Konfigurieren von drahtloser Sicherheit

Vorwort
Obwohl fast jeder ein drahtloses Netzwerk in ein paar Minuten einrichten kann, ist das Konfigurieren eines drahtlosen
Netzwerks mit Sicherheitsfunktionen sehr viel komplexer. Glücklicherweise bietet Windows Server 2003 all die Soft-
ware, die Sie zum Einsetzen einer drahtlosen Infrastruktur mit Authentifizierung, Verschlüsselung, Nachrichtenintegri-
tät und zur dynamischen Änderung von gemeinsamen geheimen Schlüsseln (für WEP) benötigen. Auf hohem Level
werden Sie durch folgende Schritte zum Konfigurieren einer drahtlosen Netzwerk-Infrastruktur geleitet:

  1. Planen der Richtlinien für drahtlosen Zugriff

  2. Erstellen einer Struktur zur Autorisierung von Benutzern und Computern für den Zugriff auf ein drahtloses Netzwerk

  3. Planen der Zertifikatsinfrastruktur und optional Einsetzen eines PKI

  4. Konfigurieren von IAS-Servern, einschließlich Zuweisen eines Zertifikats und Erstellen der RAS-Richtlinien

  5. Aktualisieren und Konfigurieren der Drahtlosclients mit SSID und Sicherheitseinstellungen

  6. Konfigurieren von WAP's mit Sicherheitseinstellungen und von IP-Adressen des IAS-Servers


Planen der Richtlinien für drahtlosen Zugriff

Es gibt mehrere Aspekte beim Planen der Richtlinien für drahtlosen Zugriff. Erstens ist es wichtig, Richtlinien für draht-
losen Zugriff zu planen, um zu verhindern, dass WAPs in Ihrem Unternehmen mit unzureichender Sicherheit installiert
werden. Sie sollten eine Richtlinie entwerfen, die mindestens die folgenden Anforderungen für neue WAPs erfüllt:

Authentifizierungsanforderungen: Generell sollten Sie anfordern, dass alle Benutzer des drahtlosen Netzwerks au-
thentifiziert werden und festlegen, ob PEAP oder EAP-TLS verwendet wird. Wenn Sie planen, Gästen den Zugriff auf
Ihr drahtloses Netzwerk zu ermöglichen, sollten Sie Vorkehrungen für WAPs treffen, die beschränkten Zugriff auf Ihr
internes Netzwerk gewähren, der nur von Gästen benutzt wird.

Sicherheitswarnung:
Wenn Sie Gästen Zugriff auf Ihr drahtloses Netzwerk gewähren und diese nicht zwingen, ein anderes IP-Subnetz zu be-
nutzen, fügen Sie eine Richtlinie hinzu, die besagt, dass sich keine Anwendung auf die IP-Quelladresse für die Authori-
sierung verlässt.

Verschlüsselung: Eine gewisse Stufe von Verschlüsselung ist immer notwendig. Wenn Sie keine drahtlosen Geräte
haben, die dies nicht unterstützen, sollte Ihre Richtlinie immer die höchste Verschlüsselungsstufe verlangen.

Physische Sicherheit: Wie jedes andere Netzwerk sollten WAPs durch Sperre und Schlüssel geschützt werden, um
Angreifer daran zu hindern, die Hardware zu manipulieren.

SSID Broadcasts und Benennungskonventionen: In Ihrer Richtlinie sollte festgelegt werden, ob WAPs zur Übertra-
gung der SSID, die Sicherheitseinstellungen, den Administratornamen und die Patchinganforderungen enthält.

Überwachungsanforderungen: Sie sollten festlegen, wie Verwendungsinformationen gesammelt werden und wie P-
rotokolle archiviert werden.

Neben den Dokumentierungsanforderungen für die Konfiguration von neuen WAPs sollten Sie definiert, wie Benutzer den
drahtlosen Zugriff verwenden können und wie nicht. Überlegen Sie, ob Sie die Tageszeiten einschränken, zu denen der
drahtlose Zugriff erfolgen kann und ob Sie die WAPs nach der Arbeitszeit physisch herunterfahren. Um die Wahrschein-
lichkeit zu vertrauenswürdigen drahtlosen Netzwerken verbunden sind, könnten Sie Benutzern untersagen, sich mit an-
deren Netzwerken als Ihrem eigenen zu verbinden oder den Zugriff auf eine Liste mit genehmigten Netzwerken beschrän-
ken.

Weitere Informationen: SANS bietet eine Vorlage für eine Richtlinie für drahtlose Kommunikation unter http:
//www.sans.org/resources/policies/Wireless_Communication_Policy.pdf.

Ein anderer Weg, um Richtlinien zur Kontrolle des Risikos zu verwenden, das mit drahtlosen Netzwerken assoziiert
wird, ist, festzulegen, dass von Endbenutzern verwaltete WAPs in den Computerbenutzungs-Richtlinien Ihre Unterneh-
mens nicht zugelassen werden. Die Angestellten sollten davon informiert werden, dass die Computerbenutzungs-Richt-
linien aktualisiert wurden und dass es ihnen nicht erlaubt ist, ein WAP mit dem Netzwerk des Unternehmens zu verbin-
den. Wenn Sie sich entscheiden, keine drahtlosen Netzwerke in Ihrem Unternehmen zu verwenden, müssen Sie diese
Strategie eher aktiv als passiv verfolgen. Sie sollten diese Entscheidung mit einer klaren Richtlinie absichern und sicher-
stellen, dass alle Angestellten diese Richtlinie kennen und sich der Konsequenzen bewusst sind, die aus einer Verletz-
ung der Richtlinie folgen würden. Überlegen Sie, ob Sie eventuell Scanvorrichtungen und Netzwerkpaketmonitore einse-
tzen, um den Einsatz von nicht autorisierten drahtlosen Geräten in Ihrem Netzwerk aufzudecken.

Planung:
Der effezienteste Weg, um die Benutzer von der Nutzung Ihrer eigenen WAPs abzuhalten, ist es, selbst drahtlosen Zu-
griff anzubieten und den Benutzern die Verbidnung möglichst leicht zu machen.

Entwerfen der Autorisierungsstrategie

Viele Unternehmen erlauben allen Computern und Bentuzern den Zugriff auf das drahtlose Netzwerk, andere Unterneh-
men wiederum beschränken den Zugriff. Auf Windows-Netzwerken sollten Sie den Zugriff auf drahtlose Netzwerke durch
die Verwendung von Domänensicherheitsgruppen beschränken. Es ist zwar möglich, die Einwahleigenschaften von Do-
mänen-Benutzerobjekten zum Gewähren oder Nicht-Gewähren von Zugriff für Einzelpersonen zu nutzen; dies für mehr-
ere Benutzer zu verwalten, ist jedoch zu aufwändig.

Eine Methode für diese Implementierung ist, eine verzweigte Struktur für die Zuordnung von Rechten zu erstellen. Erstel-
len Sie auf der obersten Stufe eine universielle Gruppe und gewähren Sie dieser Gruppe Zugriff durch einen RAS-Richt-
linie in IAS. Auf der zweiten Stufe erstellen Sie eine globale Gruppe für Benutzer und Computer der Domäne, die Zugriff
auf das drahtlose Netzwerk erhalten. Fügen Sie Sicherheitsgruppen-Benutzer hinzu und Gruppen, denen Zugriff auf das
drahtlose Netzwerk gewährt werden sollte. Ein Beispiel für eine solche Hierarchie wird in der unteren Abbildung gezeigt.

Bild von Seite 604

Sie sollten erreichen, dass alle drahtlosen Computer zur gleichen Domäne wie ihre IAS-Computer gehören. Es kann dr-
ahtlose Clients geben, die nicht Mitglied einer Domäne sind, Sie müssen dann aber die Einstellungen für drahtlose Ne-
tzwerkclients manuell konfigurieren, da GPOs nicht andwendbar sind. Wenn sich der Benutzer nicht in der Domäne an-
meldet, wird für die Benutzerauthentifizierung für das drahtlose Netzwerk eine separate Eingabeaufforderung für einen
Bentuzernamen und ein Kennwort benötigt.

Konfigurieren der Zertifikatsinfrastruktur

Unabhängig davon, welche Authentifizierungsmethode Sie wählen, Sie benötigen mindestens ein Computerzertifikat,
das die 802.1X-Authentifizierung verwendet. Dieses Zertifikat muss auf den IAS-Servern installiert sein, welche die
RADIUS-Dienste ausführen. Für die Computerauthentifizierung mit EAP-TLS müssen Sie ebenfalls ein Computerzerti-
fikat auf den Drahtlosclientcomputern installieren. Ein auf einem Drahtlosclientcomputer installiertes Computerzertifi-
kat wird zur Authentifizierung des Drahtlosclientcomputers verwendet, so dass der Computer eine Netzwerkverbindung
mit dem Unternehmensintranet aufbauen kann und vor der Benutzeranmeldung die Gruppenrichtlinien-Einstellungen her-
unterladen kann. Für die Benutzerauthentifizierung mit EAP-TLS, nachdem eine Netzwerkverbindung hergestellt wurde
und sich der Benutzer anmeldet, müssen Sie ein Benutzerzertifikat auf dem Drahtlosclientcomputer verwenden.

In der unteren Tabelle werden die Zertifikate zusammengefasst, die für die beiden Arten der unterstützten Drahtlos-Au-
thentifizierung installiert oder registriert werden müssen.

Authentifizierungstyp Zertifikate auf jedem Drahtlosclient Zertifikate auf jedem IAS-Computer
EAP-TLS Ein Computerzertifikat, ein oder mehrere Benutzerzertifikat(e) und das Stammzertifizierungstellen-Zertifikat für die Aussteller von IAS-Servercomputer-Zertifikaten Ein Computerzertifikat und das Stammzertifizierungsstellen-Zertifikat für die Aussteller von Drahtlos-Clienstcomputer- und Benutzerzertifikaten
PEAP mit
MS-CHAP v2
 Die Stammzertifizierungsstellenzertifikate für Aussteller von IAS-Servercomputer-Zertifikaten Ein Computerzertifikat

Wenn das Zertifikat der Stammzertifizierungsstelle (CA), welche die IAS-Server-Zertifikate ausgestellt hat, bereits als
Stammzertifizierungsstellen-Zertfifikat auf den Drahtlosclients installiert ist, dann ist keine weitere Konfiguration notwen-
dig. Wenn Ihre Stammzertifizierungsstelle ein Windows 2000 Server oder eine Windows Server 2003-Online-Unterneh-
mens-Stammzertifizierungsstelle ist, ist das Zertifizierungsstellen-Zertifikat automatisch auf jedem Domänenmitglied
durch die Computerkonfigurations-GPO-Einstellungen installiert worden. Ist dies nicht der Fall, müssen Sie die Stamm-
zertifizierungsstellen-Zertifikate der Austeller der Computerzertifikate der IAS-Server auf jedem Drahtlosclient installier-
en.

Generell sollten Sie die Windows Server 2003-Zertifikatdienste so konfigurieren, dass IAS-Server-Zertifikate ausgestellt
werden - auch wenn der einzige Grund, aus dem Sie die Zertifizierungsstelle erstellen, die Ausstellung eines einzige
Zertifikats für den IAS-Server ist. Alternativ dazu können Sie ein Zertifikat von einer öffentlichen Zertifizierungsstelle kau-
fen. Unabhängig davon, ob Sie Ihr eigenes PKI weitergeben oder ein Zertifikat kaufen, müssen Sie das Stammzertifizier-
ungsstellen-Zertifikat der Zertifizierungsstelle, welche das IAS-Server-Zertifikat ausgestellt hat, auf jedem Drahtlosclient
installieren.

Windows XP enthält die Stammzertifizierungsstellen-Zertifikate vieler öffentlicher Zertifizierungsstellen. Wenn Sie Ihre
IAS-Server-Zertifikate von einer öffentlichen Zertifizierungsstelle kaufen, die einem einbezogenen Stamm-Zertifizierungs-
stellen-Zertifikat entsprechen, ist keine weitere Konfiguration des Drahtlosclients notwendig. Wenn Sie Ihre IAS-Server-
Zertifikate von einer öffentlichen Zertifizierungsstelle kaufen, für die Windows XP kein entsprechendes Stammzertifizier-
ungsstellen-Zertifikat enthält, müssen Sie das Stammzertifizierungsstellen-Zertifikat auf jedem Drahtlosclient installier-
en.

Wenn Sie eine Windows Server 2003- oder Windows 2000-Zertifikatdienst-Unternehmenszertifizierungsstelle als aus-
stellende Zertifizierungsstelle verwenden, können Sie ein Computerzertifikat auf dem IAS-Server installieren, indem Sie
ein GPO für die Automatische Registrierung von Computerzertifikaten konfigurieren. Wenn Sie vorhaben, die EAP-
TLS-Authentifizierungsmethode zu verwenden, sollten Sie Automatische Registrierung für Computer- und Benutzer-
zertifikate für den Zugriff auf ein drahtloses Netzwerk konfigurieren. Automatische Registrierung bei Benutzerzertifi-
katen wird nur von Windows XP- und Windows Server 2003-Drahtlos-Clients unterstützt.

Tipp:
Wenn Sie Benutzerzertifikate registrieren, können Sie ein Duplikat der Benutzerzertifikatvorlage speziell für Drahtlos-
Benutzer erstllen.

Ein Clientcomputer, der für die Verwendung von EAP-TLS-Authentifizierung konfiguriert ist, kann Zertifikate für die Au-
thentifizierung von Drahtlosverbindungen auf drei verschiedene Arten beziehen: Automatisch Registrierung, Web-Regi-
strierung und Importieren einer Zertifikatsdatei. Wenn Sie die Zertifikate importieren möchten, können Sie Zertifikate
entweder für jeden Benutzer einzeln erstellen und verteilen oder eine einzige Zertifikatsdatei an alle Benutzer verteilen.
Ein einziges Zertifikat, das für eine Gruppe von Benutzern verwendet wird, ist als Gruppenzertifikat bekannt, die Zerti-
fikatsweitergabe mit der geringsten Sicherheit, weil jeder, der die Zertifikatsdatei erhält, diese verwenden könnte, um
damit eine drahtlose Verbindung erfolgreich zu authentifizieren.

Wichtig:
Pocket PCs unterstützen GPOs nicht, das heißt, Sie müssen sie manuell registrieren. Für Pocket PCs können nur
Benutzerzertifikate verwendet werden, da Computerzertifikate nicht unterstützt werden.

Konfigurieren von IAS

IAS ist eine Komponente von Windows Server 2003, die den RADIUS-Dienst verfügbar macht, der Benutzer basierend
auf Informationen im Active Directory authentifizieren kann. Wenn die Sicherheit eines drahtlosen Netzwerks konfigurert
wird, müssen SIe den IAS-Server so konfigurieren, dass spezifische Authentifizierungsmethoden verwendet werden und
dass autorisierte Benutzer Zugriff erhalten. Diese Konfiguration wird mit zwei Arten von Richtlinien durchge-
führt: RAS-Richtlinien (Remote Access Policies, RAP) und Verbindungsanforderungsrichtlinie (Connection
Request Policy, CRP).

Mit einer RAS-Richtlinie wird kontrolliert, wie oder ob eine Verbindung für das Netzwerk autorisiert ist. Eine RAS-Richt-
linie enthält einen Satz von Richtlinien-Bedingungen, die bestimmen, ob die jeweilige Richtlinie auf eine vorliegende Ver-
bindungsanforderung zutrifft. Wenn Sie eine RAS-Richtlinie für den drahtlosen Netzwerkzugriff konfigurieren, können Sie
Richtlinienbedingungen erstellen, welche die Active Directory-Sicherheitsgruppe festlegen, bei der ein Client Mitglied
sein muss, die Tageszeit oder ein Verbindungstyp des anfordernden Clients (siehe untere Abbildung). Eine RAS-Richt-
linie wird ebenfalls konfiguriert, die Verbindungsanforderung zuzulassen oder abzulehnen. Wenn es mehrere RAS-Richt-
linien auf einem IAS-Server gibt, wird jede Verbindungsanforderung je nach Priorität mit ihnen abgeglichen, bis eine
passende RAS-Richtlinie die Anforderung zulässt oder ablehnt.

Bild von Seite 607

Eine RAS-Richtlinie enthält ebenfalls ein Profil, das auf neue Verbindungen angewendet wird. Wenn eine RAS-Richtlinie
für drahtlosen Zugriff erstellt wird, sind die wichtigsten Profileinstellungen die Authentifizierungsmethoden und das Sitz-
ungszeitlimit. Wenn Sie im Dialogfeld Profil bearbeiten auf die Registerkarte Authentifizierung klicken (siehe unter
Abbildung), können Sie die Authentifizierungsmethode konfigurieren. Klicken Sie auf die Schaltfläche EAP-Methoden,
um die EAP-Typen zu bestimmen, die verfügbar sein sollen: Geschütztes EAP oder Smartcard oder anderes Zerti-
fikat.

Bild von Seite 608

Unabhängig vom gewählten EAP-Typ können Sie ein Computerzertifikat wählen, das der IAS-Server dem Drahtlosclient
präsentiert. Wenn der IAS-Server nur ein Computerzertifikat hat, wird dieses Zertifikat automatisch ausgewählt. Wenn
der IAS-Server nur ein Computerzertifikat hat, wird dieses Zertifikat automatisch ausgewählt. Wenn Sie die PEAP-Au-
thentifizierungsmethode wählen, haben Sie die Option Schnelle Wiederherstellung der Verbindung aktivieren.
Generell sollten Sie das Kontrollkästchen Schnelle Wiederherstellung der Verbindung aktivieren im Dialogfeld
EAP-Eigenschaften markieren, um die Leistung zu verbessern, wenn drahtlose Clients von einem WAP zu anderen
wechseln.

Klicken Sie auf die Registerkarte Einwahleinschränkungen, um das Sitzungslimit festzulegen, das notwendig ist, um
dynamisches WEP zu aktivieren. Mit dem Wert Zugelassene Sitzungslänge für Clients in Minuten wird gesteuert,
um welcher Häufigkeit die WEP-Schlüssel neu erstellt werden. Sie sollten einen Wert von 10 Minuten für WEP fest-
setzen (siehe untere Abbildung). Legen Sie für WPA einen Wert von 8 Stunden (480 Minuten) fest.

Bild von Seite 609

RAS-Richtlinien werden nicht nur für das Steuern des Zugriffs auf drahtlose Netzwerke verwendet. Dies bedeutet, dass
es einige Konfigurationsoptionen gibt, die Sie einfach ignorieren können. Besonders die Mehrfachverbindungs-Einstell-
ungen sind für drahtlose Verbindungen nicht nützlich und sollten immer deaktiviert sein. Auch das Festsetzen des We-
rts Anruferkennung ist nur dann nützlich, wenn Sie eine RAS-Richtlinie für DFÜ-Benutzer erstellen.

Erfolgreiche und zurückgewiesene Authentifizierungsereignisse, die durch drahtlose Netzwerkgeräte und Benutzer er-
zeugt werden, werden im Systemereignisprotokoll des IAS-Servers aufgezeichnet, wenn Sie im Dialogfeld Eigenschaft-
von Internetauthentifizierungsdienst (Lokal) die Option Abgewiesene Authentifizierungsanforderungen und
Erfolgreich Authentifizierungsanforderungen wählen (siehe untere Abbildung). Authentifizierungsinformationen sind
sehr nützlich bei der Problembehandlung von Authentifizierungsproblemen; diese Informationen können allerdings auch
für Sicherheitsüberwachungen und Warnungszwecke verwendet werden.

Bild von Seite 610

Anfangs sollten Sie die Ereignisprotokollierung aktiviert lassen, so dass Sie bestätigen können, dass die Authentifizier-
ung richtig funktioniert. Sie sollten die Überwachung der erfolgreichen Authentifizierungsanforderungen deaktivieren, we-
nn das System einmal stabil ist, wenn die Sicherheitsanforderungen Ihres Unternehmens nicht verlangen, dass Sie sol-
che Überwachungsinformationen warten. IAS-Ereignisse haben IAS als Quelle und eine Ereignis-ID von 2. Achten Sie
im Text der Ereignismeldung auf den Namen der RAS-Richtlinie neben dem Richtliniennamen-Feld.

Konfigurieren eines Drahtlosnetzwerk-Clients

Der erste Schritt beim Konfigurieren eines Drahtlosnetzwerk-Clients ist, sicherzustellen, dass der Computer die notwen-
dige Software hat, um sich zu authentifizieren und sich mit dem drahtlosen Netzwerk zu verbinden. Computer unter
Windows 2000 benötigen Microsoft 802.1X Authentication Client, erhältlich unter http://support.microsoft.com
/?kbid=313664. Zusätzlich müssen Sie den Konfiguratiosfreien Dienst für drahtlose Verbindung starten und den
Starttyp auf Automatisch stellen. Wenn Sie WPA mit einem Windows-Client verwenden möchten, einschließ-
lich Windows XP und Windows Server 2003, müssen Sie das Windows WPA Client-Update auf allen Clients
installieren. Sie können den Client herunterladen unter http://support.microsoft.com/?kbid=815485.

Bei Windows XP und Windows Server 2003-Drahtlosnetzwerk-Client gibt es im Dialogfeld Eigenschaften für eine draht-
lose Verbindung eine Registerkarte namens Authentifizierung (siehe untere Abbildung). Auf dieser Registerkarte können
Sie 802.1X-Authentifizierung aktivieren, den EAP-Typ festlegen und konfigurieren und den Satz Anmeldeinformationen
wählen, die der Computer für die Authentifizierung verwendet.

Bild von Seite 611

Markieren Sie das Kontrollkästchen IEEE 802.1X-Authentifizierung für dieses Netzwerk aktivieren, um die 802.1X-
Authentifizierung für die Netzwerkverbindung zu verwenden. Sie können diese Option aktiviert lassen, selbst wenn Sie
802.1X noch nicht konfiguriert haben. Wenn das Kontrollkästchen markiert ist, versucht der Computer, eine 802.1X- Au-
thentifizierung durchzuführen, wenn die Netzwerkkarte initialisiert wird. Wenn der Computer keine Antwort auf seine Au-
thentifizierungsanforderung erhält, verhält sich der Computer so, als sei keine Authentifizierung für die Verbindung not-
wendig. Daher kann man diese Kontrollkästchen immer markiert lassen.

Verwenden Sie die EAP-Typenliste, um den EAP-Typ festzulegen, den Sie für die 802.1X-Authentifizierung verwenden
möchten. Standardmäßig können Sie zwischen PEAP (Protect EAP) und Smartcard oder anderes Zertifikat wäh-
len. Andere Optionen werden aufgelistet, wenn eine Anwendung zusätzlich EAP-Bibliotheken installiert hat.

Wenn Sie Smartcard oder anderes Zertifikat wählen, klicken Sie auf die Schaltfläche Eigenschaften, um zu konfi-
gurieren, ob das Clientzertifikat auf einer Smart Card oder im Zertifikatspeicher des Clients ist. Wenn mehr als ein Be-
nutzerzertifikat installiert ist, wird der Benutzer aufgefordert, ein Zertifikat auszuwählen. Sie können ebenfalls wählen,
ob der Client den RADIUS-Dienst durch Überprüfen, ob das Server-Zertifikat nicht abgelaufen ist, authentifiziert und wel-
chen Stammzertifizierungsstellen vertraut werden soll. Wenn die Stammzertifizierungsstelle des RADIUS-Dienst durch
Überprüfung des Server-Zertifikats als nicht vertrauenswürdig eingestuft wird, wird der Benutzer automatisch aufgefor-
dert, dem Zertifikat zu vertrauen. Sie müssen das Kontrollkästchen Anderen Benutzernamen für die Verbindung
verwenden nicht markieren; der einzige Effekt ist der, dass der Benutzer aufgefordert wird, ein Zertifikat zu wählen,
selbst wenn nur ein Zertifikat installiert ist.

Wenn Sie in der EAP-Typenliste PEAP wählen, haben Sie die gleiche Option (Überprüfen des RADIUS-Dienst-Zertifi-
kats). Sie sollten ebenfalls die Authentifizierungsmethode festlegen, die Sie benutzen möchten - wählen Sie entweder
Sicheres Kennwort (EAP-MSCHAP v2) oder Smartcard oder anderes Zertifikat. Wenn Sie EAP-MSCHAP v2 wäh-
len, klicken Sie auf die Schaltfläche Konfigurieren, um auszuwählen, ob Sie entweder automatisch die aktuellen An-
meldeinformationen verwenden oder den Benutzer auffordern, andere Anmeldeinformationen einzugeben. Normalerweise
sollten Sie das Kontrollkästchen Schnelle Wiederherstellung der Verbindung aktivieren, um den RADIUS-Dienst
zu ermöglichen, den Client sofort zu authentifizieren, wenn der Computer von einem WAP zum anderen wechselt. Wenn
das Kontrollkästchen Schnelle Wiederherstellung der Verbindung aktivieren nicht markiert ist, muss der Client-
computer jedes Mal, wenn er sich mit einem WAP verbindet, den vollständigen PEAP-Authentifizierungsprozess durch-
führen.

Um die Konfiguration von Drahtlosnetzwerk-Einstellungen für Drahtlosnetzwerk-Clients unter Windows XP (ab Service
Pack 1) und Windows Server 2003 zu automatisieren, unterstützen Windows Server 2003 Active Directory-Domänen ei-
ne neue Gruppenrichtlinien-Erweiterung für drahtlose Netzwerke (IEEE 802.11), die Ihnen ermöglicht, die Einstellungen
für drahtlose Netzwerke zu konfigurieren, die Teil der Computerkonfigurations-Gruppenrichtlinieneinstellungen sind. Ein-
stellungen für drahtlose Netzwerke in der Gruppenrichtlinien-Erweiterung für drahtlose Netzwerke (IEEE 802.11) enthal-
ten globale Drahtlos-Einstellungen, die Liste der bevorzugten Netzwerke, WEP-Einstellungen und IEEE 802.1X-Einstell-
ungen. Diese Einstellungen umfassen alle Elemente der Registerkarten Zuordnung und Authentifizierung im Dialog-
feld Eigenschaften für drahtlose Netzwerke auf einem Drahtlosclient unter Windows XP oder Windows Server 2003, u.
sie enthalten einige zusätzliche Einstellungen.

Um die Sicherheitseinstellungen eines drahtlosen Netzwerks unter Verwendung eines GPO (Gruppenrichtlinienobjekts)
zu konfigurieren, folgen Sie diesen Schritten:

  1. Öffenen Sie eine leere MMC-Konsole (Microsoft Management Console) und fügen Sie das GPO-Editor-Snap-In
    hinzu. Öffnen Sie das GPO, das Sie verwenden werden, um die Konfigurationseinstellungen des drahtlosen Netz-
    werks anzuwenden.

  2. Erweitern Sie das GPO, dann Computerkonfiguration, Windows-Einstellungen und dann die Sicherheitsein-
    stellungen    . Klicken Sie auf Richtlinien für Drahtlosnetzwerke (IEEE 802.11).

  3. Standardmäßig gibt es keine Richtlinien. Klicken Sie mit der rechten Maustaste auf Richtlinien für Drahtlosnetz-
    werke (IEEE 802.11)     und dann auf Drahtlosnetzwerkrichtlinie erstellen.

    Der Drahtlosnetzwerkrichtlinien-Assistent wird angezeigt.

  4. Klicken Sie auf Weiter.

  5. Geben Sie einen Namen für die Richtlinie ein und klicken Sie auf Weiter.

  6. Markieren Sie das Kontrollkästchen Eigenschaften bearbeiten und klicken Sie dann auf Fertig stellen.

    Das     Dialogfeld Eigenschaften wird angezeigt.

  7. Klicken Sie auf die Registerkarte Allgemein (siehe untere Abbildung). Die sicherheitsbezogenen Einstellungen
    sind Netzwerktypen, auf die zugegriffen werden soll (legt fest, ob sich der Client mit einem Ad-Hoc-Netzwerk
    verbinden darf) und Verbindung mit nicht bevorzugten Netzwerken automatisch herstellen, die Sie deaktivie-
    ren können, um zu verhindern, dass sich Clients mit potentiell gefährlichen, nicht vertrauenswürdigen Netzwerken
    verbinden.

    Bild von Seite 613

  8. Klicken Sie auf die Registerkarte Bevorzuge Netzwerke.

    Auf dieser Registerkarte werden bevorzugte Netzwerke aufgelistet, also Netzwerke, mit denen Sie Windows XP
    automatisch verbindet. Standardmäßig sind keine bevorzugten Netzwerke eingetragen.

  9. Klicken Sie auf Hinzufügen.

    Das Dialogfeld Eigenschaften von Neue bevorzugte Einstellung wird angezeigt (siehe untere Abbildung). In
    der Registerkarte Netzwerkeigenschaften können Sie festlegen, ob WEP-Verschlüsselung verwendet wird. Sie
    sollten normalerweise die Kontrollkästchen Datenverschlüsselung und Schlüssel wird automatisch bereitge-
    stellt     markieren. Lassen Sie das Kontrollkästchen Netzwerkauthentifizierung unmarkiert, um offene Netzwerk-
    authentifizierung nutzen zu können.

    Bild von Seite 614
  10. Klicken Sie auf die Registerkarte IEEE 802.1X. Markieren Sie das Kontrollkästchen Netzwerkzugriffssteuerung
    mit IEEE 802.1X aktivieren    .

  11. Wenn Sie den Computer über ein drahtloses Netzwerk verwalten wollen, wenn kein Benutzer angemeldet ist, mar-
    kieren Sie das Kontrollkästchen Als Computer authentifizieren, wenn Computerinformation verfügbar sind.

  12. Klicken Sie in der EAP-Typliste entweder auf Smartcard oder anderes Zertifikat oder auf Geschütztes EAP.
    Diese Einstellung muss der auf dem IAS-Server festgelegten Einstellung entsprechen.

  13. Klicken Sie auf die Schaltfläche Einstellungen, um den gewählten EAP-Typ zu konfigurieren. Dieses Dialogfeld ist
    genau das gleiche wie das Dialogfeld, mit der ein Drahtlosnetzwerk-Client lokal konfiguriert wird.

  14. Klicken Sie dreimal auf OK und gehen Sie zur MMC-Konsole zurück.

Beachten Sie, dass Sie nur eine einzige Drahtlosnetzwerkrichtlinie für jedes GPO erstellen können.

Um detaillierte Informationen über den EAP-Authentifizierungsprozess für Windows XP zu erhalten, müssen Sie Ablauf-
verfolgung für die EAPOL- und RASTL-Komponenten durch die folgenden Befehle nach einer Eingabeaufforderung akti-
vieren:

netsh ras set tracing eapol enabled
netsh ras set tracing rastls enabled

Nachdem diese Befehle ausgegeben sind, werden die Informationen über den Authentifizierungsprozess in den Dateien
Eapol.log und Eapol.log und Rastls.log im Ordner SystemRoot-Ablaufverfolgung protokolliert.

Konfigurieren von WAPs

Der letzte Schritt bei der Konfiguration eines drahtlosen Netzwerks ist das Konfigurieren und Aktivieren der WAPs. Un-
glücklicherweise ist die Benutzeroberfläche bei jedem WAP anders. Mindestens die folgenden Einstellungen sollten
konfiguriert werden:

Wählen Sie WEP- oder WPA-Verschlüsselung und die Verschlüsselungsstufe.

Spezifizieren Sie die 802.1X-Authentifizierung und die Authentifizierungsmethode.

Spezifizieren Sie die SSID.

Geben Sie die IP-Adresse der IAS RADIUS-Server an.

Geben Sie einen gemeinsamen geheimen Schlüssel an, der demjenigen entspricht, der während der IAS-Konfigura-
tion spezifiziert wurde.

In der unteren Abbildung sehen Sie die Einstellungen für drahtlose Sicherheit bei einem gebräuchlichen, preiswerten
WAP.

Bild von Seite 615

Praktische Übung: Bereitstellen der WEP-Verschlüsselung mit PEAP-Authentifizierung

In dieser Übung werden Sie die Umgebung für ein drahtloses Netzwerk mit PEAP-Authentifizierung konfigurieren. Vor-
aussetzung für die Übung ist, dass auf Computer1 Windows Server 2003 Enterprise Edition installiert ist, dass der
Computer als Domänencontroller konfiguriert ist und Zertifikatdienste als Stammzertifizierungsstelle des Unternehmens
installiert hat.

Übung 1: Konfigurieren der Active Directory-Infrastruktur

In dieser Übung konfigurieren Sie die Domäne cohowinery.com mit Benutzer-, Computer- u. Gruppenkonten, die Sie
verwenden können, um den Zugriff auf ein drahtloses Netzwerk zu kontrollieren. Zuerst erstellen Sie Gruppen, welche
die Benutzer und Computer des drahtlosen Netzwerks enthalten.

  1. Melden Sie sich bei Computer1 über das Administratorkonto in der Domäne cohowinery.com an.

  2. Öffnen Sie die Konsole Active Directory-Benutzer und -Computer.

  3. Erweitern Sie im Konsolenverzeichnis den Eintrag cohowinery.com.

  4. Klicken Sie in der Konsole Active Directory-Benutzer und -Computer mit der rechten Maustaste auf User, Neu
     und dann auf Gruppe

  5. Geben Sie im Dialogfeld Neues Objekt - Gruppe in das Feld Gruppenname folgendes ein: GGWirelessUsers.
    Klicken Sie auf OK.

  6. Klicken Sie in der Konsole Active Directory-Benutzer und -Computer mit der rechten Maustaste auf User, Neu
     und dann auf Gruppe.

  7. Geben Sie im Dialogfeld Neues Objekt - Gruppe in das Feld Gruppenname folgendes ein: GGWirelessUsers.
    Klicken Sie auf OK.

Jetzt konfigurieren Sie ein Computerkonto für den Drahtloscomputer und ermöglichen den Einwahlzugriff. Der Computer
wählt sich nicht wirklich ein, aber diese Berechtigung wird für den drahtlosen Zugriff benötigt. Dann fügen Sie das Konto
der GGWirelessUsers-Gruppe hinzu.

  1. Klicken Sie in der Konsole Active Directory-Benutzer und -Computer mit der rechten Maustaste auf Compu-
    ter2     und dann auf Eigenschaften.

  2. Klicken Sie auf die Registerkarte Einwählen.

  3. Klicken Sie auf Zugriff gestatten.

  4. Klicken Sie auf die Registerkarte Mitglied von und dann auf Hinzufügen. Im Feld Objektname geben Sie GG-
    WirelessComputers     ein und klicken Sie zweimal auf OK.

Nun konfigurieren Sie ein Benutzerkonto für den Drahtlosnetzwerk-Benutzer und ermöglichen den Einwahlzugriff. Dann
fügen Sie das Konto der GGWirelessComputers-Gruppe hinzu.

  1. Klicken Sie in der Konsole Active Directory-Benutzer und -Computer mit der rechten Maustaste auf User,
    Neu     und dann auf Benutzer.

  2. Im Dialogfeld Neues Objekt - Benutzer geben Sie WirelessUser im Vornamenfeld ein und dann WirelessUser
    im Feld Benutzeranmeldename ein.

  3. Klicken Sie auf Weiter. Geben Sie in den Felder Kennwort und Kennwort bestätigen ein beliebiges Kennwort
    ein. Entfernen Sie die Markierung des Kontrollkästchens Muss Kennwort bei nächster Anmeldung ändern.

  4. Klicken Sie auf Weiter und dann auf Fertig stellen.

  5. Klicken Sie in der Konsole Active Directory-Benutzer und -Computer auf Users. Klicken Sie mit der rechten
    Maustaste auf WirelessUser und dann auf Eigenschaften.

  6. Klicken Sie auf die Registerkarte Einwählen.

  7. Klicken Sie auf Zugriff gestatten.

  8. Klicken Sie auf die Registerkarte Mitglied von und dann auf Hinzufügen. Im Feld Objektname geben Sie GG-
    WirelessUsers     ein und klicken Sie auf OK.

Übung 2: Konfigurieren von IAS

In dieser Übung installieren Sie IAS und konfigurieren RADIUS für die Authentifizierung von Drahtlosclient und Compu-
tern.

  1. Melden Sie sich bei Computer1 über das Administratorkonto in der Domäne cohowinery.com an.

  2. Installieren Sie IAS mit der Option Software in der Systemsteuerung. Klicken Sie auf Windows-Komponenten
    hinzufügen/entfernen.     Klicken Sie im Assistent für Windows-Komponenten auf Netzwerkdienste unn dann
    auf Details. Wählen Sie     Internetauthentifizierungsdienst, klicken Sie auf OK und dann auf Weiter. Nachdem
    IAS installiert ist, klicken Sie auf     Fertig stellen.

  3. Öffnen Sie die Internetauthentifizierungsdienst-Konsole aus der Programmgruppe Verwaltung.

  4. Klicken Sie mit der rechten Maustaste auf Internetauthentifizierungsdienst und dann auf Server im Active
    Directory registrieren.

    So ist sichergestellt, dass IAS ausreichende Berechtigungen für Active Directory hat, um Benutzer zu authentifi-
    zieren.

  5. Klicken Sie auf zweimal auf OK.

  6. Erweitern Sie das Verzeichnis Internetauthentifizierungsdienst, klicken Sie mit der rechten Maustaste auf
    RADIUS-Clients und dann auf Neuer RADIUS-Client.

    Der Assistent Neuer RADIUS-Client wird angezeigt.

  7. Geben Sie im Feld Angezeigter Name folgendes ein: WirelessAP. Geben Sie im Feld Clientadresse die IP-Ad-
    resse Ihres WAP ein. Klicken Sie auf Weiter.

  8. Geben Sie auf der Seite Zusätzliche Informationen einen komplexen gemeinsamen geheimen Schlüssel in die
    Felder Gemeinsamer geheimer Schlüssel und Gemeinsamen geheimen Schlüssel bestätigen ein. Klicken
    Sie auf Fertig stellen.

  9. Klicken Sie mit der rechten Maustaste auf RAS-Richtlinien und dann auf Neue RAS-Richtlinie.

    Der Assistent für neue RAS-Richtlinie wird angezeigt.

  10. Klicken Sie auf Weiter. Geben Sie im Richtliniennamen-Feld Wireless Network Access ein und klicken Sie
    auf Weiter.

  11. Klicken Sie auf der Seite Zugriffsmethode auf Drahtlos und klicken Sie dann auf Weiter.

  12. Klicken Sie auf der Seite Benutzer-od. Gruppenzugriff auf Gruppe und auf Hinzufügen. Fügen Sie die Grup-
    pen GGWirelessComputers und GGWirelessUsers hinzu, und klicken Sie auf OK, um zum Assistenten zurück-
    zugehen.

    Tipp:
    Im Dialogfeld Gruppen auswählen geben Sie GGWireless ein. Das Dialogfeld Mehrere Namen gefunden wird
    angezeigt und Sie können mit der Taste STRG und der Maustaste beide Gruppen markieren.
  13. Klicken Sie auf Weiter. Beachten Sie auf der Seite Authentifizierungsmethoden, dass Geschütztes EAP stan-
    dardmäßig ausgewählt ist. Klicken Sie auf Konfigurieren und markieren Sie dann das Kontrollkästchen Schnel-
    le Wiederherstellung der Verbindung aktivieren    . Beachten Sie, dass die EAP-Typenlisten standardmäßig
    den EAP-Typ-Sicheres Kennwort (EAP-MSCHAP v2) enthält (siehe untere Abbildung) Klicken Sie auf OK.

    Bild von Seite 618

  14. Klicken Sie auf Weiter. Überprüfen Sie auf der Seite Fertigstellen des Assistenten die Bedingungen, die der As-
    sistent erstellt hat. Dort müsste Folgendendes stehen:

    Conditions: NAS-Port-Type matches "Wireless - Other OR Wireless - IEEE 802.11"
    AND Windows-Groups matches "COHOWINERY\GGWirelessComputers;COHOWINERY
    \GGWirelessUsers"

    Sie sollten die Syntax verstehen, so dass Sie die RAS-Richtlinie bei zukünftigen Änderungen aktualisieren kön-
    nen.

  15. Klicken Sie auf Fertig stellen.

  16. Klicken Sie mit der rechten Maustaste auf Wireless Network Access und dann auf Eigenschaften.

  17. Klicken Sie auf Profil bearbeiten.

  18. Wählen Sie das Kontrollkästchen Zugelassene Sitzungslänge für Clients in Minuten und setzen Sie den Wert
    auf 8 Minuten.

  19. Klicken Sie auf die Registerkarte Authentifizierung auf die Schaltfläche EAP-Methoden.

  20. Klicken Sie auf Geschütztes EAP und dann auf Bearbeiten.

    Das Dialogfeld Eigenschaften für geschütztes EAP wird angezeigt. Beachten Sie, dass in der Zertifikat ausge-
    stellt    -Liste bereits ein Computerzertifikat registriert ist, da Computer1 eine Unternehmenszertifizierungsstelle ist.
    Beachten Sie ebenfalls, das Sicheres Kennwort (EAP-MSCHAP v2) in der EAP-Typenliste ausgewählt ist.

  21. Klicken Sie viermal auf OK und gehen Sie zur Internetauthentifizierungsdienst-Konsole zurück.

Übung 3: Konfigurieren des WAP

In dieser Übung konfigurieren Sie Ihr WAP zur Verwendung des 802.1X-Authentifizierung durch Senden von Anforder-
ungen an den IAS-Dienst auf Computer1. Unglücklicherweise haben die WAPs je nach Hersteller verschiedene
Schnittstellen für das Konfigurieren. Informieren Sie sich in der Dokumentation des WAPs.

Konfigurieren Sie das WAP mit den folgenden Einstellungen:

WEP/RADIUS-Sicherheitsmodus

Eine SSID von WEP_TEST

Eine RADIUS-Dienstadresse, die der IP-Adresse von Computer1 entspricht

Einen geheimen Schlüssel, der demjenigen entspricht, der während der IAS-Konfiguration spezifiziert wurde

Die höchste verfügbare Form von WEP-Verschlüsselung

Übung 4: Konfigurieren des Clientcomputer

In dieser Übung konfigurieren Sie den Clientcomputer für die Verbindung mit dem drahtlosen Netzwerk.

  1. Melden Sie sich auf Computer2 über das Konto WirelessUser in der Domäne cohowinery.com an.

  2. Öffnen Sie das Fenster Netzwerkverbindungen.

  3. Klicken Sie mit der rechten Maustaste auf Drahtlose Netzwerkverbindung und dann auf Eigenschaften.

  4. Klicken Sie auf die Registerkarte Drahtlose Netzwerke. Klicken Sie im Feld Verfügbare Netzwerke auf WEP_
    TEST     und dann auf Konfigurieren.

  5. Klicken Sie auf die Registerkarte Zuordnung. Klicken Sie auf die Option Datenverschlüsselung (WEP akti-
    viert)    . Kontrollieren Sie, ob das Kontrollkästchen Der Schlüssel ist automatisch verfügbar markiert ist.

  6. Klicken Sie auf die Registerkarte Authentifizierung. Markieren Sie das Kontrollkästchen IEEE 802.1X-Au-
    thentifizierung für dieses Netzwerk aktivieren    . Klicken Sie in der EAP-Typenliste auf Geschütztes EAP.

  7. Kontrollieren Sie, ob das Kontrollkästchen Als Computer authentifizieren, wenn Computerinformation ver-
    fügbar     sind markiert ist. Dies stellt sicher, dass der Computer verwaltet werden kann, wenn er mit dem drahtlo-
    sen Netzwerk verbunden ist und kein Benutzer angemeldet ist.

  8. Klicken Sie auf Eigenschaften. Markieren Sie im Dialogfeld Eigenschaften für geschütztes EAP das Kontroll-
    kästchen. Verbindung mit diesen Servern herstellen und dann das Kontrollkästchen Schnelle Wiederher-
    stellung der Verbindung aktivieren     (siehe untere Abbildung).

    Beachten Sie, dass Sicheres Kennwort (EAP-MSCHAP v2) die standardmäßig ausgewählte Authentifizierungs-
    methode ist.

  9. Klicken Sie dreimal auf OK.

    Computer2 sollte sich nun für das drahtlose Netzwerk authentifizieren.

  10. Starten Sie den Internet Explorer. Geben Sie in der Adresszeile http://computer1/certsrv/ ein und klicken Sie
    auf Wechseln zu.

    Die Microsoft-Zertifikatdienst-Webseite sollte jetzt angezeigt werden. Sie bestätigt, dass Computer2 mit dem
    drahtlosen Netzwerk verbunden ist.

Bild von Seite 621

Erstellt von: Haßlinger Stefan
Im: Jahr 2006