Planungshandbuch - Sichern von Wireless LANs mit Zertifikatsdiensten

Kapitel 2: Auswählen einer Strategie für die WLAN-Absicherung

Veröffentlicht: 10. Nov 2004 | Aktualisiert: 24. Nov 2004

Auf dieser Seite

	Einführung
	Argumente für den Einsatz von WLANs
	Effektives Absichern Ihres WLAN
	Auswahl der richtigen WLAN-Optionen
	Zusammenfassung
	Weitere Informationen

Einführung

Das Thema "WLAN" (Wireless Local Area Network) wird kontrovers diskutiert. Organisationen, in denen WLANs bereits im Einsatz sind, sorgen sich um deren Sicherheit, während andere Organisationen, die die WLAN-Technologie noch nicht einsetzen, befürchten, dass sie Chancen zur Steigerung der Benutzerproduktivität und zur Senkung ihrer Betriebskosten (TCO) verpassen. Darüber hinaus besteht vielerorts immer noch Unklarheit darüber, ob WLANs sicher genug für den Einsatz in Unternehmensumgebungen sind.

Seit der Entdeckung von Schwachstellen in der ersten Generation der WLAN-Sicherheitssoftware arbeiten Analytiker und Netzwerksicherheitsfirmen an Lösungen, um diese Schwachstellen zu beseitigen. Einige dieser Anstrengungen haben zu deutlich mehr Sicherheit bei WLANs geführt. Anderen Bemühungen dagegen war weniger Erfolg beschieden: Einige führten zu weiteren Sicherheitslücken, für einige war kostspielige proprietäre Hardware nötig, wieder andere ließen die Frage der WLAN-Sicherheit völlig außen vor, indem sie auf einer anderen, potenziell komplexen Sicherheitstechnologie basierten, wie z. B. VPNs (Virtual Private Networks).

Parallel dazu arbeitet das IEEE (Institute of Electrical and Electronic Engineers) zusammen mit anderen Standardisierungsorganisationen an der Neudefinition und Verbesserung der Sicherheitsstandards für Drahtlosnetzwerke, um die WLANs für die aktuellen und zukünftigen Sicherheitsanforderungen fit zu machen. Dank der Anstrengungen dieser Organisationen und führender Hersteller der Branche ist "WLAN-Sicherheit" kein Widerspruch in sich mehr. Inzwischen können Sie WLANs bereitstellen und verwenden, denen hinsichtlich der Sicherheit ohne Weiteres vertraut werden kann.

In diesem Kapitel werden zwei WLAN-Sicherheitslösungen von Microsoft vorgestellt, und es werden Fragen zu den besten Möglichkeiten der Absicherung von WLANs beantwortet.

Überblick über WLAN-Lösungen

Hauptziel dieses Kapitels ist es, Ihnen bei der Auswahl einer geeigneten Möglichkeit für die Absicherung eines WLANs in Ihrer Organisation zu helfen. Dazu werden in diesem Dokument die folgenden vier Hauptbereiche untersucht:

•	Lösung von Sicherheitsproblemen im Zusammenhang mit WLANs
•	Verwendung von Standards für sichere WLANs
•	Einsatz alternativer Strategien, wie z. B. VPN (Virtual Private Network) und IPsec (Internet Protocol Security)
•	Auswahl der passenden WLAN-Optionen für Ihre Organisation

Microsoft hat zwei WLAN-Lösungen entwickelt, die auf offenen Standards von Standardisierungsorganisationen, wie z. B. des IEEE, der IETF (Internet Engineering Task Force) und der Wi-Fi Alliance, basieren. Die beiden Lösungen heißen Sichern von WLANs mit Zertifikatsdiensten und Sichern von WLANs mit PEAP und Kennwörtern. Wie aus den Bezeichnungen schon hervorgeht, erfolgt bei der ersten Lösung die Authentifizierung von Benutzern und Computern im WLAN über ein Zertifikat für einen öffentlichen Schlüssel, während bei der zweiten Lösung einfache Benutzernamen und Kennwörter zur Authentifizierung verwendet werden. Grundsätzlich ist aber die Architektur dieser beiden Lösungen ähnlich. Beide basieren auf der Microsoft® Windows Server 2003-Infrastruktur und auf Clientcomputern, auf denen Microsoft Windows® XP und Microsoft Pocket PC 2003 ausgeführt wird.

Was aus den Bezeichnungen der beiden Lösungen jedoch nicht hervorgeht, ist die Tatsache, dass jede Lösung für eine andere Zielgruppe gedacht ist. Die Lösung Sichern von WLANs mit Zertifikatsdiensten richtet sich hauptsächlich an große Organisationen mit relativ komplexen IT-Umgebungen. Bei der Lösung Sichern von WLANs mit PEAP und Kennwörtern handelt es sich hingegen um eine deutlich einfachere Lösung, die sich daher vor allem für kleinere Organisationen eignet.

Das heißt aber nicht, dass nicht auch große Organisationen eine Authentifizierung über Kennwörter verwenden können oder dass die Authentifizierung über Zertifikatsdienste nicht auch für kleinere Organisationen geeignet ist. Die Angaben zur Verwendung dieser Technologien geben einfach nur wieder, welche Organisationen sich eher für die jeweilige Form der Authentifizierung entscheiden. Die folgende Abbildung enthält die vereinfachte Darstellung des Entscheidungsprozesses zur Auswahl der WLAN-Lösung, die den Anforderungen Ihrer Organisation am ehesten gerecht wird.

Für die Implementierung der WLAN-Sicherheit stehen hauptsächlich die folgenden drei Technologien zur Verfügung:

•	vorinstallierter WPA (Wi-Fi Protected Access)-Schlüssel für sehr kleine Unternehmen und Heimbüros
•	kennwortbasierte WLAN-Sicherheit für Organisationen, die keine Zertifikate verwenden möchten
•	zertifikatbasierte WLAN-Sicherheit für Organisationen, die mit Zertifikaten arbeiten möchten

Diese Implementierungsoptionen werden später in diesem Kapitel erläutert. Darüber hinaus finden Sie weiter unten auch Informationen dazu, wie die Funktionen der letzten beiden Optionen zusammengeführt werden können, um so eine Hybridlösung zu schaffen.

Abbildung 2.1: Entscheidungsbaum für die beiden WLAN-Lösungen von Microsoft

Zum Seitenanfang

Argumente für den Einsatz von WLANs

Der Reiz des Einsatzes eines WLAN im Unternehmen liegt auf der Hand: Die WLAN-Technologie gibt es in der ein oder anderen Form bereits seit fast zehn Jahren, Akzeptanz hat sie aber erst in jüngerer Zeit gefunden. Erst nachdem eine zuverlässige, standardisierte und preiswerte Technologie den wachsenden Wunsch nach flexibleren Möglichkeiten des Arbeitens mit mehr Konnektivität befriedigen konnte, begann die Karriere von WLANs richtig. Die schnelle Verbreitung dieser Technologie hat aber auch eine Reihe ernsthafter Sicherheitsschwächen der ersten Generation von WLANs zutage gebracht. In diesem Abschnitt werden sowohl die Vorteile (Funktionalität) als auch die Nachteile (Sicherheit) von WLANs besprochen.

Vorteile von WLANs

Die Vorteile der WLAN-Technologie lassen sich in zwei Hauptkategorien unterteilen: geschäftliche Vorteile und operative Vorteile. Zu den geschäftlichen Vorteilen gehören die höhere Mitarbeiterproduktivität, schnellere und effizientere Geschäftsprozesse und ein größeres Potenzial für das Erstellen vollkommen neuer Geschäftsfunktionen. Die operativen Vorteile liegen in niedrigeren Verwaltungskosten und geringerem Kapitalaufwand.

Geschäftliche Kernvorteile

Die geschäftlichen Vorteile von WLANs ergeben sich aus der höheren Flexibilität und Mobilität Ihrer Mitarbeiter. Die Mitarbeiter sind nicht mehr an ihren Arbeitsplatz gebunden und können sich frei im Büro bewegen, ohne dass dabei die Verbindung zum Netzwerk verloren geht. Wie sich eine höhere Mobilität und Flexibilität förderlich auf Unternehmen auswirken kann, soll im Folgenden an einigen Beispielen erläutert werden.

•	Für mobile Mitarbeiter, die ständig zwischen den einzelnen Büros unterwegs sind, bedeutet die Möglichkeit, stets auf das Unternehmensnetzwerk zugreifen zu können, eine große Zeit- und Nervenersparnis. Wenn ein WLAN vorhanden ist, können die Benutzer nahezu sofort von jedem Standort aus eine Verbindung herstellen, d. h., sie müssen nicht nach einem Netzwerkanschluss, Kabeln oder IT-Mitarbeitern suchen, die ihnen beim Anschluss an das Netzwerk helfen.
•	Information Worker können überall im Gebäude miteinander in Verbindung bleiben. Über E-Mails, elektronische Kalender und Chat-Technologien können Ihre Mitarbeiter online bleiben, auch wenn sie sich in Besprechungen oder nicht an ihrem Arbeitsplatz befinden.
•	Onlineinformationen stehen jederzeit zur Verfügung. Besprechungen ziehen sich nicht mehr in die Länge, nur weil ein Teilnehmer den Bericht mit den Zahlen des letzten Monats oder die aktualisierte Version einer Präsentation besorgen muss. Die Qualität und Produktivität Ihrer Besprechungen kann somit deutlich gesteigert werden.
•	Die Organisationsflexibilität wird ebenfalls erhöht. Bei Team- und Projektumstrukturierungen gehen Schreibtischumzüge oder sogar komplette Büroumzüge schnell und einfach vonstatten, da die Schreibtische der Mitarbeiter nicht mehr verkabelt sind.
•	Neue Geräte und Anwendungen können deutlich einfacher in die IT-Umgebung des Unternehmens integriert werden. Bis vor kurzem waren Geräte wie PDAs (Personal Digital Assistants) und Tablet PCs häufig nur "Spielzeuge" für die Führungsetage, um die sich die IT-Abteilung nur am Rande kümmerte. Solche Geräte können in Organisationen mit WLANs wesentlich besser integriert und damit sinnvoller eingesetzt werden. Arbeits- und Geschäftsprozesse, bei denen die Informationstechnologie bisher keine Rolle spielte, können von der Bereitstellung drahtloser Computer, Geräte und Anwendungen in Bereichen profitieren, die bisher nicht vernetzt waren. Beispiele dafür sind Handwerksbetriebe, Krankenhausstationen, Geschäfte und Restaurants.

Die konkreten Vorteile sind von Organisation zu Organisation verschieden. Welche Vorteile sich aus dem Einsatz von WLAN-Technologie in Ihrer Organisation ergeben, hängt von vielen Faktoren ab, darunter z. B. von der Art Ihrer Geschäftstätigkeit und von der Anzahl sowie der geografischen Verteilung Ihrer Mitarbeiter.

Operative Vorteile

Die wesentlichen operativen Vorteile der WLAN-Technologie liegen in niedrigeren Kapital- und Betriebskosten. Diese Vorteile können wie folgt zusammengefasst werden:

•	Die Kosten der Bereitstellung von Netzwerkzugriff für Gebäude werden erheblich verringert. Während in den meisten Büroräumen Kabel für Netzwerke vorhanden sind, besitzen viele andere Arbeitsbereiche, wie z. B. Fabriketagen, Lagerräume und Geschäfte, keine solche Infrastruktur. Sie können Netzwerke auch an Standorten bereitstellen, an denen sich verdrahtete Netzwerke als unpraktisch erweisen würden, z. B. in Außenbereichen, auf See oder sogar im Kriegseinsatz.
•	Sie können das Netzwerk problemlos unterschiedlichen Bedürfnissen anpassen und so flexibel auf Veränderungen in der Organisation reagieren, falls erforderlich sogar tagesaktuell. So kann beispielsweise die Zahl der WLAN-Zugriffspunkte (häufig auch "Access Points" oder "APs" genannt) an einem bestimmten Standort wesentlich einfacher erhöht werden als die Anzahl drahtgebundener Netzwerkanschlüsse.
•	Die Kapitalkosten sind nicht mehr an die Gebäudeinfrastruktur gebunden, da Sie Ihre WLAN-Netzwerkinfrastruktur relativ problemlos in ein neues Gebäude "mitnehmen" können. Die Verkabelung dagegen gehört normalerweise zu den permanenten Inventarkosten.

Sicherheitsbedenken im Zusammenhang mit WLANs

Trotz aller Vorteile haben viele Organisationen aufgrund von vielfältigen Sicherheitsbedenken bisher darauf verzichtet, WLAN-Technologie einzusetzen. Dies betrifft vor allem Bereiche mit hohen Sicherheitsanforderungen, wie Finanzunternehmen und Behörden. Obwohl das Risiko des "Mithörens" ungeschützter Netzwerkdaten durch die Nachbarschaft auf der Hand liegen, werden überraschend viele WLANs installiert, ohne dass die vorhandenen Sicherheitsfunktionen aktiviert werden. Der größte Teil der Unternehmen hat zwar auf die eine oder andere Weise für die Absicherung ihrer WLANs gesorgt, diese Absicherung erfolgt jedoch normalerweise nur in Form einfacher Features der ersten Generation, die nach heutigen Gesichtspunkten keinen ausreichenden Schutz bieten.

Als die ersten IEEE 802.11-WLAN-Standards verfasst wurden, war Sicherheit bei weitem nicht so ein wichtiges Thema wie heute. Das Ausmaß und die Art und Weise der Bedrohungen war wesentlich geringer, und die Drahtlostechnologie war wesentlich weniger verbreitet. Dies ist der Hintergrund, vor dem die erste Generation eines Sicherheitsschemas für WLANs, die so genannte "Wired Equivalent Privacy" (WEP), entstand. Bei diesem Schema wurde jedoch das Ausmaß an Maßnahmen unterschätzt, die notwendig sind, um die Absicherung der drahtlosen Übertragung auf das Niveau von drahtgebundenen Lösungen zu bringen. Moderne WLAN-Absicherungsmethoden sind dagegen so konzipiert, dass sie auch in "feindlichen" Umgebungen funktionieren, wie z. B. in der Luft, wo es keine eindeutigen physischen oder Netzwerkgrenzen gibt.

Es ist wichtig, zwischen der statischen WEP der ersten Generation (bei dem das Netzwerk über ein gemeinsames Kennwort abgesichert wurde) und Sicherheitsschemas zu unterscheiden, die zusätzlich zur WEP-Verschlüsselung eine starke Authentifizierung und Methoden zur sicheren Verwaltung von Verschlüsselungsschlüsseln verwenden. Bei Ersterem handelt es sich um ein vollständiges Sicherheitsschema, das Authentifizierung und Datenschutz einschließt und in diesem Kapitel als statische WEP bezeichnet wird. Die dynamische WEP definiert dagegen lediglich das Datenverschlüsselungs- und das Integritätssicherungsverfahren, die beide in den sichereren Lösungen verwendet werden, die weiter unten beschrieben werden.

Die Sicherheitsschwächen bei der statischen WEP führen dazu, dass WLANs, die auf diese Weise abgesichert sind, für eine Reihe von Bedrohungen anfällig sind. Frei zugängliche "Überwachungs"-Tools, wie z. B. Airsnort und WEPCrack, machen den Einbruch in mit statischer WEP geschützte WLANs fast schon zum Kinderspiel. WLANs, die überhaupt nicht abgesichert sind, sind natürlich denselben Gefahren ausgesetzt. Der Unterschied besteht darin, dass Angriffe auf ungesicherte WLANs weniger Wissen, weniger Zeit und weniger Ressourcen erfordern.

Bevor wir uns dem Thema zuwenden, wie moderne Sicherheitslösungen für WLANs funktionieren, sollen noch einmal die wichtigsten Bedrohungen zusammengefasst werden, denen WLANs ausgesetzt sind.

Tabelle 2.1: Überblick über die wichtigsten Sicherheitsbedrohungen für WLANs

Bedrohung	Beschreibung der Bedrohung
Abhören	Das Abhören von Netzwerkübertragungen kann zur Abschöpfung vertraulicher Daten und ungeschützter Anmeldeinformationen von Benutzern führen und ermöglicht so potenziell den Diebstahl von Identitäten. Außerdem können erfahrene Eindringlinge auf diese Weise Informationen über Ihre IT-Umgebung sammeln, die sich für einen Angriff auf andere Systeme oder Daten verwenden lassen, die andernfalls nicht anfällig wären.
Abfangen und Ändern übertragener Daten	Wenn ein Angreifer Zugriff auf das Netzwerk hat, kann er mit seinem Computer den Netzwerkverkehr zwischen zwei rechtmäßigen Netzwerkbenutzern abfangen und die über das Netzwerk übertragenen Daten in seinem Sinne ändern.
Spoofing	Der problemlose Zugriff auf ein internes Netzwerk erlaubt es Eindringlingen, Daten auf eine Art und Weise so zu verfälschen, dass sie den Eindruck legitimer Daten erwecken, die von außerhalb des Netzwerks nicht möglich wäre. Ein Beispiel dafür sind E-Mail-Nachrichten, die aussehen, als kämen sie von einer legitimen Quelle, die in Wahrheit aber gefälscht bzw. "gespooft" sind. Benutzer, auch Systemadministratoren, neigen dazu, internen Objekten weitaus mehr zu vertrauen als Objekten, die von außerhalb des Unternehmensnetzwerks stammen.
Denial-of-Service (DoS)	DoS-Angriffe können auf unterschiedliche Art und Weise erfolgen. So können z. B. Funksignale schon mit einem einfachen Gerät wie einem Mikrowellenherd unterbrochen werden. Es gibt jedoch auch weiter entwickelte Angriffe, die auf die drahtlosen Protokolle niedrigerer Ebene an sich abzielen, sowie weniger komplexe Angriffe, die auf Netzwerke über schlichte Datenüberflutung der WLANs durch wahllosen Datenverkehr abzielen.
"Schwarzsurfen" (Ressourcendiebstahl)	Eindringlinge möchten möglicherweise "nur" über Ihr Netzwerk kostenlos das Internet nutzen. Auch wenn diese Form der Bedrohung nicht ganz so schädlich wie andere Bedrohungen ist, führt sie zumindest zu einer geringeren Verfügbarkeit der Dienste für die legitimen Benutzer. Darüber hinaus können auf diese Weise Viren und andere potenziell gefährliche Eindringlinge in das Netzwerk eingeschleust werden.
Zufällige Bedrohungen	Einige Funktionen von WLANs lassen unbeabsichtigte Gefahren realer werden. So kann es z. B. passieren, dass ein legitimer Besucher seinen Laptop startet, ohne eine Verbindung mit Ihrem Netzwerk herstellen zu wollen, und dabei automatisch mit dem WLAN verbunden wird. Der Laptop des Besuchers ist jetzt ein potenzieller Zugriffspunkt für Viren auf Ihr Netzwerk. Diese Art von Sicherheitsbedrohung ist lediglich bei nicht abgesicherten WLANs ein Problem.
Inoffizielle WLANs	Auch wenn Ihr Unternehmen offiziell kein WLAN besitzt, ist es möglich, dass in Ihrem Netzwerk unverwaltete WLANs aufgebaut werden, die potenziell eine Gefahr darstellen. Der unkontrollierte Einsatz preiswerter WLAN-Hardware durch computerbegeisterte Mitarbeiter kann zu ungeahnten Sicherheitslücken in Ihrem Netzwerk führen.

Die Sicherheitsrisiken im Zusammenhang mit WLANs, vor allem solchen mit statischer WEP-Verschlüsselung, waren in den letzten Jahren immer wieder Gegenstand von Medienberichten. Trotz der Tatsache, dass es inzwischen eine Reihe von guten Sicherheitslösungen gibt, herrscht in vielen Organisationen starke Skepsis gegenüber dem Einsatz von WLANs. Vielerorts wurde die Bereitstellung von WLAN-Technologie gestoppt oder sogar ganz verboten. Diese Verunsicherung und die allgemeine Fehleinschätzung, dass WLANs in jedem Fall die Netzwerksicherheit bedrohen, sind u. a. auf die folgenden Faktoren zurückzuführen:

•	Es besteht eine allgemeine Unsicherheit darüber, welche WLAN-Technologie sicher ist und welche nicht. Unternehmen sind gegenüber allen WLAN-Sicherheitsmaßnahmen misstrauisch, seitdem bei statischer WEP mehrere Schwachstellen entdeckt wurden. Leider trägt die verwirrende Anzahl von offiziellen Standards und herstellerspezifischen Lösungen, die die Sicherheitsprobleme beheben sollen, nicht zum Abbau dieses Misstrauens bei.
•	Drahtlose Netzwerke sind unsichtbar. Für Netzwerksicherheitsadministratoren ist dies nicht nur ein psychologisches Problem, sondern es bringt auch reale Probleme bei der Sicherheitsverwaltung mit sich. Während Sie Eindringlinge, die sich über ein Kabel an Ihr drahtgebundenes Netzwerk anschließen, sehen können, ist das Eindringen in WLANs wesentlich weniger greifbar. Herkömmliche Sicherungen, wie Wände und Türen, die Ihnen dabei helfen, Ihr drahtgebundenes Netzwerk zu schützen, sind für Angreifer mit drahtlosem Equipment keinerlei Hindernis.
•	Informationssicherheit ist heutzutage wesentlich stärker im allgemeinen Bewusstsein verankert als noch vor einigen Jahren. Unternehmen fordern deutlich höhere Sicherheitsstandards für ihre Systeme und rücken von allen Technologien ab, die zu neuen Sicherheitsproblemen führen könnten.
•	Parallel zu diesem wachsenden Sicherheitsbewusstsein werden in immer mehr Ländern und Industriezweigen rechtliche und regulatorische Bestimmungen zur Datensicherheit erlassen. Als logische Konsequenz dieses gewachsenen Sicherheitsbewusstseins gibt es in mehr und mehr Ländern bzw. Industriezweigen Auflagen und Rechtsvorschriften zur Datensicherheit.

Zum Seitenanfang

Effektives Absichern Ihres WLAN

Seitdem Sicherheitsschwächen in WLANs gefunden wurden, arbeiten führende Netzwerkanbieter, Standardisierungsorganisationen und Analytiker mit Hochdruck an der Entwicklung von Gegenmaßnahmen zur Beseitigung dieser Schwachstellen. Im Rahmen dieser Anstrengungen konnten inzwischen für etliche dieser Fragen und Besorgnisse befriedigende Antworten gefunden werden. Die Hauptalternativen lauten:

•	Keine Verwendung von WLAN-Technologie
•	Beibehaltung der Absicherung mit statischer WEP nach Standard 802.11
•	Verwendung eines VPN
•	Verwendung von IPsec
•	Verwendung der 802.1X-Authentifizierung und Datenverschlüsselung

Die Reihenfolge der Nennung dieser Alternativen orientiert sich daran, welcher Ansatz am ehesten eine zufrieden stellende Kombination aus Sicherheit, Funktionalität und Benutzerfreundlichkeit bietet (in aufsteigender Reihenfolge, also die beste Lösung wird zuletzt genannt), wobei diese Einschätzung in gewissem Maß subjektiv ist. Microsoft favorisiert die letzte der genannten Alternativen, also die Verwendung der 802.1X-Authentifizierung und WLAN-Verschlüsselung. Dieser Ansatz wird im folgenden Abschnitt diskutiert und dann anhand der in Tabelle 2.1 zusammengestellten Liste der Hauptbedrohungen für WLANs bewertet. Weiter unten werden auch die wichtigsten Vor- und Nachteile der anderen Alternativen besprochen.

WLAN-Absicherung mit 802.1X-Authentifizierung und Datenverschlüsselung

Für diesen Ansatz sprechen trotz seines komplizierten Namens und der in diesem Zusammenhang verwendeten komplizierten Begriffe eine Reihe von Gründen. Bevor wir uns den Vorteilen von Lösungen zuwenden, die auf diesem Ansatz beruhen, ist es wichtig, einige der verwendeten Begriffe zu klären und zu erläutern, wie eine solche Lösung funktioniert.

Grundlagen der WLAN-Absicherung

Die Absicherung eines WLANs umfasst die folgenden drei Hauptelemente:

•	Das Authentifizieren der Person (oder des Geräts), die (bzw. das) eine Verbindung zum Netzwerk herstellt, damit Sie mit hoher Sicherheit wissen, wer oder was die Verbindung zum Netzwerk herzustellen versucht.
•	Das Autorisieren der Personen bzw. Geräte, die das WLAN verwenden möchten, damit Sie den Zugriff auf das Netzwerk steuern können.
•	Das Schützen der im Netzwerk übertragenen Daten, damit diese vor Lauschangriffen und ungenehmigter Änderung sicher sind.

Darüber hinaus kann auch noch eine Prüffunktion für Ihr WLAN eingerichtet werden. Eine solche Prüfung ist jedoch in erster Linie ein Mittel für die Überprüfung und Verstärkung der anderen Sicherheitselemente.

Netzwerkauthentifizierung und -autorisierung

Die statische WEP-Sicherheit basiert auf einem einfachen gemeinsamen Schlüssel bzw. Kennwort, mit dessen Hilfe Benutzer und Geräte im WLAN authentifiziert werden. Jeder, der diesen geheimen Schlüssel kennt, kann auf das WLAN zugreifen. Kryptografische Fehler in WEP bieten Angreifern die Chance, mithilfe allgemein zugänglicher Mittel den in einem WLAN verwendeten statischen WEP-Schlüssel auszukundschaften ("zu knacken"). Der ursprüngliche WEP-Standard bietet auch keine Möglichkeit, den WEP-Schlüssel automatisch zu aktualisieren oder zu verteilen, wodurch eine Änderung des Schlüssels extrem schwierig ist. Wenn ein WLAN, das mit statischer WEP arbeitet, einmal geknackt ist, bleibt es normalerweise auch geknackt.

Soll eine stärkere Methode der Authentifizierung und Autorisierung bereitgestellt werden, empfehlen Microsoft und eine Reihe anderer Hersteller ein WLAN-Sicherheitsframework, das das 802.1X-Protokoll verwendet. Das 802.1X-Protokoll ist ein IEEE-Standard für die Authentifizierung des Zugriffs auf Netzwerke und, optional, für die Verwaltung der Schlüssel, die zum Schutz des Netzwerkverkehrs eingesetzt werden. Seine Verwendung ist nicht auf drahtlose Netzwerke beschränkt, sondern es wird auch in vielen drahtgebundenen Highend-LAN-Switches eingesetzt.

Das 802.1X-Protokoll bezieht den Netzwerkbenutzer, ein Netzwerkzugriffsgerät ("Gateway"), wie z. B. einen WLAN-Zugriffspunkt, und einen Authentifizierungs- und Autorisierungsdienst in Form eines RADIUS-Servers (Remote Authentication Dial-In User Service) ein. Der RADIUS-Server hat dabei die Aufgabe, die Anmeldeinformationen des Benutzers zu authentifizieren und den Zugriff des Benutzers auf das WLAN zu autorisieren.

Das 802.1X-Protokoll basiert beim Authentifizierungsaustausch zwischen dem Client und dem RADIUS-Server auf einem IETF-Protokoll mit dem Namen EAP (Extensible Authentication Protocol). Dieser Authentifizierungsaustausch wird über den Zugriffspunkt (Access Point, AP) geleitet. EAP ist ein allgemeines Protokoll für die Authentifizierung, das mehrere Authentifizierungsmethoden unterstützt, die auf Kennwörtern, digitalen Zertifikaten oder anderen Formen von Anmeldeinformationen basieren.

Da EAP mehrere Möglichkeiten zur Authentifizierung bietet, gibt es nicht den einen EAP-Standardauthentifizierungstyp. Welche EAP-Methode mit welchen Anmeldeinformationen und Authentifizierungsprotokollen verwendet werden sollte, hängt von den jeweiligen Umständen ab. Die Verwendung von EAP-Methoden bei der WLAN-Authentifizierung wird in einem Abschnitt weiter unten in diesem Kapitel erläutert.

WLAN-Datenschutz

Die Entscheidung für die Verwendung von 802.1X als Protokoll für die Authentifizierung und Netzwerkzugriffssteuerung macht nur einen Teil der Lösung aus. Die andere wichtige Komponente der Lösung besteht in der Entscheidung, wie der Verkehr im WLAN geschützt werden soll.

Die weiter oben beschriebenen Schwächen in der WEP-Datenverschlüsselung hätten gemildert werden können, wenn die statische WEP-Verschlüsselung eine Methode zur regelmäßigen automatischen Aktualisierung der Verschlüsselungsschlüssel enthalten hätte. Tools zum Knacken der statischen WEP-Verschlüsselung müssen bis zu zehn Millionen Pakete sammeln, die mit demselben Schlüssel verschlüsselt wurden. Da statische WEP-Schlüssel häufig über Wochen und Monate hinweg unverändert bleiben, ist es normalerweise für einen Angreifer kein Problem, diese Menge an Daten zu sammeln. Da alle Computer in einem WLAN denselben statischen Schlüssel verwenden, können Angreifer die Datenübertragungen zwischen den Computern und dem WLAN abfangen und so schneller an die benötigten Daten für das Knacken des Schlüssels gelangen.

Bei Verwendung einer Lösung auf der Basis des 802.1X-Protokolls können Sie die Verschlüsselungsschlüssel häufig ändern. Im Rahmen des 802.1X-Authentifizierungsprozesses generiert die EAP-Methode einen Verschlüsselungsschlüssel, der für jeden Client eindeutig ist. Um die Angriffe auf den WEP-Schlüssel zu verringern (siehe Erläuterung oben), erzwingt der RADIUS-Server in regelmäßigen Abständen die Erstellung neuer Verschlüsselungsschlüssel. Dies ermöglicht die wesentlich sicherere Verwendung der WEP-Verschlüsselungsalgorithmen, die im Großteil der aktuellen WLAN-Hardware verwendet werden.

WPA und 802.11i

WEP mit dynamischer Erstellung von 802.1X-Schlüsseln ist zwar für die meisten praktischen Anwendungen sicher, dennoch sind damit nicht alle Probleme gelöst:

•	WEP verwendet einen separaten statischen Schlüssel für globale Übertragungen, wie z. B. Broadcastpakete. Im Unterschied zu den benutzergebundenen Schlüsseln wird der globale Schlüssel nicht regelmäßig erneuert. Obwohl es eher unwahrscheinlich ist, dass vertrauliche Daten in Form von Broadcast-Paketen übertragen werden, haben Angreifer bei Verwendung eines statischen Schlüssels für globale Übertragungen die Möglichkeit, Informationen zum Netzwerk herauszufinden, wie z. B. IP-Adressen sowie Computer- und Benutzernamen.
•	Der Schutz der Integrität von per WEP geschützten Netzwerkframes ist mangelhaft. Angreifer können mithilfe kryptografischer Verfahren Informationen im WLAN-Frame ändern und den Integritätsprüfwert des Frames aktualisieren, ohne dass dies vom Empfänger bemerkt wird.
•	Da WLAN-Übertragungen mit immer höheren Geschwindigkeiten erfolgen und sich Computerleistung und kryptoanalytische Verfahren immer weiter verbessern, müssen WEP-Schlüssel häufiger erneuert werden. Dies kann zu einer inakzeptablen Belastung der RADIUS-Server führen.

Um diese Probleme zu lösen, arbeitet die IEEE an einem neuen WLAN-Sicherheitsstandard mit der Bezeichnung "802.11i", auch bekannt unter dem Begriff "RSN" (Robust Security Network). Die Wi-Fi Alliance, ein Zusammenschluss der führenden Wi-Fi-Anbieter, hat mit WPA (Wi-Fi Protected Access) eine leicht abgeänderte Arbeitsversion von 802.11i zum Standard erhoben. WPA enthält einen großen Teil der Funktionen und Merkmale von 802.11i. Durch die Veröffentlichung von WPA war die Wi-Fi Alliance in der Lage, die Einhaltung der WPA-Vorgaben zur Bedingung für die Verleihung des "Wi-Fi"-Logos zu machen. Die Anbieter von Wi-Fi-Netzwerkhardware konnten auf diese Weise schon vor der eigentlichen Veröffentlichung von 802.11i eine standardisierte Hochsicherheitslösung bereitstellen. WPA vereint in sich eine Reihe von Sicherheitsfunktionen, die in ihrer Gesamtheit für viele als derzeit sicherstes Verfahren für die Absicherung von WLANs gelten.

Der WPA-Standard enthält zwei Modi: Ein Modus verwendet 802.1X und RADIUS-Authentifizierung (WPA), und der andere Modus verwendet ein anderes, einfacheres Schema für kleine Büros und Privatanwender, bei dem ein vorinstallierter Schlüssel (WPA-PSK) zum Einsatz kommt. WPA verbindet robuste Verschlüsselung mit dem starken Authentifizierungs- und Autorisierungsmechanismus des Protokolls 802.1X. Darüber hinaus schaltet die WPA-Datenverschlüsselung die bekannten Sicherheitsschwachstellen von WEP wie folgt aus:

•	Für jedes Paket wird ein eigener, eindeutiger Verschlüsselungsschlüssel verwendet.
•	Es wird ein deutlich längerer Initialisierungsvektor verwendet, d. h., durch das Hinzufügen zusätzlicher 128 Bit verdoppelt sich praktisch der für die Schlüsselerstellung verfügbare Vorrat.
•	Es wird ein signierter Nachrichtenintegritätsprüfwert verwendet, der für Manipulation oder Spoofing nicht anfällig ist.
•	Es wird ein verschlüsselter Framezähler verwendet, mit dem Replay-Angriffe abgewehrt werden können.

Da aber WPA ähnliche kryptografische Algorithmen verwendet wie WEP, können Sie diesen Standard mit einem einfachen Firmwareupgrade in die vorhandene Hardware implementieren.

Dank des PSK-Modus von WPA können auch kleinere Organisationen und Privatanwender ein WLAN mit gemeinsamem Schlüssel verwenden, ohne dabei die Schwächen der statischen WEP-Verschlüsselung in Kauf nehmen zu müssen. Ob sich diese Option aber in der Praxis bewährt, hängt davon ab, ob der gewählte vorinstallierte Schlüssel stark genug ist, Angriffe abzuwehren, bei denen einfach versucht wird, das Kennwort zu erraten. Wie bei der RADIUS-basierten WPA- und der dynamischen WEP-Verschlüsselung werden für jeden Client im WLAN individuelle Verschlüsselungsschlüssel generiert. Der vorinstallierte Schlüssel wird für die Authentifizierung bei der Anmeldung verwendet. Als Besitzer des Schlüssels sind Sie autorisiert, das WLAN zu nutzen, und Sie erhalten einen eindeutigen Verschlüsselungsschlüssel für die Verschlüsselung Ihrer Daten.

Ein noch höheres Maß an Sicherheit sowie einen besseren Schutz vor Denial-of-Service (DoS)-Angriffen für WLANs bietet der 802.11i-RSN-Standard, der Mitte 2004 veröffentlicht werden soll.

EAP-Authentifizierungsmethoden

Wie das Wort "Extensible" (Erweiterbar) im Namen "Extensible Authentication Protocol" (EAP) schon vermuten lässt, unterstützt EAP viele Authentifizierungsmethoden. Bei diesen Methoden können verschiedene Authentifizierungsprotokolle zum Einsatz kommen, wie das Authentifizierungsprotokoll Kerberos 5, TLS (Transport Layer Security) und das MS-CHAP (Microsoft-Challenge Handshake Authentication Protocol). Außerdem können verschiedene Typen von Anmeldeinformationen verwendet werden von Kennwörtern über Zertifikate und einmaligen Kennworttokens bis hin zu biometrischen Daten. Auch wenn theoretisch alle EAP-Methoden mit dem 802.1X-Protokoll verwendet werden können, sind nicht alle dieser Methoden für den Einsatz mit WLANs geeignet. Die gewählte Methode muss insbesondere für die Verwendung in einer ungeschützten Umgebung geeignet sein und Verschlüsselungsschlüssel generieren können.

Grundsätzlich können die folgenden EAP-Methoden für WLANs eingesetzt werden: EAP-TLS, PEAP (Protected EAP), TTLS (Tunneled TLS) und LEAP (Lightweight EAP). Microsoft unterstützt die Methoden PEAP und EAP-TLS.

EAP-TLS

EAP-TLS ist ein IETF-Standard (RFC 2716) und dürfte inzwischen zur meistunterstützten Authentifizierungsmethode auf WLAN-Clients und RADIUS-Servern avanciert sein. Die EAP-TLS-Methode verwendet zur Authentifizierung der WLAN-Clients und der RADIUS-Server PKI-Zertifikate. Dazu wird zwischen Client und Server eine verschlüsselte TLS-Sitzung aufgebaut.

PEAP

PEAP ist eine in zwei Stufen ablaufende Authentifizierungsmethode. In der ersten Stufe wird eine TLS-Sitzung zum Server aufgebaut, und der Client kann sich beim Server mithilfe des digitalen Zertifikats des Servers authentifizieren. In der zweiten Stufe ist eine zweite EAP-Methode erforderlich, die innerhalb der PEAP-Sitzung getunnelt wird, damit sich der Client beim RADIUS-Server authentifizieren kann. Auf diese Weise kann bei PEAP eine breite Palette von Clientauthentifizierungsmethoden zum Einsatz kommen, darunter Kennwörter mit MS-CHAP Version 2 (MS-CHAP v2) und Zertifikate, die in PEAP getunneltes EAP-TLS verwenden. Die EAP-Methoden, wie z. B. MS-CHAP v2, sind nicht sicher genug, um ohne PEAP-Schutz verwendet zu werden, da sie ohne diesen Schutz anfällig für Offlinewörterbuchangriffe wären. PEAP wird allgemein unterstützt bei Microsoft Windows XP SP1 und Pocket PC 2003 ist die PEAP-Unterstützung integriert.

TTLS

TTLS ist wie PEAP ein Zweistufenprotokoll, das zum Schutz einer getunnelten Clientauthentifizierung eine TLS-Sitzung verwendet. Neben den getunnelten EAP-Methoden kann TTLS auch Nicht-EAP-Versionen von Authentifizierungsprotokollen verwenden. Dazu gehören u. a. CHAP und MS-CHAP. TTLS wird zwar weder von Microsoft noch von Cisco unterstützt, es gibt aber von anderen Herstellern angebotene TTLS-Clients für eine Reihe von Plattformen.

LEAP

LEAP ist eine proprietäre EAP-Methode, die von Cisco entwickelt wurde und bei der die Authentifizierung der Clients über Kennwörter erfolgt. Diese Methode ist zwar beliebt, funktioniert aber nur bei Hardware und Software von Cisco und einigen anderen Herstellern. Es gibt eine Reihe von Sicherheitsschwachstellen bei LEAP. So ist das Protokoll z. B. für Offlinewörterbuchangriffe (wodurch sich Angreifer Kennwörter von Benutzern verschaffen können) und Man-in-the-Middle-Angriffen anfällig. In einer Domänenumgebung kann LEAP lediglich den Benutzer des WLAN, nicht jedoch den Computer authentifizieren. Ohne Computerauthentifizierung werden aber Computergruppenrichtlinien nicht korrekt ausgeführt, Softwareinstallationseinstellungen, servergespeicherte Profile und Anmeldeskripts könnten unwirksam werden und Benutzer können keine abgelaufenen Kennwörter ändern.

Es gibt WLAN-Sicherheitslösungen, die das 802.1X-Protokoll mit anderen EAP-Methoden verwenden. Einige dieser EAP-Methoden, z. B. EAP-MD5, haben bei einem Einsatz in einer WLAN-Umgebung beträchtliche Sicherheitsschwächen. Daher sollten sie generell nicht verwendet werden. Andere Methoden unterstützen die Verwendung von einmaligen Kennworttokens und anderen Authentifizierungsprotokollen, wie z. B. Kerberos. Diese Methoden spielen aber auf dem WLAN-Markt bisher noch keine signifikante Rolle.

Vorteile von 802.1X mit WLAN-Datenschutz

Zusammengefasst ergeben sich aus einer auf dem 802.1X-Protokoll basierenden Lösung für Ihr WLAN die folgenden Hauptvorteile:

•	Hohe Sicherheit: Das Protokoll bietet ein Authentifizierungsschema mit hoher Sicherheit, da es sowohl Clientzertifikate als auch Benutzernamen und Kennwörter verwenden kann.
•	Stärkere Verschlüsselung: Das Protokoll erlaubt eine starke Verschlüsselung von Netzwerkdaten.
•	Transparenz: Das Protokoll bietet transparente Authentifizierung und Verbindung mit dem WLAN.
•	Benutzer- und Computerauthentifizierung: Das Protokoll lässt separate Authentifizierungsmethoden für die Benutzer und die Computer in Ihrer Umgebung zu. Dank einer separaten Computerauthentifizierung können Sie die Computer in Ihrer Umgebung auch dann verwalten, wenn keine Benutzer auf ihnen angemeldet sind.
•	Niedrige Kosten: Preiswerte Netzwerkhardware.
•	Keine Geschwindigkeitseinbußen: Da die Verschlüsselung in der WLAN-Hardware erfolgt und die CPU des Clientcomputers nicht belastet, wird die Geschwindigkeit des Clientcomputers nicht beeinträchtigt.

Eine auf dem 802.1X-Protokoll basierende Lösung hat aber auch ein paar Haken.

•	Obwohl das 802.1X-Protokoll beinahe schon eine universelle Akzeptanz gefunden hat, führt die Verwendung verschiedener EAP-Methoden dazu, dass die Interoperabilität nicht immer gewährleistet ist.
•	WPA ist noch nicht überall verbreitet und steht auf älterer Hardware häufig nicht zur Verfügung.
•	Der RSN-Standard (802.11i), gewissermaßen die "nächste Generation", ist noch nicht ratifiziert und erfordert die Bereitstellung von Hardware- und Softwareupdates (Netzwerkhardware muss üblicherweise per Firmwareupdate aktualisiert werden).

Dies sind jedoch relativ unbedeutende Probleme die Vorteile von 802.1X überwiegen deutlich, insbesondere im Vergleich mit den großen Mängeln der alternativen Ansätze, die weiter unten in diesem Kapitel erläutert werden.

Widerstandsfähigkeit der 802.1X-Lösung gegen Sicherheitsbedrohungen

Die Sicherheitsbedrohungen, denen WLANs hauptsächlich ausgesetzt sind, wurden in einer Tabelle weiter oben in diesem Kapitel dargestellt. In der folgenden Tabelle werden diese Bedrohungen unter Berücksichtigung der Möglichkeiten, die das 802.1X-Protokoll und der Schutz von Daten im WLAN bietet, einer Neubewertung unterzogen.

Tabelle 2.2: Bewertung der Sicherheitsbedrohungen in Bezug auf die vorgeschlagene Lösung

Bedrohung	Vorbeugen
Abhören	Die dynamische Zuweisung und Änderung von Verschlüsselungsschlüsseln in regelmäßigen Zeitabständen sowie die Tatsache, dass die Schlüssel für jede Benutzersitzung einmalig sind, bedeutet, dass ein Wiederherstellen der Schlüssel und der Zugriff auf Daten durch derzeit bekannte Methoden nicht möglich ist, solange die Schlüssel häufig genug aktualisiert werden. Mit WPA wird die Sicherheit verbessert, da die Verschlüsselungsschlüssel für jedes Paket geändert werden. Der globale Schlüssel (zum Schutz von Broadcastverkehr) wird pro Paket erneuert.
Abfangen und Ändern übertragener Daten	Durch die Verbesserung der Datenintegrität und die starke Datenverschlüsselung zwischen dem WLAN-Client und dem WLAN-Zugriffspunkt wird sichergestellt, dass unbefugte Benutzer in Übertragung befindliche Daten weder abfangen noch ändern können. Die gegenseitige Authentifizierung des Client, des RADIUS-Servers und des WAP erschwert es einem Angreifer, deren Identität anzunehmen. WPA verbessert die Datenintegrität mit dem Michael-Protokoll.
Spoofing	Eine sichere Authentifizierung beim Netzwerk hindert die nicht autorisierten Personen am Herstellen einer Verbindung zum Netzwerk und am Einschleusen gespoofter Daten aus dem Netzwerk heraus.
DoS (Denial of Service)	Datenüberflutung und andere DoS-Angriffe auf Netzwerkebene werden durch die Steuerung des WLAN-Zugriffs mit 802.1X verhindert. Es gibt keinen Schutz vor 802.11-DoS-Angriffen auf niedriger Ebene in dynamischer WEP bzw. WPA. Dieses Problem wird durch den 802.11i-Standard berücksichtigt. Allerdings ist selbst dieser neue Standard nicht gegenüber Netzwerkunterbrechungen auf der physischen Schicht (Funkebene) immun. Diese Sicherheitslücken gelten für aktuelle 802.11-WLANs und alle anderen weiter unten im Kapitel erläuterten Optionen.
"Schwarzsurfen" (Ressourcendiebstahl)	Die nicht autorisierte Nutzung des Netzwerks wird durch die erforderliche starke Authentifizierung verhindert.
Zufällige Bedrohungen	Die versehentliche Verbindung zum WLAN wird durch die erforderliche starke Authentifizierung verhindert.
Inoffizielle WLANs	Obwohl sich diese Lösung nicht direkt mit den inoffiziellen WLAN-Zugriffspunkten beschäftigt, verschwindet durch das Implementieren einer sicheren WLAN-Lösung wie dieser ein Großteil der Motivation für das Einrichten inoffizieller WLANs. Sie sollten jedoch eine klare Richtlinie erstellen und veröffentlichen, die die Anwendung nicht genehmigter WLANs untersagt. Diese Richtlinie können Sie umsetzen, indem Sie Softwareprogramme einsetzen, die das Netzwerk nach Hardwareadressen für WLAN-Zugriffspunkte durchsuchen, und indem Sie WLAN-Erkennungsgeräte im Handheld-Format verwenden.

Andere Ansätze zur WLAN-Absicherung

Im vorherigen Abschnitt wurde die 802.1X-Authentifizierung mit WLAN-Datenschutz behandelt. Dieser Abschnitt erläutert die weiter oben, zu Beginn des Abschnitts "Effektives Absichern Ihres WLAN" aufgeführten anderen vier Alternativen zur WLAN-Absicherung.

Die vier anderen Ansätze waren:

•	Keine Verwendung von WLAN-Technologie
•	Beibehaltung der Absicherung mit statischer WEP nach Standard 802.11
•	Verwendung eines VPN
•	Verwendung von IPsec

Die wichtigsten Unterschiede zwischen diesen Ansätzen und einer 802.1X-basierten Lösung sind in der folgenden Tabelle zusammengefasst (dabei wird auf die Option "Keine Verwendung von WLAN-Technologie" nicht eingegangen). Die Optionen selbst werden in nachfolgenden Abschnitten ausführlicher behandelt.

Tabelle 2.3: Vergleich der Ansätze zur WLAN-Absicherung

Feature	802.1X-WLAN	Statische WEP	VPN	IPsec
Starke Authentifizierung (1)	Ja	Nein	Ja, aber keine VPNs mit Authentifizierung über einen gemeinsamen Schlüssel	Ja, falls mit Zertifikat oder Kerberos-Authentifizierung
Starke Datenverschlüsselung	Ja	Nein	Ja	Ja
Transparente Verbindung und erneute Verbindung zum WLAN	Ja	Ja	Nein	Ja
Benutzerauthentifizierung	Ja	Nein	Ja	Ja
Computerauthentifizierung (2)	Ja	Ja	Nein	Ja
Geschützter Broadcast- und Multicastverkehr	Ja	Ja	Ja	Nein
Zusätzliche Netzwerkgeräte erforderlich	RADIUS-Server	Nein	VPN-Server, RADIUS-Server	Nein
Sichert den Zugriff zum WLAN selbst	Ja	Ja	Nein	Nein

(1) Viele VPN-Implementierungen mit IPsec-Tunnelmodus nutzen XAuth, ein schwaches Authentifizierungsschema mit gemeinsamem Schlüssel.

(2) Computerauthentifizierung bedeutet, dass der Computer auch dann mit WLAN und Unternehmensnetzwerk verbunden bleibt, wenn kein Benutzer auf dem Computer angemeldet ist. Diese Fähigkeit ist erforderlich, damit die folgenden Windows-Domänenfeatures ordnungsgemäß funktionieren:

•	Servergespeicherte Benutzerprofile
•	Computer-Gruppenrichtlinieneinstellungen (insbesondere Startskripts und bereitgestellte Software)
•	Benutzeranmeldeskripts und mit Gruppenrichtlinie bereitgestellte Software

Alternative 1: Keine Verwendung von WLAN-Technologie

Die direkteste Art des Umgangs mit WLAN-Sicherheitsbedrohungen ist ihre Vermeidung, indem keine WLANs verwendet werden. Diese Strategie bedeutet aber nicht nur, auf die weiter oben im Kapitel angeführten Vorteile zu verzichten, sondern sie ist auch nicht frei von Fallen. Organisationen, die diesen Ansatz wählen, müssen den von der META Group beschriebenen "Price of Postponement" (Kosten des Aufschubs) berücksichtigen. Dabei handelt es sich um mehr als nur Opportunitätskosten. Die META Group hat in einer Studie die nicht verwaltete Art und Weise untersucht, in der die Verwendung von drahtgebunden LANs in vielen Organisationen vor mehr als 10 Jahren zugenommen hatte. In den meisten Fällen mussten die zentralen IT-Abteilungen eingreifen und die LAN-Bereitstellung im Nachhinein steuern. In der Regel war der Aufwand beim Bearbeiten der vielen unabhängigen und häufig nicht kompatiblen Abteilungs-LANs immens. Weitere Informationen dazu finden Sie im Artikel "How Do I Limit My Exposure Against the Wireless LAN Security Threat? The New Realities of Protecting Corporate Information", der von der META Group am 12. Dezember 2002 veröffentlicht wurde.

Dieselbe Gefahr besteht auch bei WLANs, vor allem in größeren Organisationen, in denen es unmöglich ist, physisch die Kontrolle über die Vorgänge an den einzelnen Standorten zu behalten. Die nicht verwaltete WLAN-Verwendung durch "jedermann", ermöglicht durch die äußerst niedrigen Kosten der Komponenten, ist das potenziell ungünstigste Szenario. Hierdurch wird die Organisation allen bereits aufgeführten Sicherheitsbedrohungen ausgesetzt, jedoch ohne Wissen der zentralen IT-Gruppe und ohne eine Möglichkeit, Schritte zur Bekämpfung dieser Bedrohungen zu unternehmen.

Sollten Sie sich also grundsätzlich gegen die WLAN-Technologie entscheiden, müssen Sie diese Strategie aus den genannten Gründen auf aktive und nicht auf passive Weise verfolgen. Sie sollten diese Entscheidung durch eine klare, veröffentlichte Richtlinie unterstützen und sicherstellen, dass sich alle Mitarbeiter dieser Richtlinie sowie den Konsequenzen eines Verstoßes dagegen bewusst sind. Möglicherweise entschließen Sie sich auch zur Anschaffung von Prüfgeräten und Netzwerkpaketmonitoren, um die Verwendung nicht autorisierter Drahtlosgeräte im Netzwerk aufzudecken.

Alternative 2: Verwendung 802.11-basierter Basissicherheit (statische WEP)

Die 802.11-Basissicherheit (statische WEP) verwendet einen gemeinsamen Schlüssel zur Steuerung des Netzwerkzugriffs und den gleichen Schlüssel zum Verschlüsseln des Drahtlosverkehrs. Dieses einfache Autorisierungsmodell wird häufig durch das Filtern von Ports basierend auf Hardwareadressen der WLAN-Karte ergänzt. Das Filtern gehört jedoch nicht zur eigentlichen 802.11-Sicherheit. Der Hauptvorteil dieses Ansatzes ist seine Einfachheit. Obwohl dieser Ansatz, verglichen mit einem nicht abgesicherten WLAN, ein gewisses Maß an Sicherheit bietet, entstehen hier doch erhebliche Verwaltungs- und Sicherheitsnachteile, insbesondere für größere Organisationen.

Zu den Nachteilen der Anwendung der statischen WEP gehören:

•	Statische WEP-Schlüssel können in einem Netzwerk mit starkem Verkehr innerhalb von wenigen Stunden mithilfe eines PCs mit WLAN-Adapter und Hackertools wie Airsnort oder WEPCrack entdeckt werden.
•	Das größte Sicherheitsproblem der statischen WEP liegt darin, dass es keinen Mechanismus zum dynamischen Zuweisen oder Aktualisieren der Netzwerkverschlüsselungsschlüssel gibt. Ohne den Einsatz von 802.1X und EAP zum Erzwingen regelmäßiger Schlüsselaktualisierungen ist der von der statischen WEP verwendete Verschlüsselungsalgorithmus anfällig für Angriffe zur Schlüsselermittlung.
•	Die statischen Schlüssel können zwar geändert werden, aber der dafür notwendige Prozess auf den Zugriffspunkten und den WLAN-Clients muss normalerweise manuell durchgeführt werden und ist immer sehr zeitaufwändig. Außerdem müssen die Schlüssel gleichzeitig auf den Clients und den Zugriffspunkten aktualisiert werden, damit die Konnektivität der Clients gewahrt bleibt. In der Praxis ist das so schwierig, dass die Schlüssel normalerweise nicht geändert werden.
•	Die statischen Schlüssel müssen von allen Benutzern des WLAN und allen Zugriffspunkten gemeinsam verwendet werden. Dieser Umstand bedeutet bereits eine Anfälligkeit, da ein Geheimnis, das von vielen Benutzern und Geräten geteilt wird, nicht lange ein Geheimnis bleibt.

Die statische WEP bietet WLANs einen sehr eingeschränkten Zugriffskontrollmechanismus, der auf der Kenntnis des WEP-Schlüssels basiert. Wenn Sie den Namen des Netzwerks herausfinden (was leicht ist) und den WEP-Schlüssel ermitteln, können Sie bereits eine Verbindung mit dem Netzwerk herstellen.

Eine Möglichkeit zur Verbesserung dieser Situation besteht darin, die WLAN-Zugriffspunkte so zu konfigurieren, dass sie nur einen vordefinierten Satz von Client-Netzwerkadapteradressen zulassen. Dies wird im Allgemeinen als Filterung der MAC-Adressen (Media Access Control) bezeichnet. Die MAC-Schicht ist auf der niedrigen Ebene der Netzwerkadapterfirmware angesiedelt.

Die Netzwerkadapteradressen-Filterung für die Zugriffssteuerung weist wiederum folgende Probleme auf:

•	Die Möglichkeiten der Verwaltung sind schlecht. Die Liste der Hardwareadressen ist bei einer größeren Anzahl von Clients schwierig zu warten. Auch die Verteilung der Liste an alle Ihre Zugriffspunkte und die Synchronisierung dieser Liste auf den Zugriffspunkten ist mit großem Aufwand verbunden.
•	Die Skalierbarkeit ist unzureichend. Die Zugriffspunkte haben eine Filtertabellen-Größenbegrenzung, wodurch die Anzahl der unterstützbaren Clients eingeschränkt ist.
•	Es besteht keinerlei Möglichkeit, einer MAC-Adresse einen Benutzernamen zuzuordnen, deshalb können Sie nur nach Computeridentität und nicht nach Benutzeridentität autorisieren.
•	Ein Eindringling könnte eine "zugelassene" MAC-Adresse spoofen. Wenn er eine legitime MAC-Adresse entdeckt, ist es für einen Eindringling leicht, diese Adresse statt der vordefinierten Adresse des Adapters zu verwenden.

Lösungen mit vorinstallierten Schlüsseln sind auf Grund der Probleme beim Verwalten von Schlüsselaktualisierungen zwischen mehreren Standorten nur für eine geringe Zahl von Benutzern und WLAN-Zugriffspunkten anwendbar. Kryptografische Fehler bei WEP stellen deren Nützlichkeit extrem infrage. Dies gilt sogar für sehr kleine Umgebungen.

Der WPA-Modus mit vorinstalliertem Schlüssel bietet dagegen eine gute Sicherheitsstufe mit geringem Mehraufwand für die Infrastruktur kleiner Organisationen. Eine breite Palette von Hardware unterstützt auch WPA-PSK, und WLAN-Clients können manuell konfiguriert werden. Aus den genannten Gründen ist WPA-PSK das Mittel der Wahl für kleine Firmen und Privatanwender.

Alternative 3: Verwendung von VPNs (Virtual Private Networks)

VPNs sind wahrscheinlich die am weitesten verbreitete Form der Netzwerkverschlüsselung. Die bewährten und vertrauenswürdigen VPN-Technologien genießen großes Vertrauen, wenn es um die Vertraulichkeit der über das Internet gesendeten Daten geht. Als die Sicherheitslücken der statischen WEP entdeckt wurden, wurde VPN schnell als die Methode zum Datenschutz für WLANs vorgeschlagen. Dieser Ansatz wurde von Analytikern wie der Gartner Group unterstützt und, wohl kaum überraschend, von Anbietern von VPN-Lösungen nach Kräften gefördert.

VPN ist eine hervorragende Lösung, um ein feindliches Netzwerk, wie z. B. das Internet, sicher zu durchqueren (obwohl die Qualität der VPN-Implementierungen sehr unterschiedlich ausfällt). Allerdings ist es nicht unbedingt die beste Lösung zum Absichern interner WLANs. Für diese Art von Umgebung bietet ein VPN im Vergleich zu 802.1X-Lösungen nur einen geringen oder gar keinen Zuwachs an Sicherheit, gleichzeitig steigen aber Komplexität und Kosten deutlich, die Benutzerfreundlichkeit sinkt, und es kommt zu Einbußen bei wichtigen Teilen der Funktionalität.

Hinweis: Diese Nachteile ergeben sich nicht bei Verwendung eines VPNs zum Absichern des Verkehrs über öffentliche WLAN-Hotspots. Der Schutz der Netzwerkdaten von Benutzern in feindlichen Remotenetzwerken ist eine geeignete Anwendungsoption von VPN. In diesem Szenario erwarten Benutzer, dass die sichere Verbindung, im Gegensatz zum Unternehmensnetzwerk, tiefer gehend und weniger funktional als eine LAN-Verbindung ist.

Zu den Vorteilen des WLAN-Schutzes mit VPNs gehört unter anderem:

•	In vielen Organisationen ist bereits eine VPN-Lösung installiert, so dass Benutzer und IT-Mitarbeiter mit der Lösung vertraut sind.
•	Der VPN-Datenschutz verwendet normalerweise Softwareverschlüsselung, bei der Algorithmen einfacher als bei auf Hardware basierter Verschlüsselung geändert und aktualisiert werden können.
•	Sie können relativ preiswerte Hardware nutzen, da der VPN-Schutz nicht von der WLAN-Hardware abhängt (obwohl es kaum noch einen Preisaufschlag bei 802.1X-fähiger Netzwerkhardware gibt).

Zu den Nachteilen der Anwendung von VPNs statt systemeigener WLAN-Sicherheit gehört:

•	VPNs fehlt die Benutzertransparenz. Bei VPN-Clients muss der Benutzer normalerweise manuell eine Verbindung zum VPN-Server initiieren. Daher wird die Verbindung nie in dem Maße transparent sein wie eine drahtgebundene LAN-Verbindung. Bei Nicht-Microsoft-VPN-Clients ist u. U. neben der Standardnetzwerk- oder der Domänenanmeldung auch noch die Eingabe von Anmeldeinformationen erforderlich, wenn eine Verbindung zum Netzwerk aufgebaut werden soll. Wenn das VPN die Verbindung trennt, z. B. wegen eines schwachen WLAN-Signals oder weil sich der Benutzer aus dem Abdeckungsbereich eines WLAN-Zugriffspunkts in einen anderen bewegt, müssen die Clients eine neue Verbindung zum Netzwerk herstellen.
•	Da nur der Benutzer selbst die VPN-Verbindung initiieren kann, können im Leerlauf befindliche, nicht angemeldete Computer keine Verbindung zum VPN (und damit zum Unternehmens-LAN) herstellen. Daher kann die Remoteverwaltung oder -überwachung eines Computers nur dann durchgeführt werden, wenn ein Benutzer angemeldet ist. Somit ist es denkbar, dass bestimmte Computergruppenrichtlinienobjekt-Einstellungen, wie z. B. Startskripts und dem Computer zugewiesene Software, nicht angewendet werden können.
•	Servergespeicherte Profile, Anmeldeskripts und dem Benutzer über Gruppenrichtlinienobjekte bereitgestellte Software funktionieren u. U. nicht wie erwartet. Bei der Anmeldung des Benutzers an der Windows-Anmeldeaufforderung über die VPN-Verbindung stellt der Computer erst dann eine Verbindung zum Unternehmens-LAN her, nachdem sich der Benutzer angemeldet und die VPN-Verbindung initiiert hat. Versuche, vorher auf das sichere Netzwerk zuzugreifen, schlagen fehl. Mit einem anderen VPN-Client als von Microsoft ist es eventuell unmöglich, eine vollständige Domänenanmeldung über die VPN-Verbindung auszuführen.
•	Beim Verlassen des Ruhezustands oder Standby wird die VPN-Verbindung nicht automatisch wiederhergestellt; der Benutzer muss diesen Schritt manuell ausführen.
•	Obwohl die Daten innerhalb des VPN-Tunnels geschützt sind, bietet das VPN keinen Schutz für das WLAN selbst. Angreifer können weiterhin eine Verbindung zum WLAN herstellen und versuchen, alle daran angeschlossenen Geräte zu identifizieren oder anzugreifen.
•	Der bzw. die VPN-Server können sich als einschränkend erweisen. Der gesamte WLAN-Clientzugriff zum Unternehmens-LAN erfolgt über den VPN-Server. VPN-Geräte bedienen üblicherweise sehr viele Remoteclients mit relativ langsamem Netzwerkzugriff. Daher sind die meisten VPN-Gateways nicht in der Lage, mit Dutzenden oder Hunderten von Clients umzugehen, die mit voller LAN-Geschwindigkeit arbeiten.
•	Die zusätzliche Hardware und die fortlaufende Verwaltung der VPN-Geräte ist wahrscheinlich teurer als eine systemeigene WLAN-Lösung. Jeder Standort benötigt typischerweise zusätzlich zu den WLAN-Zugriffspunkten einen eigenen VPN-Server.
•	VPN-Sitzungen sind anfälliger für Verbindungstrennungen, wenn Clients zwischen Zugriffspunkten wechseln. Auch wenn Anwendungen beim Wechseln zu anderen WLAN-Zugriffspunkten häufig eine vorübergehende Sitzungsunterbrechung tolerieren, muss der Benutzer selbst bei einer kurzen Unterbrechung die Verbindung zum Netzwerk oft manuell wiederherstellen.
•	Die Kosten für VPN-Server- und Clientsoftwarelizenzen sowie für die Bereitstellung der Software könnten bei nicht von Microsoft stammenden VPN-Lösungen ein Problem werden. Außerdem können Probleme mit der Kompatibilität der VPN-Clientsoftware auftreten, da andere Clients als die von Microsoft häufig grundlegende Windows-Funktionen ersetzen.
•	Viele Analytiker und Hersteller gehen davon aus, dass eine VPN-Absicherung im Vergleich zu einer WLAN-Absicherung immer die bessere Alternative ist. Dies mag zwar für statische WEP zutreffen, nicht aber in jedem Fall für die in diesem Kapitel beschriebenen 802.1X-EAP-basierten Lösungen. Vor allem die VPN-Authentifizierungsmethoden sind häufig deutlich weniger sicher und auch im günstigsten Fall kaum stärker. So verwenden z. B. die von Microsoft unterstützten WLAN-Lösungen genau die gleichen EAP-Authentifizierungsmethoden wie die VPN-Lösungen (EAP-TLS und MS-CHAP v2). Viele VPN-Implementierungen, besonders die auf dem IPsec-Tunnelmodus basierenden, verwenden die Authentifizierung mit einem vorinstallierten Schlüssel (ein Gruppenkennwort). Dies hat zu Kritik geführt, zumal ernste Sicherheitslücken aufgetreten sind, von denen einige paradoxerweise Lücken in statischer WEP entsprechen.
•	VPNs tragen nichts zur Absicherung des WLAN selbst bei. Obwohl die Daten innerhalb der VPN-Tunnel sicher sind, kann sich immer noch jeder mit dem WLAN verbinden und versuchen, legitime Drahtlosclients und andere Geräte im WLAN anzugreifen.

VPN ist hervorragend geeignet, Verkehr über feindliche Netzwerke zu sichern, und zwar unabhängig davon, ob der Benutzer eine Verbindung über eine Breitbandverbindung von zu Hause oder von einem WLAN-Hotspot aus herstellt. Für die Absicherung von Netzwerkverkehr in internen Netzwerken war VPN jedoch nie gedacht. Daher sind VPNs für die meisten Organisationen zu schwerfällig, ihre Funktionalität für den Benutzer ist zu eingeschränkt, und sie sind in der Wartung für die IT-Abteilung zu kostenintensiv und zu komplex.

In Ausnahmefällen, in denen eine höhere Sicherheit für eine bestimmte Verbindung oder einen bestimmten Verkehrstyp benötigt wird, kann zusätzlich zum nativen WLAN-Schutz ein VPN-Tunnel- oder IPsec-Transportmodus bereitgestellt werden. Dies ist eine angemessenere Anwendung von Netzwerkressourcen.

Alternative 4: Verwendung von IPsec

IPsec ermöglicht zwei gleichrangigen Computern im Netzwerk (Peers) die gegenseitige sichere Authentifizierung sowie die Authentifizierung bzw. Verschlüsselung einzelner Netzwerkpakete. Sie können mit IPsec entweder ein Netzwerk sicher über ein anderes tunneln oder einfach IP-Pakete schützen, die zwischen zwei Computern übertragen werden.

Das IPsec-Tunneling wird in der Regel in Clientzugriffsverbindungen oder VPN-Verbindungen zwischen Standorten angewendet. Der IPsec-Tunnelmodus ist eine Form von VPN und funktioniert, indem ein ganzes IP-Paket in ein geschütztes IPsec-Paket platziert wird. Wie bei anderen VPN-Lösungen auch wird damit der Kommunikation ein Overhead hinzugefügt, der für die Kommunikation zwischen Systemen innerhalb eines Netzwerkes nicht wirklich erforderlich ist. Die Vor- und Nachteile des IPsec-Tunnelmodus wurden in der Erläuterung von VPNs im vorherigen Abschnitt behandelt.

Darüber hinaus kann IPsec den End-to-End-Verkehr zwischen zwei Computern (ohne Tunneling) mittels des IPsec-Transportmodus sichern. Wie auch VPN ist IPsec eine ausgezeichnete Lösung für viele Situationen, obwohl IPsec keinen Ersatz für einen nativen WLAN-Schutz auf Hardwareebene darstellt.

Zu den Vorteilen des Schutzes mit dem IPsec-Transportmodus gehören:

•	Er ist für Benutzer transparent. Im Gegensatz zu VPNs ist kein spezieller Anmeldevorgang erforderlich.
•	Der IPsec-Schutz ist unabhängig von der WLAN-Hardware. Er erfordert lediglich ein offenes, nicht authentifiziertes WLAN. Im Gegensatz zum VPN sind keine zusätzlichen Server oder Geräte erforderlich, da die Sicherheit direkt zwischen den Computern am jeweiligen Ende der Kommunikation ausgehandelt wird.
•	Die Verwendung kryptografischer Algorithmen wird durch die WLAN-Hardware nicht eingeschränkt.

Zu den Nachteilen der Anwendung von IPsec statt systemeigener WLAN-Sicherheit gehört:

•	IPsec verwendet lediglich eine Authentifizierung auf Computerebene; zusätzlich kann jedoch kein benutzerbasiertes Authentifizierungsschema verwendet werden. Für viele Organisationen ist dies kein Problem, allerdings gestattet es nicht autorisierten Benutzern die Verbindung zu anderen IPsec-geschützten Computern im Netzwerk, falls sie sich bei einem autorisierten Computer anmelden können. Hinweis: Einige IPsec-Implementierungen auf Nicht-Windows-Plattformen führen nur eine Benutzerauthentifizierung durch. Allerdings wird wie bei der VPN-Lösung der Computer nicht mit dem Netzwerk verbunden, wenn der Benutzer nicht angemeldet ist. Dadurch werden bestimmte Verwaltungsvorgänge nicht ausgeführt und Benutzereinstellungen deaktiviert.
•	Die Verwaltung von IPsec-Richtlinien kann in großen Organisationen sehr komplex werden. Der Versuch, einen allgemeinen IP-Datenverkehrsschutz zu erzwingen, kann spezialisierte IPsec-Verwendungen behindern, bei denen ein Schutz des Datenverkehrs zwischen den Computern unbedingt erforderlich ist.
•	Eine vollständige Absicherung erfordert die Verschlüsselung des gesamten Datenverkehrs zwischen Computern, jedoch sind einige Geräte möglicherweise nicht IPsec-fähig. Dadurch muss der Datenverkehr zu diesen Geräten unverschlüsselt übertragen werden. IPsec bietet damit keinen Schutz für diese Geräte, so dass sie für alle zugänglich sind, die eine Verbindung zum WLAN herstellen.
•	Da der IPsec-Schutz auf der Netzwerkebene und nicht auf der MAC-Schicht erfolgt, ist er für Netzwerkgeräte wie Firewalls nicht vollständig transparent. Einige IPsec-Implementierungen funktionieren nicht über NAT-Geräte (Network Address Translation).
•	IPsec zwischen zwei Computern bietet keinen Schutz für Broadcast- oder Multicastverkehr, da es auf zwei Teilnehmern basiert, die sich gegenseitig authentifizieren und Schlüssel austauschen.
•	Obwohl die Daten innerhalb der IPsec-Pakete geschützt sind, ist das WLAN selbst nicht geschützt. Angreifer können weiterhin eine Verbindung zum WLAN herstellen und versuchen, alle daran angeschlossenen Geräte zu identifizieren oder anzugreifen bzw. Verkehr abzuhören, der von IPsec nicht geschützt wird.
•	Die IPsec-Netzwerkverkehrverschlüsselung und -entschlüsselung erhöht die Last für die CPUs der Computer. Bei stark frequentierten Servern kann dies zu einer Überlastung führen. Dieser Verarbeitungsoverhead kann zwar zur Entlastung an spezialisierte Netzwerkkarten übergeben werden, die meisten Server sind aber normalerweise nicht mit solchen Karten ausgestattet.

Wie auch VPN ist IPsec eine ausgezeichnete Lösung für viele Sicherheitsszenarios, obwohl es keine so gute WLAN-Absicherung wie der systemeigene WLAN-Schutz bietet.

Zum Seitenanfang

Auswahl der richtigen WLAN-Optionen

Bei Berücksichtigung der Erläuterungen im vorherigen Abschnitt ist die 802.1X-WLAN-Lösung bei weitem die beste der verfügbaren Alternativen. Wie bereits im Abschnitt "Grundlagen der WLAN-Absicherung" erwähnt, müssen Sie, nachdem Sie sich für eine 802.1X-Lösung entschieden haben, noch eine Reihe von anderen Festlegungen treffen, damit die Lösung auch funktioniert.

Die wichtigsten Entscheidungskriterien sind:

•	Soll die Authentifizierung Ihrer Benutzer und Computer mit Kennwörtern oder mit Zertifikaten erfolgen?
•	Sollen die WLAN-Daten mit dynamischer WEP oder WPA geschützt werden?

Diese beiden Entscheidungen können unabhängig voneinander gefällt werden.

Wie weiter oben in diesem Kapitel erläutert wurde, bietet Microsoft zwei Anleitungen für WLAN-Sicherheitslösungen: die eine mit Kennwort- und die andere mit Zertifikatsauthentifizierung. Beide Lösungen funktionieren mit dynamischer WEP oder WPA.

Auswählen der richtigen WLAN-Sicherheitslösung

Das folgende Flussdiagramm fasst die Wahlmöglichkeiten zwischen den beiden WLAN-Sicherheitslösungen zusammen.

Abbildung 2.2: Entscheidungsbaum für die WLAN-Sicherheitslösungen

Das Ergebnis dieses Entscheidungsbaums hängt von der Größe und den speziellen Sicherheitsanforderungen Ihrer Organisation ab. Viele Organisationen können sowohl die eine als auch die andere WLAN-Lösung von Microsoft verwenden, ohne Änderungen daran vornehmen zu müssen. So werden sich die meisten kleinen und mittleren Organisationen für die einfachere kennwortbasierte Authentifizierungslösung entscheiden, die in der Lösungsanleitung Sichern von WLANs mit PEAP und Kennwörtern beschrieben wird. Größere Organisationen neigen eher zur Lösung auf der Basis digitaler Zertifikate (Lösungsanleitung Sichern von WLANs mit Zertifikatsdiensten).

Obwohl die Lösungen mit Blick auf diese Zielgruppen entwickelt wurden, bieten beide eine gewisse Anwendungsbreite. Die Lösung Sichern von WLANs mit PEAP und Kennwörtern kann sowohl in Organisationen, die nur einige Dutzend Benutzer haben, als auch in Organisationen mit mehreren tausend Benutzern bereitgestellt werden. Die Lösung Sichern von WLANs mit Zertifikatsdiensten richtet sich an Organisationen, die zwischen einigen hundert bis zu zehntausend und mehr Benutzer versorgen möchten. (Organisationen mit weniger als 500 Benutzern verfügen in der Regel nicht über ausreichend IT-Ressourcen zur Bereitstellung und Verwaltung von Zertifizierungsstellen.)

Dabei gehen beide Anleitungen nicht direkt auf große Organisationen ein, die eine kennwortbasierte WLAN-Lösung installieren. Obwohl die technischen Einzelheiten in der Lösung Sichern von WLANs mit PEAP und Kennwörtern auf große und kleine Organisationen gleichermaßen anwendbar sind, wurden viele der für große Organisationen erforderlichen Details bei Entwurf, Planung und Betrieb aus Gründen der Einfachheit weggelassen. Dank der Ähnlichkeit der in beiden Lösungen verwendeten Architektur und technischen Komponenten lassen sich Teile der Lösungen relativ leicht mischen und aufeinander abstimmen. Die Lösung Sichern von WLANs mit PEAP und Kennwörtern enthält einen Anhang, in dem Sie sich einen Überblick darüber verschaffen können, welche Teile der einzelnen Lösungen relevant für große Organisationen sind, die eine kennwortbasierte WLAN-Lösung bereitstellen möchten.

Wählen zwischen dynamischer WEP und WPA

Der WEP-Datenschutz in Kombination mit starker Authentifizierung und dynamischer Schlüsselaktualisierung durch 802.1X und EAP bietet eine Sicherheitsstufe, die für die meisten Organisationen mehr als angemessen ist. Dieses Sicherheitsniveau kann durch die Verwendung von WPA noch erhöht werden.

Die Unterschiede zwischen der Anwendung von WPA und dynamischer WEP in den jeweiligen Lösungen sind minimal, und die Migration von einer dynamischen WEP-Umgebung zu einer WPA-Umgebung ist sehr einfach. Zu den wichtigsten Änderungen bei der Migration von dynamischer WEP zu WPA zählen:

•	Sie müssen Firmwareaktualisierungen für Ihre Netzwerkhardware (WLAN-Zugriffspunkte und WLAN-Netzwerkadapter) besorgen und bereitstellen, falls die aktuelle Hardware WPAit nicht unterstützt. Firmwareupdates für Drahtlosnetzwerkadapter sind häufig in Netzwerktreiberupdates enthalten.
•	Sie müssen WPA auf Ihren WLAN-Zugriffspunkten aktivieren.
•	Die WLAN-Clientkonfiguration muss so geändert werden, dass statt WEP-Sicherheit WPA ausgehandelt wird.
•	Sie sollten in der IAS-RAS-Richtlinie die Zeitbegrenzung für die Sitzung, anhand derer die WEP-Schlüsselerneuerung erzwungen wird, verlängern, um die Belastung des IAS-Servers zu verringern. Hinweis: Der Internetauthentifizierungsdienst (IAS) ist die RADIUS-Serverimplementierung von Microsoft. Sie ist Bestandteil von Windows Server 2003, wird aber nicht standardmäßig installiert.

Sofern verfügbar, sollten Sie sich für WPA entscheiden. Beachten Sie jedoch, ob einer der folgenden Faktoren zu Problemen bei der Anwendung von WPA führen kann:

•	Ihre Netzwerkhardware unterstützt WPA u. U. noch nicht (dies ist für neue Geräte eher unwahrscheinlich, aber möglicherweise wurde eine Großteil der Hardware vor der Einführung von WPA installiert).
•	Eine Unterstützung für gruppenrichtlinienobjektgesteuerte Einstellungen steht erst ab der nächsten Aktualisierung von Windows Server 2003 zur Verfügung; andere Versionen bieten diese Unterstützung gar nicht, so dass Sie die WPA-Einstellungen auf den Windows XP-Clients manuell konfigurieren müssen.
•	WPA wird unter Umständen nicht auf allen Ihrer Clients unterstützt. So verfügen Windows 2000 und früher sowie Pocket PC zurzeit nicht über eine integrierte Unterstützung für WPA.

Wenn Sie zu dem Schluss kommen, dass Sie momentan noch nicht zu einer Bereitstellung von WPA in der Lage sind, sollten Sie eine Lösung mit dynamischer WEP bereitstellen und eine Migration auf WPA planen, wenn es die Umstände erlauben.

Zum Seitenanfang

Zusammenfassung

Dieses Kapitel enthält Informationen, anhand derer Sie eine Strategie zur WLAN-Absicherung für Ihre Organisation festlegen können. Im ersten Teil des Kapitels wurden die geschäftlichen Vorteile von Drahtlosnetzwerken sowie die Sicherheitsbedrohungen für unzureichend geschützte WLANs erläutert. Der mittlere Teil des Kapitels hat sich mit der Frage beschäftigt, wie mithilfe einer WLAN-Absicherung, die auf dem 802.1X-Protokoll, EAP und starkem Datenschutz basiert, diesen Bedrohungen entgegengetreten werden kann. Darüber hinaus wurden die relativen Vorteile von Alternativen wie VPNs, IPsec und statischer WEP-Sicherheit dargestellt. Der letzte Teil des Kapitels enthielt Hilfestellungen, anhand derer bestimmt werden kann, welche WLAN-Sicherheitsoptionen sich am ehesten für Ihre Organisation eignen und welche der beiden Microsoft-WLAN-Sicherheitslösungen für Ihre Organisation am empfehlenswertesten ist.

Zum Seitenanfang

Weitere Informationen

In diesem Abschnitt finden Sie Verweise auf wichtige Zusatzinformationen und anderes Hintergrundmaterial mit Bezug auf dieses Kapitel.

•	Die Microsoft-Lösung Sichern von WLANs mit PEAP und Kennwörtern ist verfügbar unter http://www.microsoft.com/germany/sicherheit/guidance/modules/peap/0.mspx.
•	Ausführlichere technische Informationen zu IEEE 802.11 und den zugehörigen Technologien finden Sie im Abschnitt 802.11 Wireless Technical Reference der Windows Server 2003 Technical Reference unter http://www.microsoft.com/technet/prodtechnol/windowsserver2003/library/TechRef/47ba42ba-847e-43fd-9451-9e50ab47f94e.mspx (in englischer Sprache).
•	Weitere Informationen zu 802.11 fnden Sie auf der IEEE 802.11-Seite des IEEE 802.11 Standards News Bulletin unter www.ieee802.org/11/ (in englischer Sprache).
•	Weitere Informationen zu 802.1X finden Sie auf der Seite 802.1x - Port Based Network Access Control unter www.ieee802.org/1/pages/802.1x.html (in englischer Sprache).
•	Weitere Informationen zum EAP-Standard finden Sie unter RFC 2284 unter www.ietf.org/rfc/rfc2284.txt?number=2284 (in englischer Sprache).
•	Weitere Informationen zum WPA-Standard der Wi-Fi Alliance finden Sie unter Wi-Fi Alliance Overview unter www.wi-fialliance.org/OpenSection/pdf/Wi-Fi_Protected_Access_Overview.pdf (in englischer Sprache).
•	Weitere Informationen zu Drahtlosnetzwerken finden Sie auf der Wi-Fi-Seite der Microsoft Windows Server System-Website unter http://www.microsoft.com/wifi (in englischer Sprache).
•	Eine detaillierte Besprechung von PEAP sowie einen Vergleich mit LEAP (sowie EAP-TLS und EAP-MD5) finden Sie im Artikel The Advantages of Protected Extensible Authentication Protocol (PEAP): A Standard Approach to User Authentication for IEEE 802.11 Wireless Network unter http://www.microsoft.com/windowsserver2003/techinfo/overview/peap.mspx (in englischer Sprache).
•	META Group-Artikel How Do I Limit My Exposure Against the Wireless LAN Security Threat? The New Realities of Protecting Corporate Information unter www.metagroup.com/cgi-bin/inetcgi/jsp/displayArticle.do?oid=35725 (in englischer Sprache).

Zum Seitenanfang

2 von 6

In diesem Beitrag

•	Überblick
•	Kapitel 2: Auswählen einer Strategie für die WLAN-Absicherung
•	Kapitel 3: Architektur der sicheren WLAN-Lösung
•	Kapitel 4: Entwerfen der Infrastruktur öffentlicher Schlüssel
•	Kapitel 5: Entwerfen der RADIUS-Infrastruktur für die WLAN-Absicherung
•	Kapitel 6: Entwerfen der WLAN-Absicherung mit 802.1X

Inhalt

Vollständige Lösung herunterladen
Sichern von Wireless LANs mit Zertifikatsdiensten (engl.)