Sichern von WLANs mit PEAP und Kennwörtern

Kapitel 1: Sichern von WLANs mit PEAP und Kennwörtern

Aktualisiert: 18. Jun 2004

Alle Themen der Sicherheitsanleitung anzeigen

Auf dieser Seite
EinführungEinführung
LösungsübersichtLösungsübersicht
Stilistische KonventionenStilistische Konventionen
Support und FeedbackSupport und Feedback

Einführung

Die Drahtlostechnologie ist heute im Geschäftsleben ein heiß diskutiertes Thema. Die meisten Unternehmen nutzen entweder bereits WLANs (Wireless Local Area Networks) oder wägen die Vor- und Nachteile dieser Technologie ab. Unstrittig sind die Produktivitätssteigerungen für Benutzer und die Attraktivität von Netzwerken mit geringem Wartungsaufwand für IT-Abteilungen. Auf Grund von ernsten Sicherheitsbedenken stehen jedoch die meisten Leiter von IT-Abteilungen der Einführung von WLANs in ihren Unternehmen zurückhaltend, wenn nicht sogar ablehnend gegenüber. Gleichzeitig scheint die Bereitstellung der von Analysten und Netzwerkanbietern angesichts dieser Bedenken vorgeschlagenen Lösungen zu kompliziert und kostenaufwändig zu sein.

Sichern von WLANs mit PEAP und Kennwörtern ist die zweite Sicherheitslösung von Microsoft® für WLANs. Sie ergänzt die erste Lösung, Absichern drahtloser Netzwerke - eine Microsoft Windows Server 2003- Zertifikatsdienste-Lösung. Während die erste Lösung für Großunternehmen gedacht war, ist die zweite bedeutend einfacher und leichter anzuwenden und wurde für kleine und mittlere Unternehmen entwickelt. Der grundlegende technologische Unterschied zwischen den beiden Lösungen besteht darin, dass die erste Lösung auf öffentlichen Schlüsseln basierende Zertifikate zur Authentifizierung von Benutzern und Computern im WLAN verwendet, die zweite Lösung dagegen die Benutzernamen- und Kennwortauthentifizierung. Die zweite Lösung zeichnet sich außerdem dadurch aus, dass sie vorhandene und keine neue Serverhardware verwendet, ein einfacheres administratives Delegierungsmodell anwendet und viele Konfigurationsaufgaben mithilfe von Skripten und vordefinierten Einstellungen automatisiert.

Die Dokumentation für diese Lösung verfügt über zwei wichtige Eigenschaften, die sie von allgemeinen Produktdokumentationen des Microsoft Windows®-Betriebssystems und vielen von Microsoft verfügbaren technischen Whitepapers unterscheidet. Die erste ist der Leitfaden- Charakter der Lösung, dort wo Entwicklungsoptionen offen standen wurde auf der Grundlage von intern gesammteltem Wissen und von Kundenfeedback Entscheidungen getroffen. Die Lösung basiert auf diesen empfohlenen Vorgehensweisen und wurde in Microsoft-Testumgebungen entwickelt und getestet, um die korrekte Funktionsweise sicherzustellen. Die zweite Eigenschaft besteht darin, dass es sich um eine End-to-End-Lösung handelt, die den vollständigen Lebenszyklus von Entwicklung und Planung, Konstruktion, Testen und Verwalten der Lösung umfasst.

Wie in folgenden Kapiteln erläutert, basiert die Lösung auf dem IEEE 802.1X-Standard und erfordert eine RADIUS-Infrastruktur (Remote Authentication Dial-In User Service). Sie verwendet eine flexible Architektur, die auf Organisationen mit Benutzerzahlen von weniger als 100 bis zu mehreren tausend angepasst werden kann. Die Lösung wurde unter Verwendung von Microsoft Windows® XP-Clients, Microsoft Pocket PC 2003-Clients und Microsoft Windows Server™ 2003-Servern entwickelt und getestet.

Lösungsübersicht

Diese Anleitung ist in vier Abschnitte unterteilt, die jeweils einer Phase im Lebenszyklus der Lösung entsprechen. Diese Phasen sind Planung, Implementierung, Testen und Betrieb. Die Phasen sind weiter in Kapitel unterteilt.

Abbildung 1.1 Überblick über die WLAN-Absicherung

Abbildung 1.1 Überblick über die WLAN-Absicherung
Siehe Abbildung in vollständiger Größe

Der Abschnitt zur Planung besteht aus einer Einführung, Festlegen einer Strategie für die WLAN-Sicherheit, und Kapitel 2, Planen einer WLAN-Sicherheitsimplementierung. Die nächsten vier Kapitel bilden den Abschnitt zur Entwicklung und Implementierung. Diese Kapitel enthalten Anleitungen zur Implementierung der RADIUS-Server mithilfe des Windows Server 2003 Internetauthentifizierungsdienstes (IAS) und zur Bereitstellung der Drahtlosclients und der unterstützenden Infrastruktur. Jedes Kapitel führt detaillierte Verfahren zur Installation und Konfiguration der Softwarekomponenten und zu ihrer Integration in die Lösung auf. Darüber hinaus enthalten die Kapitel Überprüfungsverfahren, um Fehler zu vermeiden.

Der Abschnitt zum Testen enthält ein Kapitel mit Erläuterungen zur Prüfung der korrekten Funktion der Lösung vor der Bereitstellung. Auch der Abschnitt zum Betrieb enthält nur ein Kapitel mit Erläuterungen zu Betrieb, Überwachung, Änderung und Problembehandlung sämtlicher Komponenten der Lösung.

Mit dieser Anleitung werden mehrere Tools und Skripte geliefert, mit denen viele Implementierungs- und Betriebsaufgaben automatisiert werden.

Der folgende Abschnitt enthält eine detaillierte Beschreibung jedes Kapitels.

Festlegen einer Strategie für die WLAN-Sicherheit

Dieses Dokument dient als Einführung in die beiden weiter oben beschriebenen WLAN-Sicherheitslösungen. Es soll Ihnen helfen, die richtige Strategie für die Sicherheitsinfrastruktur Ihres WLAN festzulegen. Es erläutert die geschäftlichen Gründe für den Einsatz einer WLAN-Technologie und die damit verbundenen Sicherheitsaspekte. Außerdem werden die verschiedenen Optionen in Bezug auf diese Sicherheitsaspekte erläutert und eine Lösung angeführt, die auf strenger Authentifizierung und Netzwerkdatenschutz basiert. Darüber hinaus enthält das Dokument Erläuterungen der Vorteile der verschiedenen Ansätze zur Absicherung von WLANs, einschließlich systemeigener WLAN-Sicherheitslösungen, virtueller privater Netzwerke (VPN) und IP-Sicherheit.

Kapitel 1: Sichern von WLANs mit PEAP und Kennwörtern

Kapitel 1 ist das aktuelle Kapitel, das einen Überblick über den Inhalt der Anleitung vermittelt.

Kapitel 2: Planen einer WLAN-Sicherheitsimplementierung

Dieses Kapitel beschreibt die Architektur der WLAN-Sicherheitslösung. Es behandelt die folgenden Themen:

Funktionsweise einer auf 802.1X und PEAP (Protected Extensible Authentication Protocol) basierenden WLAN-Lösung

Eine Beschreibung des Zielunternehmens dieser Lösung sowie die wichtigsten Entwurfskriterien für die Lösung

Entwickeln des Entwurfs einer WLAN-Sicherheitslösung basierend auf den Anforderungen des Zielunternehmens

Beschreibung der Skalierung dieses Grundentwurfs für weit größere Unternehmen

Erläuterung von Varianten des Entwurfs, die Anforderungen außerhalb der Hauptlösung wie die Einführung von VPN oder eines drahtgebundenen 802.1X-Netzwerks berücksichtigen

Das Kapitel behandelt in erster Linie den Entwurf einer RADIUS-Infrastruktur (mit IAS, der in Windows Server enthaltenen RADIUS-Implementierung) zur strengen Authentifizierung und Schlüsselverwaltung. Darüber hinaus werden die von der Lösung und den Zertifikatsanforderungen unterstützten Drahtlosclients erläutert.

Kapitel 3: Vorbereiten der Umgebung

Dieses Kapitel behandelt die zur Unterstützung dieser WLAN-Lösung erforderliche IT-Infrastruktur. Es beschreibt die Vorbereitung des aktiven Microsoft Active Directory®-Verzeichnisses, von DHCP (Dynamic Host Configuration Protocol) und DNS-Diensten (Domain Name System) sowie die entsprechenden Netzwerkanforderungen. Darüber hinaus enthält es Verfahren zur Anwendung von Sicherheitseinstellungen und zur Installation erforderlicher Sicherheitsupdates für die in der Lösung verwendeten Server.

Kapitel 4: Erstellen der Netzwerkzertifizierungsstelle

Dieses Kapitel beschreibt die Installation einer einfachen CA (Certification Authority) auf einem Domänencontroller zur Bereitstellung von Zertifikaten für die IAS-Server. Die entsprechenden Verfahren sind größtenteils automatisiert und verwenden in der Anleitung enthaltene Skripte. Die ausschließliche Aufgabe der für diese Lösung entwickelten CA besteht im Ausstellen von Zertifikaten für die IAS-Server. Daher ist relativ wenig bzw. keine Wartung erforderlich.

Kapitel 5: Erstellen der WLAN-Sicherheitsinfrastruktur

Dieses Kapitel gibt Anweisungen zur Bereitstellung der WLAN-Sicherheitskomponenten, der IAS-Server und der Wireless Access Points (WAPs). Es enthält eine schrittweise Anleitung zur Installation von IAS auf einem Domänencontroller (oder Mitgliedsserver), zur Konfiguration von IAS-Einstellungen und -Richtlinien, zum Einrichten von WAPs für die Nutzung der IAS-Server und zur Replikation von IAS-Einstellungen zwischen den IAS-Servern.

Kapitel 6: Konfigurieren der WLAN-Clients

Dieses Kapitel enthält die Verfahren zur Konfiguration der von der Lösung unterstützten Clients. Die drei Hauptabschnitte des Kapitels behandeln in erster Linie die Steuerung von Benutzer- und Computerzugriff auf das WLAN, die Konfiguration der Gruppenrichtlinieneinstellungen für Windows XP WLAN-Clients und die manuelle Konfiguration von WLAN-Einstellungen für Pocket PC 2003-Clients.

Kapitel 7: Testen der sicheren WLAN-Lösung

Dieses Kapitel wurde vom Testplan abgeleitet, das vom Microsoft-Team beim Testen dieser Lösung verwendet wurde. Die Kapitel zur Entwicklung (3 bis 6) enthalten regelmäßige Überprüfungsverfahren, mit denen während des Entwicklungsprozesses der korrekte Ablauf überprüft wurde. Darüber hinaus enthält dieses Kapitel mehrere zusätzliche Tests, die Sie vor der Bereitstellung der Lösung in der Produktionsumgebung ausführen sollten.

Kapitel 8: Verwalten der sicheren WLAN-Lösung

Dieses Kapitel erläutert die Sicherstellung der ordnungsgemäßen Ausführung der WLAN-Sicherheitsinfrastruktur. Der erste Teil des Kapitels umfasst die wichtigsten fortlaufenden Aufgaben im Betrieb zur Wartung des Systems. Diese sind in verschiedene Kategorien unterteilt: regelmäßige Wartungsaufgaben, Überwachung und Warnung; Einführung von Änderungen in der Umgebung; Leistungsoptimierung; Lösung von Problemen. Der abschließende Abschnitt zur Problembehandlung enthält eine Reihe entsprechender Flussdiagramme, Tabellen und Verfahren sowie ausführliche Beschreibungen mehrerer Tools und Techniken zur Problembehandlung, die Sie bei der Problemdiagnose und -lösung unterstützen.

Anhänge

Anhang A: PEAP-Anwendung im Unternehmen

Diese Lösung wurde für kleine und mittlere Unternehmen entwickelt. Im Gegensatz dazu wurde die oben erwähnte zertifikatbasierte WLAN-Lösung für eine Organisation auf Unternehmensebene entwickelt. Allerdings kann eine WLAN-Lösung mit PEAP und Kennwörtern auch von großen Organisationen verwendet werden.

Dieser Anhang erläutert, wie Sie die unternehmensorientierte Anleitung in der zertifikatbasierten WLAN-Lösung anpassen können, um eine WLAN-Lösung mit PEAP und Kennwörtern anzuwenden.

Anhang B: WPA-Anwendung in der Lösung

Dieser Anhang enthält Informationen zum Status der Unterstützung für WPA-Sicherheit (WiFi Protected Access) und zur Anwendung von WPA statt des dynamischen WEP-Datenschutzes (Wired Equivalent Privacy). Diese Lösung wurde für die Unterstützung von WPA entwickelt, und dementsprechend bezieht sich die Anleitung auf WPA. Da jedoch zum Zeitpunkt der Entwicklung dieser Lösung keine universelle Unterstützung für WPA bestand, wurde WPA nicht als Standardoption verwendet.

Anhang C: Unterstützte Betriebssystemversionen

Dieser Anhang enthält eine Tabelle mit den Betriebssystemversionen, die für Drahtlosclients und verschiedene Serverrollen in dieser Lösung unterstützt werden. Aus dieser Tabelle ist ersichtlich, ob alternative Versionen von Windows und von anderen Plattformen in den verschiedenen Rollen der Lösung verwendet werden können.

Anhang D: Skripte und Supportdateien

Die Verfahren in den Kapiteln zur Implementierung und zum Betrieb nehmen Bezug auf verschiedene Skripte und Supportdateien. In diesem Anhang werden die Skripte und ihre Funktionsweise beschrieben. Diese Informationen finden Sie auch in der in den Skripte enthaltenen Datei. SecuringWirelessLANs.rtf.

Stilistische Konventionen

Die folgende Tabelle beschreibt die in dieser Anleitung verwendeten stilistischen Konventionen.

Tabelle 1.1: Stilistische Konventionen

StilmittelBedeutung

Fett

Diese Zeichen müssen wie angezeigt eingegeben werden, einschließlich der Befehle und Optionen. Beschreibende Benutzeroberflächenelemente im Text werden ebenfalls fett dargestellt.

Kursiv

Kursiv wird in den folgenden speziellen Kontexten verwendet:

–Innerhalb des fortlaufenden Textes wird der Titel eines anderen Dokuments kursiv angezeigt.

–Innerhalb von Befehlen oder Code (bzw. von Text mit Bezug auf einen Befehl oder Code) werden Platzhalter für Variablen kursiv angezeigt, für die spezielle Werte angegeben werden müssen. So müssen Sie beispielsweise statt Dateiname.ext den gewünschten Dateinamen angeben.

In normalem Text kann kursiv zum Hervorheben bestimmter Wörter verwendet werden.

Bildschirmtext

Text, der auf dem Bildschirm angezeigt wird (wie die Ausgabe eines Befehlszeilenprogramms), und Befehle, die in der Befehlszeile eingegeben werden müssen.

Bestimmte Befehle passen nicht auf eine Zeile. In diesem Fall wird der Befehlstext auf mehreren nachfolgend eingerückten Zeilen dargestellt (angezeigt durch einen Hinweis nach dem Befehl).

Schrift "Monospace"

Codebeispiele und Inhalt von Konfigurationsdateien.

%SystemRoot%

Der Ordner, in dem das Windows Server-Betriebssystem installiert ist.

Hinweis

Weist den Leser auf zusätzliche Informationen hin.

Wichtig

Weist den Leser auf zusätzliche Informationen hin, die zur Durchführung der Aufgabe erforderlich sind.

Vorsicht

Warnt den Leser davor, dass die Durchführung bzw. das Unterlassen einer bestimmten Aktion zu Datenverlust führen kann.

Achtung

Weist auf eine mögliche Gefährdung des Benutzers oder der Hardware hin, sollte eine bestimmte Aktion durchgeführt bzw. nicht durchgeführt werden.

Support und Feedback

Support

Wenden Sie sich an eine Microsoft-Niederlassung in Ihrer Nähe oder einen Microsoft Services-Partner, wenn Sie weitere Hilfe bei der Implementierung der in dieser Lösung erläuterten Technologien benötigen.

Rufen Sie den folgenden URL auf, und wählen Sie das entsprechende Land bzw. die Region, um eine Microsoft-Niederlassung in Ihrer Nähe zu finden:

http://www.microsoft.com/worldwide/ (auf Englisch).

Im Abschnitt "Services" des Microsoft Resource Directory finden Sie unter dem folgenden URL einen Microsoft-Partner in Ihrer Region:

http://www.microsoft.com/germany/aktionen/partnerfinden/solutionfinder/default.mspx.

Weitere Informationen zum Support für die in dieser Lösung verwendeten Windows Server 2003-Komponenten, einschließlich Eskalationspfade, Supportangebote, Ressourcen und Supportebenen, finden Sie unter dem folgenden URL:

http://support.microsoft.com (auf Englisch).


**
**

Downloaden Sie die vollständige Lösung.

Sichern von WLANs mit PEAP und Kennwörtern