In Sammlung (en) In der gespeicherten
  1. Keine Kategorie

Fragen an uns Sicherheit – Februar 2003

Werbung 
Fragen an uns ... Sicherheit – Februar 2003
(Engl. Originaltitel: Ask Us About... Security - February, 2003)
Von Steve Riley
Senior Consultant, MCS Trustworthy Computing Services
Authentifizierung in drahtlosen LANs
Drahtlose Netzwerke bergen eine Reihe von Sicherheitsproblemen, nicht nur hinsichtlich der
Authentifizierung, sondern auch in Verbindung mit dem Schutz und der Integrität von Daten. Da Luft
kein kontrollierbares physikalisches Medium ist, können Versuche, Daten abzufangen oder
einzuspeisen, nicht auf physikalischem Wege verhindert werden. Damit ein drahtloses Netzwerk als
sicher gelten kann, werden extrem strenge Authentifizierungs- und Verschlüsselungsverfahren
benötigt.
Durch bestimmte Mängel1 bei der Implementierung der RC4-Verschlüsselung in WEP (Wired
Equivalent Privacy), der in 802.11-basierten drahtlosen Netzwerken verwendeten
Verschlüsselungsmethode, können Angreifer, nachdem sie bestimmte Daten erfasst und durch
gängige Schlüsselgenerierungsprogramme2 haben laufen lassen, den Verschlüsselungsschlüssel
ermitteln und Zugriff auf ein drahtloses Netzwerk erhalten. Derzeit arbeiten verschiedene
Standardisierungsorganisationen an der Entwicklung einer Alternative zu WEP. Eine Methode, die
bereits heute häufig zur Umgehung des Problems verwendet wird, besteht im Einsatz einer
Technologie, bei der die Verschlüsselungsschlüssel regelmäßig ausgewechselt werden, damit
Angreifer nicht genügend Daten zum Knacken eines Schlüssels sammeln können. Das
Authentifizierungsprotokoll 802.1x, das ursprünglich für verkabelte LANs vorgesehen war, eignet sich
ebenfalls recht gut für diesen Zweck.
Traditionell wurde der Zugriff auf Netzwerkports, unabhängig davon, ob es sich um verkabelte oder
drahtlose Netzwerke handelte, mit Hilfe von MAC-Zugriffslisten gesteuert. Die MAC-basierte
Zugriffssteuerung führt in großen Netzwerken zu Skalierungsproblemen, da sie einen großen
Verwaltungsaufwand erfordert. Wenn ein Benutzer einen neuen Computer erhält oder eine
Netzwerkkarte austauscht, muss stets die MAC-Zugriffsliste für den Switch oder kabellosen
Zugriffspunkt aktualisiert werden.
802.1x
802.1x3 ist eine von IEEE definierte, portbasierte Methode für die Zugriffssteuerung, mit der sich der
Zugriff auf Netzwerkports besser steuern lässt. Die Spezifikation ermöglicht die flexible Auswahl von
Authentifizierungsmethoden. Das häufigste Konzept für drahtlose Netzwerke ist die Verwendung von
EAP4 (Extensible Authentication Protocol), einer Rahmenstruktur für die Festlegung bestimmter
Authentifizierungsmethoden. Die Methode wird zum Zeitpunkt der Authentifizierung vom Endsystem
und vom Authentifikator ausgewählt.
Ein EAP-Client („Endsystem“) nimmt Kontakt zu einem Authentifikator (z. B. zu einem drahtlosen
Zugriffspunkt oder einem VPN-Server) auf, der den Client nach Authentifizierungsinformationen fragt.
Der Authentifikator empfängt diese Daten und übergibt sie zur Überprüfung an einen
Authentifizierungsserver (in der Regel ein RADIUS-Server). Zu diesem Zeitpunkt ist keine weitere
Kommunikation seitens des Endsystems zulässig, da es noch nicht authentifiziert wurde. Der
Authentifizierungsserver überprüft die Anmeldeanforderung und sendet eine Nachricht über die
Annahme oder Zurückweisung der Anforderung an das Endsystem zurück. Wird die Anmeldung
angenommen, generiert der Authentifizierungsserver speziell für dieses Endsystem einen WEPSchlüssel und sendet ihn über den Zugriffspunkt an das Endsystem. Das Endsystem darf nun auf das
Netzwerk hinter dem Authentifikator zugreifen.
Die 802.1x-Authentifizierung erfordert ein Zertifikat auf dem Authentifizierungsserver, unabhängig
davon, ob Kennwörter mit PEAP oder Clientzertifikate mit EAP-TLS verwendet werden. Dadurch wird
das Problem des Spoofings von Zugriffspunkten und Authentifizierungsservern beseitigt. Dies stellt
eine weitere Schwachstelle von WEP dar. Der Authentifizierungsserver legt dem Endsystem sein
Zertifikat vor, damit das Endsystem die Gültigkeit dieses Zertifikats überprüfen und sichergehen kann,
dass es mit autorisierten Zugriffspunkten und Authentifizierungsservern kommuniziert.
Beachten Sie, dass EAP selbst keinen bestimmten Verschlüsselungsmechanismus für den Austausch
von Authentifizierungsinformationen vorschreibt. Zur Lösung dieses Problems wurden mehrere
Erweiterungen für EAP entwickelt, die im Folgenden beschrieben werden.
Anmelden an einer Windows-Domäne
In einem Windows-Netzwerk werden zwei Anmeldevorgänge durchgeführt. Beim Start eines
Computers meldet sich der Computer selbst über ein Computerkonto an der Domäne an. Durch die
Computerauthentifizierung kann die Domäne das Gerät authentifizieren, was für die Ausführung von
Computergruppenrichtlinien und Softwareinstallationseinstellungen erforderlich ist. Am Ende dieser
Phase wird das Dialogfeld für die Benutzeranmeldung angezeigt, und der Benutzer meldet sich mit
seinen Anmeldeinformationen an. Damit hat sich der Benutzer gegenüber der Domäne authentifiziert,
und es werden Benutzergruppenrichtlinien ausgeführt.
Ein Zugriffstoken mit der SID der Domäne, der SID des Benutzers und SIDs für alle Gruppen, zu
denen der Benutzer gehört, wird erstellt und auf dem lokalen Computer zwischengespeichert. Bei
jedem Zugriff des Benutzers auf eine Ressource wird das Token vorgelegt. Die Ressource vergleicht
die SIDs mit ihrer Zugriffssteuerungsliste, um festzustellen, ob es sich um einen autorisierten Benutzer
handelt. Beachten Sie, dass die Zwischenspeicherung dieses Tokens nur zulässig ist, wenn der
Computer ein Mitglied derselben Domäne wie der Benutzer ist. Wenn der Computer ein Mitglied einer
anderen Domäne oder in keiner Domäne Mitglied ist, wird das Token nicht zwischengespeichert. Der
Benutzer wird bei jedem Zugriff auf eine Domänenressource nach seiner ID, seinem Kennwort und
seiner Domäne gefragt.
Anforderungen an die drahtlose Authentifizierung
Diese Folge der beiden Anmeldevorgänge muss unabhängig vom physikalischen Netzwerktyp
(verkabeltes oder drahtloses Netzwerk) eingehalten werden. Da die Computeranmeldung und die
Benutzeranmeldung identische Prozesse sind, wurde die Implementierung von EAP in Windows so
konzipiert, dass dieser Anforderung Rechnung getragen wird. In Windows XP sind zwei Arten von
EAP verfügbar: EAP-TLS und EAP-MD5. In Windows XP Service Pack 1 steht mit PEAP (Protected
EAP) ein dritter Typ zur Verfügung.

EAP-TLS5. TLS (SSL) ist die Verschlüsselungsmethode, die zum Schutz der EAPKommunikation verwendet wird. In Windows verwendet TLS Zertifikate für die Computer- und
Benutzeranmeldung. Der Computer authentifiziert sich zuerst mit Hilfe eines
Computerzertifikats gegenüber dem Netzwerk. Dadurch können Computerrichtlinien in Active
Directory und SMS-Pakete angewendet werden, bevor sich ein Benutzer anmeldet. Wenn sich
dann ein Benutzer anmeldet, authentifiziert er sich mit einem Benutzerzertifikat, dessen
alternativer Antragstellername den Active Directory-UPN des Benutzers enthält. Jetzt ist die
drahtlose Verbindung vollständig authentifiziert, und Benutzerrichtlinien werden angewendet.
Für EAP-TLS ist eine Infrastruktur öffentlicher Schlüssel (PKI) erforderlich.

EAP-MD5. MD5 verwendet CHAP, einen Anfrage/Antwort-Prozess für die
Benutzerauthentifizierungskomponente. Im Gegensatz zu TLS kann mit MD5 keine
verschlüsselte Sitzung zwischen dem Authentifikator und dem Endsystem erstellt werden.
Daher werden die Hashwerte von Kennwörtern unverschlüsselt übertragen. Aus diesem
Grund ist EAP-MD5 als Authentifizierungsmethode in 802.1x-basierten drahtlosen Netzwerken
ausdrücklich deaktiviert.

PEAP6. Ähnlich wie EAP-TLS schützt PEAP den Authentifizierungsaustausch innerhalb von
EAP. PEAP erfordert jedoch im Gegensatz zu EAP-TLS nicht die Verwendung von TLS
(obwohl TLS ohne weiteres zulässig ist), sondern es kann ein beliebiger sicherer
Mechanismus für den Authentifizierungsaustausch verwendet werden. In Windows unterstützt
PEAP neben TLS auch MS-CHAPv2. PEAP-MSCHAPv2 verwendet Computer- und
Benutzeranmeldeinformationen für die Authentifizierung. Bei MSCHAPv2 werden regelmäßig
wechselnde Schlüssel für die Verschlüsselung der Hashwerte von Computer- und
Benutzerkennwörtern verwendet. Für den Authentifizierungsserver (IAS) werden weiterhin
Zertifikate benötigt, die für die Authentifizierung des Servers gegenüber dem Client verwendet
werden. Für die Authentifizierung des Clients gegenüber dem Server werden innerhalb von
MSCHAPv2 übertragene Anmeldeinformationen verwendet. Computer- und
Benutzerzertifikate sind nicht mehr erforderlich.
Weitere Informationen zu Protected EAP (PEAP) mit Kennwörtern und MS-CHAPv2
PEAP ist bei den folgenden Produktkombinationen verfügbar:

Windows XP Service Pack 1 auf den Clients

Windows Server 2003 auf dem IAS-Server (RADIUS-Server). .NET RC1 enthält PEAP
Der IAS-Server kann zu einer Windows 2000-Domäne gehören. Windows Server 2003 wird auf den
Domänencontrollern nicht benötigt.
Wenn ein drahtloser Client gestartet wird, nimmt der Client zuerst eine 802.11-Zuordnung vor. Da sich
der Client noch nicht authentifiziert hat, wird er vom Zugriffspunkt blockiert und kann nicht mit dem
Netzwerk hinter dem Zugriffspunkt kommunizieren. Dann verwendet PEAP das Computerkonto für die
Authentifizierung gegenüber dem drahtlosen Zugriffspunkt. Bei gültiger Anmeldung generiert der
RADIUS-Server einen eindeutigen WEP-Schlüssel und sendet diesen an den Client. Der Computer
meldet sich an der Domäne an und kann anschließend nur auf die Netzwerkressourcen zugreifen, die
für das Computerkonto vorgesehen sind. Danach meldet sich der Benutzer mit seinen
Anmeldeinformationen an. PEAP verwendet die Anmeldeinformationen, um den Benutzer für den
drahtlosen Zugriff zu authentifizieren, und schließt den Anmeldevorgang ab. Anschließend werden
Benutzerrichtlinien angewendet, und der Client erhält normalen Zugriff auf das Netzwerk.
Wenn das Kennwort eines Benutzers zwischen zwei Anmeldevorgängen abläuft, reagiert PEAP
entsprechend auf die Situation. Da sich der Computer weiterhin an der Domäne anmelden kann,
authentifiziert PEAP den Computer und fordert dann den Benutzer zur Änderung seines Kennworts
auf. Wie bei einer standardmäßigen LAN-Verbindung wird die Kennwortänderung dem
Domänencontroller mitgeteilt, die zwischengespeicherten Anmeldeinformationen werden aktualisiert,
und der Benutzer wird angemeldet.
Wie bei jeder EAP-basierten 802.1x-Authentifizierungsmethode müssen bei Verwendung von PEAP
die WEP-Schlüssel in den drahtlosen Clients nicht mehr hartcodiert werden. Da PEAP RADIUS für die
Authentifizierung des Computers und des Benutzers verwendet, folgt PEAP dem normalen 802.1xVerfahren, bei dem WEP-Schlüssel in regelmäßigen Abständen ablaufen (das Ablaufintervall ist
konfigurierbar) und neue WEP-Schlüssel erzwungen werden, wenn ein Benutzer mit wechselnden
Arbeitsplätzen zwischen Zugriffspunkten wechselt. Das regelmäßige Wechseln der WEP-Schlüssel ist
derzeit die einzige Möglichkeit zur Überwindung der Mängel bei der Implementierung der RC4Verschlüsselung in WEP.
Für die drahtlosen Zugriffspunkte ist 802.1x-Unterstützung erforderlich. Beachten Sie, dass es sich
hierbei einfach um generische EAP-Unterstützung handelt, da der Zugriffspunkt nicht den speziellen
EAP-Typ kennt, der zwischen dem Client und dem RADIUS-Server ausgehandelt wird.
Konfigurieren der Authentifizierung in drahtlosen LANs
Für die Bereitstellung der PEAP-basierten Authentifizierung in drahtlosen Netzwerken sind mehrere
Schritte erforderlich:

Installieren von Windows Server 2003, einschließlich IAS (Internet Authentication Services
oder Internetauthentifizierungsdienste)

Abrufen eines Computerzertifikats für jeden IAS-Server

Registrieren jedes IAS-Servers in Active Directory

Konfigurieren der Protokollierung auf jedem IAS-Server

Hinzufügen des drahtlosen Zugriffspunkts als RADIUS-Client und Konfigurieren jedes
Zugriffspunkts für EAP

Erstellen einer RAS-Richtlinie für den drahtlosen Zugriff

Konfigurieren von XP-Clients für die PEAP-Authentifizierung
Zertifikate
Auf jedem IAS-Server wird ein Computerzertifikat benötigt. Dieses Zertifikat muss von einer
Zertifizierungsstelle ausgestellt werden, der die Clients vertrauen, d. h. das öffentliche Stammzertifikat
der Zertifizierungsstelle muss sich im Speicher für vertrauenswürdige Stammzertifikate des Clients
befinden. Die empfohlene Methode besteht in der Konfiguration der automatischen Registrierung von
Computerzertifikaten in der Standarddomänenrichtlinie. Jeder Computer, der sich an der Domäne
anmeldet, erhält ein Computerzertifikat. Alternativ können mit dem MMC-Snap-In für Zertifikate
einzelne Computer mit Computerzertifikaten registriert werden.
Registrieren von IAS in AD
IAS-Server müssen in Active Directory registriert werden, damit IAS die Benutzerkontendatenbank
abfragen kann. Bei diesem Vorgang wird der IAS-Server außerdem zu der bereits vorhandenen
Sicherheitsgruppe RAS- und IAS-Server der Domäne hinzugefügt. Hierfür sind
Domänenadministratorrechte erforderlich. Entsprechende schrittweise Anleitungen finden Sie in der
Hilfe.
IAS-Protokollierung
Die Protokollierung ist eine wichtige Komponente jeder Authentifizierungsinfrastruktur. IAS kann
Protokolle in eine Textdatei und in eine SQL Server-Datenbank schreiben. Textdateien eignen sich für
Testzwecke; bei produktiven IAS-Servern sollte die Protokollierung jedoch in einer SQL ServerDatenbank erfolgen. Entsprechende schrittweise Anleitungen finden Sie in der Hilfe.
Hinzufügen des drahtlosen Zugriffspunkts als RADIUS-Client
RADIUS-Clients müssen zur IAS-Konfiguration hinzugefügt werden. Für jeden drahtlosen
Zugriffspunkt sind folgende Schritte erforderlich:

Hinzufügen seiner IP-Adresse

Der Clienthersteller ist Microsoft.

Eingeben des gemeinsamen geheimen Schlüssels. Alle drahtlosen Zugriffspunkte können
denselben gemeinsamen geheimen Schlüssel verwenden, oder jeder drahtlose Zugriffspunkt
kann einen eigenen Schlüssel besitzen.

EAP erfordert die Verwendung von „Message Authenticator“-Attributen.
Konfigurieren der Sicherheit auf dem drahtlosen Zugriffspunkt. Der drahtlose Zugriffspunkt muss
für die Verwendung von PEAP die 802.1x-Authentifizierung unterstützen (wenn ein Zugriffspunkt
derzeit mit LEAP arbeitet, so kann er auch mit PEAP arbeiten. Der Zugriffspunkt selbst ist nicht an der
Auswahl der jeweiligen EAP-Methode beteiligt). Geben Sie in den Sicherheitseinstellungen des
Zugriffspunkts die IP-Adresse des IAS-Servers ein, aktivieren Sie die EAP-Authentifizierung, und
geben Sie dann den freigegebenen geheimen RADIUS-Schlüssel ein. Konfigurieren Sie außerdem
einen WEP-Schlüssel. Dieser Schlüssel wird nur verwendet, wenn der Zugriffspunkt BroadcastInformationen an alle drahtlosen Clients sendet; er wird nicht für einzelne drahtlose Clients verwendet,
die mit dem Zugriffspunkt verbunden sind.
Erstellen einer Richtlinie für den drahtlosen Zugriff
Eine RAS-Richtlinie in IAS ermöglicht es Benutzern von drahtlosen Geräten, eine Verbindung zum
Netzwerk herzustellen. Löschen Sie die vorhandenen RAS-Richtlinien und erstellen Sie dann eine
neue Richtlinie für den drahtlosen Zugriff:

Fügen Sie eine Richtlinienbedingung hinzu, bei der NAS-Port-Type zwei Werten entspricht:
Wireless – IEEE 802.11 und Wireless – other

Erteilen Sie die RAS-Berechtigung.
Konfigurieren Sie in der Richtlinie das folgende Profil:

Heben Sie die Auswahl aller Authentifizierungsmethoden auf.

Konfigurieren Sie eine EAP-Methode: der EAP-Typ ist Protected EAP, das Zertifikat ist das
zuvor abgerufene Computerzertifikat, die schnelle Wiederherstellung der Verbindung ist
aktiviert.

Lassen Sie nur Stärkste Verschlüsselung (MPPE 128-Bit) zu.

Ändern Sie die Attribute (Registerkarte Erweitert), fügen Sie DFÜ-Eigenschaften des
Benutzers ignorieren hinzu, und legen Sie dafür True fest. Löschen Sie Eingerahmtes
Protokoll.
Da diese Richtlinie für den drahtlosen Zugriff und nicht für den VPN- oder RAS-Zugriff vorgesehen ist,
sollten die DFÜ-Eigenschaften eines Benutzerkontos ignoriert werden.
Konfigurieren von XP-Clients für PEAP
Der konfigurationsfreie Dienst für drahtlose Verbindungen von Windows XP vereinfacht die
Verwendung von PEAP erheblich. Für PEAP ist Service Pack 1 erforderlich. Nach der Anwendung
von SP1 führen Sie folgende Schritte durch:

Öffnen Sie die Eigenschaften der drahtlosen NIC.

Wählen Sie die SSID des PEAP-fähigen drahtlosen Netzwerks aus.

Ändern Sie die Authentifizierungsmethode, so dass PEAP verwendet wird, und aktivieren Sie
die schnelle Wiederherstellung der Verbindung (Fast Reconnect).

Optional können Sie festlegen, dass das Zertifikat des IAS-Servers überprüft werden soll.
Hierzu ist es erforderlich, dass die im Zertifikat veröffentlichte Zertifikatssperrliste tatsächlich
vorhanden und für den Zugriff verfügbar ist. Außerdem wird dadurch der Anmeldevorgang
verlangsamt. Die Überprüfung von Zertifikaten wird jedoch in der Regel empfohlen. Wenn die
Sicherheit eines IAS-Servers gefährdet ist, kann sein Zertifikat gesperrt und dadurch der
Zugriff über diesen IAS-Server blockiert werden. In diesem Fall müssen Sie die
Zertifikatssperrliste aktualisieren.
Beachten Sie, dass ein drahtloser Client bereits Mitglied der Domäne sein muss. Nichtmitgliedern wird
der Zugriff verweigert, darüber hinaus ist der Beitritt zur Domäne über eine drahtlose Verbindung nicht
möglich. Für den Domänenbeitritt ist eine Kabelverbindung erforderlich.
Zertifikate und Smartcards
Durch die Bereitstellung von PEAP wird eine unmittelbare Anforderung erfüllt: die Implementierung
sicherer drahtloser Verbindungen ohne Verwendung von Zertifikaten. Zudem wird das Problem der
nicht zu verarbeitenden Kennwortänderungen im proprietären LEAP-Protokoll von Cisco gelöst. PEAP
bietet den Vorteil, dass keine Änderungen des Benutzerverhaltens erforderlich sind. Dennoch treten
selbst bei Verwendung von PEAP alle bekannten Probleme in Verbindung mit Kennwörtern auf: Die
Kennwörter werden vergessen, notiert oder gemeinsam benutzt, und die Benutzer versuchen, die
Richtlinien für die Kennwortkomplexität zu umgehen. Kennwörter stellen eine wenig
vertrauenswürdige Authentifizierungsmethode dar.
Es kommt möglicherweise der Zeitpunkt, an dem neue oder geänderte Geschäftsprozesse ein
höheres Maß an Vertrauenswürdigkeit bei der Authentifizierung erforderlich machen. Zertifikate bieten
diese zusätzliche Vertrauenswürdigkeit. Ein digitales Zertifikat bindet einen privaten Schlüssel an eine
streng authentifizierte Identität. Zertifikate ersetzen IDs sowie Kennwörter und werden Active
Directory-Benutzerkonten zugeordnet. Die Vertrauenswürdigkeit, die mit einem Zertifikat bestätigt
wird, ist nur so stark wie das beim Registrierungsprozess verwendete Authentifizierungsverfahren.
Das persönliche Erscheinen mit Lichtbildausweis bei einem Zertifikatsbeauftragten ist natürlich ein
sehr strenges, aber auch sehr wirkungsvolles Verfahren. Die Integration der Zertifikatsausstellung in
den Einstellungsprozess für neue Mitarbeiter ist ebenfalls eine effektive Methode.
Seit einiger Zeit gestaltet sich die Verwaltung digitaler Zertifikate jedoch äußerst schwierig. Obwohl ein
Zertifikat die Identität eines menschlichen Benutzers bestätigt, wird das Zertifikat selbst auf der
Festplatte eines Computers gespeichert. Für Benutzer, die zwischen Computern wechseln, hat sich
die Übertragung des digitalen Zertifikats als nahezu unmöglich erwiesen. Diese Problematik war die
Ursache für das Scheitern vieler PKI-Bereitstellungen. Die Speicherung von Zertifikaten auf
Computern ist aus mehreren Gründen nicht empfehlenswert:

Ein Zertifikat bestätigt die Identität einer Person. Wird es auf einem Computer gespeichert
(und von der Person aufbewahrt), wird die Sicherheit beeinträchtigt, da sich auf einem
gestohlenen Computer das gestohlene Zertifikat befindet.

Die Verwaltung von auf Computern gespeicherten Zertifikaten ist äußerst schwierig. Die
Benutzer müssen bei jeder Neuinstallation oder Aktualisierung von Betriebssystemen an den
Export der Zertifikate denken.

Auf Computern gespeicherte Zertifikate sind unmöglich zu verwalten, wenn Benutzer
zwischen Computern wechseln.
Smartcards sind die logische Antwort auf dieses Problem. Smartcards werden von Personen
mitgeführt und nicht auf Computern gespeichert. Smartcards werden zudem getrennt vom Computer
aufbewahrt (zumindest sollte dies der Fall sein). Wenn sich ein Benutzer an einem Netzwerk
anmelden möchte, nimmt er seine Smartcard aus seiner Brieftasche oder Geldbörse, führt sie in das
Smartcard-Lesegerät ein und meldet sich an. Windows 2000 und XP bieten vollständige
Unterstützung für Smartcards für den Netzwerkzugriff. Da die Schlüssel und Zertifikate auf der
Smartcard und nicht auf der Festplatte des Computers gespeichert werden, kann ein Benutzer
problemlos zwischen Computern wechseln: Er entnimmt einfach die Smartcard (wodurch automatisch
eine Abmeldung erzwungen wird), geht zu einem anderen Computer, führt die Smartcard ein und
meldet sich an. Zu keinem Zeitpunkt werden Benutzeranmeldeinformationen auf den lokalen
Computern gespeichert.
Zertifikate auf Smartcards vereinen die hohe Vertrauenswürdigkeit der strengeren Authentifizierung
mit der einfachen Mobilität, die die Benutzer erwarten. Die Karten selbst werfen jedoch bestimmte
Probleme auf, die berücksichtigt werden müssen. Obwohl sie jetzt die einzige Möglichkeit für den
Zugriff auf Netzwerkressourcen darstellen, sind auf Smartcards keine Werte gespeichert, wodurch sie
nicht mit derselben Sorgfalt wie eine Kreditkarte, ein Fahrausweis oder ein Mitarbeiterausweis
behandelt werden. Ein häufiger Fehler seitens der Benutzer besteht darin, dass sie ihre Smartcards in
ihrem Schreibtisch aufbewahren oder diese in derselben Tasche wie ihre Laptops mitführen.
Smartcards sollten immer am Körper aufbewahrt werden, wenn sie nicht benutzt werden. Eine
Methode zur Förderung dieses Verhaltens ist die Einführung neuer Mitarbeiterausweise, die zugleich
Smartcards sind. Dann müssen die Benutzer nicht mehr mehrere Karten mitführen. Zudem sind sie
daran gewöhnt, Ausweiskarten in Brieftaschen oder Geldbörsen aufzubewahren, und mit der
Smartcard ist jetzt ein Wert verbunden. Microsoft hat sich für die Einführung dieses Konzepts
entschieden. Im Laufe eines Jahres werden alle 55.000 Mitarbeiterausweise durch kombinierte
Smartcards/Sicherheitsausweise ersetzt.
Es sind sowohl PC-Kartenlesegeräte als auch USB-Lesegeräte erhältlich. Entscheiden Sie sich für
eines der folgenden Lesegeräte (deren Treiber und Kryptografiedienstanbieter in Windows enthalten
sind), damit Sie keine zusätzlichen Treiber oder Kryptografiedienstanbieter installieren müssen:

Gemplus GemSAFE

Schlumberger Cryptoflex
Smartcards sollten am besten in Gruppen bereitgestellt werden. Ein Administrator sollte
beispielsweise die Smartcards für 50 Benutzer mit einer Smartcard-Registrierungsstelle registrieren
(und optional aktivieren) und dann diesen Benutzern mitteilen, dass ihre Karten zur Abholung
bereitliegen. Die Karten sollten nicht mit der Firmenpost zugestellt werden, sondern jeder Benutzer
sollte persönlich erscheinen, um seine Smartcards in Empfang zu nehmen. Wenn die erste Gruppe
von Benutzern ihre Lesegeräte installiert und sichergestellt hat, dass der Zugriff über Smartcards
funktioniert, sollte die nächste Benutzergruppe bearbeitet werden.
Für die Aktivierung muss der Smartcard eine PIN zugewiesen werden. Wenn der Administrator, der
die Registrierung durchführt, zudem die Karte aktiviert, kennt der Administrator die PIN des Benutzers,
bis der Benutzer seine PIN ändert. Der Benutzer muss jedoch keine Arbeitsschritte durchführen, bevor
er die Smartcard für die VPN-Authentifizierung verwenden kann. Wenn die Benutzer die Aktivierung
selbst vornehmen, empfiehlt sich die Bereitstellung eines speziellen „Aktivierungscomputers“ am
gleichen Ort, an dem sie ihre Karten abholen. Der Benutzer führt die Karte in das Lesegerät des
Computers ein, startet das Aktivierungsprogramm und weist der Karte eine PIN seiner Wahl zu.
Für die Registrierung oder Aktivierung werden keine speziellen Lesegeräte benötigt für diese Zwecke
kann jedes beliebige Smartcard-Lesegerät verwendet werden.
Hinzufügen von Smartcards und Zertifikaten zum drahtlosen Netzwerk. Bei den meisten
Bereitstellungen von PEAP wird EAP-MSCHAPv2 für die kennwortbasierte Authentifizierung von
Computern und Benutzern im Netzwerk verwendet. PEAP kann auch EAP-TLS verwenden: die
Spezifikation für die zertifikatbasierte Authentifizierung. Wenn schließlich Smartcards bereitgestellt
werden, fügen Sie einfach EAP-TLS als EAP-Typ zur vorhandenen PEAP-Zugriffsrichtlinie in IAS
hinzu. Wenn Computer- und Benutzerzertifikate verfügbar sind, handelt PEAP EAP-TLS aus. Sind die
Zertifikate nicht verfügbar, wird EAP-MSCHAPv2 von PEAP ausgehandelt. Sobald alle Benutzer
Smartcards erhalten haben, kann EAP-MSCHAPv2 aus der Liste der EAP-Typen entfernt werden.
Zertifikatssperrlisten sind obligatorisch
Die Authentifizierung von Benutzern mit (auf Smartcards oder Festplatten gespeicherten) Zertifikaten
und die Verwendung des RADIUS-Authentifizierungsanbieters führen zu einem Anmeldevorgang, der
eine Reihe von Schritten umfasst. Für die zertifikatbasierte Authentifizierung wird eine digitale
Signatur vom Client ausgeführt und vom Server auf die folgende Weise überprüft:
1. Der Server sendet einen zu signierenden Hashwert an den Client, wobei der Server eine Kopie
dieses Hashwertes behält.
2. Der Client signiert den Hashwert:
1. Verschlüsseln des Hashwertes mit dem privaten Schlüssel des Clients, der sich auf dem
Client befindet.
2. Bündeln des verschlüsselten Hashwertes und des Zertifikats des Clients in einem PKCS#7Blob.
3. Senden des Blobs an den Server.
3. Der Server überprüft die Signatur:
1. Entschlüsseln des verschlüsselten Hashwertes mit dem im Zertifikat enthaltenen öffentlichen
Schlüssel.
2. Stimmt der entschlüsselte Hashwert mit der auf dem Server gespeicherten Originalkopie
überein? Dies sollte der Fall sein.
3. Ist das Zertifikat gültig?
i. Wurde das Zertifikat von einer Zertifizierungsstelle ausgestellt, der der Server vertraut? (Die
Zertifikatskette muss bis zum vertrauenswürdigen Stammzertifikat aufgebaut werden).
ii. Prüfen, ob das Zertifikat manipuliert wurde (hierbei handelt es sich um einen kryptografischen
Vorgang und nicht um eine boolesche Operation).
iii. Prüfen der Gültigkeitsdauer des Zertifikats.
iv. Prüfen, ob das Zertifikat gesperrt wurde; AD prüft automatisch die Zertifikatssperrlisten (Certificate
Revocation List oder CRL).
Wenn alle Prüfungen erfolgreich durchgeführt wurden, wird der Benutzer an der Domäne angemeldet:
1. Lesen des alternativen Antragstellernamens (Subject Alternate Name oder SAN) des
Zertifikats, der einen Windows Active Directory-UPN enthält.
2. Herstellen der Verbindung zum Domänencontroller für die Domäne im SAN.
3. Suchen des Kontos, dessen UPN mit dem SAN des Zertifikats übereinstimmt.
4. Abrufen von Kerberos-Anmeldeinformationen und Übermittlung an den Client.
Diese gesamte Kommunikationskette wird durch TLS gesichert und folgt den Spezifikationen für EAPTLS und EAP-TLS über RADIUS. Zwischen RRAS und RADIUS wird EAP-TLS in RADIUS gekapselt.
Der RADIUS-Server empfängt diese Daten, entkapselt EAP-TLS und führt den bereits beschriebenen
Anmeldevorgang durch. Ist der Anmeldevorgang erfolgreich, sendet der RADIUS-Server (immer noch
in der EAP-TLS-Sitzung) ein ACCESS-ACCEPT-Paket an den Client. Schlägt die Anmeldung fehl,
sendet der RADIUS-Server ein ACCESS-REJECT-Paket.
Grundsätzliches. Jetzt ist der Server davon überzeugt, dass der Client, der die Signatur ausgeführt
hat, seinen eigenen privaten Schlüssel verwendet hat (da der Hashwert mit dem zugehörigen
öffentlichen Schlüssel im Zertifikat entschlüsselt werden konnte) und dass es sich bei der
Zertifizierungsstelle um die Stelle handelt, die Domänencontrollerzertifikate ausstellt. Beachten Sie,
dass das Vertrauen in den Zertifikatsanmeldeprozess vollständig auf dem Vertrauen in die
Zertifizierungsstelle und auf der Gültigkeit des Zertifikats beruht.
Betrachten Sie nun den Fall, dass der Laptop eines Benutzers gestohlen wird. Obwohl der Benutzer
einen neuen Laptop mit einem neuen Zertifikat erhält, existiert das gestohlene Zertifikat nach wie vor.
Ohne eine Zertifikatssperrliste für das Prüfen der Gültigkeit gibt es keine Möglichkeit, die Anmeldung
dieses Zertifikats zu verhindern:
1. Der gestohlene Computer verfügt immer noch über den privaten Schlüssel und kann ihn zum
Signieren des Hashwertes verwenden.
2. Das gestohlene Zertifikat ist nach wie vor in den Blob eingebunden.
3. Der Domänencontroller (DC) kann den Hashwert erfolgreich entschlüsseln.
4. Der DC prüft die Zertifikatssperrliste. Ist jedoch keine Zertifikatssperrliste vorhanden, wird der
Benutzer angemeldet.
Obwohl in Active Directory eine Kopie des Zertifikats und des öffentlichen Schlüssels eines Benutzers
im Verzeichnis gespeichert wird, wird diese nur zur Überprüfung von E-Mail-Signaturen und nicht für
die Authentifizierung verwendet. Zwischen einem Konto und einem Zertifikat sind keine expliziten
Verweise oder Verknüpfungen vorhanden; das eigene Zertifikat eines Benutzers wird in
Zertifikatzuordnungen für das Konto des Benutzers nicht angezeigt.
Im Gegensatz zu IDs und Kennwörtern, bei denen das Vertrauen auf der Integrität des DC beruht,
liegt bei der Verwendung der Zertifikatsanmeldung das Vertrauen an anderer Stelle. Das Vertrauen
beruht darauf, dass überprüft werden kann, ob ein Zertifikat noch gültig ist. Die einzige Möglichkeit für
diese Prüfung ist das Vorhandensein einer Zertifikatssperrliste. X.509 wurde auf der Grundlage dieses
Prinzips entwickelt.
Daher ist eine Zertifikatssperrliste eine Voraussetzung für die zertifikatbasierte Anmeldung an RRAS.
Zusätzliche Informationen sind in der Hilfe sowie im Windows 2000 Resource Kit enthalten. Sie finden
diese Informationen unter
http://www.microsoft.com/Windows2000/en/server/help/sag_CS_CertRevoke.htm und
http://www.microsoft.com/Windows2000/techinfo/reskit/en-us/distrib/dscj_mcs_eako.asp (beide
englischsprachig).
„Security of the WEP Algorithm,” http://www.isaac.cs.berkeley.edu/isaac/wep-faq.html
(englischsprachig)
1
2
Ein Beispiel ist WEPCrack, http://sourceforge.net/projects/wepcrack/ (englischsprachig)
„802.1x – Port Based Network Access Control,” http://www.ieee802.org/1/pages/802.1x.html
(englischsprachig)
3
RFC 2284, „PPP Extensible Authentication Protocol,” http://www.ietf.org/rfc/rfc2284.txt
(englischsprachig)
4
RFC 2176, „PPP EAP-TLS Authentication Protocol,” http://www.ietf.org/rfc/rfc2176.txt
(englischsprachig)
5
„Protected EAP Protocol,” ftp://ftp.rfc-editor.org/in-notes/internet-drafts/draft-josefsson-pppext-eaptls-eap-05.txt (englischsprachig)
6
Zugehörige Unterlagen
Winjur, Fehlermeldung Fehler bei der Anmeldung für den Benutzer
Winjur, Fehlermeldung Fehler bei der Anmeldung für den Benutzer
Abacus 2.0 - Preisliste - LABanalytics Abacus 2.0
Abacus 2.0 - Preisliste - LABanalytics Abacus 2.0
Funktion
Funktion
PROFFIX Preisliste Kauf
PROFFIX Preisliste Kauf
SNT Übung 1
SNT Übung 1
Nur eine Schnittstelle Konfiguration
Nur eine Schnittstelle Konfiguration
Zertifikat
Zertifikat
als PPSX Präsentation
als PPSX Präsentation
2. Benutzer verwalten
2. Benutzer verwalten
Praktikum Workgroup Computing 1
Praktikum Workgroup Computing 1
K ey Bank III SPEZIFIKATION
K ey Bank III SPEZIFIKATION
Mit User Experience Design effizient Produkte entwickeln, die
Mit User Experience Design effizient Produkte entwickeln, die
Herunterladen
Werbung