Den Umkreis sichern

Wi-Fi-Protected-Access (WPA) schützt das drahtlose Netzwerk bereits recht gut vor ungebetenen Gästen. Mit einem Radius-Server auf einem Windows-2003-Server und einem einzigen Zertifikat lässt sich die Anmeldung kryptographisch sichern und zudem zentralisieren.

Die Sicherheit von Wireless-LANs steht seit dem Auftauchen des ersten Verfahrens 802.11b in der Kritik. Der ursprünglich eingesetzte Mechanismus WEP (Wired-Equivalent-Privacy) lässt sich in wenigen Stunden knacken, indem der Angreifer einfach den Datenverkehr mitschneidet und den Schlüssel mit einer Wörterbuchattacke herausfindet. Der Nachfolger Wi-Fi-Protected-Access (WPA) lässt sich schon schwieriger umgehen, bietet aber erst gemeinsam mit einem separaten Authentifizierungs-Server mit Radius (Remote-Authentication-Dial-In-User-Service) volle Sicherheit.

Radius ist vorzugsweise bei Internet-Providern im Einsatz. Der Dienstleister erfasst damit Einwahlkunden und prüft, welcher Zugangstarif auf den Kunden zutrifft. Daneben dient Radius als Authentifizierungsinstanz. Zusammengefasst ergibt dies das »Triple A« (AAA, Authentication, Authorization, Accounting).

Bei der Authentifizierung lässt sich Radius flexibel verwenden. Es kann diverse Methoden verarbeiten wie beispielsweise EAP-MD5 (Benutzername und Passwort) oder EAP-TLS (Zertifikate). Diese Eigenschaft ist für drahtlose Netzwerke interessant, in denen die Benutzerverwaltung nicht im Access-Point selbst, sondern über eine Windows-Domäne, eine LDAP-Datenbank oder einen anderen Verzeichnisdienst erfolgt. Über den Radius-Dienst ist somit nicht nur eine sichere, weil verschlüsselte Übergabe der Nutzerdaten möglich. Außerdem lassen sich der Zugang protokollieren und dem Anwender Ressourcen zuweisen.

Auf den WLAN-Clients kann jedes Betriebssystem mit WPA-/WPA2-Unterstützung und AES als Verschlüsselungsalgorithmus laufen. Die Clients bauen mithilfe eines Zertifikats einen verschlüsselten Tunnel zum Radius-Server auf, an dem sie sich per MS-CHAPv2 anmelden.

WPA und den Nachfolger WPA2 unterstützen alle neueren WLAN-Access-Points oder -Karten, die WLAN nach 802.11g bieten. Ältere Geräte, die ausschließlich 802.11b verstehen, lassen sich über Firmware und Treiber für WPA/WPA2 aktualisieren. Als Radius-Server eignen sich mehrere Produkte, der Workshop benutzt den IAS-Server, der bei Windows-2003-Server zur Grundausstattung gehört.

Der WLAN-Access-Point (AP) muss zudem als Radius-Client funktionieren. Sollten Sie eine Appliance besitzen, lässt sich die Funktion eventuell über ein Firmware-Update nachrüsten. Andernfalls kann auch ein Linux-Server mit passender PCI-Karte die Aufgabe des AP übernehmen. Das entsprechende Paket hostapd lässt sich von http://hostap.epitest.fi herunterladen, wo auch das Client-Programm für Linux wpa-supplicant zum Download bereit steht.

WPA, 802.11i und 802.1X
Wireless-LANs sind besonders anfällig für Attacken, da sie sich leicht abhören lassen. Es fehlt der erschwerte Zugang zum Netzwerk, wie ihn ein kabelgebundenes Netz naturgemäß bietet. Der Angreifer muss sich lediglich mit dem Empfänger WLAN-Karte in eine geeignete Position bringen und den Netzwerkverkehr mitschneiden. Den 40 Bit langen WEP-Schlüssel in seinen Besitz zu bringen, ist nur eine Frage von wenigen Stunden. Diesen gemütlich zu dekodieren, ist für moderne PCs zudem keine schwere Aufgabe.

Wer WPA nutzt, befindet sich grundsätzlich bereits auf einer sicheren Seite. Über einen Pre-Shared-Key (PSK) lässt sich die Authentifizierung eines Clients direkt im Access-Point erledigen. Befindet sich ein Radius-Server (Authentication-Server) im Netzwerk, authentifiziert sich hingegen der Access-Point (authenticator) mit dem PSK am Radius-Server. Die Authentifizierung zwischen WLAN-Client (supplicant) und Radius-Server leitet der Access-Point nur durch. Daran sind zwei Protokolle beteiligt: Das 802.1X-Protokoll stellt verschiedene Unterprotokolle zur Authentifizierung bereit. Im Workshop kommt Peap (Protected-Extensible-Authentication-Protocol) zum Zug, das letztendlich über MS-CHAPv2 Benutzernamen und Passwort sowie die Domänenzugehörigkeit abfragt.

Peap-Authentifizierung nutzen
Microsoft offeriert mit Peap (Protected-EAP) ein eigenes Protokoll, damit sich 802.1X-Clients sicher am Netzwerk anmelden. Der Verwalter kann Peap simpel und schnell konfigurieren, wobei das notwendige Stammzertifikat über eine Gruppenrichtlinie zu den Clients gelangt.

Die wichtigste Rolle bei 802.1X im Zusammenspiel mit Peap spielt das Stammzertifikat der Stammzertifizierungsstelle, die das Computer-Zertifikat für die Radius-Server herausgegeben hat. Das Stammzertifikat muss in den lokalen Zertifikatsspeicher eines Clients gelangen. Dies funktioniert automatisch über eine Organisationszertifizierungsstelle per Gruppenrichtlinie, sofern der Verwalter diese Stelle mit dem gleichen Stammzertifikat erstellt hat.

Windows-2003-Server vorbereiten
Der Windows-Server muss bereits diverse Dienste verwalten, bevor der Verwalter den ISA-Server konfiguriert, der die Server-seitige Implementierung von Peap darstellt. Das Active-Directory fungiert auf dem Server als Benutzerdatenbank und kümmert sich darum, dass die WLAN-Teilnehmer authentifiziert werden. Die AD-Services schreiben zudem vor, dass ein DNS-Server auf demselben System laufen muss. Weiter benötigt der Server die Zertifikatdienste sowie den Internetauthentifizierungsdienst (Internet-Authentication-Services, IAS).

Die Methode PEAPv0/EAP-MSCHAPv2 baut einen verschlüsselten Tunnel auf, durch den die eigentliche Authentifizierung interaktiv per MS-CHAPv2 stattfindet. Der Server handelt dazu mit dem Client einen Sitzungsschlüssel aus und sichert die Kommunikation mit einem Zertifikat ab -- ähnlich wie bei SSL im Web: Der Client akzeptiert das Zertifikat einmal und legt es im Zertifikatsspeicher ab. Damit dies auch mit Windows-Sever auf Anhieb funktioniert, muss der Radius-Server gleichzeitig als Zertifizierungsstelle (Certification-Authority) fungieren.

Der Verwalter erzeugt ein eigenes Stammzertifikat (Root-Certificate) mit einem Schlüsselpaar aus öffentlichem und privatem Schlüssel. Damit fordert der Radius-Server den Client auf, einen temporären Session-Key zu erzeugen. Die Gültigkeit des Stammzertifikats prüft der Client bei der CA ab, bevor er den Sitzungsschlüssel kodiert mit dem öffentlichen Schlüssel zurücksendet. Sobald der verschlüsselte Tunnel etabliert ist, muss sich der Anwender mit Benutzername und Passwort ausweisen. Zudem wird die Domänenzugehörigkeit erfasst.

Das Zertifikat lässt sich über die MMC »Zertifizierungsstelle« einsehen; es befindet sich im Ordner »Ausgestellte Zertifikate«.

IAS einrichten
Mit dem Root-Zertifikat ausgestattet, macht sich der Verwalter nun daran, den IAS-Server einzustellen. Hilfreich steht dabei die MMC »Internetauthentifizierungsdienst« zur Verfügung. Wenn der Server zugleich Domänen-Controller ist, lässt sich der »Neue RADIUS Client« ohne Umweg mit der sekundären Maustaste aus »RADIUS Clients« wählen. Handelt es sich beim »Internetauthentifizierungsdienst (lokal)« um einen Mitglieds-Server, registriert der Verwalter diesen zuerst beim Active-Directory.

Über den Assistenten »Neue RADIUS Client« hält der Administrator alle WLAN-Access-Points fest, die den Radius-Server nutzen. Der erste Dialog erwartet einen aussagekräftigen Namen sowie die IP-Adresse des Access-Points. Im nächsten Fenster tragen Sie den Pre-Shared-Key passend zum jeweiligen AP ein. Microsoft empfiehlt 22 Zeichen für den Pre-Shared-Key zu verwenden, am besten eine krude Mischung aus Buchstaben und Ziffern. Aktivieren Sie abschließend die Checkbox für das Attribut »Message Authenticator«.

Sobald der erste WLAN-AP so eingebunden ist, sollte der Verwalter den Protokolldienst passend dazu einstellen. Bearbeiten Sie dazu die »Lokale Datei« in der »RAS-Protokollierung« des IAS-Baums. Aktivieren Sie in den Einstellungen alle Checkboxen, um das Maximum an Information festzuhalten.

RAS-Richtlinie erstellen & individuell konfigurieren
Die Remote-Access-Richtlinie erlaubt es Benutzer mit WLAN-Geräten überhaupt erst, sich am Netzwerk anzumelden. Hier legt der Administrator die Authentifizierungsmethoden für Benutzer oder Gruppen fest. Eine neue Richtlinie lässt sich in der »Internetauthentifizierungsdienst«-MMC über den Container »RAS-Richtlinien« per Assistent anlegen. Nach der Benennung der Richtlinie wählt der Anwender »Drahtlos« als Zugriffsmethode. Nachdem der Verwalter die WLAN-Nutzer als einzelne Benutzer oder als Gruppe hinzugefügt hat, wählt er noch »Geschütztes EAP (PEAP)« als Authentifizierungsmethode.

Weiter geht es bei den Eigenschaften des Peap, welche per Dialog abgefragt werden. Hier lässt sich das vorher erstellte Zertifikat wählen. Die Option »Schnelle Wiederherstellung der Verbindung aktivieren« erlaubt den Clients, sich per Roaming in verschiedene APs einzubuchen, ohne sich neu authentifizieren zu müssen.

Radius-Clients (APs) konfigurieren
Den drahtlosen Access-Point versorgt der Verwalter noch mit einigen Daten, damit die Authentifizierung des WLAN-Clients gegenüber dem Radius-Server funktioniert. Irgendwo bei den Authentifikations-Optionen auf dem AP stellen Administratoren WPA/WPA2 mit 802.1X ein und nutzen als Verschlüsselungsalgorithmus »AES« oder »AES und TKIP«. Pro Access-Point vergeben Sie einen Pre-Shared-Key. Mit diesem weist sich der AP beim Radius-Server aus. Der UDP-Port 1812 ist Standard für die Radius-Authentifizierung.

WLAN-Client konfigurieren (lassen)
Die Konfiguration von 802.1X ist abgeschlossen. Nun müssen nur noch die einzelnen WLAN-Geräte passend für den Zugang eingestellt sein. Die erforderlichen Angaben wie die SSID lassen sich bequem per Richtlinie an Windows-XP Professional weiterreichen. Dazu fertigt der Verwalter eine neue Drahtlosnetzwerkrichtlinie an. Markieren Sie im Gruppenrichtlinienobjekt-Editor den Knoten »Computerkonfiguration Windows-Einstellungen Sicherheitseinstellungen Drahtlosnetzwerkrichtlinien (IEEE 802.11)«. Im Kontextmenü der sekundären Maustaste startet der Eintrag »Drahtlosnetzwerkrichtlinien erstellen« einen Assistenten, mit dem der Anwender die Richtlinie im Wesentlichen benennt. Die eigentliche Konfiguration findet in den Eigenschaften statt, wo Sie das WLAN als bevorzugtes Netzwerk hinzufügen. Stellen Sie den Client darin passend zur Konfiguration des Radius-Servers und des WLANs ein. Beachten Sie lediglich Folgendes: Einen konkreten WEP-Schlüssel zu benutzen umgeht die Option »Schlüssel wird automatisch bereitgestellt«.

Damit der Zugang zum LAN korrekt verläuft, muss auf der Registrierkarte IEEE 802.1X die »Netzwerkzugriffssteuerung mit IEEE 802.1X aktivieren« markiert sein. Dies ist die wichtigste Einstellung. Alle Computer, auf die diese Gruppenrichtlinie zutrifft, werden automatisch mit den nötigen Einstellungen versorgt.

Noch sicherer: 802.1X in einer PKI
Eine aufwändige Sicherung mit Zertifikaten erlaubt EAP-TLS (Extensible-Authentication-Protocol-Transport-Layer-Security). Es benutzt das TLS-Verschlüsselungsprotokoll, das von SSL (Secure-Socket-Layer) abstammt, zur Authentifizierung. Dabei versichern sich Server und Client gegenseitig ihrer Authentizität über Zertifikate. Da dabei auch alle Clients mit Zertifikaten ausgestattet sein müssen, schnellt der Verwaltungsaufwand steil in die Höhe, vor allem, wenn häufig Zertifikate zurückgezogen werden müssen.
jr@networkcomputing.de