Planungshandbuch - Sichern von Wireless LANs mit Zertifikatsdiensten

Kapitel 5: Entwerfen der RADIUS-Infrastruktur für die WLAN-Absicherung

Veröffentlicht: 10. Nov 2004 | Aktualisiert: 24. Nov 2004

Auf dieser Seite

	Einführung
	IAS zur Verwaltung des Netzwerkzugriffs
	Vorraussetzungen für die Lösung
	Entwerfen der RADIUS-Infrastruktur
	Erstellen eines Verwaltungsplans
	Zusammenfassung

Einführung

In diesem Kapitel werden die Architektur und der Entwurf der in dieser WLAN-Lösung eingesetzten RADIUS-Infrastruktur (Remote Authentication Dial-In User Service) beschrieben. Die RADIUS-Infrastruktur verwendet die Microsoft-eigene RADIUS-Implementierung Microsoft® Internet Authentication Service (Internetauthentifizierungsdienst, IAS).

Zunächst werden in diesem Kapitel die Entwurfsentscheidungen beschrieben, die bei der IAS-Infrastruktur für diese Lösung getroffen werden müssen, sowie die Gründe für diese Entscheidungen.

Formulierungen wie "Bei dieser Lösung wird ... verwendet" oder "Dieser Entwurf verwendet ..." in diesem Kapitel beziehen sich auf Entscheidungen zum Lösungsentwurf, die dann in den späteren Kapiteln dieses Handbuchs, die sich mit dem Aufbau und dem Betrieb der Lösung befassen, implementiert werden.

Das zweite Ziel dieses Kapitels besteht darin, Ihnen bei der Bestimmung der Eignung des Entwurfs für Ihre konkrete Organisation zu helfen. Formulierungen wie "sollten Sie entscheiden ..." stehen an den Stellen, an denen Sie entsprechend den Anforderungen in Ihrer Organisation eine Entscheidung treffen müssen. Diese Entscheidungen sind im Allgemeinen dann erforderlich, wenn es um die Erweiterung der Lösung geht, um den wachsenden Sicherheitsanforderungen in Ihrer Organisation gerecht zu werden. Daher werden manche Themen ausführlicher diskutiert, damit Sie besser verstehen können, welche Implikationen die einzelnen Schritte haben, und Sie nicht zu Referenzzwecken auf andere Ressourcen zurückgreifen müssen.

Voraussetzungen für das Kapitel

Bevor Sie dieses Kapitel lesen, sollten Sie sich mit den RADIUS-Konzepten und den IAS-Bereitstellungsoptionen vertraut machen. Verweise auf nützliche Ressourcen zu diesen Themen finden Sie im Abschnitt "Weitere Informationen" am Ende dieses Kapitels. Nützliche Informationen finden Sie auch in den IAS-Kapiteln im Microsoft Windows Server 2003 Resource Kit und im Microsoft Windows Server 2003 Deployment Kit.

Kapitelüberblick

Das Kapitel ist in Themenbereiche untergliedert, die sich mit den verschiedenen Aspekten des Entwurfs einer RADIUS-Infrastruktur beschäftigen. Mit diesem Kapitel werden die folgenden Ziele verfolgt:

•	Überblick darüber, wie Sie mithilfe von IAS eine umfassende Verwaltungslösung für den Netzwerkzugriff bereitstellen können, und wie dies speziell bei WLANs funktioniert.
•	Ermitteln der Voraussetzungen der IT-Umgebung für die Lösung und Erörtern bereits vorhandener Infrastruktur.
•	Ausführliche Beschreibung der Entscheidungen, die Sie beim Entwurf der Architektur für eine IAS-basierte RADIUS-Infrastruktur fällen müssen, wobei besonders die Entscheidungen im Zusammenhang mit 802.1X-basierten WLANs berücksichtigt werden.
•	Untersuchung von Strategien zum Verwalten der IAS-Serverinfrastruktur.
•	Angabe von Quellen mit weiterführenden Informationen zu Konzepten, zu Produktdetails und zur Bereitstellungsplanung.

Die folgende Abbildung zeigt die Gliederung des Kapitels.

Abbildung 5.1: Planung einer IAS-Infrastruktur

Zum Seitenanfang

IAS zur Verwaltung des Netzwerkzugriffs

Der Internetauthentifizierungsdienst (IAS) in Microsoft Windows Server 2003 ist die Microsoft-Implementierung eines RADIUS-Servers und eines RADIUS-Proxyservers. Als RADIUS-Server führt IAS eine zentrale Authentifizierung, Autorisierung und Kontoführung bei unterschiedlichen Arten von Netzwerkverbindungen durch. Als RADIUS-Proxyserver leitet IAS RADIUS-Anforderungen an einen anderen RADIUS-Server zum Authentifizieren, Autorisieren und zur Kontoführung weiter. Sie können IAS zusammen mit VPN-Servern, wie z. B. dem Microsoft Windows® -basierten Routing- und RAS-Dienst (RRAS), oder mit einer anderen Infrastruktur für den Netzwerkzugriff, wie z. B. WLAN-Zugriffspunkten (WLAN-APs) und authentifizierenden Ethernet-Switches, verwenden.

Um eine IAS-basierte RADIUS-Infrastruktur optimal zu nutzen, sollte sich Ihre Organisation unternehmensweit für den Einsatz zentralisierter Dienste für die Verwaltung des Netzwerkzugriffs entscheiden. Dazu gehört die Verwendung einer zentralisierten Kontendatenbank, wie z. B. des Active Directory®-Verzeichnisdienstes, und die Zentralisierung der Richtlinienverwaltung für den Netzwerkzugriff auf den IAS-Servern. Durch die Zentralisierung der Verwaltung können die Kosten, die mit der Verwaltung der Informationen zur Netzwerkzugriffssteuerung auf verteilten Netzwerkzugriffsgeräten verbunden sind, erheblich reduziert werden. Darüber hinaus lassen sich mit zentralisierten Konten und Netzwerkzugriffsrichtlinien die mit dem Konfigurieren und Verwalten verteilter Geräte verbundenen Sicherheitsrisiken senken.

Die Planung und Bereitstellung einer IAS-Infrastruktur, die den aktuellen und zukünftigen Anforderungen Ihres Unternehmens entspricht, bedarf sorgfältiger Überlegungen. IAS ist nicht für den Zugriff auf ein einzelnes, isoliertes Netzwerk vorgesehen, sondern sollte vielmehr für die strategische Verwaltung des Netzwerkzugriffs für unterschiedliche Netzwerkzugriffsszenarien verwendet werden.

Identifizieren der Anforderungen für die Verwaltung des Netzwerkzugriffs

IAS in Windows Server 2003 unterstützt unter anderem die folgenden Szenarien für den Netzwerkzugriff:

•	Drahtloser Zugriff. Sie können 802.1X-fähige WLAN-APs für die Verwendung der IAS-Dienste Authentifizierung, Autorisierung und Kontoführung für die 802.11-basierte WLAN-Zugriffssteuerung sowie für die Bereitstellung einer Schlüsselverwaltung konfigurieren.
•	Drahtgebundener Zugriff. 802.1X-fähige Ethernet-Switches können die IAS-Dienste Authentifizierung, Autorisierung und Kontoführung für die portspezifische Steuerung des Zugriffs auf drahtgebundene LANs verwenden.
•	VPN-Zugriff. VPN-Server, wie der Windows-basierte Routing- und RAS-Dienst, können die IAS-Dienste Authentifizierung, Autorisierung und Kontoführung zur Steuerung des Zugriffs auf das Unternehmensnetzwerk sowie zur Bereitstellung einer Schlüsselverwaltung nutzen.
•	DFÜ-Zugriff. DFÜ-Server, wie der Windows-basierte Routing- und RAS-Dienst, können die IAS-Dienste Authentifizierung, Autorisierung und Kontoführung zur Steuerung des Zugriffs auf das Unternehmensnetzwerk verwenden.
•	Extranet-Zugriff. Extranet-Zugriffsserver können die IAS-Dienste Authentifizierung, Autorisierung und Kontoführung nutzen, um Geschäftspartnern einen eingeschränkten Zugriff auf freigegebene Ressourcen zu gewähren.
•	Ausgelagerter Zugriff auf das Unternehmensnetzwerk. Anbieter von Netzwerklösungen können die IAS-Dienste Authentifizierung, Autorisierung und Kontoführung nutzen, um die Kontendatenbanken und die Richtlinien für die Zugriffssteuerung der Kunden in ausgelagerte Netzwerkinfrastrukturen zu integrieren. IAS kann außerdem Kontoinformationen bereitstellen, um den Kunden diesen Dienst in Rechnung zu stellen.
•	Internetzugriff. Internetdienstanbieter (ISP) können die IAS-Dienste Authentifizierung, Autorisierung und Kontoführung für die Bereitstellung von DFÜ- und Hochgeschwindigkeitsverbindungen mit dem Internet nutzen und dabei die Kontendatenbanken sowie die Richtlinien für die Zugriffssteuerung der einzelnen Unternehmen verwenden. IAS kann Kontoinformationen bereitstellen, um den Kunden diesen Dienst in Rechnung zu stellen.

Um optimalen Nutzen aus Ihrer Investition in IAS zu ziehen und künftig erforderliche Änderungen an der IAS-Infrastruktur so gering wie möglich zu halten, sollten Sie jedes dieser Szenarien auf die Verwendbarkeit in Ihrer Organisation prüfen. IAS wird zwar in dieser Lösung ausschließlich für den Zugriff auf das WLAN verwendet, Sie können diese Lösung aber auch so erweitern, dass sie eine Unterstützung für diese anderen Szenarien bietet. Informationen dazu, wie die RADIUS-Infrastruktur für die Unterstützung weiterer Szenarien erweitert werden kann, finden Sie in Kapitel 3, "Architektur der sicheren WLAN-Lösung".

IAS für die Verwaltung des Netzwerkzugriffs verwenden

Seit dem Erscheinen von Industriestandards wie IEEE 802.11 setzen sich WLANs mehr und mehr durch. WLANs ermöglichen die freie Bewegung innerhalb eines Gebäudes oder Firmengeländes bei gleichzeitigem automatischen Zugriff auf das lokale Netzwerk, sofern sich das Zugangsgerät in der Nähe eines WLAN-APs befindet.

WLANs sind zwar sehr bequem, weisen jedoch auch die folgenden Sicherheitsrisiken auf:

•	Jeder, der über einen kompatiblen WLAN-Adapter verfügt, kann potenziell auf das Netzwerk zugreifen.
•	Signale in drahtlosen Netzwerken verwenden Funkwellen zum Senden und Empfangen von Informationen. Jeder, der sich in einer geeigneten Entfernung von einem WLAN-AP befindet, kann sämtliche Daten erkennen und empfangen, die vom und an den AP gesendet werden.

Um dem ersten Sicherheitsrisiko entgegenzuwirken, können Sie WLAN-APs als RADIUS-Clients einrichten und diese so konfigurieren, dass sie Zugriffsanforderungen und Kontoinformationen an einen zentralen RADIUS-Server senden, der IAS ausführt. Um dem zweiten Sicherheitsrisiko zu begegnen, können Sie die zwischen den drahtlosen Geräten und den WLAN-APs gesendeten Daten verschlüsseln.

IAS bietet in zweierlei Hinsicht eine erweiterte Sicherheit für WLANs: Er fungiert als RADIUS-Server für IEEE 802.1X-fähige WLAN-APs und Clientgeräte, und er stellt dynamische Verschlüsselungsschlüssel über zertifikatbasierte Authentifizierungsprotokolle wie EAP-TLS (Extensible Authentication Protocol-Transport Layer Security) bereit.

Hinweis: In diesem Dokument werden WLAN-APs auch als RADIUS-Clients bezeichnet. Auch wenn WLAN-APs nicht die einzigen möglichen RADIUS-Clients sind, sind sie doch die einzigen RADIUS-Clients, um die es hier geht. Die beiden Begriffe sind daher hier austauschbar.

Zum Seitenanfang

Vorraussetzungen für die Lösung

Vor der Entwicklung einer Lösung für die Verwaltung des drahtlosen Zugriffs mit IAS sollten Ihnen die für Ihre Umgebung erforderlichen Voraussetzungen bekannt sein.

Active Directory

Diese Lösung wurde für Organisationen entwickelt, in denen Active Directory bereitgestellt wird und die auf ihren Domänencontrollern Windows 2000 Server oder höher ausführen. Diese Voraussetzungen müssen für diese Lösung erfüllt sein, da der RADIUS-Entwurf auf einer Reihe von Entscheidungen basiert, die Features voraussetzen, welche nur in Domänen mit dem "einheitlichen Modus" von Windows 2000 oder höher verfügbar sind. Die folgende Tabelle enthält Angaben zur Unterstützung einiger der in dieser Lösung verwendeten Features durch die verschiedenen Domänenfunktionsebenen.

Tabelle 5.1: Windows-Domänenfeatures, die in der Lösung verwendet werden

Feature	Einheitlicher Modus von Windows Server 2003	Einheitlicher Modus von Windows 2000	Gemischter Modus oder Microsoft Windows NT® 4.0
Universelle und verschachtelte Gruppen	Ja	Ja	Nein
Benutzerprinzipalnamen (User Principal Names, UPNs)	Ja	Ja	Nein
Zugriffssteuerung über RAS-Richtlinien (im Benutzerkonto verfügbare Berechtigung)	Ja	Ja	Nein
Unterstützung für EAP-TLS	Ja	Ja	Nein

Hinweis: Für die Implementierung der Zertifikatsdienste für diese Lösung gelten ebenfalls Active Directory-spezifische Voraussetzungen. Weitere Informationen dazu finden Sie in Kapitel 4, "Entwerfen der Infrastruktur öffentlicher Schlüssel (PKI)".

Möglicherweise führt die Lektüre dieses Kapitels dazu, dass Sie sich entschließen, IAS auf Domänencontrollern bereitzustellen, auch wenn dies nicht zwingend erforderlich ist. Diese Lösung basiert auf IAS in Windows Server 2003. Daher müssen Sie für diese Lösung die Zieldomänencontroller auf diese Betriebssystemversion aktualisieren. Ausführlichere Informationen zur Installation von IAS auf Domänencontrollern finden Sie weiter unten in diesem Kapitel.

Vorhandene RADIUS-Infrastruktur

Diese Lösung enthält keine Hinweise zum Integrieren mit RADIUS-Servern, die in Ihrer Umgebung bereits vorhanden sind. Es ist jedcoh möglich, vorhandene IAS-basierte RADIUS-Server und RADIUS-Server anderer Hersteller mit dieser Lösung zu integrieren. Für Funktionen im Zusammenhang mit dem WLAN-Zugriff werden Sie in den meisten Fällen Windows Server 2003-IAS verwenden.

Sie können ältere Versionen von Windows-RADIUS-Servern auf Windows Server 2003 aktualisieren, um sie dann als RADIUS-Hauptserver in dieser Lösung einzusetzen. Sie können aber auch die vorhandenen RADIUS-Server so ändern, dass der RADIUS-Verkehr an die Windows Server 2003-basierten RADIUS-Server delegiert wird.

Eine umfassende Unterstützung für die Planung der Migration einer bereits vorhandenen RADIUS-Infrastruktur auf Windows Server 2003-IAS erhalten Sie bei Ihrem Microsoft-Partner oder bei Ihrem Microsoft Account Executive, der Ihnen den für Sie zuständigen Partner oder die entsprechenden Microsoft Consulting Services-Mitarbeiter nennen kann.

Zum Seitenanfang

Entwerfen der RADIUS-Infrastruktur

Wenn zur Unterstützung des 802.1X-basierten WLAN-Zugriffs IAS eingesetzt werden soll, sind eine Reihe von Entwurfsentscheidungen zu treffen. In diesem Abschnitt werden einige dieser Entscheidungen sowie die für diese Lösung gewählten Optionen beschrieben. Prüfen Sie bei jeder Entscheidung genau, inwieweit sie sich auf Ihre Umgebung übertragen lässt.

Festlegen der Rolle von IAS als RADIUS-Server

IAS-Server können eine der folgenden drei konzeptionellen RADIUS-Rollen übernehmen:

•

RADIUS-Server

•

RADIUS-Proxyserver

•

RADIUS-Server und RADIUS-Proxyserver

Hinweis: In dieser Anleitung werden die Begriffe "RADIUS-Server" und "RADIUS-Proxyserver" für IAS-Server verwendet, die für die Ausführung dieser Rollen konfiguriert sind.

In der nachfolgenden Tabelle sind einige der Funktionen von mit diesen Rollen konfigurierten Servern aufgeführt, und es wird beschrieben, wie diese in der Praxis genutzt werden können.

Tabelle 5.2: RADIUS-Rollen von IAS-Servern

IAS-RADIUS-Rolle	Berechtigungen	Szenario
RADIUS-Server	Gleicht die Anmeldeinformationen direkt mit Active Directory oder anderen autorisierenden Datenquellen ab. Bestimmt anhand von RAS-Richtlinien, ob Zugriff auf das Netzwerk gewährt wird.	Für alle Szenarien zur Netzwerkzugriffsverwaltung erforderlich
RADIUS-Proxyserver	Leitet auf Anforderungen auf Basis der Anforderungseigenschaften weiter. Kann die RADIUS-Eigenschaften von Anforderungen bei der Übertragung anpassen. Sorgt bei RADIUS-Servergruppen für einen gleichmäßigen Lastenausgleich der RADIUS-Anforderungen.	Hilfreich in Szenarien mit mehreren Gesamtstrukturen, in denen Geräte für den Netzwerkzugriff gemeinsam genutzt werden. Hilfreich für die Bereitstellung von stark skalierbaren Frontend-/Backend-Netzwerkarchitekturen mit Authentifizierung, Autorisierung und Kontoführung. Hilfreich bei der Bündelung der Authentifizierung für externe Organisationen.
RADIUS-Server und RADIUS-Proxyserver	Kombination aus den beiden oben genannten Funktionen	Kombination aus den beiden oben genannten Szenarien

Nicht alle RADIUS-Rollen sind für alle Szenarien der Netzwerkzugriffsverwaltung erforderlich. Für die Verwaltung des WLAN-Zugriffs benötigen viele Unternehmen zum Beispiel lediglich die RADIUS-Serverrolle. Wenn Ihre Organisation jedoch plant, die WLAN-Infrastruktur für Benutzer und Geräte in mehreren Active Directory-Gesamtstrukturen zu verwenden, ist zusätzlich eine RADIUS-Proxyserverrolle zum Weiterleiten von Anforderungen an andere RADIUS-Server in den einzelnen Gesamtstrukturen nötig.

Der Einfachheit halber und aus Kostengründen beinhaltet die hier beschriebene Lösung ausschließlich IAS-Server, die als RADIUS-Server konfiguriert sind. Eine Implementierung von IAS als RADIUS-Proxyserver erfolgt dabei nicht.

Grundlegendes zu Server-Failover und Lastenausgleich

RADIUS stellt in jeder Lösung für die Verwaltung des 802.1X-basierten WLAN-Zugriffs eine kritische Komponente dar. Die Verfügbarkeit des WLAN für die Endbenutzer ist abhängig von der Verfügbarkeit der IAS-Server für WLAN-APs. Sie sollten daher sicherstellen, dass stets mindestens zwei IAS-Server für WLAN-APs zur Verfügung stehen. Bei den meisten modernen WLAN-APs können zwei RADIUS-Server für die Authentifizierung und zwei RADIUS-Server für die Kontoführung konfiguriert werden. Damit ist sichergestellt, dass sich der Verlust des Kontakts zu einem einzelnen RADIUS-Server nicht negativ auf die Dienstverfügbarkeit für die WLAN-Clients auswirkt.

Wenn aus Gründen der Ausfallsicherheit mehrere Server implementiert werden sollen, wählen viele Organisationen ein Schema, bei dem Anforderungen von den als RADIUS-Clients konfigurierten WLAN-APs gleichmäßig auf die RADIUS-Server verteilt werden, damit nicht ein einzelner Server auf eine Ressource beschränkt ist.

Bei der Auswahl einer Lastenausgleichsstrategie ist zu beachten, dass 802.1X zwischen den WLAN-APs und den RADIUS-Servern EAP-RADIUS (EAP innerhalb von RADIUS) implementiert. RADIUS verwendet zwar das verbindungslose UDP (User Datagram Protocol), EAP ist aber ein innerhalb von RADIUS getunneltes sitzungsorientiertes Protokoll. Das bedeutet praktisch, dass mehrere EAP-RADIUS-Pakete, die zusammen eine einzelne Authentifizierungsoperation ergeben, an denselben RADIUS-Server zurückgegeben werden müssen. Anderenfalls schlagen die Authentifizierungsversuche fehl.

In der folgenden Tabelle sind mehrere Optionen aufgeführt, mit deren Hilfe sichergestellt werden kann, dass die RADIUS-Clients sowohl für die Sicherstellung der Verfügbarkeit als auch für den Lastenausgleich der RADIUS-Anforderungen mehrere RADIUS-Server nutzen.

Tabelle 5.3: EAP-RADIUS-Optionen für Failover und Lastenausgleich

Methode für Failover und Lastenausgleich	Vorteile	Nachteile
IAS-Proxys mit RADIUS-Servergruppen	RADIUS-Dienstausfallerkennung mit Failover und Failback Verteilung der Verkehrslast entsprechend den Verkehrseigenschaften Aufrechterhaltung des EAP-Sitzungszustands beim Lastenausgleich Konfigurierbare Anforderungsverteilung an Server auf der Grundlage der Prioritäts- und Gewichtungseinstellungen	Es sind zusätzliche IAS-Server erforderlich. Die APs müssen weiterhin mit primären und sekundären Proxy-RADIUS-IPs konfiguriert werden.
Primäre und sekundäre RADIUS-Servereinstellungen bei WLAN-APs	Einfachere Konfiguration für kleine Umgebungen WLAN-AP erkennt Fehler im Datenverkehr und führt ein Failover aus. Nutzt die native Funktionalität des WLAN-AP.	Erfordert eine sorgfältige Planung und Überwachung der Auswahl des primären und des sekundären RADIUS-Servers. Viele WLAN-APs unterstützen die Failback-Funktion nicht, was dazu führt, dass die Server nicht gleichmäßig belastet sind.

Unternehmen und große Netzwerkdienstanbieter sollten für die Annahme von Anforderungen von RADIUS-Clients und für die gleichmäßige Verteilung der Last auf RADIUS-Server, die in RADIUS-Servergruppen konfiguriert werden können, RADIUS-Proxys verwenden. Die Verteilung des Netzwerkverkehrs an die RADIUS-Server in den RADIUS-Servergruppen kann anhand verschiedener konfigurierbarer Elemente erfolgen. Zu diesen Elementen gehören der RADIUS-Verkehrstyp und die RADIUS-Attribute sowie Prioritäts- und Gewichtungswerte. Die RADIUS-Server in den einzelnen RADIUS-Servergruppen können dann die zentrale Authentifizierung und Autorisierung von Benutzern und Geräten in einer Domäne oder einer ganzen Gesamtstruktur übernehmen. Damit entsteht eine Frontend-/Backend-Architektur für die Bearbeitung von RADIUS-Anforderungen, die in Bezug auf Lastenausgleich und Skalierungsoptionen maximale Flexibilität bietet.

Abbildung 5.2: Failover und Lastenausgleich über RADIUS-Proxys

Die einfache Failover-Funktionalität von RADIUS-Servern in modernen WLAN-APs bietet jedoch für die meisten Organisationen ein ausreichendes Maß an Ausfallsicherheit. Falls nicht, lässt sich relativ problemlos eine Migration auf eine RADIUS-proxyserverbasierte Failover- und Lastenausgleichsstrategie bewerkstelligen. Ein Nachteil bei der Verwendung einer WLAN-AP-basierten Failover- und Lastenausgleichsstrategie besteht im Verwaltungsaufwand, der erforderlich ist, um die WLAN-APs mit den RADIUS-Servern zu verknüpfen, die gleichmäßige Belastung der RADIUS-Server zu überwachen und bei Bedarf Änderungen vorzunehmen. Ein weiterer Nachteil ist, dass einige WLAN-AP-Modelle kein Failback unterstützen. Von "Failback" wird gesprochen, wenn ein Zugriffspunkt, der im Rahmen eines Failovers auf einen sekundären RADIUS-Server umgeschaltet hat, wieder zum eigentlichen primären RADIUS-Server zurückschaltet, sobald dieser seinen Dienst wieder aufgenommen hat. Ohne Failback kann es passieren, dass alle WLAN-Zugriffspunkte auf ihre sekundären RADIUS-Server umschalten, ohne automatisch wieder zum primären Server zurückschalten zu können, so dass der Administrator eingreifen muss.

So lässt sich mit einer WLAN-AP-basierten Failover-Strategie mit mehreren lokal verfügbaren RADIUS-Servern ein gleichmäßiger Lastenausgleich erzielen:

•

Konfigurieren Sie die Hälfte der WLAN-APs an den einzelnen Standorten so, dass diese zunächst den primären RADIUS-Server verwenden und erst auf den sekundären RADIUS-Server zurückgreifen, wenn der primäre Server ausfällt.

•

Konfigurieren Sie die andere Hälfte der WLAN-APs an den einzelnen Standorten so, dass diese zuerst den sekundären RADIUS-Server verwenden und auf den primären RADIUS-Server nur zurückgreifen, wenn der sekundäre Server ausfällt.

Hinweis: Die Begriffe "primär" und "sekundär" bedeuten nicht, dass die Server Unterschiede in ihrer Funktionalität aufweisen sie sind vollkommen gleichwertig. Die Begriffe dienen hier lediglich zur Unterscheidung der Server im Rahmen der Failover-Besprechung.

Abbildung 5.3: Failover und Lastenausgleich auf WLAN-AP-Basis

Um mit einer WLAN-AP-basierten Failover-Strategie die Last in Zweigstellen gleichmäßig zu verteilen, in denen ein RADIUS-Server lokal und ein RADIUS-Server remote verfügbar ist, müssen Sie alle WLAN-APs in den Zweigstellen so konfigurieren, dass diese den lokalen RADIUS-Server als primären Server verwenden. Konfigurieren Sie dann den remoten RADIUS-Server als sekundären Server, der verwendet wird, wenn der primäre Server ausfällt.

Abbildung 5.4: Failover und Lastenausgleich auf WLAN-AP-Basis mit lokalen und remoten RADIUS-Servern
Bild in voller Größe anzeigen

Achten Sie in Zweigstellen darauf, dass die WLAN-APs den primären RADIUS-Server verwenden, sobald dieser wieder verfügbar ist. Anderenfalls müssen Sie die WLAN-APs manuell neu konfigurieren, um unnötigen WAN (Wide Area Network)-Datenverkehr für den RADIUS-Dienst zu vermeiden.

Hinweis: Erkundigen Sie sich beim Hersteller Ihrer Hardware, inwieweit dessen Produkte Failbackfunktionalität besitzen.

RADIUS-Server in Zweigstellen sind optional. Anstelle dieser Server können über ein WAN auch zentralisierte RADIUS-Server verwendet werden. Ohne einen lokalen RADIUS-Server und Domänencontroller sind aber Benutzer bei Ausfall des WAN nicht in der Lage, auf das lokale WLAN zuzugreifen.

In der hier beschriebenen Lösung wird mit AP-basiertem Server-Failover und manueller Konfiguration des Lastenausgleichs gearbeitet. Weitere Informationen zum Planen einer RADIUS-Infrastruktur, die RADIUS-Proxys für Server-Failover und Lastenausgleich verwendet, finden Sie im Kapitel "Deploying IAS" im Microsoft Windows Server 2003 Deployment Kit. Einen Verweis auf dieses Dokument finden Sie am Ende dieses Kapitels.

Protokollierungsanforderungen

Sie können IAS-Server so konfigurieren, dass sie zwei unterschiedliche Informationsarten protokollieren:

•	Erfolgreiche und abgelehnte Authentifizierungsereignisse
•	Informationen zur RADIUS-Authentifizierung und RADIUS-Kontoführung

Erfolgreiche und abgelehnte Authentifizierungsereignisse von Geräten und Benutzern, die auf das WLAN zuzugreifen versuchen, werden von IAS standardmäßig im Systemereignisprotokoll von Windows Server 2003 aufgezeichnet. Die im Ereignisprotokoll gespeicherten Informationen zur Authentifizierung sind vor allem bei der Behebung von Authentifizierungsproblemen hilfreich, können aber auch zu Sicherheitsüberprüfungs- und Sicherheitswarnzwecken verwendet werden.

Anfänglich sollten Sie die Optionen für die Protokollierung von erfolgreichen und abgelehnten Zugriffsversuchen aktiviert lassen. Wenn sich das System stabilisiert hat, können Sie aber auch die Option für die Protokollierung von Erfolgreich-Ereignissen deaktivieren. Diese Vorgehensweise empfiehlt sich, weil die Protokollierung erfolgreicher WLAN-Zugriffe das Systemereignisprotokoll schnell füllen würde. Wenn die Option für die Protokollierung von RADIUS-Authentifizierungsanforderungen aktiviert ist, ist diese Option auch aus Sicherheitssicht nicht unbedingt erforderlich.

Große Unternehmen sollten Tools zur unternehmensweiten Überwachung, wie z. B. Microsoft Operations Manager (MOM), verwenden, um mit benutzerdefinierten Skripts auf IAS-Ereignisse im Systemereignisprotokoll reagieren zu können. So kann ein entsprechend angepasstes MOM-Skript beispielsweise eine Zunahme an IAS-Ereignissen mit abgelehnten Authentifizierungsversuchen erkennen und einen Administrator benachrichtigen, damit dieser eingreifen kann.

IAS bietet darüber hinaus die Möglichkeit, Informationen zu Authentifizierung und Netzwerkzugriffssitzung in Form von RADIUS-Anforderungsprotokollen zu speichern. Sie können dabei die Optionen einzeln aktivieren und deaktivieren und so die folgenden Informationen in Ihre RADIUS-Anforderungsprotokolle aufnehmen:

•	Kontoführungsanforderungen z. B. Meldungen zum Starten und Anhalten der Aufzeichnung von Kontoführungsinformationen, die den Beginn und das Ende einer Netzwerkzugriffssitzung anzeigen
•	Authentifizierungsanforderungen z. B. "access-accept"- oder "access-reject"-Meldungen, die anzeigen, ob Authentifizierungsversuche erfolgreich waren oder abgelehnt wurden
•	Periodische Statusberichte z. B. zwischenzeitliche Kontoführungsanforderungen, die einige Netzwerkzugriffsgeräte senden

RADIUS-Anforderungsprotokolle sind besonders für Unternehmen wie Netzwerkdienstanbieter hilfreich, die ihren Kunden Gebühren entsprechend der Netzwerknutzung berechnen. Sie können die RADIUS-Anforderungsprotokolle aber auch zur Überwachung und Prüfung der Sicherheit verwenden. Mithilfe von RADIUS-Authentifizierungs- und -Kontoführungsprotokollen können Sicherheitsprüfer insbesondere Folgendes ermitteln:

•	ausführliche Informationen zu nicht autorisierten Authentifizierungsversuchen gegenüber dem WLAN
•	Dauer der zugelassenen Verbindungen zum WLAN

Die Protokollierung durch IAS kann in Textprotokollen und in Microsoft SQL Server 2000-Datenbanken erfolgen. Textbasierte Protokollierung von Informationen zur RADIUS-Authentifizierung und RADIUS-Kontoführung ist in IAS standardmäßig deaktiviert. Vor der Aktivierung der textbasierten RADIUS-Protokollierung sollten Sie Folgendes beachten:

•	Sprechen Sie mit den für die Sicherheit zuständigen Mitarbeitern, um sich über die Anforderungen für die Nachverfolgung von WLAN-Zugriffsinformationen zu informieren.
•	Prüfen Sie die textbasierte RADIUS-Protokollierung vorab in einer Testumgebung, um die Anforderungen an die Serverhardware (Festplatte und CPU) während des Lastenausgleichs des Verkehrs von Ihren WLAN-Benutzern zu ermitteln. Beim WLAN-Zugriff werden erheblich mehr Informationen generiert als bei anderen Arten des Netzwerkzugriffs.
•	Bestimmen Sie, welche RADIUS-Anforderungsinformationen (Authentifizierung, Kontoführung und periodischer Statusbericht) erforderlich und welche optional sind. Beim WLAN-Zugriff können enorme Mengen an Informationen generiert werden, die sehr schnell sehr viel Speicherplatz belegen.
•	Legen Sie eine Strategie für den Zugriff, die Speicherung und Archivierung von Informationen aus RADIUS-Anforderungsprotokollen fest. Sie können die RADIUS-Anforderungsprotokollinformationen als Textdateien auf der Festplatte der einzelnen IAS-Server oder in einer SQL Server-Datenbank speichern.

Für große Unternehmen, die RADIUS-Kontoführungsprotokolle benötigen, empfiehlt sich die Verwendung der SQL Server-Protokollierungsfunktionen von IAS. Sie können die RADIUS-Kontoführungsinformationen auf der MSDE (SQL Server Desktop Engine) auf den jeweiligen IAS-Servern protokollieren und dann diese Informationen auf einem zentralen SQL Server-Cluster replizieren. Mit dieser Strategie werden RADIUS-Kontoführungsdaten zur Erleichterung von Abfragen, der Berichterstattung und der Archivierung zentral und strukturiert gespeichert. Bei der SQL Server-Protokollierung in lokalen MSDE-Datenbanken entfällt außerdem das Risiko, dass IAS aufgrund von Netzwerkproblemen diese Informationen nicht protokolliert und dass Netzwerkzugriffsanforderungen, die auf den Kontoinformationen basieren, abgelehnt werden.

Auch Unternehmen ohne SQL Server 2000 bzw. ohne Mitarbeiter, die regelmäßig Abfragen durchführen, Berichte erstellen und RADIUS-Anforderungsprotokolle archivieren, sollten diese Informationen speichern, damit im Fall von Sicherheitsvorfällen entsprechende Nachforschungen möglich sind. In der vorliegenden Lösung wurden eine Reihe von Entwurfsentscheidungen zur RADIUS-Protokollierung getroffen. In der folgenden Tabelle finden Sie einen Überblick über diese Entscheidungen. Bestimmen Sie anhand dieser Informationen, welche Entscheidungen den Anforderungen in Ihrer Umgebung gerecht werden.

Tabelle 4: Entwurfsentscheidungen zur IAS-Protokollierung

Entwurfsentscheidungen zur IAS-Protokollierung	Bemerkungen
Die Standardgröße des Systemereignisprotokolls in der IAS-Gruppenrichtlinienvorlage im Windows Server 2003 Sicherheitshandbuch wurde erhöht, um IAS-Ereignisse aufnehmen zu können.	Wenn Sie die Protokollierung von RADIUS-Authentifizierungsanforderungen deaktivieren, werden die Sicherheitsereignisse beim WLAN-Zugriff standardmäßig im Systemereignisprotokoll protokolliert. Nehmen Sie keine leichtfertigen Änderungen an Einstellungen wie z. B. der Standardeinstellung Ereignisse bei Bedarf überschreiben vor, weil dadurch Prüfdaten überschrieben werden könnten, wenn das Protokoll voll ist.
Die Protokollierung von RADIUS-Authentifizierungs- und RADIUS-Kontoführungsanforderungen erfolgt in Textdateien.	Daraus ergeben sich bestimmte Voraussetzungen für die CPU und den Speicherplatz auf den IAS-Servern. Falls keine Protokollierung möglich ist, stoppt IAS die Prüfung der Authentifizierungs- und Kontoführungsanforderungen. Berücksichtigen Sie daher die Möglichkeit, dass der Speicherplatz für Protokolldateien durch DoS (Denial-of-Service)-Angriffe gefüllt werden könnte.
In den Spezifikationen zur IAS-Serverhardware in diesem Handbuch wird für die Protokolldateien ein separates Volume auf separaten physischen Datenträgern verlangt.	Auf diese Weise wird sichergestellt, dass die Schreibgeschwindigkeit bei der Protokollierung von RADIUS-Anforderungen die Verwaltung des RADIUS-Netzwerkzugriffs nur minimal beeinträchtigt. Mit dieser Entscheidung wird außerdem sichergestellt, dass Ereignisse, deren Protokollierung ein Volume füllt, keine Auswirkung auf die Wiederherstellbarkeit des Servers haben.
Die Optionen für die RADIUS-Authentifizierung und -kontoführung wurden aktiviert, die Option für periodische Statusberichte nicht.	Auf diese Weise wird sichergestellt, dass nur die wirklich wichtigen Informationen für das Ermitteln des Authentifizierungsstatus und der Sitzungsdauer protokolliert werden. Die Option zur periodischen Protokollierung des Status wurde ausgelassen, um die Anforderungen für die Protokolldateien gering zu halten. Die periodische Protokollierung des Status sollte nur dann erwogen werden, wenn Sie in Ihrer Umgebung Informationen zur Dauer der Benutzersitzungen benötigen.
Für die Speicherung der Protokolldateien zur RADIUS-Authentifizierung und -Kontoführung wurde ein ODBC-kompatibles Datenbankformat ausgewählt.	Auf diese Weise lassen sich die Protokolldateien zu Analysezwecken problemlos in ODBC-kompatible Datenbanken importieren. Diese Vorgehensweise wird generell empfohlen. Darüber hinaus können Sie zur Suche nach Dateien das Programm IASPARSE.EXE aus den Windows Server 2003-Supporttools verwenden.
Das Intervall für das Erstellen neuer Protokolldateien wurde auf Monatlich gesetzt.	Je größer das Intervall ist, desto weniger Protokolldateien werden generiert, was wiederum das Importieren der Protokolldateien in Datenbanken und das Durchsuchen der Dateien mit IASPARSE.EXE erleichtert, falls keine SQL Server-Protokollierung stattfindet. Diese Option sollte gegen das Risiko abgewogen werden, dass eine Festplatte mit einer einzigen Protokolldatei voll belegt wird.
Die Protokollierung von RADIUS-Anforderungen wurde so konfiguriert, dass jeweils die älteste Protokolldatei gelöscht wird, sobald der Datenträger voll ist.	Bei dieser Einstellung (Standard) besteht die Gefahr, dass Sicherheitsinformationen verloren gehen, wenn der Protokolldatenträger voll ist. Diese Einstellung wurde gewählt, um zu verhindern, dass die IAS-Server die Protokollierung einstellen, sobald die Protokolldatei voll ist. Wenn die Aufbewahrung der Sicherheitsprotokolle wichtiger ist als die Dienstverfügbarkeit, sollten Sie diese Einstellung deaktivieren.

Zentrale oder verteilte Server

Die Entscheidung, ob zentrale oder verteilte IAS-Server verwendet werden, hängt unter anderem von der geografischen Verteilung Ihrer Organisation und ihrer Bereitstellungsstrategie für die IT-Infrastruktur ab. Beachten Sie dabei, welche der folgenden drei Strategien für die IT-Infrastruktur Ihre Organisation am ehesten verfolgt:

•	eine zentralisierte IT-Infrastruktur
•	eine verteilte IT-Infrastruktur
•	eine Mischung aus zentralisierter und verteilter IT-Infrastruktur

Viele moderne IT-Organisationen bemühen sich darum, weniger, fehlerresistentere und zentralisiertere IT-Infrastrukturkomponenten bereitzustellen. Um dieses Ziel zu erreichen, sind erhebliche Investitionen in eine leistungsstarke und fehlerresistente WAN-Infrastruktur erforderlich, um sicherzustellen, dass Benutzern in den Zweigstellen in den Genuss derselben Dienstverfügbarkeit kommen wie Benutzer am Hauptsitz. Diese Strategie hat den Vorteil, dass Sie die Kosten einer verteilten Serverinfrastruktur auf die Netzwerkinfrastruktur und die Netzwerkbandbreite umleiten können. Darüber hinaus befindet sich die Serverinfrastruktur direkt dort, wo sich auch ausgebildete Datacenter-Mitarbeiter und -Techniker befinden, was der Verfügbarkeit zugute kommt.

Bei Organisationen mit ausfallsicheren Hochgeschwindigkeits-WANs kann die Zentralisierung der IAS-Server zur Senkung der Kosten einer 802.1X-WLAN-Lösung beitragen. Im Falle großer Organisationen sollte bei der Erstellung eines RADIUS-Serverentwurfs von einer solchen IT-Infrastrukturstrategie ausgegangen werden. Das RADIUS-Protokoll beansprucht nicht viel Netzwerkbandbreite und funktioniert gut über WAN-Verbindungen. Darüber hinaus müssen Sie bedenken, dass Protokolle wie DHCP beim Warten auf den Abschluss der 802.1X-Authentifizierung ihr Zeitlimit überschreiten können. Entscheidend ist auch, dass eine leistungsfähige Verbindung zwischen den IAS-Servern und den Domänencontrollern vorhanden ist, die die Benutzer und Gruppen umfassen, anhand derer in Ihrer Umgebung bestimmt wird, wer Zugriff auf das Netzwerk erhalten soll. Viele potenzielle Probleme mit 802.1X-Netzwerken können vermieden werden, indem sichergestellt wird, dass die IAS-Server und Active Directory über eine Hochgeschwindigkeitsverbindung miteinander in Kontakt bleiben.

Häufig jedoch sind IT-Organisationen die Kosten für Bandbreite, technisch hochwertige Netzwerkgeräte und redundante WAN-Verbindungen zu hoch, so dass sich ein Modell mit einer zentralisierten IT-Infrastruktur nicht trägt. Diese Organisationen verwenden stattdessen ein Modell mit einer dezentralisierten IT-Infrastruktur, bei der die Serverinfrastruktur auf Zweigstellen verteilt ist. Dieses Modell gewährleistet die ununterbrochene Verfügbarkeit des IT-Dienstes im Falle eines WAN-Ausfalls.

Eine dritte Strategie für die IT-Infrastruktur besteht in einer Mischung aus zentralisierter IT-Infrastruktur, wo dies möglich ist, und dezentraler IT-Infrastruktur in allen anderen Bereichen. Bei dieser Strategie kann der Großteil der IT-Infrastruktur in zentralen Standorten ("Hubs") konsolidiert werden, von denen aus sowohl die Benutzer am zentralen Standort als auch die Benutzer in den Zweigstellen bedient werden. Gleichzeitig erlaubt dieses Modell die Verteilung der Serverinfrastruktur auf Zweigstellen mit vielen Endbenutzern. Die folgende Abbildung zeigt ein Beispiel für eine Organisation mit solch einer gemischten IT-Infrastruktur.

Abbildung 5.5: Organisation mit einer Mischung aus zentralisierter und verteilter IT-Infrastruktur
Bild in voller Größe anzeigen

Die Lösung in diesem Handbuch berücksichtigt sowohl das zentralisierte als auch das dezentralisierte und gemischte Modell für die Bereitstellung der Serverinfrastruktur und bietet dabei Folgendes:

•

Anleitung zur Konfiguration großer Hubs mit zwei RADIUS-Servern, die sowohl lokale Anforderungen als auch Anforderungen von Zweigstellen ohne Serverinfrastruktur bedienen können

•

Unterstützung bei der Konfiguration von großen Zweigstellen mit einem optionalen RADIUS-Zweigstellenserver

Hinweis: Bei kleinen Zweigstellen, die keine Serverinfrastruktur besitzen, ist der Zugriff auf WLANs abhängig von der Verfügbarkeit des WAN.

Festlegen der Anzahl und Standorte der Server

Jede unabhängige Active Directory-Gesamtstruktur muss über mindestens zwei IAS-Server verfügen, die für Benutzer und Geräte in der Gesamtstruktur als RADIUS-Server dienen. Auf diese Weise wird sichergestellt, dass Netzwerkzugriffsanforderungen auch dann weiter bearbeitet werden, wenn einer der RADIUS-Server ausfällt.

Standorte an einem Hauptsitz mit vielen Benutzern sind gute Kandidaten für zwei und mehr RADIUS-Server. Wenn zwischen mehreren Hubs mit RADIUS-Servern ausreichende Bandbreite vorhanden ist, können Sie Ihre WLAN-APs so konfigurieren, dass sie bei Bedarf ein Failover zu den RADIUS-Servern im WAN durchführen. Wenn Sie den Einsatz von RADIUS-Servern im WAN planen, sollten Sie jedoch prüfen, ob in Ihrer Umgebung eine adäquate Netzwerkverbindung zwischen den RADIUS-Servern und den Domänencontrollern vorhanden ist, von denen sie abhängig sind. Darüber hinaus sollten Sie die Zeitüberschreitungswerte der WLAN-APs und der Clientcomputer prüfen und bei Bedarf die AP-Parameter ändern. Wenden Sie sich zum Abschluss den RADIUS-Servern in der Stammdomäne Ihrer Gesamtstruktur zu, um den Kerberos-Betrieb zu optimieren.

Zweigstellen, die groß genug sind, um für den Einsatz von Domänencontrollern infrage zu kommen, ohne aber über ausreichend stabile WAN-Verbindungen zu den Hubs zu verfügen, bieten sich als Standorte für lokale RADIUS-Server an. Wenn in Ihrer Organisation kein ausreichend widerstandsfähiges WAN vorhanden ist, sollten Sie die Anfangs- und Folgekosten eines IAS-Zweigstellenservers mit den Kosten vergleichen, die dadurch entstehen, dass WLAN-Benutzer bei Nichtverfügbarkeit des WAN keinen Zugriff auf das WLAN haben.

Ausführen von IAS und anderen Diensten auf einem gemeinsamen Server

Aufgrund der intensiven Kommunikation zwischen IAS und den Active Directory-Domänencontrollern können Sie die Leistung erhöhen, indem Sie IAS auf demselben Server wie Ihre Domänencontroller ausführen (und so Probleme aufgrund von Kommunikationsverzögerungen im Netzwerk ausschalten). Sie sollten jedoch gut überlegen, welche Implikationen das gleichzeitige Ausführen von IAS auf Ihren Domänencontrollern hat. In der nachfolgenden Tabelle sind einige dieser Überlegungen aufgeführt.

Tabelle 5.5: Überlegungen zur Ausführung von IAS auf Domänencontrollern

IAS-Standort

Vorteile

Nachteile

IAS auf Domänencontrollern

schnellere Authentifizierung und Autorisierung von Benutzern und Computern

weniger Serverhardware erforderlich

keine Trennung zwischen IAS-Administratoren und Domänenadministratoren

keine inhärente Trennung von Ausfall- oder Geschwindigkeitsproblemen der auf dem Server ausgeführten Dienste

IAS und Domänencontroller getrennt

Trennung von IAS-Administratoren und Domänenadministratoren

IAS-Last und IAS-Verhalten führen nicht zur Beeinträchtigung des Active Directory-Dienstes

Erfordert zusätzliche Serverhardware

Active Directory-Domänencontroller sind kritische IT-Infrastrukturkomponenten, die mit größter Sorgfalt behandelt werden müssen. In vielen großen Organisationen ist genau vorgegeben, wie viele zusätzliche Softwareprogramme oder Dienste zusätzlich auf Domänencontrollern ausgeführt werden dürfen, um die Zuverlässigkeit und Verfügbarkeit dieser Controller nicht zu beeinträchtigen.

Häufig haben der RADIUS-Administrator und der Active Directory-Administrator in diesen Organisationen getrennte Rollen. IAS ist eine optionale Komponente von Windows, und die Trennung von IAS-Administratoren und lokalen Windows-Administratoren ist nicht zwingend erforderlich. Aus diesem Grund sind bei einer Installation von IAS auf den Domänencontrollern die IAS-Administratoren auch Mitglieder der Sicherheitsgruppe "Domain Administrators".

Für diese Lösung wird die Windows Server 2003-Version von IAS benötigt. Sie müssen daher Ihre Domänencontroller auf Windows Server 2003 aktualisieren (sofern nicht bereits geschehen). Vor dem Aktualisieren Ihrer unter Windows 2000 Server laufenden Domänencontroller auf Windows Server 2003 müssen die folgenden Voraussetzungen erfüllt sein:

Tabelle 5.6: Voraussetzungen für das Aktualisieren von Domänencontrollern auf Windows Server 2003

Aspekt	Voraussetzungen	Kommentar
Windows Server 2003-Domänencontroller erfordern standardmäßig eine SMB-Signatur (Server Message Block) und die Verschlüsselung bzw. Signatur der sicheren Kanalkommunikation. Diese Voraussetzung kann zu Problemen mit früheren Versionen Windows-basierter Clients führen.	Aktualisieren Sie alle Clientcomputer in Ihrer Umgebung mindestens auf Microsoft Windows® 95 mit dem Active Directory-Client oder Windows NT 4.0 mit Service Pack 4 (SP4) oder höher.	Weitere Informationen dazu erhalten Sie auf der Website Windows Server 2003 Help and Support Center. Einen entsprechenden Link finden Sie im Abschnitt "Weitere Informationen" am Ende dieses Kapitels.
Windows Server 2003-Domänencontroller erfordern standardmäßig das Signieren und Verschlüsseln des sicheren Kanals. Diese Voraussetzung kann zu Konflikten mit Domänenvertrauensstellungen gegenüber Servern führen, auf denen Windows NT 4.0 ohne SP4 ausgeführt wird.	Aktualisieren Sie alle Domänencontroller in der älteren Domäne auf Windows NT Server 4.0 mit SP4 oder höher.	Weitere Informationen dazu erhalten auf der Website Windows Server 2003 Help and Support Center. Einen entsprechenden Link finden Sie im Abschnitt "Weitere Informationen" am Ende dieses Kapitels.
Vor der Installation von Windows Server 2003-Domänencontrollern muss eine Active Directory-Gesamtstruktur eingerichtet und die Domäne entsprechend vorbereitet werden.	Bereiten Sie die neue Gesamtstruktur vor der Aktualisierung der Domänencontroller in Ihrer Umgebung auf Windows Server 2003 mit dem Dienstprogramm ADPrep vor.	Dies hat keine Auswirkungen auf den Teilattributsatz (Partial Attribute Set, PAS) und führt damit nicht zum Neuaufbau des globalen Katalogservers.

Diese Lösung wurde so konzipiert, dass IAS und Active Directory bei Bedarf gemeinsam auf Ihren Domänencontrollern betrieben werden können. Beim Testen der Lösung wurde IAS an den Hubstandorten getrennt von Windows Server 2003-Domänencontrollern und in den Zweigstellen zusammen mit Windows Server 2003-Domänencontrollern ausgeführt.

Zu erwartende Belastung des RADIUS-Servers

IAS zeigt auf normaler Serverhardware gute Leistungen und kann mit zusätzlicher Hardware oder durch den Einsatz von RADIUS-Servergruppen beliebig skaliert werden. Es empfiehlt sich jedoch, die bei der IAS-Serverhardware durch WLAN-Clients hervorgerufene Last im Voraus zu ermitteln, um Engpässe bei Serverressourcen zu vermeiden, die sich negativ auf die Verfügbarkeit des Dienstes auswirken können.

Ein optimaler Entwurf sollte die für die Ausfallsicherheit mindestens erforderliche Anzahl von Servern beinhalten und dabei genügend Raum für künftige Erweiterungen lassen. Das ist besonders bei der Auswahl von Serverhardware für die Verwendung in einem WLAN-AP-basierten Lastenausgleichsmodell wichtig. Beim Wechsel von einem WLAN-AP-basierten Lastenausgleich zu einem RADIUS-proxyserverbasierten Lastenausgleich kann sich die Anzahl der mindestens erforderlichen Server von zwei auf fünf erhöhen (vorausgesetzt, die vorhandenen RADIUS-Server haben ihre maximale Kapazität erreicht).

Hinsichtlich der IAS-Serverlast muss Folgendes berücksichtigt werden:

•	Die Anzahl der Benutzer und Geräte, die eine Authentifizierung und Kontoführung benötigen
•	Authentifizierungsoptionen wie EAP-Typ und Häufigkeit der Neuauthentifizierung
•	RADIUS-Optionen wie Protokollierung und IAS-Softwareablaufverfolgung

Die Anzahl der Benutzer und Geräte, die Zugriff auf das WLAN benötigen, wird zum Ermitteln der IAS-Serverlast benötigt. Manche Unternehmen beschränken die Nutzung von WLANs auf eine bestimmte Gruppe von Benutzern wie z. B. Manager, während andere Unternehmen allen Benutzern Zugriff auf WLANs ermöglichen. Unabhängig von der Strategie Ihrer Organisation müssen Sie von dem Extremfall ausgehen, dass alle Benutzer und Geräte, die auf das WLAN zugreifen dürfen, innerhalb einer kurzen Zeitspanne authentifiziert und autorisiert werden müssen. Damit ist sichergestellt, dass IAS-Server für Zeiten hoher Last, zum Beispiel zu Hauptgeschäftszeiten oder kurz nach einem längeren Netzwerkausfall, gerüstet sind.

Die gewählten WLAN-Authentifizierungsoptionen wirken sich in großem Maße auf die IAS-Serverlast aus. Auf Zertifikaten basierende Protokolle, wie z. B. EAP-TLS, führen bei der ersten Anmeldung eine Authentifizierung mit öffentlichen Schlüsseln durch, die die CPU stark beansprucht. Danach wenden sie jedoch für alle nachfolgenden Anmeldungen die Strategie der schnellen Wiederherstellung der Verbindung an, bei der zwischengespeicherte Anmeldeinformationen verwendet werden. Diese Strategie wird eingesetzt, bis die Daten im Cache gelöscht werden (standardmäßig nach acht Stunden). Die vollständige erneute Authentifizierung findet immer dann statt, wenn ein WLAN-Client vom Einzugsgebiet eines Zugriffspunkts, der die Authentifizierung über einen bestimmten IAS-Server abwickelt, zum Einzugsgebiet eines anderen Zugriffspunkts wechselt, der zur Authentifizierung einen anderen IAS-Server verwendet (z. B. weil er sich in einem Gebäude an einen anderen Ort begibt). Diese servergespeicherte Neuauthentifizierung wird nur einmal zwischen jedem Client und IAS-Server durchgeführt und ist bei der Verwendung von EAP-TLS für den Endbenutzer transparent.

Sie können WLAN-Clients dazu zwingen, sich gegenüber den RADIUS-Servern erneut zu authentifizieren, um so die Verschlüsselungsschlüssel für die 802.11-WEP-Sitzung zu erneuern. Einige WLAN-AP-Modelle beinhalten Funktionen für die zeitgesteuerte Aktualisierung des WEP-Sitzungsschlüssels, ohne dass die RADIUS-Server die Clients zum regelmäßigen Neuauthentifizieren zwingen müssen. Dieses Feature ist herstellerspezifisch. Der WPA-Standard (WiFi Protected Access) umfasst erweiterte Verschlüsselungs- und Schlüsselverwaltungsfunktionen, die das Erzwingen einer regelmäßigen Neuauthentifizierung zum Erneuern der Sitzungsschlüssel überflüssig macht.

Daher sollte beim Entwerfen eines Modells für eine bestimmte Anzahl von Authentifizierungen, die jeder IAS-Server bearbeiten muss, das in der folgenden Tabelle aufgeführte Verhalten der verschiedenen Authentifizierungstypen berücksichtigt werden.

Tabelle 5.7: Verhalten der EAP-TLS-Authentifizierung

Authentifizierungstyp	Bemerkungen
Erste Computerauthentifizierung	Client führt eine vollständige Authentifizierung mit IAS durch.
Erste Benutzerauthentifizierung	Client führt eine vollständige Authentifizierung mit IAS durch.
Benutzer-Neuauthentifizierung beim Wechsel zwischen WLAN-APs	Client führt mit jedem IAS-Server einmal eine vollständige Authentifizierung durch und verwendet anschließend für weitere Authentifizierungen die schnelle Wiederherstellung der Verbindung.
Geräte-Neuauthentifizierung beim Wechsel zwischen WLAN-APs	Client führt mit jedem IAS-Server einmal eine vollständige Authentifizierung durch und verwendet anschließend für weitere Authentifizierungen die schnelle Wiederherstellung der Verbindung.
Zeitgesteuerte Computer-Reauthentifizierung	Client verwendet die zwischengespeicherte Authentifizierung
Zeitgesteuerte Benutzer-Reauthentifizierung	Client verwendet die zwischengespeicherte Authentifizierung

Die Anzahl von Authentifizierungen, die IAS bearbeiten kann, wird am besten in Authentifizierungen pro Sekunde angegeben. IAS kann auf einem Computer unter Windows Server 2003 mit Active Directory und einer Intel Pentium-4.2-GHz-CPU die unten angegebene Anzahl an Authentifizierungen bearbeiten.

Wichtig: Die Angaben in der folgenden Tabelle sind ohne Gewähr und stellen lediglich eine Richtlinie für die Planung der Kapazität dar. Sie sind nicht für einen Leistungsvergleich geeignet.

Tabelle 5.8: Authentifizierungen pro Sekunde

Authentifizierungstyp	Authentifizierungen pro Sekunde
Neue EAP-TLS-Authentifizierungen	36
Neue EAP-TLS-Authentifizierungen mit Offload-Card-Unterstützung	50
Fast-Reconnect-Authentifizierungen	166

IAS kann so konfiguriert werden, dass datenträgerbasierte Textprotokolle mit unterschiedlichen Mengen an RADIUS-Anforderungsinformationen erstellt werden. Aufgrund des erhöhten Aufwands, der sich für die RADIUS-Server aus der RADIUS-Protokollierung ergibt, sollten Sie einen hochleistungsfähigen Datenträger zur Speicherung der RADIUS-Protokolle einplanen. Langsame Festplattensubsysteme können die IAS-RADIUS-Antworten an WLAN-APs verzögern. Dies wiederum kann zu Zeitüberschreitungen bei der Protokollierung und zu einer unnötigen Nutzung der sekundären RADIUS-Server durch die WLAN-APs im Rahmen einer Failover-Strategie führen.

Darüber hinaus bedeutet die Aktivierung der Ablaufverfolgungsfunktionen für Windows 2003 Server-Software eine zusätzliche Last für Ihre IAS-Server. Diese Funktionen werden jedoch gelegentlich zum Beheben von Fehlern beim Netzwerkzugriff benötigt. Skalieren Sie daher Ihre IAS-Server so, dass sie für begrenzte Zeiträume mit aktivierter Ablaufverfolgung arbeiten und die Produktionslast dennoch bewältigen können.

Festlegen der Server-Hardwareanforderungen

Wählen Sie in der Windows Server 2003-Hardwarekompatibilitätsliste (HCL) die Serverhardware für IAS aus. Auf diese Weise vermeiden Sie Probleme im Zusammenhang mit Ausfallsicherheit und Kompatibilität, die bei ungeprüfter Hardware und nicht getesteten Gerätetreibern auftreten können.

Stellen Sie sicher, dass Ihre IAS-Server die empfohlenen Hardwarevoraussetzungen für Windows Server 2003 erfüllen. Berücksichtigen Sie unbedingt auch andere Dienste, die ebenfalls auf dem System ausgeführt werden könnten, wie z. B. Active Directory. Es empfiehlt sich häufig, die IAS-Serverhardware so zu planen, dass sie auch das Doppelte der von Ihnen erwarteten Authentifizierungslast pro Server bewältigen kann. So gewährleisten Sie, dass die entsprechenden Serverressourcen bereitstehen, um mit Serverfailoverszenarien und ungewöhnlichen Netzwerkzuständen umzugehen.

Die folgende Abbildung stellt anhand des Serverlayouts des fiktiven Unternehmens Woodgrove Bank ein Beispiel für den IAS-basierten RADIUS-Serverentwurf dar. Aus der Abbildung gehen der Standort und die Anzahl der IAS-Server hervor, die für die erwartete Benutzerverteilung und Last im Unternehmen erforderlich sind. Für die Zwecke dieses Handbuchs wurde aber nur ein Teil dieser Infrastruktur (unter Verwendung des Hubs in London und der Regionalbüros in Johannesburg) getestet.

Hinweis: Die Woodgrove Bank ist ein fiktives Unternehmen, das als typisches Beispiel für ein mittelgroßes bis großes Unternehmen fungiert. Ihre Netzwerkarchitektur und -merkmale bildeten die Grundlage für eine Reihe von Entwurfsentscheidungen zur Implementierung dieser Lösung.

Abbildung 5.6: Verteilung der Benutzer, WLAN-APs und IAS-Server der Woodgrove Bank
Bild in voller Größe anzeigen

Diese Lösung wurde mit zwei RADIUS-Servern in einem Hauptsitz mit 6.742 Benutzern konzipiert. Nur 50 % der Benutzer hatten Zugang zum WLAN. Das bedeutet, dass sich 3.371 Benutzer und die 3.371 Geräte dieser Benutzer zu den Hauptgeschäftszeiten per EAP-TLS bei den beiden RADIUS-Servern authentifizieren können. Jeder Server kann also während der 30-minütigen Hauptanmeldezeit 3.371 Authentifizierungen vornehmen. Die Last der Hauptanmeldezeit entspricht in etwa zwei neuen EAP-TLS-Authentifizierungen pro Sekunde mit der Kapazität, im Falle eines Serverfailovers vier neue Authentifizierungen pro Sekunde durchführen zu können.

Der Server wurde so konfiguriert, dass RADIUS-Authentifizierungs- und -Kontoführungsanforderungen in Textdateien protokolliert werden. Bei diesem Server handelte es sich um einen dedizierten RADIUS-Server; für Domänencontrollerdienste wurden andere Server eingesetzt. In die RADIUS-Serverhardwarespezifikation wurden von vornherein zusätzliche Kapazitäten für mögliche zukünftige Anforderungen an die Netzwerkzugriffssteuerung für Anwendungen wie VPN, drahtgebundene Netzwerke und DFÜ-Zugriff eingebaut.

Die folgende Tabelle gibt einen Überblick über die während des Tests dieser Lösung verwendete IAS-Serverhardware.

Tabelle 5.9: Getestete Serverhardware

Ressource	Konfiguration
CPU	Dual-CPU Pentium III mit 850 MHz
RAM	512 MB
Netzwerkkarten	Zwei Netzwerkkarten zur Ausfallsicherheit
Festplatten	Zwei 9-GB-Festplatten in einer RAID-1-Konfiguration (Volume C) für das Betriebssystem Zwei 18-GB-Festplatten in einer RAID-1-Konfiguration (Volume D) für Protokolldateien und Konfigurationsdaten

Die Hardwareanforderungen für Ihre IAS-Server werden vermutlich von den hier aufgeführten abweichen. Ermitteln Sie daher Ihre konkreten Anforderungen anhand der spezifischen Variablen für Ihr Unternehmen.

Festlegen der Server-Softwareanforderungen

Sie müssen bestimmen, ob für die IAS-Server in Ihrer Umgebung Windows Server 2003 Standard Edition oder Enterprise Edition verwendet werden soll. Windows Server 2003 Standard Edition kann maximal 50 RADIUS-Clients (z. B. WLAN-APS) und zwei Serverroutinggruppen unterstützen.

Diese Lösung wurde mit Windows Server 2003 Enterprise Edition für die RADIUS-Server am Hubstandort und mit Windows Server 2003 Standard Edition für RADIUS-Server in der Zweigstelle getestet. Die Lösung funktioniert aber auch mit den zuvor genannten Einschränkungen der beiden Softwareversionen gleichermaßen gut.

Abhängig von Ihrer Umgebung und den in Ihrem Unternehmen geltenden Standards können noch weitere Softwarekomponenten erforderlich sein, wie z. B.:

•	Sicherungs-Agenten
•	Verwaltungs-Agenten wie MOM oder Microsoft Systems Management Server (SMS) Clientkomponenten
•	Antivirensoftware
•	Systeme zum Schutz vor Eindringungsversuchen

Zum Seitenanfang

Erstellen eines Verwaltungsplans

IAS-basierte RADIUS-Server erfordern relativ wenig Wartung, um eine kontinuierliche Dienstverfügbarkeit und Netzwerksicherheit sicherstellen zu können. Sie sollten Ihre IAS-Verwaltungsstrategie jedoch bereits zu Beginn Ihres WLAN-Projekts festlegen, so dass Sie sicherstellen können, dass die entsprechenden Mitarbeiter für die Verwaltung der RADIUS-Infrastruktur geschult und ausgestattet werden.

Änderungs- und Konfigurationsverwaltung

Zum Sicherstellen der Dienstverfügbarkeit und der Netzwerksicherheit ist es überaus wichtig, einen als funktionierend bekannten Zustand der IAS-Server beizubehalten. IAS ermöglicht Transaktionsänderungen verschiedener Serverkonfigurationselemente über den Befehl netsh und macht daher ein einfaches Rollback für den Fall möglich, dass eine Änderung ein unvorhergesehenes Verhalten hervorruft.

Mithilfe des Befehls netsh können Sie die IAS-Konfiguration vollständig oder teilweise in Textdateien exportieren bzw. daraus importieren. Sie können diese Dateien verwenden, um IAS-Servereinstellungen zu replizieren und so Konfigurationsänderungen in großen Umgebungen schneller umzusetzen.

Die für die entsprechende Änderungs- und Konfigurationsverwaltung erforderlichen Aufgaben finden Sie in Kapitel 12, "Verwalten der RADIUS-Infrastruktur für die WLAN-Absicherung".

Planen der Dienstwiederherstellung

Um eine schnelle Wiederherstellung Ihres RADIUS-Dienstes nach einem Ausfall sicherstellen zu können, muss vorab eine sorgfältige Planung erfolgen. Zur Optimierung der Installation und Konfiguration von IAS stehen Ihnen die zusammen mit diesem Handbuch bereitgestellten Installationsskripts zur Verfügung. Mithilfe der ebenfalls bereitgestellten netsh-Skripts lassen sich die zum schnellen Wiederherstellen des IAS-Konfigurationsstatus notwendigen Schritte mühelos automatisieren. Weitere Informationen zu den Aufgaben im Zusammenhang mit der Wiederherstellung des Dienstes finden Sie in Kapitel 12, "Verwalten der RADIUS-Infrastruktur für die WLAN-Absicherung".

Planen von administrativen Berechtigungen

IAS ist eine optionale Komponente von Windows Server 2003 und erfordert daher kein anderes administratives Sicherheitsmodell als das des lokalen Servers. Die völlige Trennung der IAS-Verwaltung von der Verwaltung der lokalen Server ist nicht möglich. Eine gewisse Trennung können Sie durch eine benutzerdefinierte Entwicklung erreichen, indem Sie z. B. eine gesicherte Webanwendung erstellen, mit der über ein bevorzugtes Konto mit administrativen Berechtigungen für die lokalen Server Änderungen an der IAS-Konfiguration vorgenommen werden.

Dennoch ist es weiterhin wichtig, die erforderlichen Berechtigungen und Zugriffsanforderungen für die unterschiedlichen IAS-Ressourcen zu planen, um ein Modell mit möglichst wenigen Berechtigungen zu entwickeln. Die folgende Tabelle enthält Beispiele für Rollen und Aufgaben im Zusammenhang mit IAS-Servern.

Tabelle 5.10: Beschreibungen und Aufgaben von IAS-Rollen

Mitarbeiterrolle	Beschreibung der Rolle	Aufgaben
IAS Administrators	Mitarbeiter mit dieser Rolle führen täglich anfallende IAS-Verwaltungsaufgaben aus, wie z. B. Steuerung des IAS-Dienstes und IAS-Konfiguration.	Starten, Beenden, Abfragen und Konfigurieren des IAS-Dienstes und Ändern der IAS-Konfigurationsdatenbank
IAS Security Auditors	Mitarbeiter mit dieser Rolle dürfen ohne administrative Berechtigungen auf die sicherheitsrelevanten Informationen zugreifen.	Prüfung der RADIUS-Kontoführungs- und -Authentifizierungsprotokolldateien auf sicherheitsrelevante Ereignisse. Wenn die Protokollierung von RADIUS-Authentifizierungsanforderungen deaktiviert ist, ist es unter Umständen erforderlich, dass die IAS Security Auditors die Einträge im Systemereignisprotokoll auf IAS-bezogene Sicherheitsereignisse überprüfen und diese Einträge speichern. Dazu sind möglicherweise weitere Berechtigungen erforderlich.
IAS Backup Operators	Mitarbeiter mit dieser Rolle sind berechtigt, in regelmäßigen Abständen eine Sicherung der IAS-Server durchzuführen. Die Sicherungen enthalten den IAS-Konfigurationsstatus und Verlaufsdaten.	Verwalten von täglichen, wöchentlichen und monatlichen Sicherungen der IAS-Server.
WLAN-Helpdesk	Mitarbeiter, die die Benutzer beim Lösen von Problemen im Zusammenhang mit dem WLAN-Zugriff unterstützen.	Prüfen von IAS-Ereignissen im Systemereignisprotokoll, die mit der Benutzer- und Geräteauthentifizierung im Zusammenhang stehen, bzw. Anzeigen der Ereignisse, wenn diese auf ein anderes System repliziert werden.

Die folgende Tabelle gibt einen Überblick über die zum Durchführen der verschiedenen IAS-Serveraufgaben erforderlichen Ressourcenberechtigungen.

Tabelle 5.11: Für IAS-Serveraufgaben erforderliche Berechtigungen

Aufgabe	Gruppenmitgliedschaften	Erforderliche Berechtigungen bzw. Rechte
Beenden, Starten, Abfragen und Konfigurieren des IAS-Dienstes	Globale Domänengruppe der IAS Admins, die zur Gruppe der lokalen Administratoren auf den IAS-Servern gehört	Sie können die Dienstberechtigungen in Windows Server 2003 mit dem Befehl "SC" ändern. Bitte wenden Sie sich vor dem Ändern der Standardberechtigungen für Betriebssystemkomponenten an den Support von Microsoft.
Ändern der IAS-Konfiguration	Globale Domänengruppe der IAS Administrators, die zur Gruppe der lokalen Administratoren auf den IAS-Servern gehört	Die Berechtigungen werden für die IAS-Datenbankdateien im Verzeichnis C:\WINDOWS\system32\ias sowie für verschiedene Registrierungsschlüssel unter HKLM\System\CurrentControlSet\Services benötigt. Standardmäßig werden diese Berechtigungen den Mitgliedern der Sicherheitsgruppe "Local/Builtin Administrators" gewährt.
RADIUS-Zugriffsanforderungsprotokolle auf den IAS-Servern	Globale Domänengruppe der IAS Security Auditors	IAS-Prüfer müssen die RADIUS-Anforderungsprotokolle im Verzeichnis D:\IASLogs lesen und löschen können. Die Build-Unterstützung in dieser Lösung gewährt der Sicherheitsgruppe der IAS-Prüfer für dieses Verzeichnis die Berechtigung zum Ändern von NTFS und erstellt die Freigabe IASLogs mit der Berechtigung zum Ändern der Freigabe für die Sicherheitsgruppe der IAS-Prüfer.
Lesen und Speichern von IAS-Sicherheits-ereignissen aus dem System-ereignisprotokoll	Local Administrators oder Backup Operators auf den IAS-Servern	Diese Lösung unterstützt die Speicherung von RADIUS-Authentifizierungsprotokollen in Textdateien auf einem Datenträger. Daher benötigen IAS-Prüfer normalerweise keinen Zugriff auf IAS-Systemereignisprotokolle für Sicherheitsereignisse bei der RADIUS-Authentifizierung. Wenn Sie die Protokollierung der RADIUS-Authentifizierung jedoch deaktivieren, müssen IAS Security Auditors IAS-Ereignisse aus dem Systemereignisprotokoll lesen und speichern können. Systemereignisprotokolle können von Administratoren oder Backup Operators archiviert werden.
Ausführen von täglichen, wöchentlichen und monatlichen Sicherungen der IAS-Server	Backup Operators auf den IAS-Servern	Sichern der IAS-Server einschließlich des IAS-Konfigurationsstatus und der Verlaufsdaten, wie z. B. RADIUS-Anforderungsprotokolle Mitglieder der Sicherheitsgruppe der Backup Operators haben Zugriff auf die IAS-Datenbankdateien im Verzeichnis %systemroot%\system32\ias, auf verschiedene Registrierungsschlüssel unter HKLM\System\CurrentControlSet\Services, auf RADIUS-Anforderungsprotokolldateien im Verzeichnis D:\IASLogs und über den Befehl NETSH auf die Textdateien der IAS-Konfiguration im Verzeichnis D:\IASConfig.
Überprüfen von IAS-Authentifizierungsereignissen im Systemereignisprotokoll bei der Problembehandlung	Gruppenmitgliedschaft mit Leseberechtigung für das Systemereignisprotokoll	Erfahrenen Mitarbeitern im Bereich Problembehandlung sollte die Leseberechtigung für das Windows Server 2003-Systemereignisprotokoll zum Prüfen und Interpretieren von abgelehnten Ereignissen bei der IAS-Authentifizierung gewährt werden.

Sicherheitsüberwachung und -prüfung

IAS ist eine Komponente Ihrer Sicherheitsinfrastruktur, die Sie proaktiv überwachen sollten. Untersuchungen in der Sicherheitsindustrie haben gezeigt, dass erfolgreichen Angriffen in der Regel eine Reihe nicht erfolgreicher Angriffe vorausgehen. Proaktive Sicherheitsüberwachung der IAS-Server und der dazu gehörenden Protokolle im Hinblick auf verdächtiges Verhalten ist erforderlich, wenn Sie erkennen möchten, ob Ihr Netzwerk angegriffen wird.

In der folgenden Tabelle finden Sie eine Auflistung möglicher Bedrohungen, auf die Sie Ihre IAS-Serverinfrastruktur überwachen sollten.

Tabelle 5.12: Bedrohungen für die IAS-Serverinfrastruktur

Bedrohung/Anfälligkeit	Symptom	Überwachungstool
Autorisierungsversuch mit gestohlenen Anmeldeinformationen (beispielsweise von einem verloren gegangenen oder gestohlenen tragbaren Computer)	Erfolgreiche/abgelehnte Authentifizierungsereignisse (Quelle: IAS, ID 1 und 2) im Systemereignisprotokoll oder in den Protokollen der RADIUS-Authentifizierungsanforderungen, die auf Versuche hindeuten, gesperrte Zertifikate zu verwenden	MOM mit einem benutzerdefinierten Skript zum Analysieren von Einträgen im Ereignisprotokoll, die auf Versuche hindeuten, gesperrte Zertifikate zu verwenden Dateianalyseskripts oder SQL Server-Tools zur Suche nach Hinweisen auf die Nutzung von gesperrten Zertifikaten
Versuchter Man-in-the-middle-Angriff, der über einen manipulierten WLAN-AP durchgeführt wurde	Leistungsindikatoren des Systemmonitors für einen IAS-Server, die auf eine übermäßig große Anzahl der folgenden Vorkommnisse hinweisen: "Ungültige Echtheitsbestätigungen" (Attribut 'Bad Message Authenticator') oder "Ungültige Anforderungen" (von unbekannten RADIUS-Clients oder -Servern)	MOM mit einem benutzerdefinierten Skript zum Ermitteln dieser Systemmonitorindikatoren und zum Anzeigen einer Warnung
Versuchter DoS- oder Pufferüberlaufangriff auf den IAS-Serverdienst	Systemmonitorindikatoren für einen IAS-Server, die auf eine übermäßig große Anzahl der folgenden Vorkommnisse hinweisen: "Beschädigte Pakete" (Pakete mit beschädigten Daten), "Unbekannter Typ" (Nicht-RADIUS-Pakete empfangen) oder "Verworfene Pakete" (aus anderen Gründen verworfene Pakete)	MOM mit einem benutzerdefinierten Skript zum Ermitteln dieser Systemmonitorindikatoren und zum Anzeigen einer Warnung
Nicht autorisierter Authentifizierungsversuch	Einträge zu wiederholten fehlgeschlagenen Authentifizierungsversuchen (Quelle: IAS, ID 2) im Systemereignisprotokoll	MOM mit einem benutzerdefinierten Skript, um die Einträge im Ereignisprotokoll auf Muster für übermäßige Authentifizierungsablehnungen zu analysieren Dateianalyseskripts oder SQL Server-Tools zum Erkennen von Mustern für übermäßige Authentifizierungsablehnungen
Erfolgreiche Authentifizierung mit gestohlenen Anmeldeinformationen	RADIUS-Kontoführungsprotokolle enthalten Hinweise auf verdächtige Netzwerkaktivitäten	Microsoft Access zum Importieren von Protokollen und Ausführen von benutzerdefinierten Abfragen Berichte zum Ermitteln von in einer SQL Server-Datenbank gespeicherten Informationen zu ungewöhnlichen Netzwerkzugriffen

Neben der einfachen Sicherheitsüberwachung empfiehlt Microsoft, die IAS-Server regelmäßig auf potenzielle Sicherheitsprobleme zu prüfen und mithilfe Ihrer Überwachungstechnologie alle Anfälligkeiten, die Sie in Ihrer Netzwerkinfrastruktur gefunden haben, klar zu definieren und das daraus erwachsende Risiko zu mindern.

In der folgenden Tabelle sind potenzielle Bedrohungen für eine IAS-Serverinfrastruktur und die entsprechenden Technologien aufgeführt, anhand derer Sie Ihre IAS-Infrastruktur auf Sicherheitsprobleme überwachen können.

Tabelle 5.13: Proaktive Überwachung der IAS-Serverinfrastruktur auf Bedrohungen

Bedrohung/Anfälligkeit	Symptom	Überwachungstool
Schwache Berechtigung für IAS-Konfiguration und Verlaufsdaten	Nicht autorisierte Mitglieder der Gruppe der IAS Admins, der Gruppe der IAS Security Auditors oder der Gruppe der Local Administrators	Active Directory-Tools und Überwachungstools der lokalen Sicherheitsgruppe wie DumpSec von SomarSoft
Versuche, nicht erfolgreiche Authentifizierungsversuche zu verbergen	Das Systemereignisprotokoll wird unerwartet gelöscht.	Überwachung des Windows-Ereignisprotokolls mit Tools wie EventcombMT aus dem Windows Server 2003 Resource Kit. Ereignisprotokoll-Überwachungstool und -Warnungstool, z. B. MOM
Nicht autorisierte Änderung von RADIUS-Kontoführungs- und RADIUS-Authentifizierungsprotokollen	Unerwartete Benutzerkennung weist auf Schreiberfolge in Ordnerüberwachungsprotokollen hin.	Windows-Dateiüberwachungstool, z. B. MOM Die Dateiüberwachung muss aktiviert werden, um ungenehmigte Dateiänderungen feststellen zu können.

Zum Seitenanfang

Zusammenfassung

In diesem Kapitel wurde der Prozess der Erarbeitung eines RADIUS-Infrastrukturentwurfs für die Unterstützung eines sicheren WLANs auf 802.1X-Basis beschrieben. Der in diesem Kapitel beschriebene Entwurf einer RADIUS-Infrastruktur ist so flexibel, dass er sich für eine Vielfalt zukünftiger Anforderungen erweitern lässt. Sie können den Infrastrukturentwurf auch für andere Arten der Netzwerkzugriffsverwaltung verwenden.

Der in diesem Kapitel beschriebene Entwurf bildet die Grundlage für die in den nächsten Kapiteln beschriebene Implementierung der RADIUS-Infrastruktur. Im folgenden Kapitel wird näher auf den generischen RADIUS-Entwurf eingegangen, um so die 802.1X-Einstellungen und die WLAN-Infrastruktur zu beschreiben, die für die Implementierung der verbleibenden Komponenten der WLAN-Sicherheitsinfrastruktur nötig sind.

Weitere Informationen

Weitere Informationen zum IAS finden Sie unter:

•	Windows Server 2003 Support Center-Website unter http://support.microsoft.com/default.aspx?scid=fh;de-de;winsvr2003
•	Die Produktdokumentation enthält eine Übersicht über die IAS-Features, eine Konfigurationsanleitung und Informationen zu empfohlenen Vorgehensweisen für die Bereitstellung.
•	Microsoft Windows Server 2003 Technical Reference und Microsoft Windows Server 2003 Deployment Kit unter http://www.microsoft.com/windows/reskits/ default.asp (in englischer Sprache)
•	Kapitel "IAS Technical Reference" der Microsoft Windows Server 2003 Technical Reference unter http://www.microsoft.com/resources/documentation/windowsServ/2003/all/ techref/en-us/W2K3TR_ias_intro.asp (in englischer Sprache)
•	Dieses Kapitel enthält umfangreichere technische Informationen zum IAS als die Produktdokumentation und empfiehlt sich daher als Referenzquelle für weiterführende Informationen.
•	Kapitel "Deploying IAS" des Handbuchs Deploying Network Services im Microsoft Windows Server 2003 Deployment Kit unter http://www.microsoft.com/windowsserver2003/techinfo/reskit/deploykit.mspx (in englischer Sprache)
•	Dieses Kapitel enthält Bereitstellungsinformationen für den Einsatz von IAS in einer Vielzahl von Szenarien, die über den Umfang dieser Anleitung zur Absicherung des WLAN-Verkehrs hinausgehen, aber dennoch Einfluss auf die Entwurfsentscheidungen haben.

Weitere Informationen zu 802.1X-WLAN-Technologien finden Sie unter:

•	Whitepaper "Windows XP Wireless Deployment Technology and Component Overview" in Microsoft TechNet unter http://www.microsoft.com/technet/prodtechnol/winxppro/maintain/wificomp.mspx (in englischer Sprache)

Zum Seitenanfang

5 von 6

In diesem Beitrag

•	Überblick
•	Kapitel 2: Auswählen einer Strategie für die WLAN-Absicherung
•	Kapitel 3: Architektur der sicheren WLAN-Lösung
•	Kapitel 4: Entwerfen der Infrastruktur öffentlicher Schlüssel
•	Kapitel 5: Entwerfen der RADIUS-Infrastruktur für die WLAN-Absicherung
•	Kapitel 6: Entwerfen der WLAN-Absicherung mit 802.1X

Inhalt

Vollständige Lösung herunterladen
Sichern von Wireless LANs mit Zertifikatsdiensten (engl.)