Sichern von WLANs mit PEAP und Kennwörtern

Einführung: Festlegen einer Strategie für die WLAN-Sicherheit

Aktualisiert: 18. Jun 2004

Alle Themen der Sicherheitsanleitung anzeigen

Auf dieser Seite

	Einführung
	Argument für Drahtlosnetzwerke
	Effektives Absichern Ihres WLAN
	Auswahl der richtigen WLAN-Optionen
	Zusammenfassung
	Quellen

Einführung

Die WLAN-Technologie (Wireless Local Area Network) ist ein umstrittenes Thema. Unternehmen, die WLANs installiert haben, haben Sicherheitsbedenken. Unternehmen ohne WLANs befürchten Nachteile bei Benutzerproduktivität und Betriebskosten. Es besteht Verwirrung, ob die Sicherheit eines WLAN für die Datenverarbeitung im Unternehmen gewährleistet werden kann.

Seitdem Sicherheitsmängel in WLANs der ersten Generation festgestellt wurden, arbeiten Analytiker und Netzwerksicherheitsfirmen daran, diese Probleme zu lösen. Dabei wurden wichtige Beiträge zur Sicherheit von Drahtlossystemen geleistet. Andere Anstrengungen haben zu weiteren Fehlern geführt: Bei einigen Lösungen traten andere Sicherheitslücken auf, andere erfordern teure Spezialhardware oder umgehen die Frage der WLAN-Sicherheit insgesamt, indem sie andere komplexere Sicherheitstechnologien wie VPN (Virtual Private Network) verwenden.

Parallel dazu hat das Institute of Electrical and Electronic Engineers (IEEE) zusammen mit anderen Normenaufsichtsbehörden und Konsortien fortlaufend Drahtlos-Sicherheitsstandards neu definiert und verbessert, um WLANs in der Praxis auf Angriffe vorzubereiten. Dank der Anstrengungen von Normenaufsichtsbehörden und führenden Vertretern aus der Industrie schließen sich die Begriffe WLAN und Sicherheit heute nicht mehr aus. WLANs können heute mit großem Vertrauen in ihre Sicherheit installiert und genutzt werden.

Diese Dokument stellt zwei WLAN-Sicherheitslösungen von Microsoft® vor und beantwortet die Fragen danach, ob WLANs sicher sein können und wie sie sich am besten absichern lassen.

Übersicht über Drahtloslösungen

Der Hauptzweck dieses Dokuments besteht darin, Ihnen bei der Entscheidung für die am besten geeignete Methode zur WLAN-Absicherung in Ihrem Unternehmen zu helfen. Dazu behandelt das Dokument die folgenden vier Gebiete:

•	Argumente für WLANs (und damit verbundene Sicherheitsaspekte)
•	Anwendung sicherer WLAN-Standards
•	Alternative Strategien wie VPN und IPSec (Internet Protocol Security)
•	Auswahl der richtigen WLAN-Optionen

Microsoft hat zwei auf offenen Standards von Gremien wie des IEEE, der IETF (Internet Engineering Task Force) und der Wi-Fi Alliance basierende WLAN-Lösungen entwickelt. Die Titel der beiden Lösungen lauten Absichern drahtloser Netzwerke - eine Microsoft Windows Server 2003- Zertifikatsdienste-Lösung bzw. Sichern von WLANs mit PEAP und Kennwörtern. Wie bereits aus den Namen ersichtlich, verwendet die erste Lösung öffentliche Schlüsselzertifikate zur Authentifizierung von Benutzern und Computern beim WLAN, die zweite Lösung dagegen einfache Benutzernamen und Kennwörter. In ihrer Grundarchitektur ähneln sich beide Lösungen jedoch stark. Beide basieren auf der Microsoft Windows® Server™ 2003-Infrastruktur sowie Microsoft Windows XP- und Microsoft Pocket PC 2003-Clients.

Aus den Namen geht jedoch nicht hervor, dass die Lösungen für unterschiedliche Zielgruppen vorgesehen sind. Die Lösung Absichern drahtloser Netzwerke - eine Microsoft Windows Server 2003- Zertifikatsdienste-Lösung richtet sich in erster Linie an große Unternehmen mit relativ komplexen IT-Umgebungen. Die Lösung Sichern von WLANs mit PEAP und Kennwörtern ist deutlich einfacher und kann problemlos in kleineren Unternehmen installiert werden.

Dies soll nicht heißen, dass die Kennwortauthentifizierung nicht in großen Unternehmen angewendet werden kann (oder dass die Zertifikatsauthentifizierung nicht für kleinere Unternehmen geeignet ist). Es zeigt lediglich, in welchem Unternehmenstyp die jeweilige Technologie mit größerer Wahrscheinlichkeit angewendet wird. Die folgende Abbildung zeigt einen einfachen Entscheidungsbaum, mit dessen Hilfe Sie die für Ihr Unternehmen geeignete Lösung auswählen können. Die folgenden drei Hauptoptionen sind verfügbar:

•	WPA-PSK (Wi-Fi Protected Access, Pre-shared Key) für sehr kleine Unternehmen und Heimarbeitsplätze
•	Kennwortbasierte WLAN-Sicherheit für Unternehmen, die keine Zertifikate verwenden und nicht benötigen
•	Zertifikatbasierte WLAN-Sicherheit für Unternehmen, die Zertifikate benötigen und installieren können

Diese Optionen werden weiter unten in diesem Dokument erläutert, ebenso die Möglichkeit, die Funktionen der beiden zuletzt genannten Optionen in einer Hybridlösung zu verschmelzen.

Abbildung 1: Entscheidungsbaum für WLAN-Lösungen von Microsoft
Siehe Abbildung in vollständiger Größe

Zum Seitenanfang

Argument für Drahtlosnetzwerke

Die Anziehungskraft von WLANs für Unternehmen ist verständlich. Die WLAN-Technologie ist in der einen oder anderen Form seit nahezu zehn Jahren im Gespräch, der Durchbruch ließ jedoch bis vor kurzem auf sich warten. Der entscheidende Impuls für den Durchbruch von WLANs war das Zusammentreffen von zuverlässiger, standardisierter und kostengünstiger Technologie auf der einen und dem wachsenden Bedürfnis nach flexibleren Arbeitsweisen und überall vorhandenen Verbindungen auf der anderen Seite. Die schnelle Implementierung dieser Technologie hat allerdings auch ernste Sicherheitsprobleme für die WLANs der ersten Generation offenbart. Dieser Abschnitt behandelt die Vorteile (Funktionalität) und Nachteile (Sicherheit) von WLANs.

Vorteile von WLANs

Die Vorteile der WLAN-Technologie lassen sich in zwei Kategorien unterteilen: geschäftliche Vorteile und operative Vorteile. Zu den wichtigsten geschäftlichen Vorteilen gehören die verbesserte Mitarbeiterproduktivität, schnellere bzw. effizientere betriebliche Abläufe und ein größeres Potenzial für das Erstellen völlig neuer Geschäftsfunktionen. Operative Vorteile sind zum Beispiel niedrigere Verwaltungskosten und ein geringerer Kapitalaufwand.

Geschäftliche Hauptvorteile

Die geschäftlichen Vorteile von WLANs ergeben sich aus der zunehmenden Flexibilität und Mobilität Ihrer Mitarbeiter.

Die Mitarbeiter sind nicht mehr an ihre Schreibtische gebunden und bleiben unabhängig von ihrer Position im Büro mit dem Netzwerk verbunden. Hier einige Beispiele dafür, welche Vorteile sich für Unternehmen aus der zunehmenden Mobilität und Netzwerkflexibilität ergeben.

•	Mobile Mitarbeiter, die sich frei von Büro zu Büro bewegen können, und Telearbeiter, die in die Büros kommen, sparen mit dem leichten Zugriff auf das lokale Netzwerk (LAN) des Unternehmens viel Zeit ein. Die Verbindung wird sofort hergestellt und ist von jedem physischen Standort mit WLAN-Abdeckung verfügbar. Es sind keine Netzwerkanschlüsse, Kabel oder IT-Mitarbeiter erforderlich.
•	Information Worker können überall im Gebäude miteinander in Verbindung bleiben. Über E-Mails, elektronische Kalender und Chat-Technologien können Ihre Mitarbeiter online bleiben, auch wenn sie sich in Besprechungen oder nicht an ihrem Arbeitsplatz befinden.
•	Onlineinformationen stehen jederzeit zur Verfügung. Besprechungen müssen nicht mehr unterbrochen werden, damit jemand den Bericht mit den Angaben des letzten Monats oder die aktualisierte Version einer Präsentation besorgen kann. Die Produktivität und Qualität der Besprechungen kann somit deutlich gesteigert werden.
•	Die Unternehmensflexibilität wird ebenfalls erhöht. Da die Mitarbeiter nicht an ihren Arbeitsplatz gebunden sind, sind Arbeitsplatzverlagerungen bzw. sogar der Umzug ganzer Büros schnell und einfach möglich und können den Änderungen von Team- und Bürostrukturen angepasst werden.
•	Die Eingliederung von neuen Geräten und Anwendungen in die IT-Umgebung des Unternehmens wird deutlich verbessert. Bei Unternehmen mit WLAN können Geräte wie PDAs (Personal Digital Assistants) und Tablet PCs, die bisher meist zum Zeitvertreib der Führungskräfte verwendet wurden, eingesetzt und genutzt werden. Mitarbeiter und Geschäftsprozesse, die vorher von IT unbeeinflusst blieben, können von der Bereitstellung drahtloser Computer, Geräte und Anwendungen für ansonsten netzwerkfreie Bereiche profitieren, z. B. Handwerksbetriebe, Krankenhausstationen, Geschäfte und Restaurants.

Die Vorteile unterscheiden sich je nach Unternehmen. Welche Vorteile für Ihr Unternehmen relevant sind, hängt von vielen Faktoren wie der Art Ihres Unternehmens sowie dem Umfang und der räumlichen Verteilung Ihrer Mitarbeiter ab.

Operative Vorteile

Die wichtigsten operativen Vorteile der WLAN-Technologie, d. h. niedrigere Kapital- und Betriebskosten, können wie folgt zusammengefasst werden:

•	Die Kosten der Bereitstellung des Netzwerkzugriffs in Gebäuden werden erheblich verringert. Obwohl die meisten Büroflächen für Netzwerke verkabelt sind, sind es viele andere Arbeitsplätze wie Werkhallen, Lager oder Geschäfte noch nicht. Netzwerke können darüber hinaus an Standorten bereitgestellt werden, an denen sich drahtgebundene Netzwerke als unpraktisch erweisen würden, wie im Freien oder auf hoher See.
•	Das Netzwerk kann leicht je nach unterschiedlichem Bedarf durch Unternehmensveränderungen bzw. nach Tagesbedarf skaliert werden; ein Erhöhen der Dichte der Wireless Access Points ( WAPs) an einem bestimmten Standort ist wesentlich leichter als ein Erhöhen der Anzahl drahtgebundener Netzwerkanschlüsse.
•	Kapital muss nicht mehr in die Gebäudeinfrastruktur eingebunden sein; die drahtlose Netzwerkinfrastruktur lässt sich verhältnismäßig leicht in ein neues Gebäude verlegen, wohingegen eine vollständige Verkabelung normalerweise eine fest installierte Einrichtung darstellt.

Sicherheitsprobleme in WLANs

Trotz all dieser Vorteile beschränken bestimmte Sicherheitsbedenken bezüglich WLANs ihren Einsatz, besonders in Bereichen wie Finanzwesen und in Behörden. Obwohl die Gefahren einer Übertragung von ungeschützten Netzwerkdaten an einen angrenzenden Teilnehmer auf der Hand liegen, verfügen überraschend viele WLAN-Installationen immer noch nicht über Sicherheitsfunktionen. Die meisten Unternehmen haben bestimmte Funktionen drahtloser Sicherheit implementiert, in der Regel jedoch nur einfache Funktionen der ersten Generation, die an heutigen Standards gemessen nur einen unzureichenden Schutz bieten.

Als die ersten IEEE 802.11-WLAN-Standards entwickelt wurden, war Sicherheit bei weitem kein so wichtiges Thema wie heute. Ausmaß und Möglichkeiten von Bedrohungen waren deutlich geringer, und die Übernahme der WLAN-Technologie steckte noch in den Kinderschuhen. Vor diesem Hintergrund wurde WEP (Wired Equivalent Privacy), das WLAN-Sicherheitsschema der ersten Generation, veröffentlicht. Bei WEP wurden die erforderlichen Maßnahmen unterschätzt, um die drahtlose Sicherheit "äquivalent" zur drahtgebundenen Sicherheit zu gestalten. Im Gegensatz dazu werden moderne WLAN-Sicherheitsmethoden für den Betrieb in einer feindlichen Umgebung wie der Luft entworfen, wo es keine klaren physischen oder Netzwerkperimeter gibt.

Dabei ist es wichtig, zwischen statischer WEP der ersten Generation (die ein gemeinsames Kennwort zum Schutz des Netzwerks verwendet) und Sicherheitsschemas zu unterscheiden, die WEP-Verschlüsselung gekoppelt mit einer strengen Authentifizierung und Verschlüsselungsschlüsselverwaltung verwenden. Beim zuerst genannten Schema handelt es sich um ein vollständiges Sicherheitsschema mit Authentifizierung und Datenschutz, das in diesem Dokument als "statische WEP" bezeichnet wird. Dynamische WEP definiert dagegen nur die Datenverschlüsselungs- und Integritätsmethode, die als Teil von weiter unten im Dokument beschriebenen sichereren Lösungen verwendet wird.

In statischer WEP festgestellte Sicherheitsprobleme bedeuten, dass so geschützte WLANs anfällig für verschiedene Formen von Bedrohungen sind. Frei verfügbare "Überwachungs"tools wie Airsnort und WEPCrack machen das Einbrechen in Drahtlosnetzwerke, die mit statischer WEP geschützt werden, zu einer einfachen Aufgabe. Ungesicherte WLANs sind natürlich den gleichen Bedrohungen ausgesetzt, wobei dort weniger Wissen, Zeit und Ressourcen zum Ausführen der Angriffe erforderlich sind.

Vor der Betrachtung der Funktionsweise moderner WLAN-Sicherheitslösungen soll auf die wichtigsten Sicherheitsbedrohungen für WLANs eingegangen werden. Diese Bedrohungen werden in der folgenden Tabelle zusammengefasst.

Tabelle 1: Sicherheitsbedrohungen für WLANs

Bedrohung	Beschreibung der Bedrohung
Lauschangriffe (Offenlegung von Daten)	Das Abhören von übertragenen Daten kann zum Verlust von vertraulichen Daten, ungeschützten Anmeldeinformationen und zu potenziellem Identitätsdiebstahl führen. Außerdem ermöglicht es erfahrenen Eindringlingen, Informationen über Ihre IT-Umgebung zu sammeln, die für einen Angriff auf andere Systeme oder Daten verwendet werden können, die andernfalls nicht anfällig wären.
Abfangen und Ändern übertragener Daten	Wenn ein Angreifer Zugriff auf das Netzwerk hat, kann er einen feindlichen Computer zum Abfangen und Ändern von zwischen zwei legitimen Teilnehmern ausgetauschten Netzwerkdaten einfügen.
Spoofing	Der Zugriff auf ein internes Netzwerk ermöglicht einem Eindringling das Vorgeben scheinbar legitimer Daten auf eine Weise, die von außerhalb des Netzwerks nicht möglich wäre, zum Beispiel eine gespoofte E-Mail-Nachricht. Die meisten Personen (einschließlich Systemadministratoren) neigen dazu, internen Objekten weitaus mehr zu vertrauen als Objekten, die von außerhalb des Unternehmensnetzwerks stammen.
DoS (Denial of Service)	Ein Angreifer kann DoS-Angriffe mit verschiedenen Methoden auslösen. Signalunterbrechungen auf Funkebene können beispielsweise durch so einfache technische Geräte wie eine Mikrowelle ausgelöst werden. Es sind jedoch auch weiter entwickelte Angriffe möglich, die auf die Drahtlosprotokolle niedrigerer Ebene an sich abzielen, sowie weniger komplexe Angriffe, die auf Netzwerke über schlichte Datenüberflutung der WLANs durch wahllosen Datenverkehr abzielen.
Freie Internetbenutzung (oder Diebstahl von Ressourcen)	Ein Eindringling möchte möglicherweise "nur" Ihr Netzwerk als freien Zugriffspunkt für das Internet nutzen. Obwohl sich dies nicht so schädigend wie die anderen Sicherheitsbedrohungen auswirkt, verringert es nicht nur die Verfügbarkeit des Dienstes für die legitimen Benutzer, sondern kann auch Viren und anderen Bedrohungen einschleppen.
Zufällige Sicherheitsbedrohungen	Einige Funktionen von WLANs erhöhen sogar die Bedrohung durch unbeabsichtigte Angriffe. Zum Beispiel könnte ein legitimer Besucher seinen Laptop starten, ohne eine Verbindung mit Ihrem Netzwerk herstellen zu wollen, wird jedoch automatisch mit dem WLAN verbunden. Der Laptop des Besuchers ist jetzt ein potenzieller Zugriffspunkt für Viren auf Ihr Netzwerk. Diese Art von Sicherheitsbedrohung ist lediglich in nicht abgesicherten WLANs ein Problem.
Inoffizielle WLANs	Selbst wenn Ihr Unternehmen offiziell über kein WLAN verfügt, sind Sie dennoch Sicherheitsbedrohungen durch im Netzwerk installierte, nicht verwaltete WLANs ausgesetzt. Von begeisterten Mitarbeitern gekaufte preisgünstige WLAN-Hardware kann unbeabsichtigte Sicherheitslücken im Netzwerk öffnen.

Sicherheitsprobleme mit WLANs, vor allem in Bezug auf statische WEP, sind in den Medien ausführlich behandelt worden. Obwohl gute Sicherheitslösungen zur Bekämpfung dieser Bedrohungen existieren, bleiben Unternehmen aller Größen WLANs gegenüber misstrauisch. Viele haben die Bereitstellung von WLANs gestoppt bzw. die Verwendung von WLAN-Technologie insgesamt untersagt. Einige der wichtigsten Faktoren, die zu diesem Misstrauen und dem Irrtum beitragen, dass WLANs zu unsicheren Netzwerken führen, werden nachfolgend genannt:

•	Es herrscht eine weit verbreitete Ungewissheit darüber, welche WLAN-Technologie sicher ist und welche nicht. Die Unternehmen sind gegenüber allen WLAN-Sicherheitsmaßnahmen misstrauisch, seitdem in statischer WEP mehrere Fehler entdeckt wurden. Leider trägt die verwirrende Anzahl von offiziellen Standards und herstellerspezifischen Lösungen, die die Sicherheitsprobleme beheben sollen, nicht zum Abbau dieses Misstrauens bei.
•	Die Tatsache, dass die Drahtlosverbindung als unsichtbar gilt, verunsichert Netzwerksicherheitsadministratoren nicht nur psychologisch, sondern stellt auch ein echtes Sicherheitsverwaltungsproblem dar. Während Sie förmlich sehen können, wie ein Eindringling ein Kabel in Ihr drahtgebundenes Netzwerk einsteckt, ist ein Eindringen in WLANs weit weniger greifbar. Die traditionelle physische Sicherheit durch Wände und Türen bietet keinen Schutz vor einem "drahtlosen" Angreifer.
•	Das Bewusstsein für die erforderliche Datensicherheit ist inzwischen stark gewachsen. Unternehmen fordern in ihren Systemen einen viel höheren Sicherheitsgrad und misstrauen Technologien, die Sicherheitslücken mit sich bringen können.
•	Als logische Konsequenz dieses gewachsenen Sicherheitsbewusstseins gibt es in mehr und mehr Ländern bzw. Industriezweigen Auflagen und Rechtsvorschriften zur Datensicherheit.

Zum Seitenanfang

Effektives Absichern Ihres WLAN

Seit die oben genannten Sicherheitsprobleme bei WLANs festgestellt wurden, haben führende Netzwerkhersteller, Normenaufsichtsbehörden und Analytiker große Anstrengungen unternommen, um Problemlösungen zu finden. Das Ergebnis sind zahlreiche Strategien zur Verbesserung der WLAN-Sicherheit. Die wichtigsten Alternativen sind:

•	Keine WLAN-Technologie verwenden
•	Verwenden statischer 802.11-WEP-Sicherheit
•	Verwenden eines VPN zum Datenschutz im WLAN
•	Verwenden von IPSec zum Schutz des WLAN-Datenverkehrs
•	Verwenden von 802.1X-Authentifizierung und Datenverschlüsselung zur WLAN-Absicherung

Diese Strategien werden nach ihrer ungefähren Leistung eingestuft, dabei sind die bestem zuletzt aufgeführt. Die Kriterien sind Sicherheit, Funktionalität und Verwendbarkeit, wobei subjektive Einflüsse eine gewisse Rolle spielen. Die von Microsoft bevorzugte Option ist die zuletzt genannte Alternative: die Verwendung von 802.1X-Authentifizierung und WLAN-Verschlüsselung. Dieser Ansatz wird im folgenden Abschnitt erläutert und anschließend mit der Liste der zuvor identifizierten gefährlichsten Bedrohungen für WLANs verglichen (Tabelle 1). Die wichtigsten Vor- und Nachteile der anderen Ansätze werden im Dokument im Anschluss an diesen Abschnitt erläutert.

Schutz des WLAN mit 802.1X-Authentifizierung und Datenverschlüsselung

Dieser Ansatz ist auf Grund vieler guter Punkte zu empfehlen (vom Titel und der sperrigen Terminologie einmal abgesehen). Vor der Erörterung der Vorteile von Lösungen, die auf diesem Ansatz beruhen, sollten einige Begriffe und die Funktionsweise einer solchen Lösung erläutert werden.

Einführung zur WLAN-Sicherheit

Der Schutz eines WLAN umfasst drei Hauptelemente:

•	Authentifizierung der Person (bzw. des Geräts), die eine Verbindung zum Netzwerk herstellt, sodass Sie mit hoher Gewissheit wissen, wer eine Verbindung herzustellen versucht
•	Autorisierung der Person oder des Geräts für die WLAN-Nutzung, sodass Sie den Zugriff steuern können
•	Schutz der im Netzwerk übertragenen Daten vor Lauschangriffen und nicht autorisierter Änderung

Sie benötigen unter Umständen neben diesen Elementen noch eine Überwachungsfunktion, obwohl die Überwachung in erster Linie der Überprüfung und Verstärkung der anderen drei Elemente dient.

Netzwerkauthentifizierung und -autorisierung

Statische WEP-Sicherheit basiert auf einem gemeinsamen geheimen Schlüssel oder Kennwort zur Authentifizierung beim WLAN. Jeder, der diesen geheimen Schlüssel besitzt, kann auf das WLAN zugreifen. Der ursprüngliche WEP-Standard sieht keine Methode zum Automatisieren der Aktualisierung bzw. Verteilung dieser Schlüssel vor, daher ist deren regelmäßige Änderung extrem schwierig. Durch kryptografische Fehler in WEP kann ein Angreifer statische WEP-Schlüssel mit einfachen Tools ermitteln.

Microsoft und einige andere Hersteller haben ein WLAN-Sicherheits-Framework mit dem 802.1X-Protokoll vorgeschlagen, um eine strengere Authentifizierungs- und Autorisierungsmethode bereitzustellen. 802.1X ist ein IEEE-Standard zur Netzwerkzugriffsauthentifizierung sowie wahlweise zur Verwaltung von Schlüsseln zum Schutz des Datenverkehrs. Das Protokoll wird nicht nur in WLANs verwendet, sondern auch in viele drahtgebundene High-End-LAN-Switches implementiert.

Das 802.1X-Protokoll umfasst den Netzwerkbenutzer, ein Netzwerkzugriffsgerät (oder einen Gateway), z. B. einen WAP, und einen Authentifizierungs- und Autorisierungsdienst in Form eines RADIUS-Servers (Remote Authentication Dial-In User Service). Der RADIUS-Server führt die Authentifizierung der Benutzeranmeldeinformationen und die Autorisierung des Benutzerzugriffs auf das WLAN durch.

802.1X verwendet das IETF-Protokoll EAP (Extensible Authentication Protocol) für die Authentifizierungskonversation zwischen Client und RADIUS-Server (mit Weiterleitung durch den WAP). EAP ist ein allgemeines Protokoll zur Authentifizierung, das mehrere auf Kennwörtern, digitalen Zertifikaten oder anderen Typen von Anmeldeinformationen basierte Authentifizierungsmethoden unterstützt.

Da EAP nur ein Container für weitere Authentifizierungsmethoden ist, gibt es keine standardmäßige EAP-Methode. Verschiedene EAP-Methoden mit unterschiedlichen Typen von Anmeldeinformationen und Authentifizierungsprotokollen können für verschiedene Anforderungen geeignet sein. Die Anwendung von EAP-Methoden bei der WLAN-Authentifizierung wird in einem Abschnitt weiter unten behandelt.

WLAN-Datenschutz

802.1X-Authentifizierung und -Netzwerkzugriff sind nur ein Teil der Lösung. Die andere wichtige Komponente ist der Schutz des WLAN-Datenverkehrs.

Die weiter oben beschriebenen Probleme bei der WEP-Datenverschlüsselung können abgeschwächt werden, wenn die statische WEP eine Methode zur regelmäßigen automatischen Aktualisierung der Verschlüsselungsschlüssel enthält. Tools zur Entschlüsselung statischer WEP müssen zwischen einer und zehn Millionen mit dem gleichen Schlüssel verschlüsselte Pakete erfassen. Da statische WEP-Schlüssel häufig wochen- oder monatelang nicht geändert werden, können Angreifer diese Datenmenge in der Regel ohne Probleme erfassen. Weil alle Computer in einem WLAN den gleichen statischen Schlüssel verwenden, können Datenübertragungen von allen WLAN-Computern erfasst werden, um den Schlüssel zu ermitteln.

Mit einer auf 802.1X basierten Lösung können die Verschlüsselungsschlüssel häufig geändert werden. Als Teil der sicheren Authentifizierung mit 802.1X erstellt die EAP-Methode einen für jeden Client einmaligen Verschlüsselungsschlüssel. Um die weiter oben beschriebenen WEP-Entschlüsselungsangriffe zu verhindern, erzwingt der RADIUS-Server in regelmäßigen Abständen die Erzeugung neuer Verschlüsselungsschlüssel. Dadurch können die WEP-Verschlüsselungsalgorithmen (die in der aktuellsten WLAN-Hardware integriert sind) sicherer verwendet werden.

WPA und 802.11i

Obwohl WEP zusammen mit neuen dynamischen 802.1X-Schlüsseln für die meisten praktischen Zwecke sicher ist, bestehen die folgenden Probleme weiter:

•	WEP verwendet einen separaten statischen Schlüssel für globale Übertragungen wie Broadcastpakete. Im Gegensatz zu Schlüsseln für Benutzer wird der globale Schlüssel nicht regelmäßig erneuert. Obwohl vertrauliche Daten im Allgemeinen nicht als Broadcastpaket übertragen werden, gibt die Anwendung eines statischen Schlüssels für globale Übertragungen Angreifern die Möglichkeit, Informationen über das Netzwerk wie IP-Adressen sowie Computer- und Benutzernamen zu ermitteln.
•	WEP-geschützte Netzwerk-Frames verfügen über einen unzureichenden Integritätsschutz. Mit kryptografischen Techniken kann ein Angreifer Informationen im WLAN-Frame ändern und den Integritätsprüfungswert des Frame aktualisieren, ohne dass der Empfänger dies feststellt.
•	Als Folge höherer WLAN-Übertragungsgeschwindigkeiten und Verarbeitungsleistung sowie verbesserter kryptoanalytischer Techniken müssen WEP-Schlüssel häufiger erneuert werden. Dies kann zu einer inakzeptablen Last auf den RADIUS-Servern führen.

Als Reaktion auf diese Probleme arbeitet das IEEE an einem neuen WLAN-Sicherheitsstandard mit der Bezeichnung 802.11i bzw. RSN (Robust Security Network). Die Wi-Fi Alliance, ein Konsortium der führenden Wi-Fi-Anbieter, hat eine frühe Version von 802.11i übernommen und als Branchenstandard unter WPA (Wi-Fi Protected Access) veröffentlicht. WPA enthält einen großen Teil der Funktionen von 802.11i. Durch die Veröffentlichung von WPA kann die Wi-Fi Alliance die Umsetzung von WPA für alle Geräte mit dem Wi-Fi-Logo gewährleisten und es den Anbietern von Wi-Fi-Netzwerkhardware ermöglichen, eine standardisierte Hochsicherheitsoption vor der Veröffentlichung von 802.11i anzubieten. WPA vereint eine Reihe von Sicherheitsfunktionen, die vielerorts als derzeit sicherste Verfahren für die Absicherung von WLANs gelten.

WPA enthält zwei Modi: einen Modus mit 802.1X und RADIUS-Authentifizierung (mit der Bezeichnung WPA) und ein einfacheres Schema für SOHO-Umgebungen mit einem vorinstallierten Schlüssel (mit der Bezeichnung WPA-PSK). WPA verbindet eine robuste Verschlüsselung mit dem strengen Authentifizierungs- und Autorisierungsmechanismus von 802.1X. Der WPA-Datenschutz eliminiert die bekannten Sicherheitslücken von WEP durch folgende Methoden:

•	Anwendung eines einmaligen Verschlüsselungsschlüssels für jedes Paket
•	Anwendung eines deutlich längeren Initialisierungsvektors und Verdopplung des Schlüssels durch Hinzufügen von zusätzlich 128 Bit
•	Hinzufügen eines signierten Nachrichtenintegritätsprüfungswerts, der nicht anfällig für Manipulationen oder Spoofing ist
•	Integration eines verschlüsselten Frame-Zählers zum Verhindern von Meldungswiedergabeangriffen

Da WPA ähnliche kryptografische Algorithmen wie WEP verwendet, kann es auf vorhandener Hardware mit einem einfachen Firmwareupdate implementiert werden.

Der PSK-Modus von WPA ermöglicht auch kleinen Unternehmen und Telearbeitern die Verwendung eines WLAN mit gemeinsamem Schlüssel ohne die Sicherheitslücken von statischer WEP (der vorinstallierte Schlüssel muss allerdings streng genug sein, um einfache Angriffe zum Erraten des Kennworts zu verhindern). Wie bei RADIUS-basiertem WPA und dynamischer WEP werden individuelle Verschlüsselungsschlüssel für jeden Drahtlosclient erzeugt. Der vorinstallierte Schlüssel wird als Authentifizierungsanmeldeinformation verwendet. Wer den Schlüssel besitzt, ist zur WLAN-Nutzung autorisiert und erhält zum Schutz der Daten einen einmaligen Verschlüsselungsschlüssel.

802.11i (RSN) bringt noch höhere Sicherheitsstufen für WLANs, einschließlich besseren Schutz vor DoS-Angriffen, und soll Mitte 2004 veröffentlicht werden.

EAP-Authentifizierungsmethoden

EAP unterstützt, wie das Wort "Extensible" (erweiterbar) im Namen impliziert, viele Authentifizierungsmethoden. Diese Methoden können auf verschiedenen Authentifizierungsprotokollen wie Kerberos, TLS (Transport Layer Security) und MS-CHAP (Microsoft-Challenge Handshake Authentication Protocol) basieren, die unterschiedliche Typen von Anmeldeinformationen wie Kennwörter, Zertifikate, einmalig eingegebene Kennworttokens oder biometrische Verfahren nutzen. Obwohl theoretisch alle EAP-Methoden mit 802.1X angewendet werden können, sind nicht alle für die Verwendung mit WLANs geeignet. Die jeweilige Methode muss für eine nicht geschützte Umgebung geeignet sein und Verschlüsselungsschlüssel erzeugen können.

Die wichtigsten für WLANs angewendeten EAP-Methoden sind EAP-TLS, PEAP (Protected EAP), TTLS (Tunneled TLS) und LEAP (Lightweight EAP). Davon werden PEAP und EAP-TLS von Microsoft unterstützt.

EAP-TLS

EAP-TLS ist ein IETF-Standard (RFC 2716) und wird auf Drahtlosclients und RADIUS-Servern unterstützt. Er verwendet öffentliche Schlüsselzertifikate zur Authentifizierung der Drahtlosclients und RADIUS-Server über eine verschlüsselte TLS-Sitzung zwischen beiden.

PEAP

PEAP ist eine zweistufige Authentifizierungsmethode. In der ersten Stufe wird eine TLS-Sitzung zum Server aufgebaut und dem Client ermöglicht, den Server mittels dessen digitalen Zertifikats zu authentifizieren. Für die zweite Stufe muss eine zweite EAP-Methode innerhalb der PEAP-Sitzung getunnelt werden, um den Client gegenüber dem RADIUS-Server zu authentifizieren. Dadurch kann PEAP eine Vielzahl von Methoden zur Clientauthentifizierung verwenden, einschließlich Kennwörter mit dem MS-CHAP v2-Protokoll (MS-CHAP Version 2) und Zertifikate mit der innerhalb von PEAP getunnelten EAP-TLS. EAP-Typen wie MS-CHAP v2 sind nicht sicher genug, um ohne den PEAP-Schutz angewendet zu werden, da sie für Offline-Wörterbuchangriffe anfällig wären. Die Unterstützung für PEAP ist in der Industrie weit verbreitet, und Microsoft Windows XP SP1 sowie Pocket PC 2003 verfügen über integrierte Unterstützung für PEAP.

TTLS

TTLS ist ein zweistufiges Protokoll ähnlich wie PEAP, das eine TLS-Sitzung zum Schutz einer getunnelten Clientauthentifizierung verwendet. Neben getunnelten EAP-Methoden kann TTLS auch andere Versionen von Authentifizierungsprotokollen ohne EAP wie beispielsweise CHAP oder MS-CHAP verwenden. Microsoft und Cisco unterstützen TTLS nicht, TTLS-Clients für mehrere Plattformen sind allerdings von anderen Anbietern erhältlich.

LEAP

LEAP ist eine von Cisco entwickelte firmeneigene EAP-Methode, die Kennwörter zur Authentifizierung von Clients verwendet. LEAP ist zwar eine gängige Methode, sie funktioniert allerdings nur mit Hard- und Software von Cisco und einigen anderen Herstellern. LEAP weist außerdem mehrere veröffentlichte Sicherheitslücken auf wie Anfälligkeit für Offline-Wörterbuchangriffe (bei denen Angreifer die Kennwörter von Benutzern feststellen können) und Man-in-the-Middle-Angriffen. In einer Domänenumgebung kann LEAP nur den Benutzer gegenüber dem WLAN authentifizieren, nicht den Computer. Ohne Computerauthentifizierung können folgende Probleme auftreten: Computergruppenrichtlinien werden nicht ordnungsgemäß ausgeführt, Softwareinstallationseinstellungen, servergespeicherte Profile und Anmeldeskripte können fehlschlagen, und Benutzer können abgelaufene Kennwörter nicht ändern.

Einige WLAN-Sicherheitslösungen verwenden 802.1X mit anderen EAP-Methoden. Einige dieser EAP-Methoden wie EAP-MD5 weisen bei der Anwendung in einer WLAN-Umgebung gravierende Sicherheitsprobleme auf und sollten daher nicht eingesetzt werden. Andere unterstützen die Anwendung einmaliger Kennworttokens und anderer Authentifizierungsprotokolle wie Kerberos. Allerdings sind sie auf dem WLAN-Markt bisher kaum vertreten.

Vorteile von 802.1X mit WLAN-Datenschutz

Die wichtigsten Vorteile einer 802.1X-Lösung sind in der folgenden Tabelle zusammengefasst:

•	Hohe Sicherheit: Es handelt sich um ein Hochsicherheits-Authentifizierungsschema, da sowohl Clientzertifikate als auch Benutzernamen und Kennwörter verwendet werden können.
•	Strengere Verschlüsselung: Die Lösung ermöglicht die sichere Verschlüsselung von Netzwerkdaten.
•	Transparent: Die Lösung bietet transparente Authentifizierung und Verbindung zum WLAN.
•	Benutzer- und Computerauthentifizierung: Die separate Authentifizierung von Benutzer und Computer ist möglich. Durch die separate Computerauthentifizierung kann der Computer auch dann verwaltet werden, wenn kein Benutzer angemeldet ist.
•	Niedrige Kosten: Niedrige Kosten der Netzwerkhardware.
•	Hohe Leistung: Da die Verschlüsselung in der WLAN-Hardware statt durch die Clientcomputer-CPU ausgeführt wird, beeinträchtigt die WLAN-Verschlüsselung nicht die Leistung des Clientcomputers.

Mit einer 802.1X-Lösung sind auch einige Nachteile verbunden.

•	Obwohl 802.1X fast überall eingesetzt werden kann, ergibt sich aus der Verwendung unterschiedlicher EAP-Methoden, dass die Interoperabilität nicht immer gewährleistet ist.
•	WPA steht noch am Anfang des umfassenden Einsatzes und ist u. U. auf älterer Hardware nicht verfügbar.
•	Das RSN der nächsten Generation (802.11i) muss noch bestätigt werden und erfordert die Installation von Hardware- und Softwareupdates (für die Netzwerkhardware ist normalerweise ein Firmwareupdate erforderlich).

Die Vorteile dieser Lösung überwiegen jedoch diese kleineren Probleme, insbesondere im Vergleich mit den ernsten Mängeln der weiter unten erläuterten alternativen Ansätze.

Ausfallsicherheit der 802.1X-Lösung bei Sicherheitsbedrohungen

Die wichtigsten Sicherheitsbedrohungen für WLANs wurden weiter oben in Tabelle 1 beschrieben. Diese Bedrohungen werden in der folgenden Tabelle in Bezug auf eine auf 802.1X und WLAN-Datenschutz basierende Lösung erneut bewertet.

Tabelle 2: Bewertung der Sicherheitsbedrohungen in Bezug auf die vorgeschlagene Lösung

Bedrohung	Vorbeugen
Lauschangriffe (Offenlegung von Daten)	Die dynamische Zuweisung und Änderung von Verschlüsselungsschlüsseln in regelmäßigen Zeitabständen sowie die Tatsache, dass die Schlüssel für jede Benutzersitzung einmalig sind, bedeutet, dass ein Wiederherstellen der Schlüssel und der Zugriff auf Daten durch derzeit bekannte Methoden nicht möglich ist, solange die Schlüssel häufig genug aktualisiert werden. Mit WPA wird die Sicherheit verbessert, da die Verschlüsselungsschlüssel für jedes Paket geändert werden. Der globale Schlüssel (zum Schutz von Broadcastverkehr) wird pro Paket erneuert.
Abfangen und Ändern übertragener Daten	Durch das Erzwingen der Datenintegrität und strengen Datenverschlüsselung zwischen dem Drahtlosclient und dem WAP wird ausgeschlossen, dass ein böswilliger Benutzer übertragene Daten abfangen und ändern kann. Die gegenseitige Authentifizierung des Clients, des RADIUS-Servers und des WAP erschwert es einem Angreifer, deren Identität anzunehmen. WPA verbessert die Datenintegrität mit dem Michael-Protokoll.
Spoofing	Eine sichere Authentifizierung beim Netzwerk hindert die nicht autorisierten Personen am Herstellen einer Verbindung zum Netzwerk und am Einschleusen gespoofter Daten aus dem Netzwerk heraus.
DoS (Denial of Service)	Datenüberflutung und andere DoS-Angriffe auf Netzwerkebene werden durch die Steuerung des WLAN-Zugriffs mit 802.1X verhindert. Es gibt keinen Schutz vor 802.11-DoS-Angriffen auf niedriger Ebene in dynamischer WEP bzw. WPA. Dieses Problem wird durch den 802.11i-Standard berücksichtigt. Allerdings ist selbst dieser neue Standard nicht gegenüber Netzwerkunterbrechungen auf der physischen Schicht (Funkebene) immun. Diese Sicherheitslücken gelten für aktuelle 802.11-WLANs und alle anderen weiter unten im Dokument erläuterten Optionen.
Freie Internetbenutzung (Diebstahl von Ressourcen)	Die nicht autorisierte Nutzung des Netzwerks wird durch die erforderliche strenge Authentifizierung verhindert.
Zufällige Sicherheitsbedrohungen	Die versehentliche Verbindung zum WLAN wird durch die erforderliche strenge Authentifizierung verhindert.
Inoffizielle WLANs	Obwohl sich diese Lösung nicht direkt mit den inoffiziellen WAPs beschäftigt, verschwindet durch Implementieren einer sicheren Drahtloslösung wie dieser ein Großteil der Motivation für das Einrichten inoffizieller WLANs. Sie sollten jedoch eine klare Richtlinie erstellen und veröffentlichen, die die Anwendung nicht genehmigter WLANs untersagt. Zur Umsetzung der Richtlinie können Sie Softwaretools verwenden, die Netzwerke auf WAP-Hardwareadressen prüfen, sowie WLAN-Erkennungsgeräte im Handheld-Format.

Andere Ansätze zur WLAN-Absicherung

Im vorherigen Abschnitt wurde die 802.1X-Authentifizierung mit WLAN-Datenschutz behandelt. Dieser Abschnitt erläutert die weiter oben, zu Beginn des Abschnitts "Effektives Absichern Ihres WLAN" aufgeführten anderen vier Alternativen zur WLAN-Absicherung.

Die vier anderen Ansätze waren:

•	Keine WLAN-Technologie verwenden
•	Verwenden statischer 802.11-WEP-Sicherheit
•	Verwenden eines VPN zum Datenschutz im WLAN
•	Verwenden von IPSec zum Schutz des WLAN-Datenverkehrs

Die wichtigsten Unterschiede zwischen diesen Ansätzen und einer 802.1X-basierten Lösung sind in der folgenden Tabelle zusammengefasst (dabei wird auf die Option "Keine WLAN-Technologie verwenden" nicht eingegangen). Die Optionen selbst werden in nachfolgenden Abschnitten ausführlicher behandelt.

Tabelle 3: Vergleich von Ansätzen zur WLAN-Absicherung

Feature	802.1X-WLAN	Statische WEP	VPN	IPSec
Strenge Authentifizierung (1)	Ja	Nein	Ja, aber keine VPNs mit Authentifizierung mit gemeinsamem Schlüssel	Ja, falls mit Zertifikat oder Kerberos-Authentifizierung
Strenge Datenverschlüsselung	Ja	Nein	Ja	Ja
Transparente Verbindung und erneute Verbindung zum WLAN	Ja	Ja	Nein	Ja
Benutzerauthentifizierung	Ja	Nein	Ja	Ja
Computer- authentifizierung (2)	Ja	Ja	Nein	Ja
Geschützter Broadcast- und Multicastverkehr	Ja	Ja	Ja	Nein
Zusätzliche Netzwerkgeräte erforderlich	RADIUS-Server	Nein	VPN-Server, RADIUS-Server	Nein
Sichert den Zugriff zum WLAN selbst	Ja	Ja	Nein	Nein

(1) Viele VPN-Implementierungen mit IPSec-Tunnelmodus nutzen XAuth, ein schwaches Authentifizierungsschema mit gemeinsamem Schlüssel.

(2) Computerauthentifizierung bedeutet, dass der Computer auch dann mit WLAN und Unternehmensnetzwerk verbunden bleibt, wenn kein Benutzer auf dem Computer angemeldet ist. Diese Fähigkeit ist erforderlich, damit die folgenden Windows-Domänenfeatures ordnungsgemäß funktionieren:

•	Servergespeicherte Benutzerprofile
•	Computer-Gruppenrichtlinieneinstellungen (insbesondere Startskripte und bereitgestellte Software)
•	Benutzeranmeldeskripte und mit Gruppenrichtlinie bereitgestellte Software

Alternative 1 – Keine WLAN-Technologie verwenden

Die direkteste Art des Umgangs mit WLAN-Sicherheitsbedrohungen ist ihre Vermeidung, indem keine WLANs verwendet werden. Diese Strategie bedeutet nicht nur, auf die weiter oben im Dokument angeführten Vorteile zu verzichten, sondern ist auch nicht frei von Fallen. Unternehmen, die diesen Ansatz wählen, müssen den von der META Group beschriebenen "Price of Postponement" (Kosten des Aufschubs) berücksichtigen. Dabei handelt es sich um mehr als nur Opportunitätskosten. Die Untersuchung der META Group beruht auf einer Analyse der nicht verwalteten Weise, in der die Anwendung drahtgebundener LANs in vielen Unternehmen vor mehr als 10 Jahren zugenommen hatte. In den meisten Fällen mussten die zentralen IT-Abteilungen eingreifen und die LAN-Bereitstellung im Nachhinein steuern. In der Regel war der Aufwand beim Bearbeiten der vielen unabhängigen und häufig nicht kompatiblen Abteilungs-LANs immens. Weitere Informationen finden Sie im Artikel "How Do I Limit My Exposure Against the Wireless LAN Security Threat? The New Realities of Protecting Corporate Information", der von der META Group am 18. Dezember 2002 veröffentlicht wurde.

Die gleiche Gefahr ist mit WLANs erneut aufgetaucht, insbesondere in größeren Unternehmen, bei denen physisch oft schwer nachvollzogen werden kann, was an jedem Standort vor sich geht. Nicht verwaltete WLAN-Verwendung durch "Jedermann", ermöglicht durch die äußerst niedrigen Kosten der Komponenten, ist das potenziell ungünstigste Szenario. Hierdurch wird das Unternehmen allen bereits aufgeführten Sicherheitsbedrohungen ausgesetzt, jedoch ohne Wissen der zentralen IT-Gruppe und ohne eine Möglichkeit, Schritte zur Bekämpfung dieser Bedrohungen zu unternehmen.

Dies bedeutet, dass, wenn Ihre Strategie in der Nichtübernahme der WLAN-Technologie liegt, Sie diese Strategie auf aktive und nicht auf passive Weise verfolgen müssen. Sie sollten diese Entscheidung durch eine klare, veröffentlichte Richtlinie unterstützen und sicherstellen, dass sich alle Mitarbeiter dieser Richtlinie sowie der Konsequenzen eines Verstoßes dagegen bewusst sind. Möglicherweise entschließen Sie sich auch zur Anschaffung von Prüfungsgeräten und Netzwerkpaketmonitoren, um die Verwendung nicht autorisierter Drahtlosgeräte im Netzwerk aufzudecken.

Alternative 2 – 802.11-basierte Basissicherheit verwenden (statische WEP)

Die 802.11-Basissicherheit (statische WEP) verwendet einen gemeinsamen Schlüssel zur Steuerung des Netzwerkzugriffs und den gleichen Schlüssel zum Verschlüsseln des Drahtlosverkehrs. Dieses einfache Autorisierungsmodell wird häufig durch das Filtern von Ports basierend auf Hardwareadressen der WLAN-Karte ergänzt. Das Filtern gehört jedoch nicht zur eigentlichen 802.11-Sicherheit. Der Hauptvorteil dieses Ansatzes ist seine Einfachheit. Obwohl dieser Ansatz, verglichen mit einem nicht abgesicherten WLAN, ein gewisses Maß an Sicherheit bietet, entstehen hier doch erhebliche Verwaltungs- und Sicherheitsnachteile, insbesondere für größere Unternehmen.

Zu den Nachteilen der Anwendung von WEP gehören:

•	Statische WEP-Schlüssel können in einem ausgelasteten Netzwerk innerhalb von wenigen Stunden mithilfe eines PCs mit WLAN-Adapter und Hackertools wie Airsnort oder WEPCrack entdeckt werden.
•	Das größte Sicherheitsproblem von WEP liegt darin, dass es keinen Mechanismus zum dynamischen Zuweisen oder Aktualisieren der Netzwerkverschlüsselungsschlüssel gibt. Ohne den Einsatz von 802.1X und EAP zum Erzwingen regelmäßiger Schlüsselaktualisierungen ist der von WEP verwendete Verschlüsselungsalgorithmus, wie weiter oben beschrieben, anfällig für Angriffe zur Schlüsselermittlung.
•	Die statischen Schlüssel können geändert werden, allerdings ist dies auf WAPs und Drahtlosclients in der Regel ein manueller und zeitaufwändiger Vorgang. Dazu kommt noch, dass die Schlüsselaktualisierungen auf Clients und WAPs gleichzeitig ausgeführt werden müssen, um zu verhindern, dass die Verbindung der Clients unterbrochen wird. In der Praxis ist das so schwierig, dass die Schlüssel normalerweise nicht geändert werden.
•	Die statischen Schlüssel müssen von allen Benutzern des WLAN und allen WAPs gemeinsam verwendet werden. Ein gemeinsamer geheimer Schlüssel für viele Personen und Geräte bleibt kaum lange geheim.

WEP bietet WLANs einen sehr eingeschränkten Zugriffssteuerungsmechanismus auf Grundlage der WEP-Schlüssel. Wenn Sie den Namen des Netzwerks (was leicht ist) und den WEP-Schlüssel herausfinden, können Sie bereits eine Verbindung mit dem Netzwerk herstellen.

Eine Möglichkeit zur Verbesserung dieser Situation besteht darin, die WAPs so zu konfigurieren, dass sie nur eine vordefinierte Reihe von Client-Netzwerkadapteradressen zulassen. Dies wird im Allgemeinen als Filterung der MAC-Adressen (Media Access Control) bezeichnet. Die MAC-Schicht bezieht sich auf die Firmware niedrigerer Ebene des Netzwerkadapters.

Die Netzwerkadapteradressen-Filterung für die Zugriffssteuerung weist wiederum folgende Probleme auf:

•	Die Möglichkeiten der Verwaltung sind schlecht. Die Verwaltung einer Liste von Hardwareadressen für eine größere Anzahl von Clients ist schwierig. Außerdem ist die Verteilung dieser Liste an alle WAPs und die Synchronisierung für die WAPs mit großem Aufwand verbunden.
•	Die Skalierbarkeit ist unzureichend. WAPs haben eine Filtertabellen-Größenbegrenzung, wodurch die Anzahl der unterstützbaren Clients eingeschränkt wird.
•	Es besteht keinerlei Möglichkeit, einer MAC-Adresse einen Benutzernamen zuzuordnen, deshalb können Sie nur nach Computeridentität und nicht nach Benutzeridentität autorisieren.
•	Ein Eindringling könnte eine "zugelassene" MAC-Adresse spoofen. Wenn er eine legitime MAC-Adresse entdeckt, ist es für einen Eindringling leicht, diese Adresse statt der vordefinierten Adresse zu verwenden, die auf den Adapter gebrannt ist.

Lösungen mit vorinstallierten Schlüsseln sind auf Grund der Probleme beim Verwalten von Schlüsselaktualisierungen zwischen mehreren Standorten nur für eine geringe Zahl von Benutzern und WAPs anwendbar. Durch die kryptografischen Fehler mit WEP wird der Nutzen der Lösung selbst in sehr kleinen Umgebungen in Frage gestellt.

Der WPA-Modus mit vorinstalliertem Schlüssel bedeutet dagegen eine gute Sicherheitsstufe mit geringem Mehraufwand für die Infrastruktur kleiner Unternehmen. Eine breite Palette von Hardware unterstützt WPA-PSK, und WLAN-Clients können manuell konfiguriert werden. Diese Konfiguration ist für SOHO-Umgebungen optimal geeignet.

Alternative 3 – VPNs (Virtual Private Networks)

VPNs sind wahrscheinlich die gebräuchlichste Form von Netzwerkverschlüsselung. Viele Personen verlassen sich auf die bewährten und vertrauenswürdigen VPN-Technologien zum Schutz der Vertraulichkeit von über das Internet gesendeten Daten. Als die Sicherheitslücken statischer WEP entdeckt wurden, wurde VPN schnell als die Methode zum Datenschutz für WLANs vorgeschlagen. Dieser Ansatz wurde von Analytikern wie der Gartner Group unterstützt und, wohl kaum überraschend, von Anbietern von VPN-Lösungen nach Kräften gefördert.

VPN ist eine ausgezeichnete Lösung zum sicheren Durchqueren eines feindlichen Netzwerks wie des Internets (obwohl die Qualität von VPN-Implementierungen variiert). Allerdings ist es nicht unbedingt die beste Lösung zum Absichern interner WLANs. Für diese Anwendung bietet ein VPN im Vergleich zu 802.1X-Lösungen kaum zusätzliche Sicherheit, stattdessen führt es zu erhöhter Komplexität und höheren Kosten, geringerer Benutzerfreundlichkeit und zum Ausfall wichtiger Funktionen.

Hinweis: Dies unterscheidet sich von der Anwendung von VPNs zum Absichern des Datenverkehrs über öffentliche WLAN-Hotspots. Der Schutz der Netzwerkdaten von Benutzern in feindlichen Remotenetzwerken ist eine geeignete Anwendungsoption von VPNs. In diesem Szenario erwarten Benutzer, dass die sichere Verbindung, im Gegensatz zum Unternehmensnetzwerk, tiefer gehend und weniger funktional als eine LAN-Verbindung ist.

Zu den Vorteilen des WLAN-Schutzes mit VPNs gehört unter anderem:

•	Die meisten Unternehmen haben bereits eine VPN-Lösung installiert, sodass Benutzer und IT-Mitarbeiter mit der Lösung vertraut sind.
•	Der VPN-Datenschutz verwendet normalerweise Softwareverschlüsselung, bei der Algorithmen einfacher als bei auf Hardware basierter Verschlüsselung geändert und aktualisiert werden können.
•	Sie können relativ preiswerte Hardware nutzen, da der VPN-Schutz nicht von der WLAN-Hardware abhängt (obwohl der Aufpreis für 802.1X-fähige Netzwerkhardware kaum noch erhoben wird).

Zu den Nachteilen der Anwendung von VPNs statt systemeigener WLAN-Sicherheit gehört:

•	VPNs fehlt die Benutzertransparenz. VPN-Clients erfordern in der Regel, dass der Benutzer manuell eine Verbindung zum VPN-Server initiiert; daher ist die Verbindung nie so transparent wie eine WLAN-Verbindung. Andere VPN-Clients als die von Microsoft fordern unter Umständen bei der Verbindung zusätzlich zur standardmäßigen Netzwerk- oder Domänenanmeldung zur Eingabe von Anmeldeinformationen auf. Wenn das VPN die Verbindung trennt, z. B. wegen eines schwachen WLAN-Signals oder weil der Benutzer zwischen WAPs wandert, muss der Benutzer die Verbindung erneut herstellen.
•	Da die VPN-Verbindung nur benutzerinitiiert ist, wird ein abgemeldeter Computer im Leerlauf nicht mit dem VPN (und damit dem Unternehmens-LAN) verbunden. Daher kann die Remoteverwaltung oder -überwachung eines Computers nur dann durchgeführt werden, wenn ein Benutzer angemeldet ist. Bestimmte Gruppenrichtlinienobjekt-Einstellungen für den Computer wie Startskripte und vom Computer zugewiesene Software werden nie angewendet.
•	Servergespeicherte Profile, Anmeldeskripte und dem Benutzer über Gruppenrichtlinienobjekte bereitgestellte Software funktionieren u. U. nicht wie erwartet. Bei der Anmeldung des Benutzers an der Windows-Anmeldeaufforderung über die VPN-Verbindung stellt der Computer erst dann eine Verbindung zum Unternehmens-LAN her, nachdem sich der Benutzer angemeldet und die VPN-Verbindung initiiert hat. Zuvor schlagen alle Versuche fehl, auf das sichere Netzwerk zuzugreifen. Mit einem anderen VPN-Client als von Microsoft ist es eventuell unmöglich, eine vollständige Domänenanmeldung über die VPN-Verbindung auszuführen.
•	Beim Verlassen des Ruhezustands oder Standby wird die VPN-Verbindung nicht automatisch wiederhergestellt; der Benutzer muss diesen Schritt manuell ausführen.
•	Obwohl die Daten innerhalb des VPN-Tunnels geschützt sind, bietet das VPN keinen Schutz für das WLAN selbst. Ein Eindringling kann sich also mit dem WLAN verbinden und versuchen, mit dem WLAN verbundene Geräte zu ergründen oder anzugreifen.
•	Die VPN-Server können zu einem Engpass werden. Der gesamte WLAN-Clientzugriff zum Unternehmens-LAN erfolgt über den VPN-Server. Üblicherweise bedienen VPN-Geräte mehrere Remoteclients mit langsamem Netzwerkzugriff. Daher sind die meisten VPN-Gateways überlastet, wenn mehrere hundert Clients mit voller LAN-Geschwindigkeit ausgeführt werden.
•	Die zusätzliche Hardware und die fortlaufende Verwaltung der VPN-Geräte ist wahrscheinlich teurer als eine systemeigene WLAN-Lösung. In der Regel benötigt jeder Standort zusätzlich zu WLAN-WAPs einen eigenen VPN-Server.
•	VPN-Sitzungen sind anfälliger für Verbindungstrennungen, wenn Clients zwischen WAPs wechseln. Obwohl Anwendungen häufig eine kurzzeitige Verbindungsunterbrechung beim Wechseln von WAPs tolerieren, werden VPN-Sitzungen oft unterbrochen, sodass der Benutzer die Verbindung manuell wiederherstellen muss.
•	Die Kosten für VPN-Server- und Clientsoftwarelizenzen sowie für die Bereitstellung der Software könnten bei nicht von Microsoft stammenden VPN-Lösungen ein Problem werden. Außerdem können Probleme mit der Kompatibilität der VPN-Clientsoftware auftreten, da andere Clients als die von Microsoft häufig grundlegende Windows-Funktionen ersetzen.
•	Viele Analytiker und Hersteller nehmen an, dass die VPN-Sicherheit immer besser als die von WLANs ist. Dies mag zwar für statische WEP zutreffen, nicht aber in jedem Fall für die in diesem Dokument beschriebenen 802.1X EAP-basierten Lösungen. VPN-Authentifizierungsmethoden sind häufig weit weniger sicher und bestenfalls kaum deutlich stärker. So verwenden z. B. die von Microsoft unterstützten WLAN-Lösungen genau die gleichen EAP-Authentifizierungsmethoden wie die VPN-Lösungen (EAP-TLS und MS-CHAP v2). Viele VPN-Implementierungen, besonders die auf IPSec-Tunnelmodus basierenden, verwenden die Authentifizierung mit einem vorinstallierten Schlüssel (ein Gruppenkennwort). Dies hat zu Kritik geführt, zumal ernste Sicherheitslücken aufgetreten sind, von denen einige paradoxerweise Lücken in statischer WEP entsprechen.
•	Ein VPN unternimmt nichts zum Schutz des WLAN selbst. Obwohl die Daten innerhalb der VPN-Tunnel sicher sind, kann sich immer noch jeder mit dem WLAN verbinden und versuchen, legitime Drahtlosclients und andere Geräte im WLAN anzugreifen.

VPN ist ideal zum Absichern von Datenverkehr in feindlichen Netzwerken geeignet, unabhängig davon, ob der Benutzer die Verbindung über eine Heim-Breitbandverbindung oder von einem Drahtlos-Hotspot herstellt. Allerdings war VPN nie zum Absichern von Netzwerkverkehr in internen Netzwerken vorgesehen. Für die meisten Unternehmen ist VPN in dieser Rolle für den Benutzer zu schwerfällig und funktional einschränkend und für die IT-Abteilung zu aufwändig und komplex in der Verwaltung.

In Ausnahmefällen, in denen eine höhere Sicherheit für eine bestimmte Verbindung oder einen Typ von Datenverkehr erforderlich ist, kann diese durch den VPN-Tunnelmodus oder IPSec-Transportmodus zusätzlich zum systemeigenen WLAN-Schutz bereitgestellt werden. Dies ist eine angemessenere Anwendung von Netzwerkressourcen.

Alternative 4 – IPSec (Internet Protocol Security)

IPSec ermöglicht zwei Netzwerk-Peers die gegenseitige sichere Authentifizierung sowie die Authentifizierung bzw. Verschlüsselung einzelner Netzwerkpakete. IPSec kann entweder zum sicheren Tunnel eines Netzwerks über ein anderes oder einfach zum Schutz von zwischen zwei Computern übertragenen IP-Paketen verwendet werden.

Das IPSec-Tunneling wird in der Regel in Clientzugriffsverbindungen oder VPN-Verbindungen zwischen Standorten angewendet. Der IPSec-Tunnelmodus ist eine Form von VPN und funktioniert, indem ein ganzes IP-Paket in ein geschütztes IPSec-Paket platziert wird. Dadurch wird der Kommunikation ein Overhead hinzugefügt, der wie andere VPN-Lösungen zur Kommunikation zwischen Systemen im gleichen Netzwerk eigentlich nicht erforderlich ist. Die Vor- und Nachteile des IPSec-Tunnelmodus wurden in der Erläuterung von VPNs im vorherigen Abschnitt behandelt.

Darüber hinaus kann IPSec den End-to-End-Verkehr zwischen zwei Computern (ohne Tunneling) mittels des IPSec-Transportmodus sichern. Wie auch VPN ist IPSec eine ausgezeichnete Lösung für viele Situationen, obwohl IPSec keinen Ersatz für einen systemeigenen WLAN-Schutz darstellt, der auf der Hardwareebene implementiert wird.

Zu den Vorteilen des Schutzes mit dem IPSec-Transportmodus gehören:

•	Er ist für Benutzer transparent. Im Gegensatz zu VPNs ist kein spezieller Anmeldevorgang erforderlich.
•	Der IPSec-Schutz ist unabhängig von der WLAN-Hardware. Er erfordert lediglich ein offenes, nicht authentifiziertes WLAN. Im Gegensatz zum VPN sind keine zusätzlichen Server oder Geräte erforderlich, da die Sicherheit direkt zwischen den Computern am jeweiligen Ende der Kommunikation ausgehandelt wird.
•	Die Verwendung kryptografischer Algorithmen wird durch die WLAN-Hardware nicht eingeschränkt.

Die Nachteile der Verwendung von IPSec an Stelle systemeigener WLAN-Sicherheit sind unter anderem:

•	IPSec verwendet lediglich eine Authentifizierung auf Computerebene; zusätzlich kann jedoch kein benutzerbasiertes Authentifizierungsschema verwendet werden. Für viele Unternehmen ist dies kein Problem, allerdings gestattet es nicht autorisierten Benutzern die Verbindung zu anderen IPSec-geschützten Computern im Netzwerk, falls sie sich bei einem autorisierten Computer anmelden können. Hinweis: Einige IPSec-Implementierungen auf Nicht-Windows-Plattformen führen nur eine Benutzerauthentifizierung durch. Allerdings wird wie bei der VPN-Lösung der Computer nicht mit dem Netzwerk verbunden, wenn der Benutzer nicht angemeldet ist. Dadurch werden bestimmte Verwaltungsvorgänge nicht ausgeführt und Benutzereinstellungen deaktiviert.
•	Die Verwaltung von IPSec-Richtlinien kann in großen Unternehmen sehr komplex werden. Versuche, einen allgemeinen IP-Datenverkehrsschutz zu erzwingen, können spezialisierte IPSec-Verwendungen behindern, bei denen ein Schutz des Datenverkehrs zwischen den Computern erforderlich ist.
•	Eine vollständige Absicherung erfordert die Verschlüsselung des gesamten Datenverkehrs zwischen Computern, jedoch sind einige Geräte möglicherweise nicht IPSec-fähig. Dadurch muss der Datenverkehr zu diesen Geräten unverschlüsselt übertragen werden. IPSec bietet keinen Schutz für diese Geräte gegenüber Personen, die eine Verbindung zum WLAN herstellen.
•	Da der IPSec-Schutz auf der Netzwerkebene und nicht auf der MAC-Schicht erfolgt, ist er für Netzwerkgeräte wie Firewalls nicht vollständig transparent. Einige IPSec-Implementierungen funktionieren nicht über NAT-Geräte (Network Address Translation).
•	IPSec zwischen zwei Computern bietet keinen Schutz für Broadcast- oder Multicastverkehr, da es auf zwei Teilnehmern basiert, die sich gegenseitig authentifizieren und Schlüssel austauschen.
•	Obwohl die Daten innerhalb der IPSec-Pakete geschützt sind, ist das WLAN selbst nicht geschützt. Ein Eindringling kann sich also mit dem WLAN verbinden und versuchen, mit dem WLAN verbundene Geräte zu ergründen bzw. anzugreifen oder nicht durch IPSec geschützten Datenverkehr abzuhören.
•	Die Verschlüsselung und Entschlüsselung des Netzwerkdatenverkehrs mit IPSec lädt die CPU des Computers. Dies kann zur Überlastung stark genutzter Server führen. Obwohl dieser Verarbeitungs-Overhead über spezielle Netzwerkkarten geleitet werden kann, werden diese oft nicht standardmäßig eingesetzt.

Wie auch VPN ist IPSec eine ausgezeichnete Lösung für viele Sicherheitsszenarios, obwohl sie keine so gute WLAN-Absicherung wie der systemeigene WLAN-Schutz bietet.

Zum Seitenanfang

Auswahl der richtigen WLAN-Optionen

Aus der Erläuterung weiter oben geht hervor, dass eine WLAN-Lösung mit 802.1X bei weitem die beste verfügbare Alternative darstellt. Wie jedoch im Abschnitt "Einführung zur WLAN-Sicherheit" dargelegt wurde, müssen Sie bei der Entscheidung für eine 802.1X-Lösung eine der Optionen auswählen, aus denen die Lösung besteht.

Die wichtigsten Entscheidungskriterien sind:

•	Sollen Kennwörter oder Zertifikate zur Authentifizierung der Benutzer und Computer verwendet werden?
•	Soll dynamischer WEP- oder WPA-WLAN-Datenschutz angewendet werden?

Diese beiden Elemente sind voneinander unabhängig.

Wie weiter oben in diesem Dokument erläutert wurde, bietet Microsoft zwei Anleitungen für WLAN-Sicherheitslösungen: die eine mit Kennwort- und die andere mit Zertifikatsauthentifizierung. Diese Lösungen funktionieren mit dynamischer WEP oder WPA.

Auswählen der richtigen WLAN-Sicherheitslösung

Das folgende Flussdiagramm fasst die Wahl zwischen den beiden WLAN-Sicherheitslösungen zusammen.

Abbildung 2: Entscheidungsbaum für die WLAN-Sicherheitslösung
Siehe Abbildung in vollständiger Größe

Die Ergebnis dieses Entscheidungsbaums hängt von der Größe und den speziellen Sicherheitsanforderungen Ihres Unternehmens ab. Die meisten Unternehmen können diese WLAN-Lösungen von Microsoft ohne Änderungen verwenden. Die meisten kleineren und mittleren Unternehmen wählen beispielsweise die in der Lösungsanleitung Sichern von WLANs mit PEAP und Kennwörtern beschriebene einfachere kennwortbasierte Authentifizierungslösung. Größere Unternehmen dagegen verwenden eher die digitale zertifikatbasierte Lösung Absichern drahtloser Netzwerke - eine Microsoft Windows Server 2003- Zertifikatdienste-Lösung.

Obwohl die Lösungen mit Blick auf diese Zielgruppen entwickelt wurde, bieten beide eine gewisse Anwendungsbreite. Sichern von WLANs mit PEAP und Kennwörtern kann von Unternehmen mit weniger als 100 Benutzern bis hin zu mehreren tausend Benutzern eingesetzt werden. Absichern drahtloser Netzwerke - eine Microsoft Windows Server 2003- Zertifikatdienste-Lösung kann in Unternehmen mit einigen hundert oder mehreren zehntausend Benutzern angewendet werden (Unternehmen mit weniger als 500 Benutzern verfügen in der Regel nicht über ausreichend IT-Ressourcen zur Bereitstellung und Verwaltung von Zertifizierungsstellen).

Dabei gehen beide Anleitungen nicht direkt auf große Unternehmen ein, die eine kennwortbasierte WLAN-Lösung installieren. Obwohl die technischen Einzelheiten in der Lösung Sichern von WLANs mit PEAP und Kennwörtern auf große und kleine Unternehmen gleichermaßen anwendbar sind, wurden viele der für große Unternehmen erforderlichen Details bei Entwurf, Planung und Betrieb aus Gründen der Einfachheit weggelassen. Dank der Ähnlichkeit der in beiden Lösungen verwendeten Architektur und technischen Komponenten lassen sich Teile der Lösungen relativ leicht mischen und aufeinander abstimmen. Die Lösung Sichern von WLANs mit PEAP und Kennwörtern verfügt über einen Anhang mit Hinweisen dazu, welche Teile aus jeder Lösung relevant sind.

Wählen zwischen dynamischer WEP und WPA

Der WEP-Datenschutz in Kombination mit strenger Authentifizierung und dynamischer Schlüsselaktualisierung durch 802.1X und EAP bietet eine Sicherheitsstufe, die für die meisten Unternehmen mehr als angemessen ist. Allerdings ist der WPA-Standard in dieser Hinsicht verbessert worden und bietet noch höhere Sicherheitsstufen.

Die Unterschiede zwischen der Anwendung von WPA und dynamischer WEP in einer der beiden Lösungen sind minimal, und die Migration von einer dynamischen WEP-Umgebung zu einer WPA-Umgebung ist sehr einfach. Zu den wichtigsten Änderungen bei der Migration von dynamischer WEP zu WPA zählen:

•	Falls Ihre Netzwerkhardware (WAPs und Drahtlosnetzwerkadapter) WPA noch nicht unterstützt, müssen Sie dafür Firmwareupdates erwerben und installieren. Firmwareupdates für Drahtlosnetzwerkadapter sind häufig in Netzwerktreiberupdates enthalten.
•	Sie müssen WPA auf den WAPs aktivieren.
•	Die WLAN-Clientkonfiguration muss so geändert werden, dass WPA statt WEP-Sicherheit ausgehandelt wird.
•	Die Sitzungszeitbegrenzung in der IAS-RAS-Richtlinie (Internet Authentication Service), mit der die Aktualisierung des WEP-Schlüssels erzwungen wird, sollte erhöht werden, um die Last auf dem IAS-Server zu reduzieren. Hinweis: IAS ist die in Windows Server 2003 enthaltene Microsoft-RADIUS-Serverimplementierung, sie wird jedoch nicht standardmäßig installiert.

WPA sollte, wenn verfügbar, für Sie die erste Wahl sein. Beachten Sie jedoch, ob einer der folgenden Faktoren zu Problemen bei der Anwendung von WPA führen kann:

•	Ihre Netzwerkhardware unterstützt WPA u. U. noch nicht (dies ist für neue Geräte eher unwahrscheinlich, aber möglicherweise wurde eine Großteil der Hardware vor der Einführung von WPA installiert).
•	Die Unterstützung für GPO-gesteuerte Einstellungen ist nur mit Windows Server 2003 mit SP1 verfügbar (soll Mitte 2004 veröffentlicht werden). In früheren Versionen fehlt diese Unterstützung, und die WPA-Einstellungen müssen auf Windows XP-Clients manuell konfiguriert werden.
•	WPA wird unter Umständen nicht auf allen Ihrer Clients unterstützt. So verfügen Windows 2000 und früher sowie Pocket PC zurzeit nicht über eine integrierte Unterstützung für WPA.

Wenn Sie zu dem Schluss kommen, WPA noch nicht zu installieren, sollten Sie eine dynamische WEP-Lösung bereitstellen und die Migration zu WPA planen, wenn es die Umstände zulassen.

Zum Seitenanfang

Zusammenfassung

Dieses Dokument sollte Ihnen die erforderlichen Informationen zum Festlegen Ihrer Strategie für die WLAN-Sicherheit vermitteln. Im ersten Teil des Dokuments wurden die geschäftlichen Vorteile von Drahtlosnetzwerken sowie die Sicherheitsbedrohungen für unzureichend geschützte WLANs erläutert. Der mittlere Abschnitt behandelte die Funktionsweise von auf 802.1X, EAP und strengem Datenschutz basierender WLAN-Sicherheit zur Abwehr dieser Bedrohungen. Darüber hinaus wurden die relativen Vorteile von Alternativen wie VPNs, IPSec und statischer WEP-Sicherheit dargestellt. Der abschließende Abschnitt enthielt eine Anleitung zur Auswahl von WLAN-Sicherheitsoptionen und zur Bestimmung der für Ihr Unternehmen am besten geeigneten WLAN-Sicherheitsoption von Microsoft.

Zum Seitenanfang

Quellen

In diesem Abschnitt finden Sie Verweise auf wichtige Zusatzinformationen und anderes Hintergrundmaterial mit Bezug auf dieses Dokument.

•	Die Microsoft-Lösung zum Sichern von WLANs mit PEAP und Kennwörtern steht unter dem folgenden URL zur Verfügung: http://go.microsoft.com/fwlink/?LinkId=23459
•	Die Microsoft-Lösung Absichern drahtloser Netzwerke - eine Microsoft Windows Server 2003- Zertifikatsdienste-Lösung steht unter dem folgenden URL zur Verfügung: http://go.microsoft.com/fwlink/?LinkId=14843
•	Ausführlichere technische Informationen zu IEEE 802.11 und verwandten Technologien finden Sie im Abschnitt "802.11 Wireless" der Windows Server 2003 Technical Reference unter folgendem URL: http://www.microsoft.com/technet/prodtechnol/windowsserver2003/library/TechRef/47ba42ba-847e-43fd-9451-9e50ab47f94e.mspx
•	Weitere Informationen zu 802.11 finden Sie auf der IEEE 802.11-Webseite unter: http://www.ieee802.org/11/
•	Weitere Informationen zu 802.1X finden Sie auf der IEEE 802.1X-Webseite unter: http://www.ieee802.org/1/pages/802.1x.html
•	Weitere Informationen zum EAP-Standard finden Sie unter "RFC 2284" unter dem folgenden URL: http://www.ietf.org/rfc/rfc2284.txt?number=2284 (auf Englisch).
•	Eine Übersicht über den WPA-Standard der Wi-Fi Alliance finden Sie unter dem folgenden URL: http://www.wi-fialliance.org/OpenSection/pdf/ Wi-Fi_Protected_Access_Overview.pdf
•	Weitere Informationen zu Drahtlosnetzwerken finden Sie auf der entsprechenden Microsoft-Website unter: http://www.microsoft.com/wifi
•	Eine ausführliche Besprechung von PEAP und den Vergleich mit LEAP (sowie EAP-TLS und EAP-MD5) finden Sie im Artikel "The Advantages of Protected Extensible Authentication Protocol (PEAP): A Standard Approach to User Authentication for IEEE 802.11 Wireless Network" unter: http://www.microsoft.com/windowsserver2003/techinfo/ overview/peap.mspx
•	Den Artikel der META Group "How Do I Limit My Exposure Against the Wireless LAN Security Threat? The New Realities of Protecting Corporate Information" finden Sie unter: http://www.metagroup.com/cgi-bin/inetcgi/jsp/ displayArticle.do?oid=35725

Zum Seitenanfang

2 von 10

In diesem Beitrag

•	Überblick über das Sichern von WLANs mit PEAP und Kennwörtern
•	Einführung: Festlegen einer Strategie für die WLAN-Sicherheit
•	Kapitel 1: Sichern von WLANs mit PEAP und Kennwörtern
•	Kapitel 2: Planen einer WLAN-Sicherheitsimplementierung
•	Kapitel 3: Vorbereiten der Umgebung
•	Kapitel 4: Erstellen der Netzwerkzertifizierungsstelle
•	Kapitel 5: Erstellen der WLAN-Sicherheitsinfrastruktur
•	Kapitel 6: Konfigurieren der WLAN-Clients
•	Kapitel 7: Testen der sicheren WLAN-Lösung
•	Kapitel 8: Verwalten der sicheren WLAN-Lösung

Vollständige Lösung downloaden

Sichern von WLANs mit PEAP und Kennwörtern