Sichern von WLANs mit PEAP und Kennwörtern

Alle Themen der Sicherheitsanleitung anzeigen

Microsoft® hat zwei Lösungen für die Sicherung von WLANs (Wireless Local Area Networks) entwickelt. Die erste Lösung Absichern drahtloser Netzwerke - eine Microsoft Windows Server 2003- Zertifikatdienste-Lösung verwendet Clientzertifikate zum Authentifizieren von Drahtlosclients und ist primär für große Unternehmensorganisationen konzipiert. Die zweite Lösung Sichern von WLANs mit PEAP und Kennwörtern (das Thema dieser Anleitung) verwendet Kennwörter und PEAP (Protected Extensible Authentication Protocol) für die Authentifizierung von Drahtlosclients. Diese zweite Anleitung richtet sich in erster Linie an kleine und mittelgroße Organisationen. PEAP ist jedoch durchaus nicht auf die Verwendung in kleineren Organisationen beschränkt. Große Organisationen und Unternehmen können ihre WLANs ebenfalls anhand einer Authentifizierung mit PEAP und Kennwörtern sichern.

Wenn Sie einer großen Organisation angehören, die die Implementierung von PEAP mit Kennwörtern plant, erfahren Sie in diesem Anhang, wie Sie Teile beider Lösungen zum Implementieren der Lösung verwenden können. Da die beiden Lösungen dieselbe technische Architektur und dieselben Komponenten besitzen, ist es recht einfach, den unternehmensspezifischen Inhalt der ersten Lösung zu verwenden und darin die Zertifikatauthentifizierungsprotokolle durch Protokolle mit PEAP und Kennwörtern zu ersetzen. Das Ziel dieses Anhangs ist, Ihnen eine kombinierte Anleitung zu bieten, die Details für eine Unternehmens-WLAN-Lösung enthält, z. B. die erweiterte Verwaltungsdelegierung, RADIUS-Protokollierung und Trennung von Serverrollen, jedoch die Kennwortauthentifizierung für Drahtlosclients verwendet.

Aus Gründen der Einfachheit wird in diesem Anhang der Begriff "EAP-TLS-Lösung" für die erste Lösung Securing Wireless LANs — a Certificate Services und der Begriff "PEAP-Lösung" für die zweite Lösung Sichern von WLANs mit PEAP und Kennwörtern verwendet. Extensible Authentication Protocol-Transport Layer Security (EAP-TLS) ist der Name des in der ersten Lösung verwendeten clientzertifikat-gestützten Authentifizierungsprotokolls.

Benötigte Komponenten der EAP-TLS-Lösung

Da die Anleitung für die EAP-TLS-Lösung für große Organisationen geschrieben wurde, sollten Sie sie als primäre Informationsquelle heranziehen. Sie enthält für große Unternehmen relevante Planungs-, Implementierungs- und Betriebsdetails (z. B. delegierte Verwaltung). Die folgende Tabelle enthält eine Liste der Kapitel der EAP-TLS-Lösung. Der kurzen Beschreibung für jedes Kapitel können Sie entnehmen, ob der Inhalt aus dieser Lösung für die "kombinierte" Anleitung relevant ist. Bereiche, in denen anstelle der Anweisungen für die EAP-TLS-Lösung der Inhalt aus der PEAP-Lösung verwendet werden sollte, sind entsprechend gekennzeichnet.

Die folgende Tabelle enthält zur Referenz die Zuordnung zwischen den Kapiteln der beiden Lösungen. Aufgrund der Unterschiede hinsichtlich des Umfangs und der Technologie kann keine 1:1-Zuordnung zwischen den Kapiteln hergestellt werden.

Tabelle A.1: Kapitelzuordnung zwischen den EAP-TLS- und PEAP-Lösungen

Beachten Sie, dass die EAP-TLS-Lösung ursprünglich für eine möglichst unabhängige Verwendung der PKI- (Public Key Infrastructure = Infrastruktur öffentlicher Schlüssel), RADIUS- und WLAN-Komponenten strukturiert war, um die Wiederverwendung dieser Komponenten in anderen Anwendungen zu ermöglichen. Dies bedeutet, dass die EAP-TLS-Lösung einige Wiederholungen enthält. Die Kapitel zur Infrastruktur öffentlicher Schlüssel und zu RADIUS enthalten z. B. beide Anweisungen zum Erstellen von Servern, da in großen Unternehmen u. U. unterschiedliche Gruppen der IT-Abteilung für die Installation von Zertifizierungsstellen und IAS-Servern zuständig sind. Zudem können einige logische Schritte in den Kapiteln zum Entwurf und zur Implementierung im Kontext einer PEAP-Lösung irreführend sein. Daher sollten Sie zunächst die Anleitung für die PEAP-Lösung lesen, um sich einen Überblick über den gesamten Prozess zu verschaffen. Danach können Sie in der Anleitung für die EAP-TLS-Lösung spezifische Details zum Entwurf und zur Implementierung nachlesen.

Die folgenden Abschnitte beschreiben die kombinierte Verwendung der Kapitel aus der EAP-TLS-Lösung mit den Kapiteln der PEAP-Lösung.

Kapitel 1 – Übersicht

Kapitel 1 enthält eine Übersicht über die Lösung sowie kurze Zusammenfassungen der einzelnen Kapitel und Anhänge der Anleitung. Da Sie in erster Linie mit der EAP-TLS-Anleitung arbeiten, sollten Sie das Kapitel 1 dieser Lösung verwenden.

Kapitel 2 – Auswählen einer Strategie für die WLAN-Absicherung

Dieses Kapitel ähnelt inhaltlich der Einführung der PEAP-Lösung, Festlegen einer Strategie für die WLAN-Sicherheit. Da die Einführung in die PEAP-Lösung als Vorwort für beide Lösungen dient, sollten Sie diese anstelle des Kapitels 2 der EAP-TLS-Lösung verwenden.

Kapitel 3 – Architektur der sicheren WLAN-Lösung

Diese Kapitel bietet einen Überblick über die Architektur der zertifikatgestützten WLAN-Lösung, und mit Ausnahme des ersten Punktes sind alle der folgenden Themen relevant:

Die Verweise auf die Zertifizierungsstelle können auch im nächsten Kapitel relevant sein.

Kapitel 4 – Entwerfen der Infrastruktur öffentlicher Schlüssel

Dieses Kapitel enthält eine detaillierte Beschreibung der Planung für eine einfache Infrastruktur öffentlicher Schlüssel. Die PEAP-Lösung enthält auch Anweisungen für eine einfache Zertifizierungsstelle, die für nur einen Zweck eingesetzt wird. Obwohl Sie keine Zertifikate für Ihre WLAN-Clients ausstellen müssen, sollten Sie dieses Kapitel ggf. beim Entwerfen der Infrastruktur öffentlicher Schlüssel heranziehen. Je größer die Organisation ist, desto wahrscheinlicher ist es, dass Zertifikate nicht nur für die einfache Netzwerkauthentifizierung, sondern auch für andere Zwecke notwendig sind. Dieses Kapitel hilft Ihnen, eine Infrastruktur öffentlicher Schlüssel zu entwerfen, die stabiler und flexibler ist als die in der PEAP-Lösung dargestellte Infrastruktur.

Kapitel 5 – Entwerfen der RADIUS-Infrastruktur für die WLAN-Absicherung

Folgen Sie den Anweisungen aus dem Kapitel für die EAP-TLS-Lösung.

Kapitel 6 – Entwerfen der WLAN-Absicherung mit 802.1X

Folgen Sie den Anweisungen aus dem Kapitel für die EAP-TLS-Lösung.

Kapitel 7 – Implementieren der Infrastruktur öffentlicher Schlüssel

Dieses Kapitel ist nur relevant, wenn Sie sich wie zuvor beschrieben für die Implementierung einer mit allen Features ausgestatteten Infrastruktur öffentlicher Schlüssel entschieden haben. Andernfalls folgen Sie den Anweisungen in Kapitel 4 der PEAP-Lösung, Erstellen einer Netzwerkzertifizierungsstelle.

Kapitel 8 – Implementieren der RADIUS-Infrastruktur für die WLAN-Absicherung

Folgen Sie den Anweisungen in diesem Kapitel. Zudem sollten Sie zur Ergänzung Kapitel 5 der PEAP-Lösung, Erstellen der WLAN-Sicherheitsinfrastruktur, lesen.

Kapitel 9 – Implementieren der WLAN-Absicherung mit 802.1X

Folgen Sie zur Konfiguration der IAS-RAS-Richtlinie und der Einstellungen für das Clientgruppenrichtlinienobjekt den Anweisungen in Kapitel 5, Erstellen der WLAN-Sicherheitsinfrastruktur, und in Kapitel 6, Konfigurieren der WLAN-Clients, der PEAP-Lösung. Kapitel 5 der PEAP-Lösung enthält auch hilfreiche Details zum Konfigurieren der Einstellungen für die Wireless Access Points (WAPs) sowie Skripte zum Automatisieren der Eintragung von RADIUS-Clients und der Replikation von IAS-Einstellungen (diese Details sind in der EAP-TLS-Lösung nicht enthalten).

Kapitel 10, 11 und 12 – Verwendung der Lösung

Folgen Sie den Anweisungen aus den Kapiteln für die EAP-TLS-Lösung. Zudem sollten Sie die Anleitung zur Behandlung von WLAN-Problemen in Kapitel 7 der PEAP-Lösung, Verwalten der sicheren WLAN-Lösung, lesen. Dieses Kapitel enthält ausführliche Verfahren und Techniken, die eine nützliche Ergänzung der Verfahren in den EAP-TLS-Kapiteln darstellen.

Kapitel 13 – Testhandbuch

Verwenden Sie den Inhalt dieses Kapitels. Wenn Sie sich wie in Kapitel 4 der EAP-TLS-Lösung, Entwerfen der Infrastruktur öffentlicher Schlüssel, beschrieben für die Implementierung einer vollständigen Infrastruktur öffentlicher Schlüssel entschieden haben, können Sie einige der PKI-Tests in diesem Kapitel ignorieren.

Skripte

Die in der PEAP-Lösung verwendeten Skripte wurden basierend auf den Skripten der EAP-TLS-Lösung entwickelt. Obwohl die PEAP-Skripte mehr Funktionen enthalten, erfüllen sie nicht alle Funktionen der EAP-TLS-Skripte. Die EAP-TLS-Skripte enthalten z. B. eine komplexere Zertifizierungsstellenüberwachung. In den meisten Fällen sollten die Skripte der PEAP-Lösung verwendet werden. Sie können jedoch die Skripte beider Lösungen in separaten Ordnern installieren und je nach Bedarf verwenden. Die Skripte dienen nur als grundlegende Beispiele zur Veranschaulichung der Techniken und können entsprechend Ihren Anforderungen geändert werden.

Zum Seitenanfang

1 von 4