Sichern von WLANs mit PEAP und Kennwörtern

Kapitel 2: Planen einer WLAN-Sicherheitsimplementierung

Aktualisiert: 18. Jun 2004

Alle Themen der Sicherheits-Leitfäden anzeigen

Auf dieser Seite

	Übersicht
	Voraussetzungen für das Kapitel
	Funktionsweise der WLAN-Absicherung
	Profil des Zielunternehmens
	Entwurfskriterien
	WLAN-Architektur
	Skalierung für größere Unternehmen
	Varianten für die Lösungsarchitektur
	Zusammenfassung
	Quellen

Übersicht

Dieses Kapitel beschreibt den Gesamtentwurf der sicheren WLAN-Lösung. Sie erhalten umfangreiche Informationen zum Entwurf dieser Lösung und zu den Hintergründen dieses Entwurfs. Darüber hinaus enthält das Kapitel nützliche Informationen zur Anpassung des Entwurfs an die speziellen Anforderungen Ihres Unternehmens.

Das Kapitel beginnt mit der Beschreibung der Funktionsweise von 802.1X und PEAP (Protected Extensible Authentication Protocol) zur Absicherung des Zugriffs auf das Netzwerk. Es folgt eine Erläuterung des Zielunternehmens für die Lösung und der wichtigsten Anforderungen.

Im Mittelteil des Kapitels wird der Entwurf der WLAN-Lösung mit den folgenden Elementen erläutert: Netzwerkentwurf, Aufstellung von IAS-Servern (Internet Authentication Service), Auswahl der Hard- und Software, Erlangen von Zertifikaten und Clientkonfiguration. Darüber hinaus wird die Migration von einem nicht abgesicherten WLAN zu 802.1X und PEAP dargestellt.

Die Abschnitte am Ende des Kapitels beschäftigen sich mit Varianten des Grundentwurfs der Lösung. Die wichtigste Entwurfsvariante betrifft die Skalierung der Lösung zum Einsatz in größeren Unternehmen und wird daher ausführlicher erläutert. Die folgenden Entwurfsoptionen werden ebenfalls erörtert:

•	Wiederverwendung der IAS-Infrastruktur für die WLAN-Absicherung
•	Verwenden von IAS zur Remotezugriffsauthentifizierung
•	Bereitstellen von WLANs in SOHO-Umgebungen

Zum Seitenanfang

Voraussetzungen für das Kapitel

Bei der Planung für die sichere WLAN-Implementierung müssen Sie gewährleisten, dass die richtigen Fertigkeiten im Unternehmen vorhanden und die richtigen Mitarbeiter an den Entscheidungen zur Bereitstellung beteiligt sind.

Sie können den maximalen Nutzen aus diesem Kapitel ziehen, wenn Sie mit den folgenden Themen vertraut sind:

•	Netzwerkkonzepte, insbesondere WLANs
•	Microsoft® 2000 Windows® oder Windows Server™ 2003
•	Microsoft Active Directory®-Verzeichnisdienstkonzepte, einschließlich Active Directory-Domänen und -Gesamtstrukturen, Verwaltungstools, Verwendung der Gruppenrichtlinie sowie Manipulation von Benutzern, Gruppen und anderen Active Directory-Objekten
•	Zertifikatsdienste und PKI-Konzepte (Public Key Infrastructure)
•	Allgemeine Sicherheitskonzepte wie Authentifizierung, Autorisierung und Verschlüsselung
•	Sicherheitsfeatures von Windows wie Benutzer, Gruppen, Überwachung und Zugriffssteuerungslisten (ACL)
•	Anwendung von Sicherheitseinstellungen mithilfe der Gruppenrichtlinie Hinweis: Obwohl für die Implementierung dieser Lösung kein tiefer gehendes technisches Wissen erforderlich ist, sollten Sie im Idealfall über eine MSCE-Zertifizierung (Microsoft Certified Systems Engineer) bzw. entsprechende Kenntnisse und Erfahrung verfügen.

Zum Seitenanfang

Funktionsweise der WLAN-Absicherung

In der Einführung, "Festlegen einer Strategie für die WLAN-Sicherheit", wurde auf verschiedene Methoden zur Absicherung von WLANs eingegangen. Dabei ging es hauptsächlich um die Verwendung der strengen Authentifizierung für das WLAN durch 802.1X und die Verschlüsselung des Netzwerkverkehrs durch dynamische WEP (Wired Equivalent Privacy) bzw. WPA (WiFi Protected Access). Nachfolgend die wesentlichen Punkte, die besprochen wurden:

•	Wired Equivalent Privacy (WEP), das ursprüngliche 802.11 WLAN-Sicherheitsschema, weist ernste Sicherheitsdefizite auf, wodurch ein Angreifer den Netzwerkschlüssel entdecken und in das Netzwerk eindringen kann. Dieses Schema wird als "statisches WEP" bezeichnet, da es einen festen Netzwerkzugriffs- und Verschlüsselungsschlüssel für alle Mitglieder des WLAN verwendet.
•	Durch den Einsatz von IEEE 802.1X wird ein strenger Zugriffssteuerungsmechanismus für das WLAN eingeführt. Dieser muss mit einer sicheren EAP-Methode (Extensible Authentication Protocol) gekoppelt werden. Von der EAP-Methode hängt ab, welche Anmeldeinformationen zur Authentifizierung von Benutzern und Gruppen für das WLAN verwendet werden können.
•	Microsoft unterstützt und empfiehlt die Verwendung von PEAP mit MS-CHAP v2 zur Kennwortauthentifizierung und EAP-TLS zur Zertifikatsauthentifizierung.
•	Mit PEAP kann eine weitere EAP-Methode (wie MS-CHAP v2) innerhalb eines sicheren Kanals geschützt werden. Die Verwendung von PEAP ist wichtig, um Angriffe auf kennwortbasierte EAP-Methoden zu verhindern.
•	Strenger Datenschutz des WLAN-Verkehrs kann durch dynamische WEP oder WPA erfolgen. Verschlüsselungs-Hauptschlüssel für den Datenschutz werden als Teil des 802.1X-Authentifizierungsprozesses erzeugt (obwohl dynamische WEP und WPA diese Schlüssel unterschiedlich verwenden).
•	Die Unterscheidung zwischen statischer WEP und dynamischer WEP ist entscheidend. Dynamische WEP verwendet die gleichen Verschlüsselungsalgorithmen wie statische WEP, aktualisiert jedoch die Verschlüsselungsschlüssel fortlaufend und wehrt so bekannte Angriffe auf statische WEP ab. Dynamische WEP bezieht sich lediglich auf den Mechanismus zum Netzwerkdatenschutz, während die Netzwerkauthentifizierung separat durch 802.1X erfolgt.

Funktionsweise von 802.1X mit PEAP und Kennwörtern

Zur kennwortbasierten WLAN-Authentifizierung unterstützt Microsoft die Verwendung von PEAP mit MS-CHAP v2. Abbildung 2.2 stellt die Funktionsweise von 802.1X mit PEAP und MS-CHAP v2 dar.

Abbildung 2.1 802.1X- und PEAP-Authentifizierung für das WLAN
Siehe Abbildung in vollständiger Größe

Die Abbildung zeigt die folgenden vier Komponenten:

•	Drahtlosclient: Dies ist ein Computer oder ein Gerät mit einer Anwendung, für die Zugriff auf Netzwerkressourcen erforderlich ist. Der Besitzer der Anmeldeinformationen, die zur Authentifizierung des Clients gegenüber dem Netzwerk verwendet werden, kann ein Benutzer oder ein Computer sein. Der Client muss über einen WLAN-Netzwerkadapter verfügen, der 802.1X und dynamische WEP- oder WPA-Verschlüsselung unterstützt. Der Client wird in vielen Dokumenten über Netzwerkstandards auch als Station (STA) bezeichnet. Bevor der Client Zugriff auf das WLAN erhält, muss ein Satz von Anmeldeinformationen beim Authentifizierungsdienst (dem RADIUS-Server und -Verzeichnis) im sicheren Betrieb angenommen werden. In diesem Fall werden die Domänenkonten des Benutzers und des Computers vor der Verbindung zum WLAN erstellt. Der Client kennt sein Kennwort, und der Domänencontroller (das Verzeichnis) kann das Kennwort überprüfen. Darüber hinaus muss der Client mit den korrekten WLAN-Einstellungen vorkonfiguriert, einschließlich des WLAN-Namens und der zu verwendenden Authentifizierungsmethode. Hinweis: Genau genommen muss nur ein Satz von Anmeldeinformationen (entweder der Benutzer oder der Computer) im sicheren Betrieb angenommen werden. So können Sie beispielsweise die Verbindung zum WLAN über die Benutzeranmeldeinformationen herstellen und dann den Computer mit der Domäne verbinden. Für diese Lösung wird allerdings vorausgesetzt, das vor dem Zugriff auf das WLAN Benutzer- und Computerkonten vorhanden sind.
•	Wireless Access Point (WAP): Der WAP ist für die Zugriffssteuerung zum WLAN und für das Bridging einer Clientverbindung zum internen LAN. Er muss 802.1X und dynamische WEP- oder WPA-Verschlüsselung unterstützen. Auf die Terminologie der Netzwerkstandards übertragen, erfüllt der WAP die Rolle des NAS (Network Access Service). Der WAP und der RADIUS-Server verfügen darüber hinaus über einen gemeinsamen geheimen Schlüssel zur sicheren gegenseitigen Identifizierung.
•	RADIUS-Server und Verzeichnis: Der RADIUS-Server nutzt das Verzeichnis zum Überprüfen der Anmeldeinformationen der WLAN-Clients. Er trifft Autorisierungsentscheidungen basierend auf einer Netzwerkzugriffsrichtlinie. Er kann ebenfalls Konto- und Prüfungsinformationen über den Clientzugriff auf das Netzwerk zusammenstellen. Die Bezeichnung dafür in der Terminologie der Netzwerkstandards lautet Authentifizierungsdienst (Authentication Service, AS).
•	Das interne Netzwerk: Ein sicheres Netzwerk, zu dem die Drahtlosclientanwendung Zugriff erhalten muss.

Die folgenden Schritte beschreiben, wie der Client eine Anfrage stellt und Zugriff auf das WLAN und damit das interne Netzwerk erhält. Die Nummern der Schritte entsprechen den Nummern in Abbildung 2.1.

Wenn sich der Clientcomputer im Bereich des WAP befindet, versucht er eine Verbindung zum WLAN herzustellen, das auf dem WAP aktiv und durch den SSID (Service Set Identifier) identifiziert ist. Der SSID ist der Name des WLAN und wird vom Client zur Identifizierung der korrekten Einstellungen und des Anmeldeinformationentyps für dieses WLAN verwendet.

Der WAP ist so konfiguriert, dass nur gesicherte (802.1X-authentifizierte) Verbindungen zugelassen werden. Wenn der Client versucht, eine Verbindung zum WAP herzustellen, sendet dieser eine Anfrage an den Client. Der WAP richtet dann einen eingeschränkten Kanal ein, über den der Client ausschließlich mit dem RADIUS-Server kommunizieren kann (während der Zugriff auf das übrige Netzwerk gesperrt bleibt). Der RADIUS-Server akzeptiert nur eine Verbindung von einem vertrauenswürdigen WAP, also einem WAP, der als RADIUS-Client auf dem IAS-Server konfiguriert wurde und über den gemeinsamen geheimen Schlüssel für diesen RADIUS-Client verfügt.

Der Client versucht die Authentifizierung am RADIUS-Server über den eingeschränkten Kanal mit 802.1X. Als Teil der PEAP-Aushandlung stellt der Client eine TLS-Sitzung (Transport Layer Security) mit dem RADIUS-Server her. Die Verwendung einer TLS-Sitzung als Teil von PEAP dient mehreren Zwecken:

•	Der Client kann den RADIUS-Server authentifizieren. Dies bedeutet, dass der Client die Sitzung ausschließlich mit einem Server herstellt, der ein für den Client vertrauenswürdiges Zertifikat besitzt.
•	Das Authentifizierungsprotokoll von MS-CHAP v2 wird vor Packet-Snooping geschützt.
•	Die Aushandlung der TLS-Sitzung erzeugt einen Schlüssel, mit dem der Client und der RADIUS-Server gemeinsame Hauptschlüssel erstellen können. Aus diesen Schlüsseln werden die Schlüssel zur Verschlüsselung des WLAN-Verkehrs abgeleitet.

Der Client ist innerhalb des PEAP-Kanals gesichert und authentifiziert sich gegenüber dem RADIUS-Server mit dem EAP-Protokoll von MS-CHAP v2. Während dieses Austauschs ist der Verkehr im TLS-Tunnel nur für den Client und RADIUS-Server sichtbar, nie jedoch für den WAP.

Der RADIUS-Server überprüft die Anmeldeinformationen des Clients gegenüber dem Verzeichnis. Bei erfolgreicher Authentifizierung des Clients stellt der RADIUS-Server Informationen zusammen, mit deren Hilfe er über die Autorisierung des Clients für die Verwendung des WLAN entscheidet. Auf der Grundlage von Informationen aus dem Verzeichnis (wie Gruppenmitgliedschaft) sowie in seiner Zugriffsrichtlinie definierten Einschränkungen (wie die Tageszeit, zu der der WLAN-Zugriff zulässig ist) gewährt bzw. verweigert der RADIUS-Server dem Client den Zugriff. Der RADIUS-Server leitet die Entscheidung über den Zugriff weiter an den WAP.

Falls dem Client der Zugriff gewährt wird, überträgt der RADIUS-Server den Client-Hauptschlüssel zum WAP. Der Client und der WAP verfügen jetzt über gemeinsame Schlüssel, mit denen sie den gegenseitigen WLAN-Verkehr ver- bzw. entschlüsseln können.

Bei der Verschlüsselung mit dynamischer WEP werden die Hauptschlüssel direkt als Verschlüsselungsschlüssel verwendet. Diese Schlüssel müssen in regelmäßigen Abständen geändert werden, um Angriffe zur Ermittlung der WEP-Schlüssel zu vereiteln. Der RADIUS-Server zwingt den Client zur erneuten Authentifizierung und zum Generieren neuer Schlüssel.

Falls WPA zum Sichern der Kommunikation verwendet wird, werden die Hauptschlüssel zur Ableitung der Datenverschlüsselungsschlüssel verwendet, die wiederum für jedes übertragene Paket geändert werden. WPA erfordert keine häufige erneute Authentifizierung zur Gewährleistung der Schlüsselsicherheit.

Der WAP überbrückt dann die WLAN-Verbindung des Clients zum internen LAN, sodass dieser freien Zugriff auf Systeme auf dem internen Netzwerk hat. Der zwischen dem Client und dem WAP gesendete Datenverkehr ist nun verschlüsselt.

Falls der Client eine IP-Adresse benötigt, kann er jetzt eine DHCP-Lease (Dynamic Host Configuration Protocol) von einem Server auf dem LAN anfordern. Sobald die IP-Adresse zugewiesen wurde, kann der Client normal mit Systemen im übrigen Netzwerk kommunizieren.

Computer- und Benutzerauthentifizierung für das WLAN

Der oben erläuterte Prozess beschreibt, wie ein Client (ein Benutzer oder Computer) erfolgreich eine Verbindung zum WLAN herstellt. Windows XP authentifiziert den Benutzer und den Computer unabhängig voneinander. Beim ersten Start verwendet der Computer sein Domänenkonto und Kennwort zur Authentifizierung gegenüber dem WLAN. Die Autorisierung des Computers gegenüber dem WLAN läuft gemäß den im vorigen Abschnitt beschriebenen Schritten ab. Durch die Verbindung zum WLAN mit den eigenen Anmeldeinformationen kann der Computer auch dann verwaltet werden, wenn kein Benutzer angemeldet ist. So können beispielsweise Gruppenrichtlinieneinstellungen angewendet und Patches zum Computer verteilt werden.

Wenn sich ein Benutzer am Computer anmeldet, läuft der gleiche Authentifizierungs- und Autorisierungsprozess erneut ab, dieses Mal jedoch mit dem Namen und Kennwort des Benutzers. Die Sitzung des Benutzers ersetzt die WLAN-Sitzung des Computers, beide sind also nicht gleichzeitig aktiv. Somit kann ein nicht autorisierter Benutzer auch nicht mit einem autorisierten Computer auf das WLAN zugreifen.

Hinweis: In Windows XP können Sie dieses Verhalten außer Kraft setzen und festlegen, dass entweder nur die Computer- oder Benutzeranmeldeinformationen verwendet werden. Hierbei handelt es sich nicht um empfohlene Konfigurationen. Im ersten Fall können Benutzer eine Verbindung zum WLAN ohne Autorisierung herstellen. Im zweiten Fall kann der Computer erst dann eine Verbindung zum WLAN herstellen, wenn sich ein Benutzer anmeldet. Dies wirkt sich auf mehrere Computerverwaltungsfunktionen aus.

Zum Seitenanfang

Profil des Zielunternehmens

Diese Lösung wurde für ein kleines Unternehmen mit 100 bis 200 Mitarbeitern entworfen. Obwohl es sich um ein fiktives Unternehmen handelt, wurden die Eigenschaften und Anforderungen aus umfangreichen praktischen Untersuchungen abgeleitet. Die realen Anforderungen haben sich auf Stil und Umfang der Anleitung sowie auf die im Entwurf enthaltenen Optionen ausgewirkt.

Diese Lösung ist nicht auf Unternehmen der genannten Größe beschränkt. Dank der Einfachheit des Entwurfs und der Skalierbarkeit der verwendeten Komponenten kann die gleiche PEAP-basierte WLAN-Lösung auf wesentlich größere (mit Tausenden von Benutzern) und kleinere Unternehmen skaliert werden. Durch das Wissen über die Eigenschaften des Zielunternehmens erhalten Sie ein besseres Verständnis zu den Annahmen des Entwurfs und zu ihrer Anpassung auf Ihr Unternehmen.

Ausführliche Informationen zur Verwendung der Lösung in größeren Unternehmen finden Sie in diesem Kapitel im Abschnitt "Skalierung für größere Unternehmen". Bei wesentlich kleineren Unternehmen können alle erforderlichen Komponenten auf einem Server installiert werden.

Unternehmenslayout

Das physische und IT-Layout des Unternehmens wird in der folgenden Abbildung dargestellt.

Abbildung 2.2 Das physische und IT-Layout des Zielunternehmens
Siehe Abbildung in vollständiger Größe

Es gibt eine große Hauptverwaltung, in der die meisten IT-Systeme und Benutzer untergebracht sind. Dort befinden sich alle Active Directory-Domänencontroller. Die Hauptverwaltung ist mit dem Internet über einen Firewallserver verbunden. Es sind einige mit dem internen Netzwerk verbundene WLAN-Clients und WAPs vorhanden.

Darüber hinaus gibt es eine oder mehrere Zweigstellen mit wenigen lokalen IT-Diensten außerhalb der Netzwerkverbindung zur Hauptverwaltung. In diesen Zweigstellen gibt es wenige Clients (wahrscheinlich alle drahtlos) und des öfteren Besucher aus der Hauptverwaltung, die mit eigenen WLAN-Clients auf ihre Anwendungen und Daten in der Hauptverwaltung zugreifen.

Die WAN-Verbindung zwischen Zweigstellen erfolgt über private Leitungen (wie T1 – 1,5 Mbit/s) oder über DSL-Internet-Verbindungen und eine Router-zu-Router-VPN-Verbindung über das Internet. Normalerweise ist die WAN-Verbindung nicht ausfallsicher.

Hinweis: Falls die WAN-Verbindung zwischen Zweigstellen mittels einer VPN-Verbindung über das Internet erfolgt, verfügt jede Zweigstelle normalerweise über eine Firewall zum Schutz vor Angriffen im Internet. Diese Firewall hat keine Bedeutung für die Erläuterung der WLAN-Lösung und wurde daher der Klarheit halber weggelassen.

IT-Umgebung

Active Directory für dieses Unternehmen ist eine einzelne Domänengesamtstruktur mit mindestens zwei Domänencontrollern. Sie authentifiziert Benutzer gegenüber der Domäne und bietet Verzeichnis- und Authentifizierungsdienste für Anwendungen wie Microsoft Exchange Server und Outlook® für E-Mail. Die Domänencontroller wurden vor kurzem von Windows 2000 Server auf Windows Server 2003 Standard Edition aktualisiert. Darüber hinaus führen die Domänencontroller zusätzliche Dienste wie DNS (Domain Name System), DHCP und WINS (Windows Internet Name Service) für einige ältere Anwendungen aus.

Die IT-Systeme verwenden überwiegend Microsoft-Technologien, nämlich Windows XP auf Clientcomputern und Windows Server 2003 auf Serversystemen. Darüber hinaus gibt es noch einige Server mit Windows 2000, die das Unternehmen in Abhängigkeit vom Testen und Support der Anwendung aktualisieren will. Das Unternehmen hat damit begonnen, vor allem für die Mitarbeiter in Vertrieb, Verteilung und Lager in mobile Systeme wie Windows XP Tablet Edition und Pocket PC 2003 zu investieren.

Die wichtigsten Serveranwendungen sind Microsoft Exchange Server, SQL Server (auf der mehrere LOB-Anwendungen ausgeführt werden), Internet Information Services (IIS) und Windows SharePoint™ Team Services.

Auf Clientcomputern bereitgestellte Anwendungen verwenden eine Active Directory-Gruppenrichtlinie. Bereitgestellte Betriebssystempatches verwenden Microsoft Software Update Service (SUS) und den Windows AutoUpdate-Dienst.

Die Systemüberwachung erfolgt direkt auf den Serversystemen durch die tägliche Überprüfung von Windows-Ereignisprotokollen, Leistungsprotokollen und Anwendungsprotokollen. Wichtige Warnungen für Hard- und Software werden per E-Mails und Warnungen auf den Systemkonsolen an den IT-Administrator gesendet.

Das Unternehmen beschäftigt zwei Vollzeit-IT-Mitarbeiter, die für die IT-Planung, die Bereitstellung von Diensten und den täglichen Support verantwortlich sind. Der IT-Manager und der Mitarbeiter für IT-Support verfügen über die aktuellsten MCSE-Zertifizierungen und mehrjährige IT-Erfahrung.

Zum Seitenanfang

Entwurfskriterien

Das im oben stehenden Abschnitt beschriebene Unternehmen weist normalerweise die folgenden Typen von Kriterien für eine WLAN-Lösung auf. Diese Kriterien wurden erweitert und gelten für eine breite Kategorie von Unternehmen. Der im weiteren Verlauf des Kapitels dargestellte Entwurf verwendet explizit diese Kriterien.

Tabelle 2.1: Entwurfskriterien der WLAN-Lösung

Faktor	Kriterium
Sicherheitsanforderungen	– Robuste Authentifizierung und Autorisierung der Drahtlosclients – Robuste Zugriffssteuerung zur Netzwerkzugriffsgenehmigung für autorisierte Clients und zur Verweigerung nicht autorisierten Zugriffs – Sichere Verschlüsselung ((128-Bit) von Drahtlosnetzwerkdatenverkehr – Sichere Verwaltung von Verschlüsselungsschlüsseln
Skalierbarkeit – Min./Max. Anzahl der unterstützten Benutzer	25 bis 5.000 oder mehr WLAN-Benutzer In Tabelle 2.2 finden Sie Authentifizierungslasten für verschiedene WLAN-Größen.
Skalierbarkeit – Anzahl der unterstützten Standorte	Standard: Einzelner großer Standort mit lokalen Domänencontrollern und IT-Diensten; ein oder mehrere kleine Standorte ohne Domänencontroller. Die erforderliche Mindestanzahl an Benutzern beträgt 25. High-End: Einzelner zentraler Standort mit mehreren Domänencontrollern; große Zweigstellen mit einem Domänencontroller und/oder ausfallsicherer WAN-Verbindung zur Hauptverwaltung; mehrere kleine Zweigstellen ohne Domänencontroller, wahrscheinlich ohne WAN-Ausfallsicherung. Maximal sind 5.000 Benutzer zulässig. Informationen zum Einsatz in größeren Unternehmen finden Sie in Anhang A, PEAP-Anwendung im Unternehmen.
Verfügbarkeitsanforderungen	Die Verwendung mehrerer WAPs, IAS oder Domänencontroller bietet die WLAN-Ausfallsicherheit bei Ausfall einzelner Komponenten für größere Zweigstellen. WLANs kleiner Zweigstellen sind anfällig für WAN-Ausfälle, solange keine redundante Verbindung installiert wird.
Unterstützte Plattformen	Serverplattformen: Windows Server 2003, Standard Edition oder Enterprise Edition (für IAS und CA-Installation). Standard Edition unterstützt maximal 50 WAPs (RADIUS-Clients) je Server. Clientplattformen: Windows XP Professional oder Tablet Edition; Pocket PC 2003.
Erweiterbarkeit (Wiederverwendung von Lösungskomponenten für andere Anwendungen)	Andere Netzwerkzugriffsanwendungen (RAS-VPN, 802.1X-basierter drahtgebundener Netzwerkzugriff und Firewallauthentifizierung) können durch die gleiche Authentifizierungsinfrastruktur unterstützt werden.
IT-Unternehmensanforderungen	Für die Installation und Verwaltung der Lösung wird eine IT-Spezialistin bzw. ein Spezialist mit der aktuellsten MSCE-Zertifizierung bzw. entsprechenden Fähigkeiten und 2 bis 3 Jahren Erfahrung in der IT-Industrie benötigt.
Verwaltungsanforderungen	Die Lösung benötigt für den ordnungsgemäßen Betrieb einen minimalen Verwaltungsaufwand. Warnungen werden per E-Mail und/oder Windows-Ereignisprotokoll gesendet (oder geändert, um andere Änderungstypen auszulösen). Die IAS-Komponente kann durch die Windows-Überwachungslösung (mit Ereignisprotokollen und Leistungsindikatoren), mittels RADIUS-Protokollierung und durch das SNMP-Verwaltungssystem (Simple Network Management Protocol) überwacht werden.
Einhaltung von Standards	Die Lösung unterstützt die folgenden Standards: – IEEE 802.11 (a, b oder g)-Netzwerkstandards – IEEE 802.1X-Authentifizierung mit PEAP und MS-CHAP v2. Sie kann mit anderen EAP-Methoden wie zertifikatbasierter EAP-TLS und PEAP-EAP-TLS verwendet werden. – Dynamisch verschlüsselter WEP- und WPA-WLAN-Schutz Zukünftige Funktionen und Standards (wie 802.11i) – RADIUS-Unterstützung für RFC 2865 und 2866

Die folgende Tabelle gibt einen Überblick über die WLAN-Authentifizierungsanforderungen für unterschiedliche Unternehmensgrößen. Die Spalte "Neue Authentifizierungen pro Sekunde" ist Teil der ständigen Last und nimmt einen Durchschnitt von vier neuen vollständigen Authentifizierungen pro Benutzer und Tag beim Wechsel von Benutzern zwischen WAPs an. Die Spalte "Spitze neuer Authentifizierungen pro Sekunde" zeigt den erwarteten Lasttyp an, wenn alle Benutzer im Zeitraum von 30 Minuten authentifiziert werden (beispielsweise zu Beginn des Tages). Die Spalte "Erneute Authentifizierungen pro Sekunde" zeigt die Anzahl regelmäßiger Neuauthentifizierungen zum Erzwingen der Erneuerung dynamischer WEP-Schlüssel an.

Tabelle 2.2: WLAN-Authentifizierungsanforderungen

Anzahl der WLAN-Benutzer	Neue Authentifizierungen pro Sekunde	Spitze neuer Authentifizierungen pro Sekunde	Erneute Authentifizierungen pro Sekunde
100	> 0,1	0,1	0,1
1.000	0,1	0,6	1,1
10.000	1,4	5,6	11,1

Auf diese Zahlen wird weiter unten im Kapitel bei der Erläuterung der IAS-Serverdimensionierung eingegangen.

Zum Seitenanfang

WLAN-Architektur

Dieser Abschnitt behandelt die Architektur der Lösung.

Netzwerkentwurf

Die folgende Abbildung zeigt das grundlegende Netzwerklayout für die Hauptverwaltung.

Abbildung 2.3 Netzwerklayout für die Hauptverwaltung
Siehe Abbildung in vollständiger Größe

Die Abbildung zeigt Drahtlosclients, mindestens zwei WAPs, zwei auf Active Directory-Domänencontrollern ausgeführte IAS-Server, einen DHCP-Server sowie andere über das Netzwerk verbundene Server, Clients und Geräte. Mit Ausnahme der WLAN-Clients sind alle Elemente auf einem einzelnen LAN mit mindestens einem Schicht-2-Switch verbunden. An diesem Standort wird ein einzelnes Subnetz für das gesamte interne Netzwerk verwendet. Es gibt (nicht in der Abbildung dargestellte) Routingverbindungen durch die Firewall zum Internet und zu anderen Zweigstellen.

Größere Unternehmen verfügen wahrscheinlich eher über eine Routingumgebung innerhalb eines Standorts. Dies ist für die Authentifizierungsinfrastruktur nicht relevant, kann jedoch die Verbindungsart der WAPs zum übrigen Netzwerk beeinflussen. Um Benutzern den Wechsel zwischen mehreren WAPs am Standort zu erleichtern, werden normalerweise alle WAPs und WLAN-Clients auf dem gleichen IP-Subnetz untergebracht. Dadurch können Benutzer zwischen WAPs wechseln und dabei die gleiche IP-Adresse behalten. Eine ausführliche Erläuterung dieses Themas geht über den Inhalt dieser Anleitung hinaus. Detailliertere Informationen finden Sie im Windows Server 2003 Deployment Kit in Kapitel, Deploying a Wireless LAN.

Stellen Sie im Netzwerkentwurf Folgendes sicher:

•

Die WAPs verfügen über eine Verbindung zu primären und sekundären IAS-Servern. Falls sich die WAPs in einem anderen VLAN/Subnetz als die IAS-Server befinden, muss der Datenverkehr zwischen den Subnetzen geroutet werden können.

•

Die WLAN-Clients verfügen über eine Verbindung zu den DHCP-Servern. Falls sich die Server nicht im gleichen Subnetz befinden, müssen Sie veranlassen, dass DHCP/BOOTP-Relay-Agents die DHCP-Anforderung des Clients an einen DHCP mit einem für dieses Subnetz definierten Umfang weiterleiten. Die Clients benötigen natürlich auch eine Verbindung zu ihren normalen Netzwerkdiensten wie etwa Domänencontrollern und Dateiservern.

Auswahl der Hardware für das Drahtlosnetzwerk

Stellen Sie sicher, dass die WAPs und Drahtlosnetzwerkadapter folgende Features unterstützen:

•	128-Bit-WEP-Verschlüsselung (bei Verwendung von dynamischer WEP) oder TKIP-Verschlüsselung (RC4) oder AES-Verschlüsselung (bei Verwendung von WPA)
•	802.1X-Authentifizierung
•	Dynamische Schlüsselaktualisierung (nur für WEP-Verschlüsselung)
•	WPA-Unterstützung (Selbst bei der Verwendung von dynamischer WEP sollte vom Hersteller eine eindeutige Zusage zur Bereitstellung von Firmware-Updates für die WAP-Unterstützung vorliegen.)

Sie müssen über ausreichend WAPs verfügen, um die WLAN-Clients an allen zu unterstützenden physischen Standorten abzudecken. Planen Sie die WAP-Aufstellung außerdem so, dass beim Ausfall eines WAP eine entsprechende Sicherungsabdeckung an allen Standorten vorhanden ist. Die WAP-Aufstellung wird detaillierter im Windows Server 2003 Deployment Kit in Kapitel, Deploying a Wireless LAN, erläutert, das auch im Abschnitt "Quellen" am Ende dieses Kapitels aufgeführt ist. Lesen Sie dazu auch den am Ende dieses Kapitels erwähnten Artikel "Recommendations for IEEE 802.11 Access Points".

Aufstellung von IAS-Servern

Das Ziel bei der Aufstellung von IAS-Servern ist ein ausfallsicherer WLAN-Dienst mit möglichst niedrigem Implementierungs- und Verwaltungsaufwand. Ein WLAN-Dienst mit Ausfallsicherheit bei Ausfall einer einzelnen Komponente hat die folgenden Eigenschaften:

•	Alle physischen Zonen mit erforderlicher WLAN-Abdeckung müssen über mindestens zwei WAPs im Bereich verfügen.
•	Jeder WAP muss mit einem Sicherungs-IAS-Server kommunizieren können, falls der primäre IAS-Server bzw. die Netzwerkverbindung zu diesem Server ausfällt.
•	Die Dienste, von denen IAS und die WLAN-Clients abhängen (wie Active Directory, DHCP und DNS), müssen ebenfalls ausfallsicher sein.

Dabei ist die zweite die wichtigste Eigenschaft für die Planung der IAS-Server-Aufstellung. In dieser Lösung befindet sich IAS auf vorhandenen Domänencontrollern. Dies ergibt die höchste Leistungskonfiguration sowie einen relativ niedrigen Implementierungs- und Verwaltungsaufwand. Es wird allgemein für Unternehmen jeder Größe empfohlen, IAS an jedem Standort mit Domänencontroller zu installieren (nicht unbedingt auf jedem Domänencontroller).

Die folgende Abbildung zeigt die Aufstellung von IAS-Servern im Unternehmen. IAS wird auf zwei vorhandenen Domänencontrollern in der Hauptverwaltung bereit gestellt. Die Netzwerk-CA (weitere Informationen finden Sie im Abschnitt "Erlangen von Zertifikaten für IAS-Server" weiter unten in diesem Kapitel) wird ebenfalls auf einem der Domänencontroller installiert. Sämtliche WAPs in der Hauptverwaltung sind so konfiguriert, dass sie diese IAS-Server verwenden.

Abbildung 2.4 Die Infrastruktur der Hauptverwaltung und Zweigstellen
Siehe Abbildung in vollständiger Größe

Das Unternehmen verfügt über eine kleine Zweigstelle ohne lokale Domänencontroller. Die WAPs an diesem Standort verwenden die beiden IAS-Server in der Hauptverwaltung für alle Authentifizierungsanforderungen. Das bedeutet, dass sich Benutzer nicht gegenüber dem WLAN authentifizieren können, wenn die WAN-Verbindung zur Hauptverwaltung ausfällt. Für viele Unternehmen kann dies ein unakzeptables Risiko sein.

Installieren Sie eine redundante WAN-Verbindung oder einen lokalen IAS-Server und Domänencontroller, um dieses Problem zu lösen. Dies scheint auf den ersten Blick ein unangemessener Aufwand für diesen Typ von Zweigstelle zu sein, allerdings verursacht ein WAN-Ausfall auch den Ausfall der meisten anderen Netzwerkdienste (wie lokaler Dateiserver) ohne Zugriff auf einen Domänencontroller. Wenn Sie dieses Problem beheben, wirkt sich das positiv auf die Zuverlässigkeit dieser Dienste und des lokalen WLAN aus. Das Bereitstellen von Domänencontrollern für Zweigstellen wird im Abschnitt "Skalierung für größere Unternehmen" weiter unten im Kapitel erläutert.

Bei kleinen Unternehmen mit unzuverlässiger WAN-Verbindung, in denen die Installation eines lokalen Domänencontrollers nicht möglich ist, können Sie ein eigenständiges WLAN bereit stellen. Weitere Informationen hierzu finden Sie im Abschnitt "SOHO-Umgebungen" weiter unten im Kapitel.

Zuweisen von WAPs zu RADIUS-Servern

Sie müssen alle WAPs IAS-Servern zuweisen. Für jeden WAP ist ein primärer und ein sekundärer RADIUS-Server erforderlich. Dadurch kann der WAP den sekundären RADIUS-Server verwenden, falls der primäre Server ausfällt oder nicht kontaktierbar ist. Diese Anordnung wird in der folgenden Abbildung dargestellt.

Abbildung 2.5 WAP-Ausgleich zwischen primären und sekundären IAS-Servern

Die Abbildung zeigt, wie jeder WAP mit unterschiedlichen primären und sekundären RADIUS-Servern konfiguriert ist. Dadurch wird der Lastenausgleich zwischen den Servern ermöglicht. WAPs an Standorten ohne lokalen IAS-Server folgen dem gleichen Muster und verwenden die IAS-Server in der Hauptverwaltung als primären und sekundären RADIUS-Server.

Bei WAPs an Standorten mit nur einem lokalen IAS-Server sollte der lokale Server immer der primäre Server und der Server in der Hauptverwaltung (oder an einem anderen geeigneten Standort mit zuverlässiger Verbindung zu einem IAS-Server) der sekundäre Server sein. Dies wird in der folgenden Abbildung veranschaulicht.

Abbildung 2.6 Konfigurieren von WAPs für lokale und Remote-IAS-Server
Siehe Abbildung in vollständiger Größe

Bei Verwendung vieler WAPs müssen Sie die Zuweisung der WAPs zu IAS-Servern sorgfältig dokumentieren. Mithilfe dieser Auflistung können Sie sicherstellen, dass jedem WAP ein primärer und sekundärer Server zugewiesen wurde und die Last von den WAPs gleichmäßig zwischen den verfügbaren Servern verteilt wird.

Hinweis: Sämtliche WAPs werden an den sekundären IAS-Server übergeben, wenn der primäre IAS-Server nicht verfügbar ist. Allerdings werden die meisten WAPs nicht automatisch auf den primären Server zurückgesetzt, wenn dieser wieder zur Verfügung steht (sondern nur dann, wenn nachfolgend der sekundäre Server ausfällt). Wenn sich beide IAS-Server am gleichen Standort befinden, ist das kein gravierendes Problem. Lediglich die Last wird ungleichmäßig verteilt. Falls jedoch der sekundäre IAS-Server ein Remote-Server ist, kann der vorübergehende Ausfall des primären Servers dazu führen, dass alle WAPs gegenüber dem sekundären Server über eine nicht optimale WAN-Verbindung authentifiziert werden.

Falls die WAPs nicht automatisch auf den zugewiesenen primären Server zurückgesetzt werden, müssen Sie sie unter Umständen manuell zurücksetzen, damit sie den nach einem Ausfall wieder verfügbaren lokalen IAS-Server verwenden. Vorübergehende Netzwerkbedingungen können auch zum Failover der WAPs an ihre sekundären RADIUS-Server führen. Sie sollten daher gelegentlich in den Anwendungsprotokollen der IAS-Server in den Authentifizierungsanforderungsereignissen überprüfen, ob WAPs den falschen IAS verwenden.

Gemeinsame Positionierung von IAS mit Domänencontrollern

In dieser Lösung wird IAS auf vorhandenen Domänencontrollern installiert. Dadurch ergibt sich ein niedriger Implementierungsaufwand und eine Leistungsverbesserung gegenüber der Verwendung von IAS auf einem separaten Mitgliedsserver. Der Leistungszuwachs entsteht, da IAS mit Active Directory auf dem gleichen Computer ohne Netzwerkverzögerung kommunizieren kann.

Beachten Sie, dass sich aus der Installation von IAS auf Domänencontrollern Nachteile ergeben können. Obwohl viele Unternehmen davon nicht betroffen sind, sollten Sie sie berücksichtigen, bevor Sie fortfahren:

•	Sie können nur dann eine Einzelkonfiguration für alle Domänencontroller verwenden, wenn Sie IAS auf allen Domänencontrollern installieren.
•	Sie können keine Trennung zwischen IAS-Verwaltung und Domänenverwaltung erzwingen. Die Installation von IAS auf Domänencontrollern bedeutet, dass die IAS-Administratoren auch Mitglieder der integrierten Administratorgruppe der Domäne sein müssen.
•	Hohe Lasten auf den Domänencontroller-Funktionen wirken sich negativ auf die Leistung von IAS aus und umgekehrt. Wenn Sie sie auf separate Server verteilen, können Sie die individuelle Leistung und den Betrieb dieser Dienste besser steuern.

IAS-Software- und Hardwareanforderungen

Für ein Zielunternehmen mit 100 bis 200 Benutzern ist es unwahrscheinlich, dass die IAS-Last auf Servern zu einem Problem wird, solange Sie die empfohlene Hardwarespezifikation für Windows Server 2003 verwenden. Für größere Unternehmen dagegen kann es ein Problem sein, besonders wenn sie IAS auf vorhandenen Domänencontrollern ausführen.

Das Last auf IAS wird durch folgende Faktoren bestimmt:

•	Anzahl der Benutzer und Geräte, für die RADIUS-Authentifizierung erforderlich ist
•	Auswahl der Authentifizierungsoptionen wie EAP-Typ und Neuauthentifizierungsfrequenz
•	Aktivierung bzw. Deaktivierung der RADIUS-Protokollierung

Sie können anhand der Werte in Tabelle 2.2 im Abschnitt "Entwurfskriterien" weiter oben die Anzahl der Authentifizierungen pro Sekunde für eine bestimmte Benutzerzahl abschätzen. Beachten Sie die ständige Last bei normaler Benutzerauthentifizierung und die Höchstlast in Spitzenzeiten. Wenn man die Werte aus dieser Tabelle hochrechnet, erzeugen 200 Benutzer eine ständige Last von weniger als einer vollständigen Authentifizierung alle 50 Sekunden und einer schnellen Neuauthentifizierung alle 10 Sekunden. Diese Werte sind so gering, dass der einzige wirklich wichtige Wert die erforderliche Zeitdauer für die Authentifizierung aller Benutzer nach einem Ausfall ist – wenn alle Benutzer sofort wieder eine Verbindung zum WLAN herstellen müssen. Dies ist eine extremere Spitze als die Anmeldung zu Tagesbeginn, die normalerweise 30 Minuten oder länger dauert.

Authentifizierungsoptionen haben einen wichtigen Einfluss auf die IAS-Server-Last. Protokolle wie PEAP führen bei der ersten Anmeldung eine Authentifizierung mit öffentlichen Schlüsseln durch, die die CPU stark beansprucht. Allerdings werden für folgende Neuauthentifizierungen zwischengespeicherte Sitzungsinformationen verwendet und damit das so genannte "Fast Reconnect" (schnelle Wiederherstellung der Verbindung) zugelassen. Wenn Sie dynamische WEP verwenden, werden die Clients alle 15 bis 60 Minuten neu authentifiziert, um neue Verschlüsselungsschlüssel zu generieren. Mit WPA müssen Sie dagegen die Neuauthentifizierung nicht so häufig erzwingen, normalerweise alle 8 Stunden.

Die folgende Tabelle zeigt die ungefähre Anzahl an Authentifizierungen pro Sekunde für IAS auf einem Intel Pentium 4-Server mit 2 GHz, während Windows Server 2003 mit Active Directory auf einem separaten Server ausgeführt wird.

Hinweis: Die Angaben in der folgenden Tabelle wurden aus Tests abgeleitet, die von Microsoft Solutions for Security vorgenommen wurden. Für diese Informationen wird keinerlei Gewähr übernommen; sie dienen ausschließlich als Richtlinien für die Kapazitätsplanung und nicht zum Leistungsvergleich.

Tabelle 2.3: Authentifizierungen pro Sekunde

Authentifizierungstyp	Neue Authentifizierungen	Fast-Reconnect-Authentifizierungen
PEAP-Authentifizierungen pro Sekunde	36	166
Zeit zur Authentifizierung von 200 Benutzern	6 Sekunden	2 Sekunden
Zeit zur Authentifizierung von 1000 Benutzern	30 Sekunden	7 Sekunden

Bei der Berechnung dieser Angaben war die RADIUS-Protokollierung aktiviert, Active Directory wurde auf einem separaten Server ausgeführt. Da diese beiden Faktoren die Leistung von IAS mindern, können die Angaben als pessimistische Schätzung betrachtet werden.

Wie diese Werte zeigen, ermöglicht dieser Servertyp die Authentifizierung von 200 WLAN-Benutzern beim Netzwerk in sechs Sekunden und von 1000 Benutzern in 30 Sekunden.

Verwendung von Windows Server Standard Edition oder Enterprise Edition

Diese Lösung verwendet Windows Server 2003 Standard Edition für alle IAS-Server. Damit können Sie die Kosten für Serverlizenzen gering halten und die Lösung auf vorhandenen Servern mit Standard Edition oder Enterprise Edition installieren.

Für IAS in Windows Server 2003 Standard Edition gilt die Einschränkung, dass jeder Server nur 50 RADIUS-Clients und zwei RADIUS-Serverroutinggruppen unterstützen kann.

Hinweis: RADIUS-Clients unterscheiden sich von WLAN-Clients. RADIUS-Client bezieht sich auf WAPs sowie andere Netzwerkzugriffs-Server wie VPN-Server und Firewalls, die RADIUS-Authentifizierungsdienste verwenden.

Für ein Zielunternehmen mit 1 bis 200 Benutzern sind maximal 50 WAPs je Server mehr als ausreichend. Für größere Unternehmen kann diese Beschränkung von Bedeutung sein, insbesondere für große Zweigstellen oder wenn viele Zweigstellen Eingaben an einem oder zwei IAS-Hubservern vornehmen.

Bei 15 Benutzern je WAP heißt das, dass ein IAS-Server auf Windows Server 2003 Standard Edition ungefähr 750 Benutzer unterstützen kann. Diese Berechnung berücksichtigt die Gesamtzahl der WAPs, die einen Server als primären oder sekundären RADIUS-Server verwenden. Daher unterstützen zwei Server 50 WAPs und nicht 100. Wenn ein IAS-Server mehr als 50 WAPs unterstützen soll, müssen Sie Windows Server 2003 Enterprise Edition verwenden. Sie können die beiden Editions natürlich auch mischen und abstimmen, indem Sie Windows Server 2003 Enterprise Edition für große Zweigstellen bzw. Hubzweigstellen und Windows Server 2003 Standard Edition für kleinere Zweigstellen verwenden.

IAS-Konfiguration

IAS-Einstellungen können in vier Hauptkategorien unterteilt werden:

•	IAS-Server-Einstellungen
•	RADIUS-Protokollierungskonfiguration
•	RAS-Richtlinien
•	Verbindungsanforderungsrichtlinien

Diese Kategorien werden in den folgenden Unterabschnitten ausführlich erläutert. Die Einstellungen gelten für alle in dieser Lösung verwendeten IAS-Server. Daher können sie auf einem IAS-Server konfiguriert und dann zu den anderen Servern kopiert werden. Mit diesem Verfahren wird in Kapitel 5, Erstellen der WLAN-Sicherheitsinfrastruktur, sichergestellt, dass die IAS-Einstellungen für alle Server in Ihrem Unternehmen konsistent sind.

Darüber hinaus sind auf jedem IAS-Server ein oder mehrere WAPs als RADIUS-Clients konfiguriert. RADIUS-Clients wurden weiter oben im Abschnitt "Zuweisen von WAPs zu RADIUS-Servern" erläutert. Die RADIUS-Clients unterscheiden sich normalerweise für jeden Server und werden daher nicht wie die anderen Einstellungen zwischen den Servern repliziert.

IAS-Server-Einstellungen

Diese Kategorie umfasst:

•

Protokollierung von Authentifizierungsanforderungen im Windows-Ereignisprotokoll. In dieser Lösung ist die Fehler- und Erfolgsprotokollierung aktiviert.

Hinweis: Die Protokollierung von Anforderungen wird im Abschnitt "RADIUS-Protokollierung" weiter unten in diesem Kapitel behandelt.

•

Die UDP-Ports (User Datagram Protocol), die der IAS-Server auf RADIUS-Authentifizierungs- und Kontoführungsanforderungen überwacht. Diese Lösung verwendet die standardmäßigen RADIUS-Ports 1812 und 1813 zur Authentifizierung bzw. Kontoführung.

RADIUS-Richtlinien

IAS-Richtlinien steuern die Authentifizierung und Autorisierung von Konten für das Netzwerk. Es gibt zwei Formen von Richtlinien:

•	RAS-Richtlinie
•	Verbindungsanforderungsrichtlinie

Die RAS-Richtlinie steuert, wie und ob eine Verbindung für das Netzwerk autorisiert wird. Sie enthält mehrere Filterbedingungen, die festlegen, ob diese Richtlinie für eine bestimmte Verbindungsanforderung gilt. Beispiele für Filterbedingungen: Angabe der Windows-Sicherheitsgruppe, deren Mitglied ein Client sein muss, Angabe des Verbindungstyps (wie drahtlos oder VPN) des anfordernden Clients und Angabe der Tageszeit, zu der der Client eine Verbindung herzustellen versucht. Mit jeder RAS-Richtlinie ist eine Richtlinienaktion verbunden, die auf das Zulassen oder Verweigern einer Verbindungsanforderung eingestellt ist. Verbindungsanforderungen, die die Filterbedingung der RAS-Richtlinie erfüllen, wird je nach Einstellung der Richtlinienaktion der Netzwerkzugriff gestattet bzw. verweigert.

Darüber hinaus enthält eine RAS-Richtlinie mehrere Parameter, das so genannte RAP-Profil (Remote Access Policy), die für eine zugelassene Verbindung gelten. Zu diesen Parametern gehören die Authentifizierungsmethoden, die für diese Verbindung zulässig sind, die Form der Zuweisung einer IP-Adresse zum Client und die Zeit, die der Client verbunden bleiben kann, bevor eine erneute Authentifizierung erforderlich wird. Auf einem IAS können mehrere RAS-Richtlinien vorhanden sein. Jede Verbindungsanforderung wird (in der Reihenfolge der Priorität) anhand der Richtlinien ausgewertet, bis eine zutreffende RAS-Richtlinie die Anforderung zulässt oder verweigert.

Die Konfiguration der RAS-Richtlinie in dieser Lösung wird in der folgenden Tabelle dargestellt.

Tabelle 2.4: Konfiguration der RAS-Richtlinie

Konfigurationsobjekt	Einstellung
Name der Richtlinie	WLAN-Zugriff zulassen
Richtlinientyp	Zulassen
Bedingungen der RAS-Richtlinie
NAS-Porttyp-Übereinstimmungen	IEEE 802.11 drahtlos Andere drahtlos
Windows-Gruppen-Übereinstimmungen	WLAN-Zugriff
RAP-Profil
Einwähleinschränkungen – Zeitlimit für Clients	60 Minuten (dynamische WEP) 8 Stunden (WPA)
Zuweisung der IP-Adresse	Servereinstellungen bestimmen die IP-Zuweisung
IP-Filterung	Keine
Authentifizierung	Alle deaktiviert außer EAP
Authentifizierung – verwendeter EAP-Typ	PEAP (Protected EAP)
Authentifizierung – verwendeter PEAP-EAP-Typ	EAP MS-CHAP v2
Authentifizierung – Fast Reconnect	Aktiviert
RADIUS-Attribute	Ignore-User-Dialin-Properties = "True" Termination-Action = "RADIUS Request"

Der Bedingungsfilter entspricht allen Drahtlosclients und allen Mitgliedern der Domänengruppe "WLAN-Zugriff". Für den WLAN-Zugriff nicht relevante Parameter wie Multilink- und MPPE-Verschlüsselungseinstellungen (Microsoft Point-to-Point Encryption) wurden in der Tabelle nicht berücksichtigt. Ausführliche Informationen zur Verwendung von Sicherheitsgruppen mit der RAS-Richtlinie finden Sie im Abschnitt "WLAN-Benutzer- und Computer-Administrationsmodell" weiter unten in diesem Kapitel.

Die Einstellung "Einwähleinschränkungen – Zeitlimit für Clients" kann die Sicherheit und Zuverlässigkeit der Lösung beeinflussen. Gründe für die Verwendung anderer Werte als der in der Tabelle angegebenen werden im Abschnitt "Sicherheitsoptionen für dynamische WEP" weiter unten im Kapitel erläutert.

Das RADIUS-Attribut "Ignore-User-Dialin-Properties" wird zum Umgehen von Netzwerkzugriffsberechtigungen per Benutzersteuerung verwendet. Eine Erläuterung der Zugriffssteuerung für Benutzer und Gruppen finden Sie im Abschnitt "WLAN-Benutzer- und Computer-Administrationsmodell".

Eine Verbindungsanforderungsrichtlinie steuert, ob die Anforderung auf einem bestimmten RADIUS-Server verarbeitet oder an einen anderen RADIUS-Server (den RADIUS-Proxy) gesendet wird. RADIUS-Proxies werden normalerweise verwendet, wenn der RADIUS-Server nicht selbst über die Informationen zur Verarbeitung der Anforderung verfügt und sie an einen autorisierenden RADIUS-Server wie einen Server in einer anderen Active Directory-Gesamtstruktur weiterleiten muss. RADIUS-Proxies werden in dieser Lösung nicht verwendet, und ihre Erläuterung geht über den Inhalt dieser Anleitung hinaus.

Weitere Informationen zu RAS-Richtlinien und Richtlinien für Verbindungsanforderungen sowie zu RADIUS-Proxies finden Sie im Abschnitt "Quellen" am Ende des Kapitels.

RADIUS-Protokollierung

Sie können IAS-Server so konfigurieren, dass sie zwei unterschiedliche Informationsarten protokollieren:

•	Erfolgreiche und abgelehnte Authentifizierungsereignisse
•	Informationen zur RADIUS-Authentifizierung und RADIUS-Kontoführung

Erfolgreiche und abgelehnte Authentifizierungsereignisse von WLAN-Geräten und -Benutzern können auf dem IAS-Server im Systemereignisprotokoll von Windows Server 2003 gespeichert werden. Im Protokoll gespeicherte Informationen zu Authentifizierungsereignissen sind bei der Behebung von Authentifizierungsfehlern hilfreich. Diese Informationen können jedoch auch für die Sicherheitsüberwachung und Warnung verwendet werden.

Sie sollten die Protokollierung von erfolgreichen und abgelehnten Ereignissen zunächst aktiviert lassen. Wenn sich das System stabilisiert hat, können Sie die Protokollierung von erfolgreichen Ereignissen bei Bedarf deaktivieren. Die Protokollierung von erfolgreichen WLAN-Zugriffsereignissen bläht das Systemereignisprotokoll auf, diese können jedoch für die Überwachung erforderlich sein.

Falls Sie ein Überwachungs- und Warnungstool wie Microsoft Operations Manager (MOM) verwenden, sollten Sie eine Regel zur Warnung bei Fehlerereignissen bei der IAS-Authentifizierung im Systemereignisprotokoll hinzufügen. Sie können stattdessen auch ein Ereignisprotokoll-Abfrageprogramm wie eventquery.vbs verwenden, um das Ereignisprotokoll auf Authentifizierungsfehler zu überprüfen (siehe den Eintrag "Eventquery.vbs" in der Onlinehilfe). Einzelne Ereignisse sind normalerweise ohne Bedeutung, während mehrere Ereignisse Anzeichen eines versuchten Einbruchs sein können.

IAS verfügt darüber hinaus über die Möglichkeit, Informationen zu Authentifizierung und Netzwerkzugriffssitzung in Form von RADIUS-Anforderungsprotokollen zu speichern. Normalerweise verwenden Sie die RADIUS-Protokollierung entweder bei der Berechnung von Gebühren für die Netzwerknutzung (als Internetdienstanbieter müssen Sie beispielsweise Gebühren nach Verbindungszeit berechnen) oder dann, wenn Sie spezielle Sicherheitsüberwachungsinformationen benötigen (obwohl diese in den meisten Fällen in den im Ereignisprotokoll protokollierten Authentifizierungsereignissen enthalten sind).

Weitere Informationen zur RADIUS-Protokollierung finden Sie im Abschnitt "Quellen" am Ende des Kapitels.

IAS-Sicherheit

Wenden Sie für IAS ähnliche Sicherheitsvorkehrungen wie für einen Domänencontroller an. Die sichere Steuerung des Netzwerks hängt von der Sicherheit der IAS-Infrastruktur ab. Mit den folgenden einfachen Schritten können Sie die IAS-Sicherheit verbessern:

•	Verwenden Sie strenge Kennwörter für die RADIUS-Clients (WAPs). Die Lösung umfasst Skripts zum Erzeugen echter zufälliger Kennwörter, um Angriffe auf das Wörterbuch zu erschweren.
•	Aktivieren Sie das RADIUS-Attribut "Message Authenticator" für alle RADIUS-Clients, um Spoofing-Angriffe auf IP-Adressen von WAPs zu verhindern. Das Attribut ist in dieser Lösung aktiviert.
•	Überprüfen Sie die Server-Sicherheitseinstellungen. Weitere Informationen hierzu finden Sie in Kapitel 3, Vorbereiten der Umgebung.
•	Überprüfen Sie, ob die Patches mit den aktuellsten Sicherheits-Hotfixes auf den Servern installiert sind und Sie regelmäßig aktuelle Patches anwenden. Weitere Informationen hierzu finden Sie ebenfalls in Kapitel 3, Vorbereiten der Umgebung.
•	Überprüfen Sie, ob Sie strenge Domänenkontoeinstellungen verwenden. Stellen Sie insbesondere sicher, dass strenge Kennwörter und regelmäßige Kennwortänderungen erzwungen werden. Sie können darüber hinaus die Domänenkontosperrung aktivieren, um Angriffe zum Erraten des Kennworts auszuschließen. Aktivieren Sie die Kontosperrung nur dann, wenn Sie über die Support-Ressourcen zum zeitnahen Entsperren von Konten für Benutzer verfügen.
•	Mit IPSec können Sie den RADIUS-Datenverkehr sichern und die gegenseitige Authentifizierung zwischen den WAPs und den IAS-Servern stärken. Allerdings unterstützen nicht alle WAPs die entsprechende Verwendung von IPSec.

Weitere Informationen zu IAS-Sicherheitsmaßnahmen finden Sie im Abschnitt "Quellen" am Ende des Kapitels.

WLAN-Benutzer- und Computer-Administrationsmodell

Der Zugriff auf das WLAN wird in dieser Lösung mittels Domänensicherheitsgruppen gesteuert. Das Zulassen und Verweigern des Zugriffs kann zwar über die Einwähleigenschaften von Domänenbenutzerobjekten erfolgen, allerdings ist die Verwaltung für viele Benutzer umständlich.

Diese Lösung verwendet ein sehr einfaches Schema, um allen Domänenbenutzern und -computern den Zugriff auf das WLAN zu gestatten. Für viele Unternehmen ist die Zugriffssteuerung über die Domänenmitgliedschaft eine ausreichend strenge Steuerung und vermindert zusätzlichen Verwaltungsaufwand für das WLAN. Um jedoch Unternehmen bei Bedarf mehr Steuerungsmöglichkeiten zur Verfügung zu stellen, kann mithilfe von Sicherheitsgruppen festgelegt werden, wem der WLAN-Zugriff gestattet wird.

Wie im Abschnitt "RADIUS-Richtlinien" beschrieben, verwendet die IAS-RAS-Richtlinie eine Filterbedingung, die allen Mitgliedern der Gruppe "WLAN-Zugriff" den WLAN-Zugriff gestattet. In der folgenden Tabelle werden die Mitglieder der Gruppe "WLAN-Zugriff" angezeigt.

Tabelle 2.5: Drahtloszugriffsgruppen zum Zulassen aller Benutzer und Computer

Universelle Gruppe der obersten Ebene (Zugriff gewährt in RAS-Richtlinie)	Mitglieder der ersten Ebene(Globale Gruppen der Domäne)	Mitglieder der zweiten Ebene(Globale Gruppen der Domäne)
WLAN-Zugriff	WLAN-Benutzer	Domänenbenutzer
WLAN-Zugriff	WLAN-Computer	Domänencomputer

Für die Gruppe in der ersten Spalte "WLAN-Zugriff" sind in der zweiten Spalte zwei Mitglieder aufgeführt, nämlich WLAN-Benutzer und WLAN-Computer. Diese Gruppen der ersten Ebene haben selbst Mitglieder (siehe die dritte Spalte – "Mitglieder der zweiten Ebene"), nämlich die Gruppe Domänenbenutzer bzw. Domänencomputer. Diese Anordnung verschachtelter Gruppen gestattet allen Benutzern und Computern in der Domäne die Verbindung zum WLAN.

Falls die Zulassung aller Benutzer und Computer für den WLAN-Zugriff für Ihr Unternehmen zu weit geht, können Sie Domänenbenutzer oder/und Domänencomputer aus diesen Gruppen entfernen. Sie müssen dann den WLAN-Gruppen die jeweiligen Benutzer- und Computerkonten bzw. -gruppen hinzufügen. Die folgende Tabelle stellt die entsprechende Verwendung der WLAN-Zugriffsgruppenstruktur dar.

Tabelle 2.6: Drahtloszugriffsgruppen zum Zulassen ausgewählter Benutzer und Computer

Universelle Gruppe der obersten Ebene (Zugriff gewährt in RAS-Richtlinie)

Mitglieder der ersten Ebene (globale Gruppen der Domäne)

Mitglieder der zweiten Ebene(Globale Gruppen der Domäne)

WLAN-Zugriff

WLAN-Benutzer

Benutzer 1
Benutzer 2

Benutzer 3

WLAN-Zugriff

WLAN-Computer

Computer 1
Computer 2
Computer 3

Weitere Informationen zur Verwendung dieser Sicherheitsgruppen in einer Mehrfachdomänen-Gesamtstruktur finden Sie im Abschnitt "Skalierung für größere Unternehmen" weiter unten in diesem Kapitel.

Erlangen von Zertifikaten für IAS-Server

Die IAS-Server benötigen Zertifikate zur Authentifizierung der WLAN-Clients. Serverzertifikate sind erforderlich, um den TLS-verschlüsselten Tunnel zwischen IAS-Servern und Clients zu erstellen. TLS dient dem Schutz des Authentifizierungsaustausches zwischen dem Server und Clients.

Hinweis: TLS ist ein auf SSL 3.0 (Secure Sockets Layer) basierender RFC-Standard. Beide werden häufig als Teil von HTTPS (Hypertext Transfer Protocol, Secure) zur Sicherung von Webdatenverkehr verwendet.

Vergleich zwischen interner und kommerzieller Zertifizierungsstelle

Sie erhalten die erforderlichen Zertifikate, indem Sie entweder selbst eine CA ((Certificate Authority) installieren oder die Zertifikate von einem kommerziellen Zertifikatanbieter beziehen. Beide Optionen sind zulässig. Aus der Wahl der jeweiligen Option ergibt sich kein technischer Unterschied für die WLAN-Lösung.

Die wichtigsten Vor- und Nachteile der beiden Optionen werden in der folgenden Tabelle zusammengefasst.

Tabelle 2.7: Vor- und Nachteile der Verwendung einer eigenen CA gegenüber kommerziellen Zertifikaten

Interne CA	Kommerzielle CA
Keine Kosten pro Zertifikat	Kosten pro Zertifikat
CA-Software muss installiert und verwaltet werden	Keine Serversoftware
Automatische Registrierung und Erneuerung	Komplexere Registrierung, manuelle Installation von Zertifikaten

Die Entscheidung hängt letztlich davon ab, wie komplex und aufwändig die Verwaltung der internen CA ist. Falls die Kosten für die Einrichtung einer lokalen CA niedrig sind und die Verwaltung einfach ist, ist diese Option häufig vorteilhafter als der Erwerb externer Zertifikate.

Diese Lösung verwendet eine einfache interne CA zur Bereitstellung der Zertifikate. Mit den Begriffen "interne CA" und "Netzwerk-CA" wird in dieser Anleitung angezeigt, dass es sich um eine spezielle CA handelt, die Benutzer und Administratoren eigentlich nicht sehen und die Zertifikate eines Typs ausgibt. Die begrenzte Funktionalität der CA in dieser Lösung bedeutet, dass sie mit geringem bzw. ohne Benutzer- oder Verwaltungseingriff installiert und verwendet werden kann. So kann in dieser Lösung die CA ein Zertifikat mit einer Gültigkeitsdauer von 25 Jahren ausstellen. Sie müssen es daher während der Lebensdauer der Lösung nicht erneuern. Die automatische Registrierung und Erneuerungen der IAS-Serverzertifikate bedeutet, dass keine manuelle Verteilung von Zertifikaten ausgeführt werden muss.

Dies ist ein wesentlicher Unterschied zu externen Zertifikaten. Sie müssen dort die Zertifikate der IAS-Server jedes Jahr oder alle zwei Jahre erneuern. Bei jedem manuellen Erstellen der Zertifikatsanforderung auf jedem IAS-Server müssen Sie die Anforderung an die kommerzielle CA senden und dann das ausgestellte Zertifikat abrufen und manuell installieren. Anderenfalls können Benutzer keine Verbindung zum WLAN herstellen. Für viele Unternehmen bedeutet dies eine viel aufwändigere Verwaltung als die einfache interne CA, die in dieser Lösung verwendet wird.

Beschränkungen der CA für de Lösung

Diese Lösung verwendet eine spezielle CA-Konfiguration für das Ausstellen von Zertifikaten für die IAS-Server. Sie wurde ausschließlich zu diesem Zweck entworfen und ist nicht als Universal-CA geeignet.

Digitale Zertifikate werden in vielen Anwendungen eingesetzt, darunter sichere E-Mail und sicheres Webbrowsing, IPSec (IP Security), VPN (Virtual Private Networks) und EFS (Encrypting File System). Für jede dieser Anwendungen gelten spezielle Sicherheitsanforderungen. Ebenso hat Ihr Unternehmen eigene Sicherheitsanforderungen im Zusammenhang mit diesen Anwendungen. Daher empfiehlt Microsoft dringend, die CA der Lösung auf keinen Fall für andere Zwecke zu verwenden.

Entwerfen Sie Ihre Zertifikatsinfrastruktur gemäß den jeweiligen Anforderungen, falls Sie den Einsatz dieser oder anderer Zertifikatsanwendungen planen. Beachten Sie dabei Folgendes:

•	Die Lösungs-CA ist eine selbstsignierte Stamm-CA und kann daher nicht gesperrt werden. Bei einer CA-Kompromittierung müssen Sie die ausgestellten Zertifikate sperren.
•	Branchen- oder landesspezifische Regelungen können die Verwendung einer mehrstufigen CA-Hierarchie für einige oder alle Zertifikatstypen erforderlich machen.
•	Microsoft empfiehlt die Installation einer CA auf einem Domänencontroller für Zertifikate mit hohem Sicherheitsgrad nicht.

Weitere Informationen zur detaillierten Planung für den Entwurf einer allgemeineren PKI-Architektur finden Sie in Kapitel 4, Entwerfen der Infrastruktur öffentlicher Schlüssel, in der Begleitlösung, Absichern drahtloser Netzwerke - eine Microsoft Windows Server 2003- Zertifikatsdienste-Lsung.

Beachten Sie außerdem, dass sich aus der Installation der CA auf Windows Server 2003 Standard Edition Einschränkungen ergeben. Die Standard Edition ist für diese Lösung adäquat, sie unterstützt jedoch im Vergleich zu Windows Server 2003 Enterprise Edition eine begrenzte Zahl an Funktionen. Die folgenden wichtigen Features werden von Windows Server 2003 Enterprise Edition nicht unterstützt:

•	Die automatische Registrierung von Zertifikaten für Computer und Benutzer: Der automatische Zertifikatsanforderungsdienst (wie er in Windows 2000 Server und Windows Server 2003 Standard Edition verwendet wird) unterstützt lediglich die automatische Registrierung von Computerzertifikaten. Benutzerzertifikate können nicht automatisch registriert werden.
•	Zertifikatsvorlagen der Version 2: Viele von Windows Server 2003 und Windows XP verwendete Zertifikatstypen nutzen die erweiterten Features von Version 2-Vorlagen. Dagegen kann eine auf Windows Server 2003 Standard Edition basierende CA keine Zertifikate in Version 2-Vorlagen ausstellen.
•	Bearbeitbare Zertifikatsvorlagen: Version 1-Vorlagen können nicht geändert oder erstellt werden, um neue Zertifikatstypen zu erzeugen.
•	Die Schlüsselarchivierung wird nicht unterstützt.

Falls Sie eines der angeführten Features benötigen, müssen Sie eine auf den erweiterten Funktionen von Windows Server 2003 Enterprise Edition basierende CA verwenden. Eine ausführliche Beschreibung der Unterschiede zwischen Enterprise Edition und Standard Edition finden Sie im Whitepaper "PKI Enhancements in Windows XP Professional and Windows Server 2003" (auf Englisch), das im Abschnitt "Quellen" am Ende des Kapitels aufgeführt ist.

Wenn Sie gegenwärtig über keine klaren Anforderungen für andere Typen von Zertifikaten verfügen, können Sie jedoch die in dieser Lösung beschriebene CA installieren und sich gleichzeitig weitere Optionen offen halten. Nach der Bestimmung anderer Anforderungen für Zertifikate können Sie später eine komplexere PKI zusätzlich zu dieser Lösung installieren. Sie können dann beide parallel ausführen oder alle Zertifikate von der neuen PKI ausstellen.

WLAN-Clients

Die WLAN-Lösung unterstützt verschiedene Typen von WLAN-Clients entweder explizit oder implizit. Diese Lösung unterstützt Clients von Windows XP Professional Edition, Windows XP Tablet Edition und Pocket PC 2003. Eine spezielle Anleitung zur Konfiguration und Verwendung dieser Clients mit der Lösung finden Sie in Kapitel 6, Konfiguration der WLAN-Clients. In der Anleitung werden andere Typen von Clients, die 802.1X mit PEAP-MS-CHAP v2 unterstützen, nicht behandelt. Obwohl andere Clienttypen funktionieren (beispielsweise Windows 2000 Professional), enthält diese Anleitung keine Anweisungen für ihre Konfiguration. Sie wurden vom Microsoft Solutions for Security-Team nicht mit dieser Lösung getestet.

Windows XP

Windows XP Professional Edition und Windows XP Tablet Edition werden in dieser Lösung vollständig unterstützt. Alle Windows XP-Clients müssen mit Service Pack 1 oder höher aktualisiert werden. Die Computer müssen Mitglieder der gleichen Domäne wie die IAS-Server oder einer anderen Domäne innerhalb der gleichen Gesamtstruktur sein. Die Domänenmitgliedschaft ist erforderlich, damit die Computer sich selbst beim WLAN authentifizieren und die in der Gruppenrichtlinie festgelegten WLAN-Einstellungen downloaden können.

Die Computerauthentifizierung beim WLAN wird dann verwendet, wenn kein Benutzer am Computer angemeldet ist. Dadurch kann der Computer die Einstellungen für das Gruppenrichtlinienobjekt (Group Policy Object, GPO) abrufen, Startskripts ausführen und den Download von Patches auslösen. Darüber hinaus ist sie zu Beginn der Benutzeranmeldung erforderlich. Der Benutzer kann die Authentifizierung beim WLAN erst dann starten, wenn das Benutzerprofil geladen wurde. Daher schlagen Anmeldeskripts, andere GPO-Einstellungen und servergespeicherte Profile fehl, wenn der Computer vor der Benutzeranmeldung keine Verbindung zum Netzwerk hergestellt hat.

Windows XP-Computer, die keine Domänenmitglieder sind, können weiter mit der Lösung verwendet werden. Dabei treten folgende Nachteile auf:

•	Die WLAN-Clienteinstellungen müssen manuell konfiguriert werden.
•	Die Computerauthentifizierung für das WLAN ist schwer zu erreichen.
•	Die Benutzerauthentifizierung für das WLAN erfordert eine separate Benutzernamen- und Kennworteingabeaufforderung, in der die Benutzer ihre Domänenanmeldeinformationen (für das WLAN) eingeben müssen.

Microsoft empfiehlt darüber hinaus dringend, die persönliche Firewall auf allen Clientcomputern im WLAN zu aktivieren.

Pocket PC 2003

Pocket PC 2003 unterstützt 802.1X und PEAP. Sie müssen jedoch unter Umständen Updates vom Hersteller Ihres Geräts und Microsoft erwerben, um über den vollen WLAN-Funktionsumfang zu verfügen. Sie können auch frühere Versionen von Pocket PC als 2003 verwenden, allerdings bietet Microsoft für ältere Versionen keine integrierte Unterstützung für 802.1X. Sie können spezielle Unterstützung von Ihrem Pocket PC-Gerätehersteller erhalten oder WLAN-Clientsoftware von einem Drittanbieter nutzen.

Pocket PC-Systeme verwenden kein Computerdomänenkonto und werden immer mittels Benutzeranmeldeinformationen beim WLAN authentifiziert. Normalerweise müssen Benutzer zur Verbindung mit dem WLAN jedes Mal ihren Domänenbenutzernamen und das Kennwort eingeben. Die Anmeldeinformationen können zum Herstellen einer automatischen Verbindung gespeichert werden. Dieses Verfahren kann nur bei sehr strengen Sicherheitsfeatures auf dem Pocket PC-Gerät empfohlen werden.

Darüber hinaus verstehen Pocket PCs keine Gruppenrichtlinie, sodass diese nicht zum automatischen Festlegen der WLAN-Einstellungen genutzt werden kann. Sie müssen die WLAN-Konfiguration manuell definieren.

Andere 802.1X-Clients

Andere Clients als Windows XP und Pocket PC 2003 funktionieren unter Umständen mit der Lösung, wenn sie 802.1X und PEAP-MS-CHAP v2 unterstützen. Windows 2000-Clients werden mittels Windows 2000 Microsoft 802.1X-Authentifizierungsclient unterstützt. Ausführliche Informationen zum Abrufen des Windows 2000 Microsoft 802.1X-Authentifizierungsclients finden Sie in den Quellen am Ende dieses Kapitels. Andere Windows-Clients als Windows 2000 (wie Windows NT 4.0, Windows 9x und Windows Me) werden mit einem über Microsoft Premier Support verfügbaren Client unterstützt Sie können Clients für diese und andere Plattformen unter Umständen von anderen Netzwerksoftware-Anbietern als Microsoft erwerben.

Weitere Informationen finden Sie auch in Anhang C, Unterstützte Windows-Versionen.

WPA-Unterstützung

Die hier beschriebene WLAN-Lösung unterstützt die Verwendung von WPA-WLAN-Schutz statt dynamischer WEP. WPA wird WEP immer vorgezogen, da sie bessere Schlüsselverwaltung bietet und einen strengeren Verschlüsselungsalgorithmus für das Netzwerk implementiert. Darüber hinaus unterstützt WPA AES-Verschlüsselung, falls die Hardware (WAPs und Netzwerkadapter) die erforderliche Unterstützung bietet.

WPA bietet Vor-, aber auch Nachteile gegenüber dynamischer WEP. Hierzu zählen:

•	Die GPO-Unterstützung für die Konfiguration von WPA-Einstellungen auf WLAN-Clients steht erst ab Windows Server 2003 Service Pack 1 zur Verfügung.
•	Die Clientunterstützung für andere Systeme als Windows XP ist u. U. nicht verfügbar. Obwohl Microsoft in der Regel WPA-Unterstützung für Pocket PC 2003 bietet, werden Windows 2000- und andere Microsoft-Clients u. U. nicht unterstützt. (Andere Anbieter als Microsoft bieten möglicherweise WPA-Unterstützung für diese Clients an.)
•	Die Aktualisierung der vorhandenen WLAN-Geräte (WAPs und Client-Netzwerkadapter) zur Unterstützung von WPA ist u. U. nicht möglich. Darüber hinaus können die Kosten für den Erwerb und die Bereitstellung neuer Hardware erheblich sein.

GPO- und Pocket PC 2003-Unterstützung für WPA sind demnächst verfügbar, sodass WPA dann eine bevorzugte Option sein wird. Bis dahin bietet die mit 802.1X-Authentifizierung gekoppelte dynamische WEP eine sehr hohe Sicherheitsstufe für WLANs und ist die Standardoption für diese Lösung. Weitere Informationen zu WPA finden Sie im Abschnitt "Quellen" am Ende dieses Kapitels.

Migration von einem bereits vorhandenen WLAN

Wenn Sie bereits mit einem WLAN arbeiten, sollten Sie vorab eine Migrationsstrategie planen, damit Benutzer und Umgebung möglichst wenig gestört werden.

Viele Unternehmen verwenden 802.11-basierte WLANs, die ohne Netzwerkauthentifizierung oder Verschlüsselung arbeiten. Andere Unternehmen haben statische WEP mit gemeinsamer Schlüsselverschlüsselung implementiert, häufig kombiniert mit der Filterung der MAC-Adressen (Media Access Control).

Die Migration von einem dieser Szenarios zu einem 802.1X-gesicherten WLAN umfasst die folgenden Schritte:

1.	Bereitstellen von Zertifikaten für IAS-Server: Weitere Informationen zur Bereitstellung von Zertifikaten für einen IAS-Server finden Sie in Kapitel 4, Erstellen einer Netzwerkzertifizierungsstelle, in dieser Anleitung.
2.	Konfigurieren der WLAN-RAS-Richtlinien auf den IAS-Servern: Schritte zur Konfiguration einer RAS-Richtlinie werden in Kapitel 5, Erstellen der WLAN-Sicherheitsinfrastruktur, in dieser Anleitung beschrieben.
3.	Bereitstellen einer WLAN-Konfiguration für das neue WLAN auf Clientcomputern: Für das neue 802.1X-fähige Netzwerk ist ein neuer SSID (Service Set Identifier) für das Netzwerk erforderlich. Die Netzwerkeinstellungen für das neue WLAN können dann vom Active Directory-Gruppenrichtlinienobjekt bereitgestellt werden. WLAN-Gruppenrichtlinien sollten im Vorfeld einer Neukonfiguration von WAPs bereitgestellt werden, damit mobile Computer, von denen nur gelegentlich auf ein LAN zugegriffen wird, die Konfiguration empfangen. Weitere Informationen dazu finden Sie in Kapitel 6, Konfiguration der WLAN-Clients.
4.	Konfiguration von WAPs für die erforderliche 802.1X-Sicherheit: Führen Sie diesen Schritt am besten für jeden Standort einzeln (z. B. für jedes Gebäude oder jeden Campus), außerhalb der Hauptgeschäftszeiten oder mit entsprechenden Hinweisen an Benutzer über mögliche WLAN-Ausfälle aus. Erstellen Sie RADIUS-Clienteinträge für den IAS für alle WAPs am Standort, konfigurieren Sie die WAPs mit den Adressen der IAS-Server für die RADIUS-Einträge des WAP und stellen Sie zum Schluss den WAP um, sodass nur 802.1X-authentifizierte Clients zugelassen werden. Sichern Sie zur Erleichterung des Rollbacks vor Beginn dieses Schritts die WAP-Einstellungen, sodass sie im Notfall wiederhergestellt werden können.

Diese Form des Rollouts minimiert die Unterbrechungszeiten für Benutzer und ermöglicht den schnellen Rollback eines Standorts, falls Probleme auftreten. Es lässt sich nicht vermeiden, dass während der Umstellung Probleme für Benutzer auftreten. Informieren Sie die Benutzer daher umfassend über die Migration, und stellen Sie sich auf eine höhere Zahl von Anrufen an die Support-Abteilung ein.

Wie bei allen Migrationsstrategien kommt es auf sorgfältiges Planen und Testen an. Die Schritte zum Konfigurieren von Clientcomputern und WAPs können zu Störungen in der Umgebung führen, falls sie nicht sorgfältig getestet werden, um aufkommende Probleme zu beheben.

Die detaillierte Planung der Migration von ungesicherten und statischen WEP-WLANs oder von firmeneigenen WLAN-Sicherheitsschemas wird in dieser Anleitung nicht behandelt. Die Sc Schritte ähneln sich grundsätzlich und folgen dem oben dargestellten Muster. Falls Sie jedoch weitere Hilfe bei der Migrationsplanung benötigen, wenden Sie sich an Ihren Microsoft-Partner oder Ihre lokale Microsoft-Niederlassung. Von dort werden Sie an einen Microsoft-Partner in Ihrer Nähe oder an einen Microsoft Consulting Services-Mitarbeiter vermittelt.

Zum Seitenanfang

Skalierung für größere Unternehmen

Dieser Abschnitt erläutert die wichtigsten Aspekte für den Einsatz dieser Lösung in einem großen Unternehmen (mit mehreren tausend Benutzern). Die Verwendung der PEAP- und Kennwortauthentifizierung im Unternehmen wird ausführlich in Anhang A, PEAP-Anwendung im Unternehmen, erläutert.

Aufstellung von IAS-Servern

Bei zunehmender Anzahl von Standorten, die WLANs unterstützen, müssen Sie festlegen, wie die WAPs durch IAS-Server bearbeitet werden. Dabei gibt es im Wesentlichen zwei Vorgehensweisen:

•	Anwendung einer geringen Anzahl zentraler IAS-Server: Verwenden Sie eine geringe Anzahl zentraler IAS-Server zur Bearbeitung des gesamten WLAN-Authentifizierungsverkehrs (normalerweise sind zwei Server ausreichend). Stellen Sie sicher, dass die WAN-Verbindungen zwischen den Zweigstellen und den IAS-Servern ausfallsicher sind.
•	Verteilung von IAS-Servern auf jede Zweigstelle: Es gibt für die Wirtschaftlichkeit eine untere Grenze für die Größe einer Zweigstelle. Aber in der Regel kann jede Zweigstelle, die groß genug für einen eigenen Domänencontroller ist, über einen lokalen IAS-Server verfügen (der normalerweise auf dem Domänencontroller installiert wird).

Auch wenn die Investition in die Ausfallsicherheit des Netzwerks eine teuere Option zu sein scheint, müssen Sie diese ins Verhältnis zum Verwaltungsaufwand für mehrere verteilte IAS-Server setzen. Selbst wenn der IAS-Server auf dem gleichen physischen Server wie ein vorhandener Domänencontroller installiert wird, fallen Kosten für die Verwaltung jeder IAS-Instanz an. In der Praxis verwenden die meisten großen Unternehmen eine Mischung der beiden Optionen:

•	Zentrale IAS-Server und gleichzeitige Investition in WAN-Ausfallsicherheit, wo möglich
•	Verteilung von IAS-Servern an Zweigstellen, in denen die WAN-Ausfallsicherheit nicht erreicht werden kann oder übermäßig teuer ist
•	Anwendung von WPA-WLANs mit vorinstallierten Schlüsseln für kleine Zweigstellen mit mangelhafter Netzwerkanbindung oder für Heimarbeitsplätze von Mitarbeitern

Die zentrale IAS-Strategie wurde im Abschnitt "Aufstellung von IAS-Servern" weiter oben in diesem Kapitel veranschaulicht. Die Verwendung eines lokalen Domänencontrollers und von IAS in einer Zweigstelle wird in der folgenden Abbildung dargestellt. Diese zeigt eine größere Zweigstelle, die durch ein WAN mit der in Abbildung 2.4 weiter oben gezeigten Hauptverwaltung verbunden ist.

Abbildung 2.7 Größere Zweigstelle mit lokalem Domänencontroller und IAS
Siehe Abbildung in vollständiger Größe

An diesem Standort sind die WAPs so konfiguriert, dass sie den lokalen IAS-Server als primären RADIUS-Server und einen der IAS-Server in der Hauptverwaltung als sekundären RADIUS-Server verwenden. Das heißt, dass WLAN-Clients auch dann authentifiziert werden können, wenn der lokale IAS-Server oder die WAN-Verbindung ausfällt.

Bei einer ausfallsicheren WAN-Anbindung (z. B. bei mehreren WAN-Verbindungen mit unterschiedlichen Anbietern) bringt die Bereitstellung zusätzlicher Server in Zweigstellen kaum Vorteile, sondern zusätzliche Komplexität und einen höheren Verwaltungsaufwand.

Mehrere Domänen

Der Grundentwurf der Lösung wird transparent auf Gesamtstrukturen mit mehreren Domänen skaliert. Bei der Anwendung der Lösung mit mehreren Domänen müssen insbesondere die folgenden Aspekte beachtet werden:

•	IAS-Server müssen in jeder Domäne mit Benutzern oder Computern, die auf das WLAN zugreifen, registriert werden. Ausführliche Informationen dazu finden Sie in Kapitel 5, Erstellen der WLAN-Sicherheitsinfrastruktur.
•	Die Gruppenrichtlinienobjekte für Servereinstellungen und die Einstellungen für automatische Zertifikatsanforderungen müssen in jede Domäne importiert werden, in der IAS-Server installiert sind. Weitere Informationen zu den erforderlichen Schritten finden Sie in Kapitel 3, Vorbereiten der Umgebung, und in Kapitel 4, Erstellen einer Netzwerkzertifizierungsstelle.
•	Das Gruppenrichtlinienobjekt zur Steuerung der WLAN-Einstellungen auf dem Clientcomputer muss in jeder Domäne mit Clientcomputern erstellt werden, die auf das WLAN zugreifen. Ausführliche Informationen dazu finden Sie in Kapitel 6, Konfiguration der WLAN-Clients.
•	Die von IAS zum Filtern von RAS-Richtlinien verwendeten Sicherheitsgruppen müssen so konfiguriert werden, dass sie mehrere Domänen unterstützen.

Die ersten drei Aspekte sind größtenteils ohne Erläuterung verständlich, und die entsprechenden Konfigurationsschritte für mehrere Domänen werden in späteren Kapiteln behandelt. Die Anwendung der Sicherheitsgruppen ist etwas komplizierter und wird im folgenden Abschnitt ausführlich erläutert.

Verwendung von Sicherheitsgruppen in mehreren Domänen

Die folgende Tabelle zeigt, wie Sie die im Abschnitt "WLAN-Benutzer- und Computer-Administrationsmodell" erläuterten Sicherheitsgruppen in einer Mehrfachdomänen-Gesamtstruktur verwalten können.

Tabelle 2.8: Drahtloszugriffsgruppen zum Zulassen aller Benutzer und Computer

Universelle Gruppe der obersten Ebene (Zugriff gewährt in RAS-Richtlinie)	Mitglieder der ersten Ebene(Globale Gruppen der Domäne)	Mitglieder der zweiten Ebene(Globale Gruppen der Domäne)
StammDom\WLAN-Zugriff	BenDom1\WLAN-Benutzer	BenDom1\Domänenbenutzer
StammDom\WLAN-Zugriff	BenDom2\WLAN-Benutzer	BenDom2\Domänenbenutzer
StammDom\WLAN-Zugriff	BenDom3\WLAN-Benutzer	BenDom3\Benutzer1 BenDom3\Benutzer2 BenDom3\Benutzer2
StammDom\WLAN-Zugriff	BenDom1\WLAN-Computer	BenDom1\Domänencomputer
StammDom\WLAN-Zugriff	BenDom2\WLAN-Computer	BenDom2\Domänencomputer
StammDom\WLAN-Zugriff	BenDom3\WLAN-Computer	BenDom3\HR-Computer BenDom3\Finanz-Computer

Die Tabelle zeigt die gleiche Gruppenverschachtelung wie die Tabellen im Abschnitt "WLAN-Benutzer- und Computer-Administrationsmodell". Die Mitglieder der in der ersten Spalte aufgeführten Gruppe werden in der zweiten Spalte angezeigt; die Mitglieder der in der zweiten Spalte aufgeführten Gruppen werden in der dritten Spalte angezeigt.

Die Beispiele in der Tabelle verwenden fiktive Namen. So ist StammDom beispielsweise der Name der Domäne, in der IAS-Server installiert sind, und BenDom1 und BenDom2 sind weitere Domänen mit Benutzern und Computern für den WLAN-Zugriff.

Im gezeigten Beispiel wird allen Benutzern und Computern aus BenDom1 und BenDom2 implizit Zugriff auf das WLAN gewährt, da die Gruppen Domänenbenutzer und Domänencomputer aus diesen Domänen Mitglieder der Gruppen WLAN-Benutzer und WLAN-Computer für die gleiche Domäne sind. Die Benutzer aus BenDom3 werden jedoch individuell zur Gruppe WLAN-Benutzer von BenDom3 hinzugefügt. Der Zugriff der Computer erfolgt mittels Geschäftseinheit-Sicherheitsgruppen (z. B. für alle Computer in der Personalabteilung).

Die globalen Gruppen für jede Domäne, also WLAN-Benutzer und WLAN-Computer, werden dann als Mitglieder der universellen Gruppe WLAN-Zugriff hinzugefügt. Alle Mitglieder der letztgenannten Gruppe erhalten in der IAS-RAS-Richtlinie Zugriff auf das WLAN.

PKI-Architektur

Wie bereits weiter oben im Abschnitt "Erlangen von Zertifikaten für IAS-Server" erwähnt wurde, können viele Anwendungen Zertifikate verwenden. Beachten Sie, dass eine eigenständige CA zwar für diese Lösung geeignet ist, die umfassenderen Anforderungen größerer Unternehmen jedoch kaum erfüllen kann. Überlegen Sie, welche anderen Verwendungszwecke Zertifikate zukünftig erfüllen müssen und ob eine andere PKI-Architektur für diese Szenarios besser geeignet ist, bevor Sie die in dieser Anleitung beschriebene CA implementieren.

Ausführliche Informationen zur PKI-Planung finden Sie in Kapitel 4, Entwerfen der Infrastruktur öffentlicher Schlüssel, in der Lösung, Absichern drahtloser Netzwerke - eine Microsoft Windows Server 2003- Zertifikatsdienste-Lsung. Die dort erläuterte PKI ist zwar komplexer als die in dieser Anleitung dargestellte CA, jedoch noch relativ einfach: Sie verwendet beispielsweise zwei CAs. Sie ist jedoch als Grundlage für umfassendere Zertifikatsanforderungen gedacht.

Auch wenn Sie sich gegen die Implementierung einer komplexeren PKI wie dieser entscheiden, können Sie die Anweisungen in Kapitel 4, Erstellen einer Netzwerkzertifizierungsstelle, in dieser Anleitung verwenden. Wandeln Sie jedoch die dort aufgeführten Anweisungen wie folgt ab:

•	Installieren Sie die CA auf einem eigenen Server und nicht auf einem Domänencontroller.
•	Verwenden Sie Windows Server 2003 Enterprise Edition, um in Zukunft mehr Flexibilität zu haben.
•	Verwenden Sie statt des automatischen Zertifikatsanforderungsdienstes die automatische Registrierung von Windows Server 2003. Anweisungen dazu finden Sie in der Produktdokumentation für Windows Server 2003 Enterprise Edition.
•	Verwenden Sie die Zertifikatsvorlage "RAS- und IAS-Server" bzw. erstellen Sie einen angepassten Zertifikatstyp für die IAS-Server-Zertifikate, statt die Vorlage "Computer" zu verwenden. Hinweis: "RAS" im Namen der Zertifikatsvorlage ist die Abkürzung für Remote Access Service.

Entsprechende Anweisungen finden Sie im Abschnitt "Public Key Infrastructure" in der Produktdokumentation für Windows Server 2003 und in Kapitel 4, Entwerfen der Infrastruktur öffentlicher Schlüssel, Kapitel 7, Implementieren der Infrastruktur öffentlicher Schlüssel, und Kapitel 9, Implementieren der WLAN-Absicherung mit 802.1X, in der Begleitlösung Absichern drahtloser Netzwerke - eine Microsoft Windows Server 2003- Zertifikatsdienste-Lsung.

Zum Seitenanfang

Varianten für die Lösungsarchitektur

In diesem Abschnitt werden Varianten für den Grundentwurf erläutert. Die folgenden Unterabschnitte behandeln Alternativen zu den standardmäßigen Sicherheitseinstellungen der Lösung durch Anwenden der IAS-Server für drahtgebundene und Remotezugriffsauthentifizierung, Erstellen von Gast-WLANs für Besucher und Bereitstellen von WLANs für sehr kleine Umgebungen wie Heimarbeitsplätze.

Sicherheitsoptionen für dynamische WEP

Im Abschnitt "Funktionsweise von 802.1X mit PEAP und Kennwörtern" weiter oben im Kapitel wurde die Anwendung von dynamischer WEP-Verschlüsselung in der Lösung erläutert. Die Sicherheit von dynamischer WEP beruht auf der Fähigkeit, die Verschlüsselungsschlüssel in regelmäßigen Abständen zu erneuern, um bekannte Angriffe auf das WEP-Protokoll zu vereiteln. IAS stellt sicher, dass die Schlüssel für jeden Drahtlosclient in einem festgelegten Intervall mittels einer Sitzungszeitbegrenzung für den Client erneuert werden, die den Client zwingt, sich beim WLAN neu zu authentifizieren.

Wenn Sie den Wert für die Sitzungszeitbegrenzung reduzieren, wird die Sicherheit erhöht, allerdings können sich Zuverlässigkeit und Leistung verringern. Eine Zeitbegrenzung von 60 Minuten bedeutet in den meisten Fällen adäquate Sicherheit und ist für 802.11b-Netzwerke mit 11 Mbit/s definitiv ausreichend. Normalerweise übertragen Drahtlosclients in 60 Minuten nie genügend Daten, um die Entdeckung eines WEP-Schlüssels durch einen Angreifer zu ermöglichen.

Die aktuellsten Untersuchungen haben ergeben, dass statische WEP-Schlüssel entdeckt werden können, wenn zwischen 1 und 5 Millionen mit dem gleichen Schlüssel verschlüsselte Netzwerkpakete erfasst werden. Informationen dazu finden Sie im technischen Whitepaper "Using the Fluhrer, Mantin, and Shamir Attack to Break WEP" (auf Englisch) von Adam Stubblefield, John Ioannidis und Aviel D. Rubin von AT&T Labs – siehe die Quellen am Ende dieses Kapitels.

Hinweis: Die Zahl von 1 Million Paketen wurde beim Testen statischer WEP-WLANs mit relativ schwachen Schlüsseln (einem "für den Benutzer einprägsamen Kennsatz") ermittelt und kann nicht direkt auf dynamische WEP-WLANs übertragen werden. Im Gegensatz zu typischen statischen WEP-WLANs verwendet dynamische WEP strenge zufällige Verschlüsselungsschlüssel und ändert eine der von den Autoren verwendeten Schlüsseloptimierungen weniger effektiv. Sie gehen auf alle Fälle sicher, wenn Sie von der Zahl von 1 Million Paketen ausgehen, um die Sicherheitsbedrohung für dynamische WEP-WLANs einzuschätzen.

Eine Million Pakete entsprechen in der Regel ungefähr einer Datenmenge von 500 MB (bei einer durchschnittlichen Paketgröße von 500 Byte). Zum Sichern der verschlüsselten Daten muss die Sitzungszeitbegrenzung so festgelegt werden, dass die Erneuerung des Clientschlüssels jedes Mal erzwungen wird, bevor der Client eine darüber hinausgehende Datenmenge sendet.

Bei der typischen Netzwerkverwendung durch einen Client mit E-Mail, Webbrowsing und Dateifreigabe betragen die Datenübertragungsraten maximal 160 kbit/s. Bei dieser Übertragungsgeschwindigkeit und einer Paketgröße von 500 Byte braucht ein Angreifer rund 7 Stunden, um genügend Daten zur Entdeckung des aktuellen Verschlüsselungsschlüssels des Clients zu sammeln.

Hinweis: Unter Laborbedingungen können 500 MB in weit weniger als 7 Stunden übertragen werden, nämlich in zirka 10 Minuten auf einem 11 Mbit/s-WLAN oder in weniger als 3 Minuten auf einem 54 Mbit/s-WLAN. Voraussetzung dafür ist allerdings, dass ein einzelner Client das WLAN exklusiv verwendet und nicht bestätigte UDP-Pakete in eine Richtung übertragen werden. Dieses oder auch nur ein ähnliches Szenario ist in der Praxis für WLANs höchst unwahrscheinlich.

Eine Sitzungszeitbegrenzung von 60 Minuten ist für die meisten Unternehmen mehr als ausreichend. Dabei würde ein durchschnittlicher Client rund 150.000 Pakete übertragen, bevor jeder Schlüssel erneuert wird. Das ist deutlich weniger als die Schwelle von einer Million Paketen, die zum Entschlüsseln eines WEP-Schlüssels erforderlich ist. Sie sollten jedoch aus einem der folgenden Gründe eine kürzere Zeitbegrenzung anwenden:

•	Falls Drahtlosclients große Datenmengen in relativ kurzen Zeiträumen über das WLAN senden oder empfangen, sollten Sie die Zeitbegrenzung auf eine kürzere Dauer als die Zeit setzen, die ein einzelner Client zum Senden und Empfangen von 75 MB benötigt (dies sind weniger als 20 Prozent der zum Ermitteln eines WEP-Schlüssels erforderlichen Datenmenge, also ein großer Sicherheitsspielraum).
•	Bei 54 Mbit/s-WLANs mit 802.11a oder 802.11g lassen sich mehr Pakete in einer bestimmten Zeit übertragen. Sie sollten auf diesen schnelleren WLANs die Sitzungszeitbegrenzung auf 15 Minuten reduzieren.
•	Bei deutlich verbesserten Technologien zum Knacken von WEP-Schlüsseln werden zum Ermitteln der Schlüssel weniger Daten benötigt. Wenn beispielsweise eine neue kryptoanalytische Technik zum Ermitteln von Schlüsseln nur 100.000 Pakete benötigt, müssten Sie die Zeitbegrenzung weiter verringern, damit die Verschlüsselungsschlüssel von Drahtlosclients vor dem Erreichen dieser Grenze erneuert werden.
•	Bei speziellen Sicherheitsanforderungen können Sie die Zeitbegrenzung auch niedriger als die Schwelle festlegen, zu der Angriffe auf WEP theoretisch erfolgreich wären (10 Minuten bzw. 3 Minuten, wie oben erwähnt). Beachten Sie bei dieser Entscheidung auch die weiter unten in diesem Abschnitt beschriebenen möglichen Nachteile. Wenn für die Daten eine derartige Sicherheitsstufe erforderlich ist, sollten Sie die Anwendung von WPA-Datenschutz auf dem WLAN und von IP-Sicherheit zum Schutz der Daten bei der Übertragung über drahtgebundene LANs ernsthaft in Betracht ziehen.

Mit der Verringerung der Sitzungszeitbegrenzung sind zwei grundlegende Nachteile verbunden:

•

Niedrigere WLAN-Zuverlässigkeit: Sehr kurze WLAN-Sitzungszeitbegrenzungen können dazu führen, dass für Clients die erneute Authentifizierung und die Verbindung zum WLAN fehlschlägt, wenn die Kommunikation mit einem Domänencontroller oder IAS-Server zeitweilig unterbrochen wird.

•

Zunehmende Last auf IAS-Servern: Je kürzer die Zeitbegrenzung ist, desto häufiger ist die erneute Authentifizierung des Clients bei einem IAS-Server oder Domänencontroller erforderlich. Demzufolge nimmt die Last auf IAS-Servern und Domänencontrollern zu. Da IAS Client-Authentifizierungssitzungen zwischenspeichert, ist die Lastenzunahme normalerweise nur für Unternehmen mit einer großen Zahl von Drahtlosclients bzw. bei der Anwendung extrem kurzer Sitzungszeitbegrenzungen signifikant.

Andere Netzwerkzugriffsdienste

Der in dieser Lösung verwendete RADIUS-Entwurf kann für andere Netzwerkzugriffsserver eine Authentifizierung, Autorisierung sowie Kontoführungsdienste bieten, zum Beispiel die drahtgebundene Netzwerkauthentifizierung mit 802.1X sowie VPN- und RAS-Authentifizierung.

Drahtgebundene Netzwerkauthentifizierung mit 802.1X

Die drahtgebundene Netzwerkauthentifizierung mit 802.1X ist die einfachste Anwendung, für die keine Änderung des grundlegenden RADIUS-Entwurfs erforderlich ist. Für Unternehmen, die über eine weit verbreitete drahtgebundene Netzwerkinfrastruktur verfügen, ist es möglicherweise schwierig, die nicht autorisierte Verwendung des Firmennetzwerks zu steuern. Es ist beispielsweise oft schwierig, Besucher am Anschließen von Laptops oder Mitarbeiter am Hinzufügen nicht autorisierter Computer zum Netzwerk zu hindern. Bestimmte Teile des Netzwerks wie Datenzentren können als Hochsicherheitszonen eingestuft werden, in denen nur autorisierte Geräte zugelassen werden, selbst wenn dies zum Ausschluss von Mitarbeitern mit Firmencomputern führt.

Die nachfolgende Abbildung veranschaulicht, wie eine drahtgebundene Netzwerkzugriffslösung in den Entwurf integriert werden kann.

Abbildung 2.8 Verwendung der drahtgebundenen Authentifizierung mit 802.1X
Siehe Abbildung in vollständiger Größe

Das fett eingerahmte Feld stellt die 802.1X-basierten drahtgebundenen Komponenten dar, und die anderen Felder enthalten die relevanten Dienste. Vergleichen Sie diese Abbildung mit Abbildung 2.4. Hier wird nur die Hauptverwaltung dargestellt.

802.1X-fähige Netzwerkschalter spielen bei den WAPs in der Hauptlösung die gleiche Rolle und können die gleiche RADIUS-Infrastruktur zur Authentifizierung von Clients und zur selektiven Zugriffsautorisierung auf das entsprechende Netzwerksegment nutzen. Die offensichtlichen Vorteile sind eine Zentralisierung der Kontenverwaltung im Firmenverzeichnis, während die Netzwerkzugriffsrichtlinien weiterhin durch den Netzwerksicherheitsadministrator gesteuert werden.

VPN- und RAS-DFÜ-Authentifizierung

Ein weiterer Netzwerkzugriffsdienst, der die RADIUS-Komponenten verwenden könnte, ist VPN- und RAS-DFÜ. Insbesondere in größeren Unternehmen ist es wahrscheinlich, dass einige Komponenten zum derzeitigen Entwurf hinzugefügt werden müssen, z. B. RADIUS-Proxies. Die erweiterte Lösung wird in der folgenden Abbildung dargestellt.

Abbildung 2.9 Erweiterung der RADIUS-Komponente zur Unterstützung von VPN
Siehe Abbildung in vollständiger Größe

Die VPN-Server in dieser Variante spielen die gleiche funktionale Rolle wie die WAPs im Hauptentwurf. Sie leiten die Authentifizierungsanforderungen der Clients an die RADIUS-Infrastruktur weiter. Die RADIUS-Anforderungen können direkt an die internen IAS-Server weitergeleitet werden. Allerdings fügen viele Unternehmen als weitere Sicherheitsebene noch eine zusätzliche Schicht von RADIUS-Proxies hinzu, die Anforderungen an die internen IAS-Server weiterleiten.

Wie die drahtgebundene Netzwerksicherheit bringt diese Lösung die gleichen Vorteile einer möglichen Wiederverwendung der vorhandenen Infrastruktur und der Zentralisierung der Kontenverwaltung. Mögliche Erweiterungen umfassen beispielsweise die Benutzerauthentifizierung auf Smartcard-Basis. Die interne RAS-VPN-Lösung von Microsoft für die eigenen Mitarbeiter nutzt praktisch die gleiche VPN- und RADIUS-Architektur mit Smartcards zur Benutzerauthentifizierung.

Der DFÜ-RAS funktioniert ähnlich, indem die DFÜ-Serverfunktion statt der VPN-Funktionen des RRAS-Dienstes (Routing und RAS-Dienst) von Windows Server verwendet wird.

Ein wichtiger Vorteil der Anwendung von IAS für VPN und RAS-DFÜ ist der mögliche Einsatz der Quarantänesteuerung für Netzwerkzugriff von Windows Server 2003. Die Quarantänesteuerung verwendet Funktionen des RRAS-Dienstes und den erweiterten RAS-Client (Verbindungs-Manager) von Windows zum Zulassen und Verweigern des Zugriffs basierend auf dem Sicherheitsstatus des Clientcomputers. Dabei wird durch Überprüfungen beim Client zum Zeitpunkt der Verbindung beispielsweise sichergestellt, dass der Client über aktuelle Antivirensoftware oder eine vom Unternehmen genehmigte Version des Betriebssystems verfügt. Falls diese Überprüfungen fehlschlagen, verweigert der RADIUS-Server dem Client den Zugriff zum Netzwerk. Daher kann selbst ordnungsgemäß authentifizierten Benutzern oder Computern der Zugriff verweigert werden, wenn sie eine mögliche Sicherheitsbedrohung für das Firmennetzwerk darstellen.

Weitere Informationen zum Quarantäne-Feature von Windows Server 2003 finden Sie in den Quellen am Ende des Kapitels.

Neustarten von Clientcomputern

Die meisten WLAN-fähigen Computer verfügen auch über eine Schnittstelle für drahtgebundene Netzwerke. Daher können Clients vor der Verbindung zum WLAN relativ einfach zur Domäne hinzugefügt werden und WLAN-Einstellungen downloaden. Es gibt allerdings auch Ausnahmen. So verfügen Handheld-Geräte bereits nur über Adapter für drahtlose und nicht für drahtgebundene Netzwerke. Daraus ergibt sich das Problem des Neustartens eines Clients vor dem Herstellen der Verbindung zum WLAN, da dieser nicht über die dazu erforderlichen Einstellungen und Anmeldeinformationen verfügt.

Dieses Problem wird noch verschärft, wenn ein Unternehmen drahtgebundene und drahtlose 802.1X-Sicherheit anwendet, da ein Client erst dann eine Verbindung zu einem drahtgebundenen LAN herstellen kann, wenn er über die korrekten Anmeldeinformationen und Einstellungen verfügt.

Es gibt die folgenden beiden Hauptmethoden zum Neustart eines Clientcomputers, falls die Einstellungen und Anmeldeinformationen nicht über ein drahtgebundenes LAN abgerufen werden können:

•	Anwendung eines Gast-LAN und einer alternativen authentifizierten Verbindung (wie einer VPN-Verbindung) zum Abrufen der Anmeldeinformationen und Einstellungen
•	Manuelle Konfiguration von Clients

Microsoft unterstützt zurzeit nur die zweite Option. Microsoft wird einen Dienst für die Drahtlosbereitstellung zur Verfügung stellen, mit dem die WLAN-Konfiguration des Clientcomputers mit einem "Gast"-WLAN neu gestartet werden kann. Bis dahin kann dazu die manuelle Konfiguration als einfache Methode verwendet werden. Voraussetzung für die Konfiguration der Clientcomputereinstellungen und für das Hinzufügen zur Domäne ist, dass die Konfiguration von einem Mitglied der lokalen Administratorgruppe auf dem Computer ausgeführt wird.

So starten Sie einen Computer mit manueller Konfiguration neu:

1.	Konfigurieren Sie manuell die WLAN-Einstellungen für den korrekten WLAN-SSID.
2.	Stellen Sie die Verbindung zum WLAN unter Verwendung gültiger Domänenanmeldeinformationen des Benutzers her. Sie können die Verbindung erst dann über das Computerkonto herstellen, wenn der Computer zur Domäne hinzugefügt wurde.
3.	Fügen Sie den Computer zur Domäne hinzu, und starten Sie ihn neu.
4.	Nach dem Neustart kann der Client über das Computerkonto eine Verbindung zum WLAN herstellen und führt dann den Download der WLAN-GPO-Einstellungen aus. Diese Einstellungen überschreiben einfach die manuell konfigurierten Einstellungen.
5.	Sowohl der Benutzer als auch der Computer können jetzt eine Verbindung zum WLAN herstellen.

SOHO-Umgebungen

Unter Umständen müssen Sie WLANs an Standorten bereitstellen, an denen die Authentifizierung von Benutzern über die IAS-Infrastruktur nicht möglich oder unpraktisch ist. Beispiele sind Heimarbeitsplätze für Benutzer, die regelmäßig von zu Hause arbeiten, oder kleine Zweigstellen mit sehr unzuverlässiger Verbindung oder einer Verbindung mit niedriger Bandbreite zum Firmennetzwerk.

Bisher bestand die einzige Lösung in der Konfiguration der statischen WEP-Sicherheit und der Hoffnung, dass keine Angriffe auf das WLAN ausgeführt werden. Eine weitaus bessere Lösung ist die Anwendung von WPA im PSK-Modus. Alle Wi-Fi-zertifizierten WAPs werden jetzt mit WPA-Sicherheit geliefert, auch wenn ältere WAPs diese Funktion nicht unterstützen. Stellen Sie sicher, dass Ihre WAPs WPA-PSK unterstützen, um vom zusätzlichen Sicherheitswert zu profitieren. Im Gegensatz zu statischer WEP kann der WPA-Authentifizierungsschlüssel nicht aus dem verschlüsselten Datenverkehr ermittelt werden. Dadurch wird Angreifern das Eindringen in das Netzwerk deutlich erschwert. Stellen Sie darüber hinaus sicher, dass die Benutzer darauf hingewiesen werden, strenge WPA-Schlüssel zu verwenden und diese in regelmäßigen Abständen zu erneuern. Verdeutlichen Sie auch die Auswirkungen auf die Sicherheit, falls diese Anweisungen nicht befolgt werden. Voraussetzung für die Implementierung von WPA-PSK ist ein WAP, Drahtlosnetzwerkadapter und ein Client-Betriebssystem (z. B. Windows XP), das WPA unterstützt. Sie benötigen keinen RADIUS-Server oder eine andere Serverinfrastruktur.

Zum Seitenanfang

Zusammenfassung

Zu Beginn dieses Kapitels wurde die Funktionsweise der WLAN-Absicherung mit 802.1X erläutert. Zur Einführung des Lösungsentwurfs wurde auf die Eigenschaften des Zielunternehmens sowie die Entwurfskriterien des Unternehmens für die WLAN-Lösung eingegangen. Anschließend wurden die wichtigsten Aspekte des gewählten WLAN-Entwurfs erläutert. Der Entwurf behandelte das Netzwerk, die Aufstellung von IAS-Servern und die IAS-Konfiguration, die Anwendung von Zertifikaten sowie die unterschiedlichen Typen von Drahtlosclients. Darüber hinaus wurden die wichtigsten Punkte bei der Migration von einem vorhandenen WLAN dargestellt.

In den beiden Abschnitten am Ende des Kapitels wurden wichtige Varianten des Hauptentwurfs erläutert. Zuerst wurde die Skalierung der Lösung für größere Unternehmen erläutert sowie Anweisungen zur Behandlung der wichtigsten Unterschiede zur Hauptlösung vermittelt. Es folgten Darstellungen zur Anwendung der gleichen grundlegenden Authentifizierungsinfrastruktur zur Unterstützung anderer Netzwerkdienste wie RAS, VPN und drahtgebundener Netzwerksicherheit sowie Anweisungen zum Neustarten von Clients und zum Bereitstellen von WLANs für SOHO-Umgebungen.

Das nächste Kapitel beginnt die Implementierung der Lösung durch Vorbereitung von Netzwerk, Active Directory und Serversicherheit für die Installation von WLAN-Komponenten.

Zum Seitenanfang

Quellen

In diesem Abschnitt finden Sie Verweise auf wichtige Zusatzinformationen bzw. anderes Hintergrundmaterial mit Bezug auf den Inhalt dieses Kapitels.

•	Ausführliche Informationen zur 802.1X-Authentifizierung finden Sie in "IEEE 802.1X Authentication for Wireless Connections" (auf Englisch) unter folgendem URL: http://www.microsoft.com/technet/community/columns/cableguy/cg0402.mspx
•	Weitere Informationen zur Funktionsweise von PEAP mit Kennwörtern finden Sie in "PEAP with MS-CHAP Version 2 for Secure Password-based Wireless Access" (auf Englisch) unter folgendem URL: http://www.microsoft.com/technet/community/columns/cableguy/cg0702.mspx
•	Ausführliche Informationen zur 802.1X-Authentifizierung, der Interaktion zwischen Clients, WAPs und RADIUS-Servern sowie Empfehlungen für auf WAPs zu unterstützende Features finden Sie in "Recommendations for IEEE 802.11 Access Points" (auf Englisch) unter folgendem URL: http://www.microsoft.com/whdc/device/network/802x/AccessPts.mspx
•	Weitere Informationen zum WLAN-Entwurf sowie zur Bereitstellung von DHCP-Diensten und WAP-Layouts finden Sie in Kapitel, Deploying a Wireless LAN, im Windows Server 2003 Deployment Kit unter folgendem URL: http://www.microsoft.com/technet/prodtechnol/windowsserver2003/library/DepKit/c283b699-6124-4c3a-87ef-865443d7ea4b.mspx
•	Weitere Informationen zur Absicherung von IAS finden Sie in der Produktdokumentation für Windows Server 2003 unter folgendem URL: http://www.microsoft.com/technet/prodtechnol/windowsserver2003/library/ServerHelp/2e0186ba-1a09-42b5-81c8-3ecca4ddde5e.mspx
•	Weitere Informationen zu in Windows Server 2003 Enterprise Edition verfügbaren Zertifikatdienst-Funktionen finden Sie im Whitepaper "PKI Enhancements in Windows XP Professional and Windows Server 2003" (auf Englisch) unter folgendem URL: http://www.microsoft.com/technet/prodtechnol/winxppro/plan/pkienh.mspx Hinweis: Dieser Artikel wurde vor der Veröffentlichung von Windows Server 2003 geschrieben und verwendet die Begriffe Windows .Net Server, Advanced Server und Standard Server mit Bezug auf Windows Server 2003, Enterprise Edition bzw. Standard Edition.
•	Weitere Informationen zum Microsoft 802.1X-Authentifizierungsclient für Windows 2000 finden Sie im Knowledge Base-Artikel "Verwenden der 802.1x-Authentifizierung auf Computern unter Windows 2000" unter folgendem URL: http://support.microsoft.com/default.aspx?scid=313664
•	Weitere Informationen zu "Wi-Fi Protected Access (WPA) Overview" und "WPA Wireless Security Update" in Windows XP finden Sie unter den folgenden URLs: http://www.microsoft.com/technet/community/columns/cableguy/cg0303.mspx http://support.microsoft.com/default.aspx?kbid=815485
•	Ausführungen zu den Sicherheitsaspekten von WEP finden Sie im technischen Whitepaper "Weaknesses in the Key Scheduling Algorithm of RC4" (auf Englisch) von Scott Fluhrer, Itsik Mantin und Adi Shamir sowie im technischen Whitepaper "Using the Fluhrer, Mantin, and Shamir Attack to Break WEP" (auf Englisch) von Adam Stubblefield, John Ioannidis und Aviel D. Rubin. In diesen Whitepapers wird die Sicherheit statischer WEP diskutiert, daher sind die Schlussfolgerungen nicht direkt auf dynamische WEP-WLANs übertragbar. Den Artikel "Weaknesses in the Key Scheduling Algorithm of RC4" finden Sie unter folgendem URL: http://www.crypto.com/papers/others/rc4_ksaproc.pdf
•	Weitere Informationen zur Bereitstellung von WLANs und RAS-VPNs innerhalb von Microsoft finden Sie in "Mobility: Empowering People through Wireless Networks" und "Securing Remote Users at Microsoft" unter den folgenden URLs: http://www.microsoft.com/resources/casestudies/ casestudy.asp?casestudyid=13787
•	Weitere Informationen zur Quarantänesteuerung für Netzwerkzugriff finden Sie in den Whitepapers "Network Access Quarantine Control in Windows Server 2003" und "Planning for Network Access Quarantine Control" (auf Englisch) unter den folgenden URLs: http://support.microsoft.com/default.aspx?scid=818747 http://www.microsoft.com/windowsserver2003/techinfo/overview/quarantine.mspx http://www.microsoft.com/resources/documentation/WindowsServ/2003/all/deployguide/en-us/dnsbf_vpn_aosh.asp
•	Weitere Informationen zur Anwendung von WPA bei der Absicherung von SOHO-WLANs finden Sie in "WPA Wireless Security for Home Networks" (auf Englisch) unter folgendem URL: http://www.microsoft.com/WindowsXP/expertzone/columns/bowman/03july28.asp

Zum Seitenanfang

4 von 10

In diesem Beitrag

•	Überblick über das Sichern von WLANs mit PEAP und Kennwörtern
•	Einführung: Festlegen einer Strategie für die WLAN-Sicherheit
•	Kapitel 1: Sichern von WLANs mit PEAP und Kennwörtern
•	Kapitel 2: Planen einer WLAN-Sicherheitsimplementierung
•	Kapitel 3: Vorbereiten der Umgebung
•	Kapitel 4: Erstellen der Netzwerkzertifizierungsstelle
•	Kapitel 5: Erstellen der WLAN-Sicherheitsinfrastruktur
•	Kapitel 6: Konfigurieren der WLAN-Clients
•	Kapitel 7: Testen der sicheren WLAN-Lösung
•	Kapitel 8: Verwalten der sicheren WLAN-Lösung

Downloaden Sie die vollständige Lösung.

Sichern von WLANs mit PEAP und Kennwörtern