliche Verbindungsanforderungsrichtlinien für Computerkonten sind nicht erforderlich. In der Nordamerika-Domäne wird eine Schicht RADIUS-Proxys eingesetzt, damit die Authentifizierungsanforderungen für Access Points aus der gesamten Region Nordamerika (also nicht nur vom Firmengelände in Redmond) gleichmäßig auf die IAS-Server in der Remote-RADIUS-Servergruppe NorthAmerica verteilt werden. Für die IAS-Server, die in der Domäne Nordamerika als RADIUS-Server dienen, reicht eine einzelne Verbindungsanforderungsrichtlinie aus. Sie sorgt dafür, dass alle Authentifizierungsanforderungen auf dem IAS-Server bearbeitet werden, in denen das Attribut User-Name auf corpnet.ms.com endet. WEITERE INFORMATIONEN Weitere Informationen zum Einsatz von Windows Server 2003-IAS als RADIUS-Proxy und zur Konfiguration von Verbindungsanforderungsrichtlinien finden Sie in Kapitel 4, »RADIUS, IAS und Active Directory«. 192 Kapitel 9 Andere untergeordnete Domänen Ein IAS-Serverpaar, das in den anderen untergeordneten Domänen der Gesamtstruktur corpnet.ms.com als RADIUS-Server/-Proxys eingesetzt wird, arbeitet folgendermaßen: b Für Konten aus der Gesamtstruktur corpnet.ms.com führt der IAS-Server eine Authentifizierung durch. b Für Konten aus den Gesamtstrukturen NT.Dev, Win.SE oder Win.Deploy werden die Nachrichten an die RADIUS-Server der entsprechenden Gesamtstruktur weitergeleitet. Die Weiterleitung von Authentifizierungsanforderungen an RADIUS-Server in anderen Gesamtstrukturen wird durch die Konfiguration der folgenden Verbindungsanforderungsrichtlinien in folgender Reihenfolge erreicht: 1. Authentifizierungsanforderungen, in denen das Attribut User-Name auf corpnet.ms.com endet, werden auf diesem Server authentifiziert. 2. Authentifizierungsanforderungen, in denen das Attribut User-Name auf NT.Dev.ms.com endet, werden an die Remote-RADIUS-Servergruppe NT.Dev weitergeleitet. 3. Authentifizierungsanforderungen, in denen das Attribut User-Name auf Win.SE.ms.com endet, werden an die Remote-RADIUS-Servergruppe Win.SE weitergeleitet. 4. Authentifizierungsanforderungen, in denen das Attribut User-Name auf Win.Deploy.ms.com endet, werden an die Remote-RADIUS-Servergruppe Win.Deploy weitergeleitet. Zur Anpassung des abweichenden Formats der Computerkontennamen wurden für jede Domäne zusätzliche Verbindungsanforderungsrichtlinien erstellt, die für eine Anpassung des Computerkontennamens sorgen und den RADIUS-Datenverkehr an die entsprechende Remote-RADIUSServergruppe weiterleiten. Die Gesamtstrukturen NT.Dev, Win.SE und Win.Deploy In den Gesamtstrukturen NT.Dev, Win.SE und Win.Deploy führt ein IAS-Serverpaar, das als RADIUS-Server dient, folgende Arbeit durch: b Für Konten aus der Gesamtstruktur führt der IAS-Server eine Authentifizierung durch. Diese Authentifizierung wird durch die Konfiguration der folgenden Verbindungsanforderungsrichtlinie erreicht: b Für Authentifizierungsanforderungen, in denen das Attribut User-Name mit dem Gesamtstrukturnamen endet, wird auf diesem Server eine Authentifizierung durchgeführt. Drahtlos-RAS-Richtlinieneinstellungen Für jeden IAS-Server, der als RADIUS-Server Authentifizierungen und Autorisierungen durchführt, wurde eine Drahtlos-RAS-Richtlinie mit folgenden Einstellungen konfiguriert: b Bedingungen: NAS-Porttyp=Drahtlos-IEEE 802.11. b Berechtigungen: RAS-Berechtigung erteilen. b Profil, Registerkarte Einwählbeschränkungen: Verbindung trennen bei einer Leerlaufzeit von wurde auf 120 eingestellt. Diese Einstellung erzwingt eine erneute Authentifizierung für eine drahtlose Verbindung, bei der es zwei Stunden lang keine Aktivität gab. b Profil, Registerkarte Authentifizierung: Das EAP (Extensible Authentication Protocol) und der EAP-Typ Smartcard oder anderes Zertifikat wurden gewählt. Löschen Sie alle anderen Kontrollkästchen. Fallstudie: Das drahtlose Netzwerk von Microsoft 193 b Profil, Registerkarte Verschlüsselung: Löschen Sie alle Kontrollkästchen mit Ausnahme des Kästchens für die stärkste Verschlüsselung. Diese Einstellung führt dazu, dass alle drahtlosen Verbindungen mit 128-Bit-Verschlüsselung arbeiten. b Profil, Registerkarte Erweitert: Das Attribut Ignore-User-Dialin-Properties wurde auf True gesetzt. Zur Vereinfachung der Bewertung von Authentifizierungen und Verbindungsbeschränkungen und damit sichergestellt ist, dass sich drahtlose Verbindungen herstellen lassen, wurden die Drahtlos-RAS-Richtlinien für alle IAS-Server, die als RADIUS-Server dienen, so konfiguriert, dass die Einstellungen auf der Registerkarte Einwählen der Computer- und Benutzerkonten ignoriert werden. Zentrale Protokollierung auf einem SQL Server Da es in Windows Server 2003-IAS möglich ist, Daten in SQL Server zu protokollieren, werden alle Verbindungsinformationen zur Analyse auf einem zentralen SQL Server erfasst (siehe Abbildung 9.4). Zusammenfassung Das Microsoft-WLAN ist ein sicheres drahtloses Netzwerk, das eine Kombination von IEEE 802.11b, IEEE 802.1X, EAP-TLS-Authentifizierung mit Zertifikaten, RADIUS, sowie Zertifikaten und Active Directory einsetzt. Auf den drahtlosen Clients läuft Windows XP und auf den Servern der Zertifizierungs- und Authentifizierungsinfrastruktur läuft Windows Server 2003. Computerzertifikate werden mit automatischer Registrierung auf den drahtlosen Clients installiert. Benutzerzertifikate und Informationen zur Konfiguration der drahtlosen Clients sind auf einer internen Website zugänglich, auf der es auch das entsprechende CAPICOM-Skript gibt. Die RADIUSInfrastruktur benutzt zur besseren Verteilung der Last und zum Routen des RADIUS-Datenverkehrs an die verschiedenen Active Directory-Gesamtstrukturen eine Kombination von RADIUSServern und Proxys. 194 Kapitel 9