Planungshandbuch - Sichern von Wireless LANs mit Zertifikatsdiensten
Kapitel 6: Entwerfen der WLAN-Absicherung mit 802.1X
Auf dieser SeiteEinführungIn diesem Kapitel werden die Architektur und der Entwurf der 802.1X-basierten sicheren WLAN-Komponenten für die WLAN-Lösung beschrieben. Es werden die Entwurfsentscheidungen veranschaulicht, die bei den Komponenten zur Absicherung eines drahtlosen Netzwerks zum Tragen kamen, und die Gründe für diese Entscheidungen dargelegt. Das Kapitel soll Ihnen vor allem dabei helfen zu bestimmen, inwieweit sich der Entwurf für Ihre eigene Organisation eignet. Wenn vorhanden, werden neben der in der Lösung verwendeten Option auch noch etwaige Entwurfsalternativen angegeben. Um Ihnen beim Verständnis der Auswirkungen des Schrittes zu helfen, ohne Sie dabei auf andere Dokumente verweisen zu müssen, werden einige Themen hier ausführlicher erläutert als unbedingt erforderlich. Voraussetzungen für das KapitelBevor Sie dieses Kapitel lesen, sollten Sie mit den Konzepten von 802.11-basierten WLANs, 802.1X-basierter Netzwerkzugriffssteuerung, RADIUS (Remote Authentication Dial-In User Service), Microsoft® Internet Authentication Service (IAS) sowie den Optionen zur Bereitstellung von WLANs unter Microsoft Windows® XP Professional vertraut sein. Nähere Informationen zu diesen Themen finden Sie in den Dokumenten, auf die am Ende dieses Kapitels im Abschnitt "Weitere Informationen" verwiesen wird. Eine besonders wertvolle Informationsquelle stellen das Microsoft Windows Server 2003 Resource Kit und das Microsoft Windows Server 2003 Deployment Kit (beide in englischer Sprache) dar. KapitelüberblickDie folgende Abbildung zeigt die Gliederung des Kapitels.  Abbildung 6.1: Planen der WLAN-Absicherung mit 802.1X Dieses Kapitel beschäftigt sich mit den folgenden sechs Hauptschritten:
802.1X und Verschlüsselung zum Absichern von WLANsDer Einsatz von Industriestandards wie IEEE 802.11 und 802.11b hat die immer weitere Verbreitung von WLANs zur Folge. Mithilfe von WLANs kann ein Benutzer in einem Gebäude oder auf dem Firmengelände von unterschiedlichen Stellen aus auf das Netzwerk zugreifen, sofern sich der Benutzer in der Nähe eines WLAN-AP befindet. WLANs sind zwar sehr bequem, bergen jedoch eine Reihe von Sicherheitsrisiken, wie z. B.:
Das erste Sicherheitsrisiko können Sie dadurch ausschließen, dass Sie IEEE 802.1X-WLAN-APs als RADIUS-Clients konfigurieren, damit Zugriffsanforderungen und Kontoführungsmeldungen an RADIUS-Server gesendet werden, auf denen IAS ausgeführt wird. IAS authentifiziert Benutzer sowie Geräte und steuert den Netzwerkzugriff durch zentralisierte RAS-Richtlinien. Das zweite Sicherheitsrisiko können Sie dadurch ausschließen, dass Sie Daten schützen, die zwischen den drahtlosen Geräten und WLAN-APs versendet werden. Verwenden Sie dazu die in die Netzwerkausstattung von 802.11 integrierten Funktionen der 128-Bit-WEP-Verschlüsselung oder der WPA-Verschlüsselung. Die statische WEP enthält schwerwiegende Sicherheitsmängel und bietet keine systemeigene Verwaltung der Verschlüsselungsschlüssel zur regelmäßigen Aktualisierung der Schlüssel. Dies kann dazu führen, dass Unbefugte die Verschlüsselungsschlüssel ermitteln und für ihre Zwecke einsetzen können. Bei der auf Zertifikaten basierenden Authentifizierung ermöglicht der IAS das dynamische Zuweisen strenger WEP-Schlüssel an Clientcomputer, auf denen Windows XP ausgeführt wird. Darüber hinaus können WEP-Schlüssel regelmäßig neu generiert werden, um Angriffstools außer Kraft zu setzen, die zur Ermittlung dieser Schlüssel eingesetzt werden. WPA ist Bestandteil des Sicherheitsstandards 802.11i für 802.11-basierte WLAN-Geräte. Diese Methode bietet eine erweiterte Verschlüsselung, die eine wesentlich höhere Sicherheit bietet als die statische WEP. Die in diesem Handbuch beschriebene Lösung eignet sich auch für den Einsatz mit WPA (dafür ist WPA-fähige Hardware und ein Update für den Windows XP-Client erforderlich). Authentifizierung mit Zertifikaten oder KennwörternMicrosoft bietet systemeigene Unterstützung für verschiedene Authentifizierungsmethoden an, die mit dem 802.1X-Protokoll eingesetzt werden können. In der Regel müssen Organisationen bei der Authentifizierung von WLAN-Clients wählen, ob die Authentifizierung auf Zertifikaten oder Kennwörtern basieren soll. Wie bereits erwähnt, kann die Wahl der Authentifizierungsmethode einen erheblichen Einfluss darauf haben, welche Infrastruktur Sie für Ihre Lösung benötigen. Der 802.1X-Standard verwendet ein Authentifizierungsschema mit der Bezeichnung EAP (Extensible Authentication Protocol), das es Ihnen ermöglicht, mit verschiedenen Authentifizierungstypen zu arbeiten. In der folgenden Tabelle werden die in einer Microsoft 802.1X-Infrastruktur verwendbaren EAP-Typen samt ihrer Vor- und Nachteile beschrieben. Tabelle 6.1: Vorteile und Nachteile der EAP-Typen
Die Empfehlung für den EAP-Typ lautet bei der zertifikatbasierten Clientauthentifizierung EAP-TLS und bei der kennwortbasierten Clientauthentifizierung EAP-MSCHAPv2 innerhalb von PEAP, auch als "PEAP-EAP-MSCHAPv2" bezeichnet. Die kennwortbasierte 802.1X-Authentifizierung mit PEAP und MSCHAPv2 ist eine kostengünstige und robuste Lösung. Sie eignet sich für Organisationen, die noch keine Zertifikatinfrastruktur implementiert haben und keine Zertifikate für andere Zwecke, wie z. B. für ein EFS (Encrypting File System) oder VPN, benötigen. Die Migration von der kennwortbasierten 802.1X-Authentifizierung zur zertifikatbasierten Authentifizierung ist problemlos möglich. Auf diese Weise kann Ihre Organisation später von einer Authentifizierungsmethode auf die andere Methode umsteigen. Zu beachten ist, dass auch bei einer kennwortbasierten Lösung mit PEAP auf jedem RADIUS-Server ein Zertifikat erforderlich ist. Wägen Sie daher die Kosten, die mit dem Erwerb der Serverzertifikate von einem kommerziellen Zertifikatanbieter verbunden sind, sorgfältig gegen den Nutzen einer Zertifikatinfrastruktur für Ihre Organisation ab. In der vorliegenden Lösung wird die zertifikatbasierte Clientauthentifizierung verwendet, da diese Authentifizierungsmethode eine höhere Sicherheit bietet. Die Authentifizierungsmethode verwendet das Protokoll EAP-TLS (Extensible Authentication Protocol-Transport Layer Security). Anweisungen dazu, wie Sie eine kennwortbasierte 802.1X-Lösung mit PEAP und MSCHAPv2 bereitstellen können, finden Sie in Kapitel 2 "Auswählen einer Strategie für die WLAN-Absicherung" und im ergänzenden Lösungshandbuch Sichern von WLANs mit PEAP und Kennwörtern, auf das am Ende dieses Kapitels verwiesen wird. Voraussetzungen für die LösungBevor Sie mit der Erarbeitung Ihres Entwurfs beginnen, müssen Sie die Umgebungsvoraussetzungen für die Lösung kennen. In diesem Abschnitt werden die Voraussetzungen erläutert. Anforderungen für ClientcomputerDie Lösung wurde mithilfe von Windows XP Professional mit Service Pack 1 entwickelt und getestet. Diese Version bietet bestimmte 802.1X- und WLAN-Funktionen, die eine äußerst kostengünstige und einfach zu verwaltende Lösung ermöglichen. Die Lösung wurde auf Clientcomputern mit Windows XP Professional und Windows XP, Tablet PC Edition getestet. Beide Windows XP-Versionen bieten eine automatische Zertifikatsregistrierung und die Erneuerung der computer- und benutzerspezifischen WLAN-Authentifizierungszertifikate, die für die Clientauthentifizierung mit EAP-TLS erforderlich sind. Allein dadurch lassen sich die Kosten, die normalerweise mit Zertifikaten und folglich mit einer zertifikatbasierten 802.1X-Lösung verbunden sind, deutlich senken. Microsoft stellt auch 802.1X-Clients für Windows 2000 (als kostenloses Download verfügbar) sowie für Windows 9x und Microsoft Windows NT® 4.0 bereit (für Kunden mit einer Supportvereinbarung kostenlos verfügbar). Diese Clients wurden mit der vorliegenden Lösung jedoch nicht getestet. Erforderliche Server-InfrastrukturDiese Lösung basiert auf den Zertifikatsdiensten und den IAS-Komponenten von Windows Server 2003. Einige Funktionen der Zertifikatsdienste und von IAS wurden speziell für 802.1X-basierte WLANs entwickelt. Einige der in dieser Lösung verwendeten Funktionen enthalten bearbeitbare Zertifikatvorlagen und RAS-Richtlinieneinstellungen, die es Ihnen ermöglichen, die für das 802.1X-Protokoll erforderlichen Einstellungen zur Bereitstellung zu vereinfachen. Die Lösung wurde sowohl für Windows Server 2003- als auch für Windows 2000-Active Directory-Umgebungen konzipiert. Getestet wurde sie allerdings nur auf Windows Server 2003-Domänencontrollern. Bei Bedarf können Sie auf den vorhandenen Domänencontrollern den Internetauthentifizierungsdienst (IAS) installieren. Informationen dazu, was im Zusammenhang mit dieser Option bei der Ausführung von IAS und Domänencontrollern auf demselben Server zu beachten ist, finden Sie in Kapitel 5, "Entwerfen der RADIUS-Infrastruktur für die WLAN-Absicherung". Erforderliche WLAN-AusstattungBei dieser Lösung wird davon ausgegangen, dass in Ihrer Organisation bereits eine durchdachte und voll funktionsfähige WLAN-Infrastruktur vorhanden ist. Dieses Handbuch enthält daher keinerlei Anweisungen zur Gestaltung des WLAN, also z. B. zu Fragen der Positionierung von WLAN-Zugriffspunkten (APs) und zur Kanalauswahl. Wenn Ihre Organisation noch keine WLAN-Infrastruktur besitzt, müssen Sie zunächst unter fachkundiger Anleitung eine solche Infrastruktur aufbauen, bevor Sie mit der Bereitstellung der WLAN-Sicherheitskomponenten beginnen. Die Netzwerkhardware muss 802.1X und 128-Bit-WEP für die Verschlüsselung unterstützen. In den Anweisungen zu dieser Lösung wird davon ausgegangen, dass die WLAN-Infrastruktur fehlerfrei funktioniert und dass entweder gar keine Sicherheitskontrollfunktionen oder nur grundlegende 802.11-Sicherheitskontrollfunktionen aktiviert sind. Bei der Migration von 802.11-WLANs vom Typ "Gemeinsamer Schlüssel" (statische WEP) oder vom Typ "Offenes System" (ungesichert) ist praktisch genauso vorzugehen. Es sollte möglich sein, solche Migrationen ohne größere Probleme durchzuführen. Überlegungen zu WLAN-SicherheitsoptionenFalls Sie dies noch nicht getan haben, so sollten Sie sich genügend Zeit nehmen, eine WLAN-Sicherheitsrichtlinie für Ihr Unternehmen zu planen. Bei der Planung sollten die Hardwareeinkäufer, die Verantwortlichen für die Erarbeitung von Sicherheitsrichtlinien, Usability-Experten, Netzwerktechniker und Netzwerkadministratoren einbezogen werden. Im Rahmen der Besprechung Ihrer Sicherheitsrichtlinien mit diesen Mitarbeitern sollte erörtert werden, wie Ihre Organisation den vorhandenen Bedrohungen begegnen will und welche Sicherheitsmaßnahmen diesbezüglich ergriffen werden sollen. In jedem Fall sollten Ihre WLAN-Sicherheitsrichtlinien dokumentiert und allen Benutzern Ihres Netzwerks zugänglich gemacht werden. Diese Lösung umfasse Sicherheitsmaßnahmen zur Reduzierung der mit der modernen WLAN-Technologie verbundenen Risiken. Sie ist jedoch nicht in der Lage, den Risiken zu begegnen, die dadurch entstehen, dass Benutzer in Ihrer Organisation ungesicherte, improvisierte Netzwerke und inoffizielle WLAN-APs betreiben. Entscheidung zwischen benutzer- und computerbasierter AuthentifizierungWenn es um die Identifikation bei einer WLAN-Infrastruktur geht, ist die Benutzerauthentifizierung sinnvoll. Um eine umfassende Sicherheitslösung für Ihr WLAN zu gewährleisten, empfiehlt es sich jedoch in den meisten Fällen, eine computer- (bzw. geräte)basierte Authentifizierung zu implementieren. Zahlreiche Funktionen in Windows XP Professional erfordern eine aktive Netzwerkverbindung. Durch die Verwendung der 802.1X-Computerauthentifizierung wird sichergestellt, dass die WLAN-Netzwerkverbindung bereits während des Hochfahrens des Computers eingerichtet wird, bevor der Benutzer den Windows-Anmeldebildschirm zu sehen bekommt. Der Computer führt eine Neuauthentifizierung beim WLAN aus, nachdem der Benutzer sich abgemeldet hat, und sorgt so dafür, dass stets eine Verbindung zum Netzwerk vorhanden ist. Tabelle 6.2: Argumente für die Verwendung einer Computerauthentifizierung
Die beste Strategie ist die Verwendung der benutzerbasierten Authentifizierung, wenn dies möglich ist, und die Verwendung der computerbasierten Authentifizierung, wenn dies erforderlich ist. Diese Lösung macht vom Standardverhalten des Windows XP Professional-802.1X-Clients Gebrauch, d. h., wenn kein Benutzer an der Computerkonsole angemeldet ist, wird eine Computerauthentifizierung durchgeführt, wenn sich ein Benutzer bei Windows anmeldet, erfolgt eine Benutzerauthentifizierung, und wenn sich der Benutzer abmeldet, kommt es wieder zu einer Computerauthentifizierung. Damit ist sichergestellt, dass bei der Authentifizierung im Netzwerk zu Kontoführungszwecken nach Möglichkeit die benutzerspezifischen Anmeldeinformationen zur Anwendung kommen, dass aber, wenn kein Benutzer angemeldet ist, auch die Windows-Funktionen fehlerfrei ausgeführt werden, für die Netzwerkzugriff erforderlich ist. Prüfen von zertifikatbasierten AnmeldeinformationenEs ist wichtig, dass im Rahmen Ihrer Strategie zur zertifikatbasierten WLAN-Authentifizierung die Anmeldeinformationen auf ihre Gültigkeit geprüft werden. Durch eine Überprüfung auf gesperrte Zertifikate können Sie verhindern, dass Clientzertifikate verwendet werden, die auf verloren gegangenen oder gestohlenen Computern gespeichert waren. Indem die Clients gezwungen werden, die Serverzertifikate zu verifizieren, lassen sich ausgeklügelte Man-in-the-Middle-Angriffe mit inoffiziellen APs und RADIUS-Servern besser verhindern. Windows bietet eine umfassende Unterstützung bei der Überprüfung von Zertifikaten im Rahmen von zertifikatbasierten Vorgängen. Sowohl IAS als auch die 802.1X-Features von Windows XP Professional können dank dieser Unterstützung prüfen und gewährleisten, dass die für EAP-TLS verwendeten Zertifikate gültig sind und eine vertrauenswürdige Sicherheitsprinzipale darstellen. Tabelle 6.3: IAS-Prüfung der Clientzertifikate
Windows XP Professional prüft die IAS-Serverzertifikate bereits standardmäßig. Tabelle 6.4: Prüfung der IAS-Zertifikate durch Windows XP
Bei der Authentifizierung im WLAN kann der Clientcomputer keine vollständige Überprüfung des Serverzertifikats auf eine eventuelle Sperre hin durchführen, weil der Netzwerkzugriff erst verfügbar ist, wenn die Authentifizierung erfolgreich abgeschlossen wurde. Sie sollten auch in Erwägung ziehen, die folgenden zusätzlichen Optionen zur Prüfung der Anmeldedaten (die vom Client ausgeführt werden) zu aktivieren, um die Sicherheit der Gültigkeitsprüfung zu erhöhen. Tabelle 6.4: Erweiterte Prüfung der Anmeldedaten des IAS-Zertifikats durch Windows XP
Beachten Sie, dass die Benutzer bei Aktivierung der Option zur Überprüfung von Antragstellernamen auf Clientcomputern aufgefordert werden, sich für eine Vertrauensstellung zu entscheiden. Darüber hinaus müssen Sie einen Verwaltungsprozess implementieren, damit die Antragstellernamen der zugelassenen Serverzertifikate auf den WLAN-Clients auf dem aktuellen Stand gehalten werden. Verwenden Sie dazu die Gruppenrichtlinienobjekteinstellungen für Drahtlosnetzwerkrichtlinien. Aus diesen Gründen sollte die Option bei dieser Lösung nicht implementiert werden. In einer Umgebung mit hohen Sicherheitsanforderungen sollten Sie bei der Entscheidung, ob eine Prüfung auf höherem Niveau erforderlich ist, auch die Gefahren berücksichtigen, die durch inoffizielle IAS-Server mit WLAN-APs entstehen. Die explizite Auswahl vertrauenswürdiger Stamm-CAs mindert das Risiko, dass Serverzertifikate von anderen CAs in der Liste der vertrauenswürdigen Stamm-CAs gefälscht sind. Allerdings macht diese Einstellung einen zusätzlichen Verwaltungsprozess erforderlich, mit dem sichergestellt wird, dass die Änderungen an vertrauenswürdigen Stamm-CAs sich auch in den WLAN-Clienteinstellungen widerspiegeln. Diese Einstellungen werden ebenfalls durch die Gruppenrichtlinienobjekteinstellungen der Drahtlosnetzwerkrichtlinien bereitgestellt. Festlegen von Anforderungen für die NetzwerkautorisierungDie Hauptziele bei der Entwicklung von Verwaltungsrichtlinien für den Netzwerkzugriff sind eine möglichst genaue Übereinstimmung mit den Sicherheitsrichtlinien in der Organisation und eine Minimierung der Verwaltungskosten. Unter diesen Aspekten bietet es sich an, mit einer zentralisierten Darstellung von Netzwerkautorisierungsrichtlinien, wie z. B. RAS-Richtlinien, zu arbeiten. Hinweis: Bei dieser Lösung erfolgt die Verwaltung der Netzwerkautorisierung durch eine IAS-RAS-Richtlinie. Weitere Informationen zu den Entscheidungen, die bei der Auswahl eines Verwaltungsmodells für RAS-Richtlinien eine Rolle spielen, erhalten Sie in den im Abschnitt "Weitere Informationen" am Ende dieses Kapitels genannten Dokumenten. Für jedes Unternehmen sollte eine flexible und gleichzeitig einfache Verwaltung der Netzwerkautorisierung im Vordergrund stehen. Eine vereinfachte Verwaltung kann dadurch erreicht werden, dass die Anzahl der RAS-Richtlinien verringert wird, ohne dabei die Einhaltung der Sicherheitsrichtlinien des Unternehmens zu beeinträchtigen. Festlegen von VerbindungskriterienIAS-RAS-Richtlinien können Verbindungen entweder zulassen oder ablehnen. Eine Richtlinie enthält verschiedene Kriterien, die erfüllt sein müssen, damit ein Verbindungsversuch erfolgreich verläuft. Mit der ersten gefundenen Richtlinie, die einer bestimmten Verbindung entspricht, wird bestimmt, ob der Zugriff zugelassen wird oder nicht. Die wichtigsten Verbindungsattribute, die die in der Richtlinie festgelegten Kriterien erfüllen müssen, lauten:
Darüber hinaus können Sie viele andere weitergehende Filterkriterien festlegen, wie z. B.:
Die vorliegende Lösung verwendet IAS-Verbindungskriterien, die auf der Domänensicherheitsgruppe und dem Typ des Quellnetzwerks (und nicht auf der Uhrzeit, der Authentifizierungsmethode oder anderen Kriterien) basieren. Dadurch wird sichergestellt, dass die RAS-Richtlinien für einen bestimmten Netzwerkzugriffstyp (z. B. drahtlos, VPN, drahtgebunden oder DFÜ) und Clientgruppen erstellt werden, die Richtlinienkriterien aber möglichst weit gefasst sind, um die Anzahl der erforderlichen Richtlinien zu minimieren. Hinweis: Diese Lösung verwendet zur Festlegung, welche Benutzer und Computer auf das WLAN zugreifen dürfen, benutzerdefinierte Sicherheitsgruppen ("Remote Access Policy – Wireless Users" und "Remote Access Policy – Wireless Computers"). Wenn alle Domänenbenutzer und -computer auf das WLAN zugreifen können sollen, können Sie diesen benutzerdefinierten Sicherheitsgruppen die Gruppen "Domänenbenutzer" und "Domänencomputer" hinzufügen und so die Verwaltung vereinfachen. Festlegen von VerbindungsbeschränkungenNachdem eine Verbindung autorisiert wurde, legt die RAS-Richtlinie zudem Verbindungsbeschränkungen und andere Attribute fest, die für diese Verbindung gelten sollen. Zu diesen Attributen gehören u. a.:
Zusätzlich können Sie der Verbindung die folgenden Attribute zuweisen:
Die Anzahl der RAS-Richtlinien, die Ihre Organisation benötigt, richtet sich hauptsächlich nach der Anzahl der verschiedenen Benutzertypen, die einen Zugriff auf das WLAN benötigen. So benötigen z. B. Vollzeitangestellte in den meisten Organisationen einen vollständigen, uneingeschränkten Zugriff auf das gesamte Unternehmensnetzwerk. Dagegen müssen Vertrags- und Geschäftspartner oft nur auf bestimmte Anwendungen in Subnetzen zugreifen. Verbindungseinschränkungsprofile unterscheiden sich je nach RAS-Richtlinie. Wenn unterschiedliche Verbindungseinschränkungsprofile benötigt werden, sind daher auch mehrere RAS-Richtlinien erforderlich. In der folgenden Tabelle werden die verschiedenen Benutzertypen anhand von Beispielen beschrieben. Außerdem enthält die Tabelle Beispiele für Verbindungseinschränkungen, die Sie mithilfe von RAS-Richtlinien anwenden können. Tabelle 6.6: Beispiele für WLAN-Verbindungseinschränkungen
Bei dieser Lösung wird lediglich Support für authentifizierte Vollzeitangestellte konfiguriert. Deshalb ist nur eine einzelne RAS-Richtlinie mit einem vereinfachten Verbindungseinschränkungsprofil erforderlich. Falls in Ihrer Organisation weitere Anforderungen zu berücksichtigen sind, beispielsweise die Unterstützung von eingeschränktem Zugriff durch Benutzer auf das WLAN, müssen Sie zusätzliche RAS-Richtlinien dafür hinzufügen. Weitere Informationen zum Planen zusätzlicher Arten von RAS-Richtlinien erhalten Sie in den Dokumenten, die im Abschnitt "Weitere Informationen" am Ende dieses Kapitels aufgeführt sind. Auswählen einer Strategie zur ClientkonfigurationDas Automatisieren der Konfigurationseinstellungen für Clientcomputer ist ein wichtiger Schritt zur Senkung der mit der Bereitstellung einer WLAN-Absicherung verbundenen Kosten. Außerdem können durch diese Automatisierung Supportprobleme minimiert werden, die sich aus falsch konfigurierten Einstellungen ergeben. Windows XP Professional verfügt über ausgereifte Features, mit denen sich der Aufwand für das manuelle Konfigurieren und Neukonfigurieren der 802.1X-Sicherheitseinstellungen reduzieren lässt. Mit Windows Server 2003 ist es darüber hinaus möglich, die Clientkonfiguration mithilfe der Einstellungen für Drahtlosnetzwerkrichtlinien in der Gruppenrichtlinienfunktion vollständig zu automatisieren. Diese Lösung verwendet zum automatischen Konfigurieren aller WLAN-Clients die Drahtlosnetzwerkrichtlinien-Funktion in Windows Server 2003. Sie können den Clientcomputern diese Gruppenrichtlinienobjekteinstellungen schon zuweisen, bevor diese WLAN-Netzwerkschnittstellenkarten (WLAN-NICs) erhalten. Auf diese Weise können die Endbenutzer einfach die WLAN-NICs installieren und mithilfe der über das Gruppenrichtlinienobjekt (GPO) bereitgestellten WLAN-Einstellungen automatisch eine Verbindung zum sicheren 802.1X-WLAN herstellen. Festlegen von VerschlüsselungsanforderungenBei der Festlegung einer Strategie für den Schutz Ihres WLAN-Verkehrs sollten Sie berücksichtigen, dass die Sicherheitsbedrohungen, denen die 802.11-WEP-Verschlüsselung ausgesetzt ist, einer ständigen Weiterentwicklung unterliegen. Wie bereits zuvor erwähnt, ist es für bestimmte böswillige Benutzer möglich, die kryptografischen Schwachstellen in WEP für Angriffe zur Ermittlung des WEP-Verschlüsselungsschlüssels auszunutzen. Für einen solchen Angriff muss der Eindringling mehrere Millionen Pakete abfangen, die alle mit demselben Verschlüsselungsschlüssel gesichert wurden. Daher besteht die beste Strategie zur Bekämpfung der Sicherheitsgefahren für ein WEP-basiertes WLAN darin sicherzustellen, dass die zum Verschlüsseln des Netzwerkverkehrs verwendeten Schlüssel in regelmäßigen Abständen erneuert werden. Eine solche Erneuerung kann so häufig erfolgen, dass ein Angreifer nicht mehr in der Lage ist, ausreichend Verkehr abzufangen, um den Verschlüsselungsschlüssel erfolgreich zu ermitteln. Erreichen können Sie dies, indem Sie die IAS-RADIUS-Optionen so festlegen, dass eine automatische Neuauthentifizierung der Clients erzwungen wird, was dann zu einer Neugenerierung des WEP-Schlüssels führt. Bei dieser Lösung werden die IAS-RADIUS-Optionen so konfiguriert, dass sich Windows XP-Clients alle zehn Minuten neu authentifizieren müssen. Damit wird die kurze Gültigkeit der WEP-Sitzungsschlüssel gewährleistet. Diese Entscheidung wurde auf Grundlage der zum Zeitpunkt des Verfassens dieses Beitrags bekannten WEP-Angriffstools und -szenarien getroffen. Die einfache WEP-Verschlüsselung enthält eine Reihe von Schwachstellen, wie z. B. die schlechte Sequenzierung des Initialisierungsvektors (IV), die ein Angreifer ausnutzen kann, um die Schlüssel noch schneller zu ermitteln. Stellen Sie daher sicher, dass Ihre APs weniger vorhersehbare und damit stärkere IVs generieren können. Wichtig: Ein Sitzungszeitlimit von 10 Minuten ist für viele Szenarien eventuell zu kurz. Kurze Zeitlimits bedeuten eine hohe Last auf den IAS-Servern. Darüber hinaus ist es bei kurzen Zeitlimits auch eher möglich, dass die IAS-Server vorübergehend nicht verfügbar sind, wodurch die Clients ihre Verbindung zum WLAN verlieren. Aus diesen Gründen können Sie ein längeres Zeitlimit von 60 Minuten verwenden, ohne dass die Sicherheit des WLAN ernsthaft in Gefahr gerät. Durch die Verwendung von EAP-TLS ist sichergestellt, dass während des TLS-Verhandlungsprozesses eindeutige WEP-Sitzungsschlüssel erstellt und diese sicher im Netzwerk zwischen den einzelnen Komponenten der Lösung transportiert werden. Im Unterschied zur statischen WEP werden die Verschlüsselungsschlüssel nie wiederverwendet und zu keinem Zeitpunkt von Clients gemeinsam genutzt. Auswählen einer Strategie für die WLAN-MigrationWenn Sie bereits mit einem WLAN arbeiten, sollten Sie vorab eine Migrationsstrategie planen, damit Benutzer und Umgebung möglichst wenig gestört werden. Studien haben gezeigt, dass bei vielen Organisationen 802.11-basierte WLANs im Einsatz sind, bei denen auf Netzwerkauthentifizierung oder Datenschutz verzichtet wird. Diese Art der 802.11-Netzwerksicherheitsstrategie bezeichnet man als Authentifizierung mit offenem System. Bei anderen Organisationen sind statische Schlüssel zur Netzwerkauthentifizierung und Verschlüsselung implementiert. Diese Art der 802.11-Netzwerksicherheitsstrategie wird auch als Authentifizierung mit gemeinsamem Schlüssel bezeichnet. Die Migration von Netzwerksicherheitsmodellen auf 802.1X-Absicherung läuft mit offenem System ähnlich ab wie mit gemeinsamem Schlüssel. Ein Hauptunterschied liegt darin, dass die Absicherung mit gemeinsamem Schlüssel einen gewissen Sicherheitsschutz bietet, weshalb die Migration von diesem Sicherheitstyp aus für viele Unternehmen bequemer ist. Die Migration von einer dieser Authentifizierungsstrategien zum 802.1X-Sicherheitsmodell umfasst typischerweise die folgenden Schritte:
Wie bei allen Migrationsstrategien kommt es auf eine sorgfältige Planung an. Beim Konfigurieren der Clientcomputer und WLAN-APs kann es unbeabsichtigterweise zu Störungen in Ihrer Umgebung kommen. Sie sollten daher die beabsichtigten Änderungen vor der Bereitstellung gründlich testen. Hinweis: Einige WLAN-APs unterstützen das Konfigurieren eines 802.11-Kanals für die statische WEP-Absicherung und eines anderen 802.11-Kanals für 802.1X. Aufgrund von Problemen mit der Kanaltrennung bei 802.11 ist diese Strategie jedoch für viele Organisationen nicht praktikabel. Besprechen Sie mit den Herstellern Ihrer WLAN-Geräte, inwiefern diese in der Lage sind, WLAN-APs und WLAN-NIC-Upgrades auf WPA zu unterstützen. WPA wird in Windows XP SP2 unterstützt. Außerdem gibt es von Microsoft auch eine entsprechende Aktualisierung für Windows XP ohne SP2. Planen Sie darüber hinaus für die Zukunft eine Aktualisierung Ihrer WLAN-Infrastruktur auf die Unterstützung des Standards 802.11i ein. Im Rahmen einer solchen Aktualisierung ist wahrscheinlich auch eine Aktualisierung der Firmware auf Ihren APs und WLAN-NICs erforderlich. Dieses Handbuch beschäftigt sich nicht mit der Migrationsplanung für Produktions-WLANs, die auf herstellerspezifische Sicherheitsoptionen oder eine Absicherung mit offenem System/gemeinsamem Schlüssel zurückgreifen. Hilfe bei der ausführlichen Planung einer Migration von Produktions-WANs erhalten Sie bei Ihrem Microsoft-Ansprechpartner. Sie können sich auch an den Microsoft Account Executive wenden, der Ihnen einen Mitarbeiter von Microsoft Consulting Services vermittelt. Entwerfen der WLAN-NetzwerkinfrastrukturEine ausführliche Diskussion über 802.11-basierte WLAN-Geräte und Netzwerkentwurf würde den Rahmen dieses Handbuchs übersteigen. Allgemeine Hinweise und Anleitungen zu diesem Thema finden Sie im WLAN-Kapitel im Microsoft Windows Server 2003 Deployment Kit. Bei der Entwicklung der Lösung wurde auf eine Unterstützung verschiedenster Produkte von unterschiedlichen Netzwerkgeräteherstellern Wert gelegt. Ausführliche Anleitungen zur Planung und Einbindung konkreter WLAN-AP-Produkte würden jedoch den Rahmen dieser Lösung sprengen. Bei der Entscheidung zu den Sicherheitseinstellungen und der Sicherheitsverwaltung Ihrer 802.11-Geräte sollten Sie sich in der Dokumentation zu Ihrer Hardware über die folgenden Themen informieren:
Weitere Informationen zu diesen Themen und zur Konfiguration von WLAN-APs entnehmen Sie bitte der jeweiligen Herstellerdokumentation, oder wenden Sie sich an einen Experten. Einige der Punkte werden auch im Thema "802.11 Wireless Network Technical Reference" in der Windows Server 2003 Technical Reference (in englischer Sprache) behandelt, zu der es im Abschnitt "Weitere Informationen" am Ende dieses Kapitels einen entsprechenden Link gibt. Überlegungen zu WLAN-GruppenrichtlinienSprechen Sie die Strategie zum Anwenden von WLAN-Gruppenrichtlinien auf Clientcomputer mit Ihren für die Domänen-GPOs zuständigen Administratoren ab. Die folgende Tabelle enthält eine Aufstellung der wichtigsten Entscheidungen, die Sie für Ihre eigene Umgebung treffen müssen, sowie der Einstellungen, die für diese Lösung ausgewählt wurden. Tabelle 6.7: Planen einer Drahtlosnetzwerkrichtlinie
Hinweis: Diese Lösung gewährt einer benutzerdefinierten Sicherheitsgruppe ("Drahtlosnetzwerkrichtlinie – Computer") die Berechtigung "Richtlinie anwenden" für das GPO "Drahtlosnetzwerkrichtlinie". Welche Computer die WLAN-GPO-Einstellungen erhalten, richtet sich daher nach der Zugehörigkeit zu dieser Gruppe. Wenn alle Computer die WLAN-Konfigurationseinstellungen erhalten sollen, können Sie die Gruppe "Domänencomputer" bzw. "Authentifizierte Benutzer" zu dieser Gruppe hinzufügen und so die Verwaltung vereinfachen. Sie sollten sich dabei aber im Klaren sein, dass damit die Richtlinieneinstellungen auf alle Server und Clients in der Domäne ("Domänencomputer") bzw. in der Gesamtstruktur ("Authentifizierte Benutzer") angewendet werden. Diese Lösung verwendet eine einfache Verwaltungsstrategie für Drahtlosnetzwerkrichtlinien, die darin besteht, dass ein einzelnes GPO erstellt und mit dem Domänenobjekt verbunden wird. Das bedeutet, dass alle Computer in der Domäne, die ebenfalls Mitglied der Gruppe "Drahtlosnetzwerkrichtlinie Computer" sind, die Richtlinieneinstellungen erhalten. Es empfiehlt sich häufig, weitergehende Standards für die Gruppenrichtlinienverwaltung zu erstellen und Ihre Drahtlosnetzwerkrichtlinien entsprechend anzuwenden. Viele Organisationen benötigen aber nur ein Gruppenrichtlinienobjekt "Drahtlosnetzwerkrichtlinie" (auch wenn Sie beschließen, dieses GPO mit einem anderen Standort als dem Domänenobjekt zu verbinden). Festlegen der für 802.1X-WLANs erforderlichen SoftwareeinstellungenZur Gewährleistung der 802.1X-WLAN-Absicherung müssen Sie die folgenden beiden wichtigen Softwarekomponenten der Lösung konfigurieren:
Die IAS-Netzwerkzugriffsrichtlinie ist das Kernstück Ihrer Lösung für die Verwaltung des Netzwerkzugriffs. Auf jedem IAS-basierten RADIUS-Server werden auf automatisierte Weise Einstellungen bereitgestellt, die Ihre WLAN-Sicherheitsrichtlinie repräsentieren. Die Richtlinie beinhaltet Einstellungen für:
RAS-Richtlinien sorgen dafür, dass der Zugriff auf Ihre Netzwerke ausschließlich über Ihre WLAN-APs erfolgt. Verbindungsanforderungsrichtlinien legen fest, wie RADIUS-Anforderungen von verschiedenen WLAN-APs verarbeitet werden, die als RADIUS-Clients konfiguriert wurden. Eine Active Directory-Gruppenrichtlinie für Clientcomputer enthält sämtliche Einstellungen, die auf Windows XP-basierten Clientcomputern bereitgestellt werden. Diese Gruppenrichtlinie beeinflusst die Clientinteraktion mit den WLAN-APs, dem RADIUS-Server und anderen drahtlosen Netzwerken. Konfigurieren von RAS-RichtlinienSie müssen die Erstellung von RAS-Richtlinien auf IAS-Servern so planen, dass sie der Unternehmensstrategie für drahtlosen Netzwerkzugriff entsprechen. Beim Erstellen und Konfigurieren von RAS-Richtlinien müssen für jede Richtlinie die folgenden drei Einstellungstypen eingerichtet werden:
Die Lösung verwendet eine einzelne RAS-Richtlinie, die Vollzeitangestellten uneingeschränkten Zugriff auf das drahtlose Netzwerk ermöglicht. In der folgenden Tabelle werden die Bedingungen für die RAS-Richtlinien aufgeführt, die für diese Lösung ausgewählt wurden. Tabelle 6.8: Bedingungen für RAS-Richtlinien
Die Richtlinienberechtigung für die RAS-Richtlinie in dieser Lösung ist auf Zugriff gewähren gesetzt, und Benutzerkonten sind mit der Einstellung Zugriff über RAS-Richtlinien steuern konfiguriert. In der folgenden Tabelle werden die in dieser Lösung verwendeten Profiloptionen der RAS-Richtlinie aufgeführt. Um den Anforderungen Ihrer Umgebung zu entsprechen, müssen Sie möglicherweise zusätzliche Einstellungen hinzufügen. Tabelle 6.9: Profiloptionen für die RAS-Richtlinie
Wichtig: Ein Sitzungszeitlimit von 10 Minuten ist für viele Szenarien eventuell zu kurz. Kurze Zeitlimits bedeuten eine hohe Last auf den IAS-Servern. Darüber hinaus ist es bei kurzen Zeitlimits auch eher möglich, dass die IAS-Server vorübergehend nicht verfügbar sind, wodurch die Clients schneller ihre Verbindung zum WLAN verlieren. Aus diesen Gründen können Sie ein längeres Zeitlimit von 60 Minuten verwenden, ohne dass die Sicherheit des WLAN ernsthaft in Gefahr gerät. Konfigurieren von VerbindungsanforderungsrichtlinienSie müssen planen, wie IAS RADIUS-Anforderungen verarbeitet, wenn er als RADIUS-Server und als ein RADIUS-Proxy arbeitet. Überlegungen zur Auswahl der RADIUS-Rolle für IAS finden Sie in Kapitel 5, "Entwerfen der RADIUS-Infrastruktur für die WLAN-Absicherung". Unabhängig davon, welche Rolle Sie für den IAS-Server auswählen, müssen Sie die folgenden Komponenten der Verbindungsanforderungsrichtlinien konfigurieren, bevor der Zugriff auf das WLAN möglich ist:
In dieser Lösung wird als RADIUS-Server IAS verwendet. Daher werden die Verbindungsanforderungen lokal auf dem jeweiligen Server verarbeitet. Die Einstellungen in der folgenden Tabelle zeigen die Richtlinienbedingungen auf, die in der Verbindungsanforderungsrichtlinie für die Lösung konfiguriert worden sind. Hinweis: Die Einstellungen der Verbindungsanforderungsrichtlinie in dieser Lösung verwenden die Standardwerte der Windows Server 2003-IAS-Installation. Tabelle 6.10: Bedingungen der Verbindungsanforderungsrichtlinie
In der folgenden Tabelle werden die Profileinstellungen aufgelistet, die in der Verbindungsanforderungsrichtlinie für diese Lösung verwendet wurden. Tabelle 6.11: Profileinstellungen für die Verbindungsanforderungsrichtlinie
Konfigurieren von Gruppenrichtlinien für ClientcomputerUm über Drahtlosnetzwerkrichtlinien (IEEE 802.11) die WLAN-Einstellungen und 802.1X-Sicherheitseinstellungen auf Clientcomputern konfigurieren zu können, muss vor der Verwendung der Active Directory-Gruppenrichtlinie eine entsprechende Planung erfolgen. In diesem Abschnitt werden einige der für diese Lösung gewählten Einstellungen beschrieben und die Hintergründe für die Auswahl dargelegt. Die Drahtlosnetzwerkrichtlinien (IEEE 802.11) finden Sie im Objekt "\Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Richtlinien für Drahtlosnetzwerke (IEEE 802.11)" im Gruppenrichtlinienobjekt-Editor. Konfigurieren der WLAN-EinstellungenDie WLAN-Einstellungen können Sie konfigurieren, indem Sie die Eigenschaften der WLAN-Richtlinienobjekte in der Gruppenrichtlinie bearbeiten. Dazu gehören die folgenden Typen von Eigenschaften:
In der folgenden Tabelle werden die allgemeinen Einstellungen der Drahtlosnetzwerkrichtlinie für diese Lösung veranschaulicht. Tabelle 6.12: Allgemeine Einstellungen für Drahtlosnetzwerkrichtlinien
Sie müssen auf der Registerkarte Bevorzugte Netzwerke der Drahtlosnetzwerkrichtlinie einen Eintrag für Ihre neue 802.1X-WLAN-SSID erstellen. Wurde ein bevorzugtes Netzwerk erstellt, müssen Sie die Standardwerte der Netzwerkeigenschaften bearbeiten. In der folgenden Tabelle werden die Netzwerkeigenschaftseinstellungen für das neu aktivierte 802.1X-Netzwerk in der Drahtlosnetzwerkrichtlinie aufgeführt, die für die Lösung festgelegt wurden. Tabelle 6.13: Eigenschafteneinstellungen für die Drahtlosnetzwerkrichtlinie
Konfigurieren der 802.1X-Einstellungen auf Clientcomputern802.1X-Einstellungen können Sie über Ihre Drahtlosnetzwerkrichtlinie konfigurieren. Dies betrifft die folgenden Typen von Einstellungen:
In der folgenden Tabelle werden die 802.1X-Einstellungen für das neu aktivierte 802.1X-Netzwerk in der Drahtlosnetzwerkrichtlinie für diese Lösung aufgeführt. Tabelle 6.14: 802.1X-Einstellungen für die Drahtlosnetzwerkrichtlinie
In der folgenden Tabelle werden die EAP-Einstellungen für das neu aktivierte 802.1X-Netzwerk in der Drahtlosnetzwerkrichtlinie für diese Lösung aufgeführt. Tabelle 6.15: EAP-Einstellungen für Drahtlosnetzwerkrichtlinien
In der folgenden Tabelle werden die Computerauthentifizierungseinstellungen für das neu aktivierte 802.1X-Netzwerk in der Drahtlosnetzwerkrichtlinie für diese Lösung aufgeführt. Tabelle 6.16: Optionen für das Verhalten bei der 802.1X-Computerauthentifizierung
Weitere ÜberlegungenHier werden weitere Themen besprochen, die von dieser Lösung nicht abgedeckt werden, jedoch Auswirkungen auf Ihre Umgebung haben könnten. Unterstützen von servergespeicherten Profilen und mobilen BenutzernAuf EAP-TLS basierende 802.1X-Komponenten von Windows sind davon abhängig, dass Zertifikate und Informationen zu privaten Schlüsseln im Zertifikatsspeicher auf Ihren Clientcomputern verfügbar sind. In vielen Organisationen arbeiten mobile Benutzer mit Notebooks oder Tablet-PCs, die sie überall hin mitnehmen. Die Zertifikate und Schlüsselinformationen sind daher stets verfügbar. Umfasst Ihre WLAN-Strategie aber auch Benutzer, die Computer gemeinsam nutzen, könnte eine Implementierung servergespeicherter Profile sinnvoll sein. Mit servergespeicherten Profilen können Sie sicherstellen, dass private Schlüsselinformationen und Zertifikate stets für die Verwendung in Ihrer 802.1X-basierten Umgebung verfügbar sind. Alternativ dazu können Sie mithilfe der Drahtlosnetzwerkrichtlinie Computer, auf denen Windows XP ausgeführt wird, so konfigurieren, dass eine reine Computerauthentifizierung durchgeführt wird. Die Option ist zwar in dieser Lösung nicht implementiert, sie könnte jedoch für manche Unternehmen vorteilhaft sein. Unterstützen von Clients ohne WLAN-VerbindungenFür große Organisationen ist es zwar nicht üblich, es gibt aber Umgebungen, in denen überhaupt kein drahtgebundenes LAN vorhanden ist. Eine drahtgebundene LAN-Infrastruktur ist jedoch erforderlich, damit Clientcomputer einer Domäne beitreten und Zertifikate und Gruppenrichtlinien empfangen können. Ohne Computer- und Benutzerzertifikate und die entsprechende WLAN-Clientkonfiguration können Benutzer nicht auf 802.1X-basierte WLANs zugreifen. Dieser Fakt gilt auch für Organisationen, bei denen ein drahtgebundenes Netzwerk im Einsatz ist, das grundsätzlich eine 802.1X-Authentifizierung erfordert. Falls Sie über keine WLAN-Infrastruktur verfügen, können Sie auch mit einer Strategie arbeiten, bei der Benutzer über "PEAP-MSCHAPv2" kennwortbasierte Anmeldeinformationen an den RADIUS-Server senden. Über die webbasierten Registrierungsseiten der Zertifikatsdienste wird die Verbindung zu einem kontrollierten VLAN hergestellt. Von dort können Benutzer Zertifikate registrieren und installieren, um mithilfe von "EAP-TLS" vollen Zugriff auf das Unternehmens-WLAN zu erhalten. Momentan liegt eine solche Strategie außerhalb der Möglichkeiten dieser Lösung. Erforderlich wären eine zusätzliche RAS-Richtlinie auf den IAS-Servern sowie ein bestimmter VLAN-Entwurf. ZusammenfassungIn diesem Kapitel wurde beschrieben, wie mithilfe des 802.1X-Protokolls eine WLAN-Absicherung entworfen werden kann. Dazu gehören Aufgaben wie das Bestimmen der WLAN-Voraussetzungen, das Abwägen von Sicherheitsüberlegungen, das Erarbeiten einer Strategie sowie weitere Überlegungen. Wenn Sie Ihren Entwurf auf Basis der in diesem Kapitel behandelten Optionen entwickelt haben, sollten Sie in der Lage sein, eine 802.1X-basierte WLAN-Absicherung in Ihrer Umgebung bereitzustellen. Der in diesem Kapitel vorgestellte Entwurf wird in den späteren Kapiteln, die sich mit dem Aufbau und dem Betrieb der Lösung beschäftigen, für die Implementierung der 802.1X-WLAN-Sicherheitsinfrastruktur verwendet. Weitere InformationenWeitere Informationen zur Absicherung von WLANs bieten die folgenden Quellen:
|
In diesem Beitrag
|
