In Sammlung (en) In der gespeicherten
  1. Keine Kategorie

802.1X und Verschlüsselung zur Absicherung von

Werbung 
Absichern von drahtlosen Netzwerken – eine Microsoft®
Windows Server 2003-Zertifikatdienste-Lösung
Planungshandbuch: Kapitel 6 – Design der WLAN-Sicherheit
mit 802.1X
Einleitung
Primäres Ziel dieses Kapitels ist eine Beschreibung der Architektur und des Designs der 802.1Xbasierten Lösungskomponenten. Sie erfahren mehr über die zugrunde liegenden Entscheidungen und
die Gründe hinter diesen Entscheidungen. Außerdem soll Ihnen dieses Kapitel dabei helfen, das
Design für eine Nutzung in Ihrer Umgebung zu bewerten.
Voraussetzungen für das Verständnis dieses Kapitels
Bevor Sie dieses Dokument lesen, sollten Ihnen die Konzepte eines WLANs auf Basis von 802.11 und
802.1X, die RADIUS-Konzepte, der Microsoft® Internet Authentication Service (IAS) und die Microsoft
Windows® XP WLAN-Bereitstellungsoptionen bekannt sein.
Weitere Informationen zu diesen Themen finden Sie im Abschnitt Zusätzliche Informationen am Ende
dieses Kapitels und im Microsoft Windows Server. 2003 Resource Kit und Microsoft Windows Server.
2003 Deployment Kit unter http://www.microsoft.com/windows/reskits/default.asp (englischsprachig).
Kapitelübersicht
In der folgenden Abbildung sehen Sie die Struktur dieses Kapitels.
Abbildung 6.1: Planung der WLAN-Sicherheit mit 802.1X
In diesem Kapitel werden sechs Kernpunkte besprochen:

802.1X-Verschüsselung zur Sicherung des WLANs: In WLANs gibt es zwei grundlegende
Sicherheitsprobleme. Beide werden in diesem Kapitel behandelt:

Schutz Ihres Netzwerkes vor Personen mit kompatiblen WLAN-Adaptern durch die
Konfiguration der 802.1X-APs als RADIUS-Clients. Diese senden Zugriffs- und
Kontoanfragen an die RADIUS-Server weiter. Die RADIUS-Server führen den IAS-Dienst
aus. Der IAS-Dienst kontrolliert den Netzwerkzugriff zentral über RAS-Richtlinien.

Schutz der zwischen WLAN-Geräten ausgetauschten Daten über eine 128-Bit-WEPVerschlüsselung (Wired Equivalent Privacy) oder WPA-Verschlüsselungsfeatures (WiFi
Protected Access).

Verwendung von Zertifikaten oder Passwörtern: Microsoft unterstützt für 802.1X-WLANs
mehrere Authentifizierungsmöglichkeiten. Die verwendete Authentifizierung kann deutliche
Auswirkungen auf die für die Lösung erforderliche Infrastruktur haben.

Voraussetzungen für die Lösung: Bevor Sie mit dem Design beginnen, sollten Sie die in
Ihrer Umgebung erforderlichen Voraussetzungen kennen (zum Beispiel für Clientcomputer,
Serverinfrastruktur und WLAN-Hardware).

Überlegungen zu WLAN-Sicherheitsoptionen: Die Planung der Sicherheitsoptionen ist sehr
komplex. Einige Punkte, die berücksichtigt werden sollten, sind zum Beispiel:

Festlegen der Autorisierungsanforderungen

Auswählen einer Strategie zur Clientkonfiguration

Festlegen der Verschlüsselungsanforderungen

Design der WLAN-Infrastruktur

Überlegungen zu WLAN-Gruppenrichtlinien

Festlegen der für 802.1X-WLANs erforderlichen Softwareeinstellungen: Sie müssen IASbasierte Zugriffsrichtlinien und Active Directory-basierte Gruppenrichtlinien festlegen.

Überlegungen zu zusätzlichen Faktoren: Hier werden Themen besprochen, die von dieser
Lösung nicht abgedeckt werden, jedoch Auswirkungen auf Ihre Umgebung haben könnten.
Dies sind zum Beispiel:

Unterstützen von servergespeicherten Profilen und Benutzern, die ihren Standort häufig
wechseln.

Unterstützen von Clients ohne normale LAN-Verbindung.
802.1X und Verschlüsselung zur Absicherung von WLANs
nutzen
WLANs verbreiten sich immer weiter. Sie erlauben es den Benutzern sich automatisch mit dem WLAN
zu verbinden, wenn dieses in Reichweite ist.
Außer den bekannten Annehmlichkeiten gibt es bei WLANs allerdings auch einige Sicherheitsrisiken:

Jeder, der über einen kompatiblen WLAN-Adapter verfügt, kann auf das Netzwerk zugreifen.

Jeder, der sich in Reichweite eines APs befindet, kann Daten an diesen senden und von
diesem empfangen.
Um diese Sicherheitsrisiken zu umgehen, können Sie die APs als RADIUS-Clients einrichten und
diese dann so konfigurieren, dass sie alle Anforderungen an einen zentralen RADIUS-Server mit IASDienst weiterleiten. Außerdem können Sie die zwischen AP und Client ausgetauschten Daten über
WEP oder WPA verschlüsseln.
WEP fehlt eine Schlüsselverwaltung, und es gibt einige Designfehler. Diese können dazu führen, dass
die Schlüssel von Angreifern herausgefunden werden können. Mit IAS ist eine dynamische Zuweisung
starker WEP-Schlüssel während der zertifikatsbasierten Authentifizierung möglich. Außerdem können
die WEP-Schlüssel in regelmäßigen Intervallen erneuert werden.
WPA ist eine Untermenge des kommenden 802.11i-Sicherheitsstandards für 802.11-basierte WLANHardware und verfügt über eine verbesserte Verschlüsselung, die die Probleme von WEP behebt. Im
Moment sind WPA-fähige Produkte noch nicht sehr verbreitet. Über Hardwareänderungen und eine
minimale Aktualisierung von Windows XP ist mit dieser Lösung ein Wechsel zu WPA jedoch sehr
einfach möglich.
Zertifikate oder Passwörter
Wie schon erwähnt, kann die Auswahl der Authentifizierungsmethode umfangreiche Auswirkungen auf
die erforderliche Infrastruktur haben.
In der folgenden Tabelle sehen Sie die EAP-Typen, die Sie in einer Microsoft-802.1X-Infrastruktur
nutzen können sowie deren Vorteile und Nachteile.
Tabelle 6.1: Vorteile und Nachteile der EAP-Typen
Feature
PEAP
EAP-TLS
MD5
Gegenseitige
Authentifizierung
Gegenseitige
Authentifizierung
Gegenseitige
Authentifizierung
Keine gegenseitige
Authentifizierung
Schlüsselrotation
(Rekeying)
Während der
Authentifizierung
generiert
Während der
Authentifizierung
generiert
Keine
Schlüsselrotation.
Nutzt statische
Schlüssel
Stärke der
Sicherheitstechnologie
Starke
passwortbasierte
Authentifizierung
Starke
Authentifizierung
Schwache
Sicherheitstechnologie
Schutz der
Anmeldeinformationen
des Benutzers
Durch einen TLSTunnel (Transport
Layer Security)
geschützt
Zertifikatbasierte
Authentifizierung
Anfällig für
Wörterbuchangriffe
Implementierung
Umfangreiche
Unterstützung und
standardmäßig
unter Windows
Clients verfügbar
Public Key
Infrastruktur (PKI)
erforderlich.
Standardmäßig
unter Windows
Clients verfügbar
Einfache
Implementierung – für
WLANs jedoch nicht
empfehlenswert
Anmeldeinformationen
Jedes EAPVerfahren mit TLSTunnel – inkl. EAPMSCHAPv2basierten
Passwörtern
Nur digitale
Zertifikate
Nur Passwort
Der für eine zertifikatsbasierte Authentifizierung empfohlene EAP-Typ ist EAP-TLS. Der empfohlene
EAP-Typ für eine passwortbasierte Clientauthentifizierung ist EAP-MSCHAPv2 mit PEAP (Protected
Extensible Authentication Protocol) – auch PEAP-EAP-MSCHAPv2 genannt.
Für kleine Organisationen ohne Zertifikatsinfrastruktur ist eine passwortbasierende Authentifizierung
möglicherweise ausreichend.
Bei der Nutzung einer Zertifikatsinfrastruktur sollten die Kosten für den Kauf von Zertifikaten von
einem Drittanbieter sehr genau gegen den Nutzen einer eigenen Zertifikatsinfrastruktur aufgewogen
werden. Mit diesem Handbuch sind Sie in der Lage, eine zertifikatsbasierte Authentifizierungslösung
mit minimalen Kosten und geringem Aufwand aufzusetzen.
Voraussetzungen für die Lösung
Anforderungen für Clientcomputer
Diese Lösung wurde für eine Verwendung von Windows XP Professional mit Service Pack (SP) 1
entwickelt und getestet. Die Tests wurden sowohl mit Windows XP Professional als auch mit Windows
XP Professional Tablet PC Edition durchgeführt. Beide Versionen ermöglichen eine automatische
Zertifikatsausstellung und –erneuerung für Computer- und Benutzerzertifikate. Hierdurch sinken die
Kosten für eine zertifikatsbasierte 802.1X-Lösung deutlich.
Microsoft stellt 802.1X-Clients kostenlos für Windows 9x, Microsoft Windows NT® 4.0 und Windows
2000 zur Verfügung. Diese Clients wurden mit der vorliegenden Lösung jedoch nicht getestet.
Erforderliche Server-Infrastruktur
Die Lösung baut auf dem Zertifikatsdienst und dem IAS-Dienst von Microsoft Windows Server 2003
auf. Es gibt bei diesen Diensten einige Features, die explizit für 802.1X-basierte WLANs entwickelt
wurden – zum Beispiel änderbare Zertifikatsvorlagen und RAS-Richtlinien.
Die Lösung wurde für einen Betrieb in einer Windows Server 2003- oder Windows 2000-Active
Directory-Umgebung entworfen – die Tests wurden allerdings primär mit Windows Server 2003Domänencontrollern durchgeführt.
Erforderliche WLAN-Hardware
Die Lösung geht von einer funktionierenden WLAN-Infrastruktur mit 802.1X-Unterstützung und einer
minimalen Verschlüsselung von 128-Bit über WEP aus.
Überlegungen zu WLAN-Sicherheitsoptionen
Wenn Sie nicht schon über eine WLAN-Sicherheitsrichtlinie in Ihrer Organisation verfügen, sollten Sie
über deren Einrichtung nachdenken. Bei einer Planung sollten Vertreter von Hardwareeinkauf,
Sicherheitsplanung, Netzwerkbetreuung und Netzwerkbetrieb mitarbeiten. Die WLANSicherheitsrichtlinien sollten dokumentiert werden und allen Nutzern des Netzwerks bekannt sein.
Benutzer- und/oder computerbasierte Authentifizierung
Außer einer Benutzerauthentifizierung ist für eine vollständige Lösung auch eine
Computerauthentifizierung notwendig. Es gibt einige Features von Windows XP Professional, die nur
mit einer aktiven Netzwerkverbindung korrekt funktionieren. Durch die Computerauthentifizierung ist
sichergestellt, dass eine solche Netzwerkverbindung während der Startsequenz aufgebaut wird.
Tabelle 6.2: Überlegungen zur Computerauthentifizierung
Feature
Szenario, bei dem eine Computerauthentifizierung
erforderlich ist
Active Directory-Gruppenrichtlinie für Computer
Während des Computerstarts wird eine
computerbasierte Gruppenrichtlinie angewandt.
Anmeldescripts
Während der Benutzeranmeldung werden
Anmeldescripts ausgeführt.
System-Management-Agents
Agenten wie die von Microsoft Systems Management
Server (SMS) benötigen einen regelmäßigen
Netzwerkzugriff
Remotedesktopverbindung
Es soll ein Zugriff auf Computer über eine WindowsRemotedesktopverbindung möglich sein – auch wenn
kein Benutzer angemeldet ist.
Freigegebene Ordner
Freigegebene Dateien und Ordner stehen auch dann
noch zur Verfügung, wenn kein Benutzer angemeldet
ist.
Die beste Strategie ist eine Verwendung der benutzerbasierten Authentifizierung, wenn dies möglich
ist und die Verwendung einer computerbasierten Authentifizierung, wenn dies erforderlich ist. Wenn
kein Benutzer angemeldet ist, führt der 802.1X-Client von Windows XP Professional standardmäßig
eine Computerauthentifizierung durch – ansonsten wird eine Benutzerauthentifizierung durchgeführt.
Prüfung von zertifikatsbasierten Anmeldeinformationen
Wenn eine Prüfung auf zurückgezogene Zertifikate durchgeführt wird, kann dies die Verwendung von
Zertifikaten verhindern, die auf gestohlenen oder verlorenen Computer gespeichert waren. Eine
Prüfung der Serverzertifikate verhindert Man-in-the-middle-Angriffe.
Tabelle 6.3: IAS-Prüfung der Clientzertifikate
IAS-Prüfung
Standardverhalten
Von dieser Lösung
verwendete
Einstellung
Ist das Datum des Zertifikats gültig?
Aktiviert
Keine Änderung
Gibt es einen gültigen Vertrauenspfad von Zertifikat zu einer
vertrauenswürdigen Stammzertifizierungsstelle?
Aktiviert
Keine Änderung
Enthält das Zertifikat die erforderlichen Schlüssel?
Aktiviert
Keine Änderung
Ist das Zertifikat mit einem privaten Schlüssel signiert?
Aktiviert
Keine Änderung
?
Aktiviert
Keine Änderung
Windows XP Professional prüft die IAS-Serverzertifikate bereits standardmäßig.
Tabelle 6.4: Prüfung der IAS-Zertifikate durch Windows XP
Windows XP-Prüfung des Serverzertifikats
Standardverhalten
Von dieser
Lösung
verwendete
Einstellung
Ist das Datum des Zertifikats gültig?
Aktiviert
Keine Änderung
Gibt es einen gültigen Vertrauenspfad von Zertifikat zu einer
vertrauenswürdigen Stammzertifizierungsstelle?
Aktiviert
Keine Änderung
Enthält das Zertifikat die erforderlichen Schlüssel?
Aktiviert
Keine Änderung
Ist das Zertifikat zurückgezogen worden?
Aktiviert
Keine Änderung
Bei der Authentifizierung in einem WLAN über 802.1X ist es für den Clientcomputer nicht möglich das
Serverzertifikat darauf zu prüfen, ob es zurückgezogen wurde, da während einer EAP-TLSAuthentifizierung noch kein Netzwerkzugriff zur Verfügung steht. Um dieses Risiko zu minimieren,
sollten Sie die in der folgenden Tabelle gezeigten Optionen verwenden.
Tabelle 6.5: Erweiterte Prüfung des IAS-Zertifikats durch Windows XP
Windows XP-Prüfung des Serverzertifikats
Standardverhalten
Von dieser Lösung
verwendete
Einstellung
Der Antragsteller des Zertifikats entspricht einem DNS-Wert, der
auf dem Client konfiguriert ist.
Nicht aktiviert
Keine Änderung
Explizite Auswahl der vertrauenswürdigen
Stammzertifizierungsstellen.
Nicht aktiviert
Aktiviert
Festlegen der Autorisierungsanforderungen
Das Ziel einer jeden Organisation sollte eine einfache Verwaltung der Netzwerkautorisation sein – die
Minimierung der RAS-Richtlinien unterstützt dieses Ziel. Es sollte jedoch sichergestellt sein, dass die
Sicherheitsrichtlinien der Organisation auch weiterhin eingehalten werden.
Festlegen der Verbindungskriterien
RAS-Richtlinien können vor einer Autorisierung mehrere Verbindungskriterien prüfen. Diese sind zum
Beispiel:

RAS-Berechtigungen

Gruppenmitgliedschaften

Verbindungsart

Uhrzeit

Authentifizierungsverfahren
Außerdem können die folgenden erweiterten Bedingungen verwendet werden:

Identität des Zugriffsservers

Telefonnummer oder MAC (Media Access Control) des Clients

Ob die Einwahleigenschaften des Benutzerkontos berücksichtigt werden sollen

Ob ein unautorisierter Zugriff erlaubt ist
Die Lösung verwendet IAS-Verbindungskriterien, die auf Active Directory-Gruppen und dem Typ des
Quellnetzwerkes und nicht auf der Uhrzeit, der Authentifizierungsmethode oder anderen Kriterien
basieren. So wird die Zahl der notwendigen Richtlinien gering gehalten.
Festlegen der Verbindungsbeschränkungen
Nachdem die Verbindung autorisiert ist, kann die RAS-Richtlinie zur Definition von spezifischen
Verbindungseinschränkungen verwendet werden. Diese sind zum Beispiel:

Trennung der Sitzung bei Leerlauf

Maximale Sitzungslänge

Verschlüsselungsstärke

IP-Paketfilter
Es gibt außerdem folgende erweiterte Einschränkungen:

IP-Adresse für PPP-Verbindungen (Point-to-Point Protocol)

Statische Routen
Die Zahl der tatsächlich benötigten RAS-Richtlinien wird unter anderem von Zahl und Art der
Personen bestimmt, die einen Zugriff auf das WLAN benötigen.
Verbindungsprofile sind für jede RAS-Richtlinie eindeutig. Wenn Sie unterschiedliche Profile
benötigen, müssen Sie daher unterschiedliche RAS-Richtlinien erstellen.
In der folgenden Tabelle sehen Sie Beispiele für die verschiedenen Benutzertypen und die
potentiellen Verbindungseinschränkungen.
Tabelle 6.6: Beispiele für WLAN-Verbindungseinschränkungen
Benutzergruppe
Beispiel für die Einschränkungen
Vollzeitangestellte
Authentifizierter, uneingeschränkter Zugriff auf das
Unternehmensnetzwerk.
Partner oder Kontraktoren
Authentifizierter, eingeschränkter Zugriff auf das
Unternehmensnetzwerk.
Gäste
Unauthentifizierter Zugriff auf das Internet-Segment
zum Zugriff auf das Internet oder einen VPN-Zugriff auf
das eigene Netzwerk des Gastes.
In dieser Lösung werden nur Vollzeitmitarbeiter verwendet. Daher ist auch nur eine einzelne RASRichtlinie mit einem einfachen Profil notwendig. Wenn Sie weitere Richtlinien einrichten müssen,
finden Sie im Abschnitt Zusätzliche Informationen am Ende dieses Kapitels mehr Informationen zu
diesem Thema.
Auswählen der Strategie zur Clientkonfiguration
Ein grundlegender Schritt in der Kostenreduzierung und in der Minimierung von Problemen durch
falsche Konfigurationen ist eine automatische Clientkonfiguration.
Windows XP Professional verfügt über hervorragende Features zur Minimierung der
Clientkonfiguration. Windows Server 2003 fügt diesen Features über Active Directory- und WLANRichtlinien noch einige Möglichkeiten hinzu. In dieser Lösung werden Windows Server 2003-basierte
WLAN-Richtlinien für die automatische Konfiguration der WLAN-Clients verwendet.
Die Verteilung dieser Einstellung auf den mobilen Computer können Sie vor der Installation der
WLAN-Netzwerkkarten durchführen. Wenn die WLAN-Netzwerkkarten durch die Endbenutzer
installiert werden, werden die Einstellungen über vorher konfigurierte Gruppenrichtlinien zugewiesen.
Festlegen der Verschlüsselungsanforderungen
Auch bei einer dynamischen Schlüsselverwaltung über 802.1X und 128-Bit-WEP ist es für Angreifer
möglich, den WEP-Schlüssel über Brute-Force-Angriffe herauszufinden. Solche Angriffe sind bereits
öffentlich bekannt und werden in verschiedenen Quellen ausführlich beschrieben. Der Angreifer
benötig allerdings eine größere Menge der Netzwerkdaten und viel Rechenaufwand. Daher ist die
beste Strategie um solchen Bedrohungen entgegenzuwirken ein Intervall für die Schlüsselerneuerung,
der kleiner ist, als der Zeitraum, den ein Angreifer für einen Brute-Force-Angriff benötigt.
In dieser Lösung werden die Windows XP-Clients über eine IAS-RADIUS-Option alle 10 Minuten zu
einer Reauthentifizierung gezwungen. Zurzeit sollte dies für eine Minimierung dieses Risikos
ausreichend sein. Zusätzlich stellt EAP-TLS sicher, dass während des TLS-Aushandlungsverfahrens
starke WEP-Schlüssel verwendet werden.
Bevor Sie den Zeitraum für die Schlüsselerneuerung ändern, sollten Sie den Wert Ihrer Daten und die
Gefahr durch Angreifer berücksichtigen. Außerdem kann es sein, dass bei einer häufigen
Reauthentifizierung die Last auf den IAS-Servern steigt.
Auswählen einer Strategie für die WLAN-Migration
Wenn Sie bereits über eine WLAN verfügen, sollten Sie eine Migrationsstrategie erstellen.
Studien zeigen, dass viele Organisationen bereits 802.11-basierte WLANs verwenden – jedoch ohne
Authentifizierung oder Verschlüsselung. Andere Organisationen verwenden eine Authentifizierung mit
statischen Schüsseln.
Eine Migration von diesen beiden WLAN-Arten aus ist sehr einfach. Sie umfasst typischerweise die
folgenden Schritte:
1. Bereitstellung von Zertifikaten für Computer und Benutzer: Dies sollte vor der 802.1XBereitstellung durchgeführt werden.
2. Konfiguration einer WLAN-RAS-Richtlinie auf den IAS-Servern.
3. Bereitstellung der WLAN-Netzwerkkonfiguration auf den Clientcomputern: Die für ein
neues WLAN typischerweise erforderliche neue SSID (Service Set Identifier) und die
Netzwerkeinstellungen können über eine Active Directory-Gruppenrichtlinie bereitgestellt
werden. Diese sollte vor der AP-Neukonfiguration definiert werden.
4. Konfiguration der APs: Sie sollten entsprechende Rollback-Verfahren planen, die Sie im Fall
von unvorhergesehenen Problemen durchführen können.
Wie bei allen Migrationsstrategien ist eine gründliche Planung essentiell. Wenn diese nicht gründlich
getestet wird, kann die Migration zu schwerwiegenden Problemen führen. Diese Lösung geht davon
aus, dass es bereits eine WLAN-Infrastruktur gibt, die für 802.1X konfiguriert werden kann.
Design der WLAN-Netzwerkinfrastruktur
Eine genaue Betrachtung des Designs eines WLANs liegt außerhalb der Möglichkeiten dieses
Handbuches. Im Kapitel WLAN des Microsoft Windows Server 2003 Deployment Kit erhalten Sie
hierzu mehr Informationen. Es wurden einige Anstrengungen unternommen, damit die Lösung mit
einer Vielzahl unterschiedlichster Geräte von verschiedenen Herstellern arbeiten kann. Wenn Sie die
Sicherheitseinstellungen für Ihre WLAN-Hardware festlegen, sollten Sie sich trotzdem bei Ihrem
Hardwarehersteller über die folgenden Punkte informieren:

SSID-Name und Standardpasswort: Ändern der Standard-SSID auf allen APs und wie die
APs ihre SSIDs „broadcasten“.

Ändern des standardmäßigen Konsolenpassworts und der SNMP-Kennung.

Sichere Administration der APs: Sichere Kommunikation mit den APs durch Protokolle wie
zum Beispiel Secure Shell (SSH) oder Hypertext Transfer Protocol (HTTP) mit SSL oder TLS.

RADIUS-Clienteinstellungen: APs für die Verwendung von RADIUS-Servern für
Authentifizierung und Kontenabfragen konfigurieren; primäre und sekundäre RADIUS-Server.

VLAN-Switching und Filterung: Verwenden von VLANs, um den Zugriff durch
unterschiedliche Benutzer zu beschränken. Weitere Informationen erhalten Sie im Abschnitt
Zusätzliche Informationen am Ende dieses Kapitels.

Taktiken, um das WLAN auf das Gebäude zu beschränken: Richtige Platzierung der APs;
Beschränkung der Sendeleistung.

Erkennung von nicht genehmigten WLANs: Suche mit Windows XP- und Windows CETools wie zum Beispiel NetStumbler oder AirMagnet.
Überlegungen zu WLAN-Gruppenrichtlinien
Die WLAN-Gruppenrichtlinie sollten Sie zusammen mit den Active DirectoryGruppenrichtlinienadministratoren festlegen. Sie müssen zum Beispiel Entscheidungen zu Zuweisung
des GPOs und zur Positionierung des GPOs in Active Directory treffen. Diese Lösung verwendet eine
vereinfachte WLAN-Richtlinienverwaltung mit einem einzelnen GPO. Dieses wird dem Domänenobjekt
zugewiesen.
Festlegen der für 802.1X-WLANs erforderlichen
Softwareeinstellungen
Es gibt zwei softwarebasierte Komponenten, die Sie für eine Absicherung des WLANs konfigurieren
müssen:

Eine IAS-basierte Zugriffsrichtlinie.

Eine Active Directory-basierte Gruppenrichtlinie für die Clientcomputer.
Die IAS-basierte Zugriffsrichtlinie enthält Einstellungen für:

RAS-Richtlinien

Verbindungsrichtlinien
RAS-Richtlinien legen den Zugriff über APs auf Ihr Netzwerk fest. Verbindungsrichtlinien legen die
Handhabung von RADIUS-Anfragen fest.
Active Directory-basierte Gruppenrichtlinien enthalten die Einstellungen für die Windows XPClientcomputer. Sie beeinflussen die Interaktion der Clients mit den APs, dem RADIUS-Server und
anderen WLANs.
Konfigurieren von RAS-Richtlinien
Bei der Erstellung einer RAS-Richtlinie müssen Sie drei Einstellungsarten berücksichtigen:

Bedingungen

Berechtigungen

Profile
Diese Lösung verwendet eine einzelne RAS-Richtlinie, die Vollzeitmitarbeitern einen
uneingeschränkten Zugriff ermöglicht. In der folgenden Tabelle sehen Sie die Bedingungen, die in
dieser Richtlinie konfiguriert wurden.
Tabelle 6.8: Bedingungen der RAS-Richtlinie
Bedingung
Einstellung
Kommentar
NAS–Port–Type
„Drahtlos – Anderer“
oder
"Drahtlos – IEEE 802.11"
Legt fest, dass eingehende Anfragen von der APHardware kommen müssen.
Windows–Groups
Gruppenmitgliedschaft
Eine Active Directory–basierte universelle
Sicherheitsgruppe, die die globalen Gruppen mit
den Benutzern enthält, die auf das WLAN
zugreifen dürfen.
Die RAS-Berechtigung ist auf Zugriff gestatten gesetzt. Die Benutzerkonten sind mit der Einstellung
Zugriff über RAS-Richtlinie steuern konfiguriert.
In der folgenden Tabelle sehen Sie die Profiloptionen der Richtlinie.
Tabelle 6.9: Profiloptionen der RAS-Richtlinie
Profiloption
Einstellung
Kommentar
Sitzungsablauf bei Leerlauf
10
Die Clientcomputer müssen alle 10 Minuten eine
Reauthentifizierung durchführen.
EAP-Methoden
Smartcard oder
anderes Zertifikat
EAP-Typ ist EAP–TLS.
RADIUS-Attribut - Ignore–User–
Dialin-Properties
Wahr
Es werden keine Einwahleinstellungen an den AP
gesendet (zur Vermeidung von Problemen mit
bestimmen WLAN-Produkten).
RADIUS-Attribut - TerminationAction
RADIUS-Request
Wenn Clients keine Reauthentifizierung durchführen,
wird die Verbindung von den APs getrennt.
Konfiguration von Verbindungsrichtlinien
Für Verbindungsrichtlinien müssen Sie die folgenden Komponenten konfigurieren:

Bedingungen

Profile
In dieser Lösung wird IAS als RADIUS-Server verwendet. Daher werden die Verbindungsanfragen
lokal auf dem Server verarbeitet. Die Einstellungen der folgenden Tabelle zeigen Ihnen die in der
Verbindungsrichtlinie konfigurierten Bedingungen.
Anmerkung: Die Verbindungsrichtlinie dieser Lösung verwendet die Standardwerte der
Windows Server 2003-IAS-Installation.
Tabelle 6.10: Bedingungen der Verbindungsrichtlinie
Bedingung
Einstellung
Kommentar
"Day-And-TimeRestrictions"
"So 00:00-–4:00; Mo
00:00–24:00; Di 00:00–
24:00; Mi 00:00–24:00; Do
00:00–24:00; Fr 00:00–
24:00; Sa 00:00-24:00"
Diese Bedingung stellt sicher, dass ein Zugriff rund
um die Uhr möglicht ist.
Die folgende Tabelle zeigt die Profileinstellungen der Verbindungsrichtlinie.
Tabelle 6.11: Profileinstellungen der Verbindungsrichtlinie
Profiloption
Authentifizierung
Einstellung
Authentifizierungsanforderung
auf diesem Server
Kommentar
Stellt sicher, dass die Anfragen gegen Active
Directory authentifiziert werden.
Konfigurieren von Gruppenrichtlinien für Clientcomputer
In diesem Abschnitt sehen Sie einige der in der Lösung verwendeten Einstellungen. Sie erfahren,
warum diese Einstellungen gewählt wurden. Sie finden die WLAN-Einstellungen unter dem Pfad
\Computerkonfiguration\Windows
Einstellungen\Sicherheitseinstellungen\Drahtlosnetzwerkrichtlinien (IEEE 802.11).
Konfigurieren der WLAN-Einstellungen
Die folgenden Einstellungen sind für die WLAN-Richtlinie möglich:

Allgemeine Einstellungen

Bevorzugte Netzwerke

Netzwerkeigenschaften
In der folgenden Tabelle finden Sie die allgemeinen Einstellungen, die für diese Lösung ausgewählt
wurden.
Tabelle 6.12: Allgemeine Einstellungen für die WLAN-Richtlinie
Option
Einstellung
Kommentar
Netzwerktypen, auf
die zugegriffen werden
soll
Beliebiges verfügbares Netzwerk
Verhindert, dass die Computer ein Ad-hocNetzwerk mit anderen Computern einrichten. Da
die Benutzer jedoch in der Lage sein sollten auch
an anderen Orten (zum Beispiel zu Hause) mit
einem WLAN zu arbeiten, wurde diese Möglichkeit
nicht verwendet.
Verbindung mit nicht
bevorzugten
Netzwerken
automatisch herstellen
Deaktiviert
Windows XP Professional informiert den Benutzer
über verfügbare WLANs, verbindet sich jedoch
nicht automatisch mit diesen.
Unter der Registerkarte Bevorzugte Netzwerke müssen Sie einen Eintrag für das neue 802.1X-
WLAN erstellen. Danach bearbeiten Sie die Netzwerkeigenschaften.
In der folgenden Tabelle sehen Sie die Netzwerkeigenschaften, die für diese Lösung konfiguriert
wurden.
Tabelle 6.13: Netzwerkeigenschaften in der WLAN-Richtlinie
Option
Einstellung
Drahtlosnetzwerkschlüssel
(WEP) – Datenverschlüsselung
(WEP aktiviert)
Aktiviert
Drahtlosnetzwerkschlüssel
(WEP) –
Netzwerkauthentifizierung
(Freigabemodus)
Deaktiviert
Drahtlosnetzwerkschlüssel
(WEP) – Schlüssel wird
automatisch bereitgestellt
Aktiviert
Dies ist ein Computer mit
Computernetzwerk (Ad-hoc);
Drahtloszugriffspunkte werden
nicht verwendet
Deaktiviert
Kommentar
In dieser Lösung werden dynamische Schlüssel
verwendet. Daher ist die Option deaktiviert.
Konfigurieren der 802.1X-Einstellungen auf Clientcomputern
Die 802.1X-Einstellungen beziehen sich auf die folgenden Bereiche:

802.1X-Parameter

EAP-Typ

Prüfung der Kontoinformationen

Computerauthentifizierung
Die folgende Tabelle zeigt Ihnen die für die Lösung verwendeten Einstellungen.
Tabelle 6.14: 802.1X-Einstellungen der WLAN-Richtlinie
Option
Einstellung
Kommentar
Netzwerkzugriffsteuerung mit IEEE
802.1X aktivieren
Aktiviert
EAPOL–Startmeldung
Übertragen
Nach dieser Meldung startet der Client den
Authentifizierungsprozess.
Parameter (Sekunden) – Max. Start
3
So viele Meldungen verschickt der Client, ohne
eine Antwort zu erhalten.
Parameter (Sekunden) –
Wartezeitraum
60
So lange wartet der Client, bevor er versucht,
eine fehlgeschlagene Authentifizierung zu
wiederholen.
Parameter (Sekunden) –
Startzeitraum
60
Zeitraum zwischen den einzelnen Meldungen.
Parameter (Sekunden) –
Authentifizierungszeitraum
30
EAP-Typ
Smartcard oder
anderes Zertifikat
Definiert EAP–TLS als EAP-Typ.
Die Lösung verwendet die in der folgenden Tabelle gezeigten EAP-Einstellungen.
Tabelle 6.15: EAP-Einstellungen der WLAN-Richtlinie
Option
Einstellung
Kommentar
Beim Herstellen der Verbindung
Zertifikat auf diesem
Computer verwenden
Einfache Zertifikatauswahl
verwenden (empfohlen)
Aktiviert
Serverzertifikat überprüfen
Aktiviert
Verbindung mit diesem Server
herstellen
Deaktiviert
Vertauenswürdige
Stammzertifizierungsstellen
Unternehmens-CA
ausgewählt
Anderen Benutzernamen für die
Verbindung verwenden
Deaktiviert
Windows versucht das korrekte Zertifikat
anhand der Zertifikatseigenschaften
auszuwählen.
Der Client prüft den vollqualifizierten
Domänennamen (FQDN) des
Zertifikatsanforderers. Wenn diese Option
aktiviert ist, wird der Benutzer zur
Bestätigung der Vertrauenswürdigkeit des
IAS-Servers aufgefordert.
Der Benutzer kann einen Benutzernamen
angeben, der von dem Namen im Zertifikat
abweicht.
Die folgende Tabelle zeigt die in der Lösung verwendeten Einstellungen für die
Computerauthentifizierung
Tabelle 6.16: Optionen für die Computerauthentifizierung
Option
Einstellung
Kommentar
Als Gast authentifizieren,
wenn Benutzer- oder
Computerinformationen
nicht verfügbar sind
Deaktiviert
Als Computer
authentifizieren, wenn
Computerinformationen
verfügbar sind
Aktiviert
Stellt sicher, dass eine Computerauthentifizierung
durchgeführt wird, wenn kein Benutzer angemeldet
ist.
Computerauthentifizierung
Mit wiederholter
Benutzerauthentifizierung
Stellt sicher, dass, wenn immer möglich die
Benutzerinformationen zur Authentifizierung
verwendet werden.
Zusätzliche Überlegungen
In diesem Abschnitt werden Überlegungen angesprochen, die außerhalb des Rahmens dieses
Handbuchs liegen, die jedoch Auswirkungen auf Ihre Umgebung haben können.
Unterstützen von servergespeicherten Profilen und Benutzern die ihren
Standort wechseln
EAP-TLS-basierte 802.1X-Komponenten sind von Zertifikaten und privaten Schlüsseln im
Zertifikatsspeicher des Computers abhängig. Wenn Sie sicherstellen möchten, dass diese Zertifikate
und Schlüssel immer zur Verfügung stehen, sollten Sie die Verwendung von servergespeicherten
Profilen berücksichtigen. Alternativ ist es mit Computer unter Windows XP möglich, eine
Computerauthentifizierung zu verwenden. Diese Möglichkeit wird in der vorliegenden Lösung jedoch
nicht genutzt.
Unterstützen von Clients ohne normale LAN-Verbindung
Auch wenn dies eher ungewöhnlich ist, gibt es in manchen Organisationen möglicherweise kein
traditionelles verkabeltes LAN, über das die Clients Zertifikate und Gruppenrichtlinien erhalten
können. Damit wären diese Clients nicht in der Lage auf das WLAN zuzugreifen.
In diesem Fall sollten Sie mit einem VLAN auf Basis von PEAP-MSCHAPv2 und Webseiten zur
Zertifikatsanforderung arbeiten. Dort können die Benutzer dann Zertifikate anfordern und installieren.
Zusammenfassung
In diesem Kapitel wurde das Design der WLAN-Sicherheit mit 802.1X besprochen. Hierzu gehören die
Berücksichtigung der Voraussetzungen, Überlegungen zu den Sicherheitsoptionen, die Einrichtung
einer Strategie und andere Überlegungen. Nachdem Sie das Design erstellt haben, sollten Sie in der
Lage sein, eine 802.1X-basierte WLAN-Sicherheit für Ihre Umgebung bereitzustellen. Die hier
beschriebenen Designentscheidungen werden im Einrichtungs- und Betriebshandbuch zur
Implementierung verwendet.
Zusätzliche Informationen
Weitere Informationen finden Sie unter:

Der Windows Server 2003 Support Center Website unter
http://support.microsoft.com/default.aspx?scid=fh;en-us;winnetsvr (englischsprachig)
Übersicht über die IAS-Features, grundlegende Anweisungen für deren Konfiguration und
Hilfen für die Bereitstellung.

Im Kapitel Supporting Mobile Users des Microsoft Windows Server 2003 Resource Kit unter
http://www.microsoft.com/windowsserver2003/techinfo/reskit/resourcekit.mspx
(englischsprachig)
Hier finden Sie technische Informationen zu IAS.

Im Kapitel Deploying a Wireless LAN des Microsoft Windows Server 2003 Deployment Kit
unter
http://www.microsoft.com/windowsserver2003/techinfo/reskit/deploykit.mspx
(englischsprachig)
In diesem Kapitel finden Sie Informationen zu einigen IAS-Szenarien, die von diesem
Handbuch nicht abgedeckt werden.

Umfangreiche Informationen zu 802.1X-WLANs, WLAN-Sicherheitsproblemen und
entsprechenden Standards finden Sie unter
http://www.drizzle.com/~aboba/IEEE/ (englischsprachig).

Informationen zu WLAN-Lösungen finden Sie auf der WiFi-Alliance-Website unter
http://www.wi-fialliance.org (englischsprachig).

Hintergrundinformationen, Marktanalysen, Whitepapers und Schulungen zur WLANs finden
Sie beim Wireless LAN Association (WLANA) Education Center unter
http://www.wlana.org/learning_center.html (englischsprachig).

Informationen zu EAP-TLS, EAPOL, EAP-RADIUS, RADIUS und anderen Internetstandards
finden Sie auf der Website der Internet Engineering Task Force (IETF) unter
http://www.ietf.org/ (englischsprachig).

Relevante WLAN-Standards (802.11, 802.11b, 802.11a, 802.1X, 802.11i und andere) finden
Sie unter
http://standards.ieee.org/wireless/ (englischsprachig).

Weitere Informationen zu 802.1X WLAN-Technologien finden Sie im Whitepaper Windows XP
Wireless Deployment Technology and Component Overview unter
http://www.microsoft.com/windowsxp/pro/techinfo/administration/networking/default.asp
(englischsprachig).
Zugehörige Unterlagen
Systemvoraussetzungen SQL Server
Systemvoraussetzungen SQL Server
Systemvoraussetzungen standard
Systemvoraussetzungen standard
Einführung in die Informatik - torei
Einführung in die Informatik - torei
Produkte und Leistungen solvtec ® IT CAQ
Produkte und Leistungen solvtec ® IT CAQ
Gesucht! - TU Berlin
Gesucht! - TU Berlin
Als global agierender Hersteller von Antriebskomponenten für
Als global agierender Hersteller von Antriebskomponenten für
OctoWare®TN Gesundheit Kommunalhygiene - Easy
OctoWare®TN Gesundheit Kommunalhygiene - Easy
Technische Daten
Technische Daten
Technische Rahmenbedingungen
Technische Rahmenbedingungen
IT-Voraussetzung 7-1-0-x
IT-Voraussetzung 7-1-0-x
Berufsprofil - Georg Sommer EDV
Berufsprofil - Georg Sommer EDV
Leiter Windows Betriebs- und Engineering Team bei
Leiter Windows Betriebs- und Engineering Team bei
Herunterladen
Werbung