WLAN-Richtlinien
Generell gilt, dass bei der Nutzung von WLANs ohnehin überlegt werden muss, an welcher Stelle noch andere Sicherheitsmechanismen verwendet werden. Der Einsatz von IPsec und darauf oder auf anderen Mechanismen basierenden VPNs ist eine Option, eine andere ist die Verschlüsselung von E-Mails oder zumindest der Kommunikation zu SMTP, POP- und IMAP-Servern.
Falls man sich bei der Authentifizierung für einen WPA-basierenden Mechanismus entschieden hat, werden für die Verschlüsselung zwei weitere Optionen angeboten:
-
Bei TKIP (Temporal Key Integrity Protocol) arbeitet man mit sich verändernden Schlüsseln, die regelmäßig aktualisiert werden. Außerdem greifen einige weitere Mechanismen wie eindeutige Paketnummern, die sich fortlaufend erhöhen. Angriffe sind damit ausgesprochen schwierig durchzuführen.
-
AES (Advanced Encryption Standard) ist die Alternative dazu. Der Nachfolger von DES und 3DES und gilt als das derzeit sicherste Verfahren bei der Nutzung von symmetrischen Schlüsseln.
Beide Varianten bieten ein hohes Maß an Sicherheit. Das Optimum ist derzeit die Auswahl von WPA für die Authentifizierung in Verbindung mit TKIP als Verschlüsselungsverfahren und der Nutzung von digitalen Zertifikaten nach dem X.509-Standard für die Authentifizierung.
Im Register IEEE 802.1x können weitere Festlegungen zur Sicherheit vorgenommen werden. Falls für die Authentifizierung (Netzwerkzugriffssteuerung) WPA gewählt wurde, sind die IEEE 802.1x-Mechanismen standardmäßig aktiviert. Bei Verwendung von WEP sind sie optional und bieten einen zusätzlichen Sicherheitsmechanismus. Im oberen Bereich des Dialogfelds kann konfiguriert werden, ob und in welcher Weise eine EAPOL-Startmeldung übertragen wird. Es gibt in der Regel keinen Grund, diese Einstellungen anzupassen. EAPOL steht für EAP over LAN und ist eine Erweiterung von EAP, das zunächst für den Einsatz mit Wählverbindungen und damit das Zusammenspiel mit PPP (Point-to-Point Protocol) entwickelt wurde.
Darunter kann der EAP-Typ ausgewählt werden. Hier werden einerseits Smartcards und andere Zertifikatsspeicher und andererseits PEAP (Protected EAP) unterstützt. Bei PEAP erfolgt nur eine serverseitige Authentifizierung wie Zertifikat (wie beim Zugriff auf Webserver über SSL/TLS), während die clientseitige Authentifizierung beispielsweise mit MSCHAPv2 durchgeführt wird. Auf die Smartcard-Einstellungen wird weiter unten noch näher eingegangen.
Unter dem EAP-Typ finden sich noch drei weitere Optionen:
-
Die Option Als Gast authentifizieren, wenn Benutzer- oder Computerinformationen nicht verfügbar sind erlaubt den Zugang zu einem WLAN auch dann, wenn keine spezifischen Anmeldeinformationen vorhanden sind. Das kann für den Zugriff externer Mitarbeiter oder öffentliche WLANs hilfreich sein, widerspricht aber im Grundsatz der Idee eines sicheren WLANs.
-
Sehr viel mehr Sinn macht da schon Als Computer authentifizieren, wenn Computerinformationen verfügbar sind. Damit führt das System eine Authentifizierung am WLAN durch, auch wenn sich der Benutzer noch nicht angemeldet hat. Damit können bereits Dienste im Hintergrund arbeiten.
-
Die dritte Option ist die Computerauthentifizierung. Hier kann gesteuert werden, ob zunächst eine Benutzerauthentifizierung versucht wird, bevor die Computerinformationen verwendet werden. In der Regel bleibt man bei der Standardeinstellung Mit wiederholter Benutzerauthentifizierung, um sich mit den Benutzerinformationen anzumelden.
Darüber hinaus gibt es noch die Festlegungen für die Smartcard bzw. andere Zertifikatsspeicher, die beim EAP-Typ über die Schaltfläche Einstellungen ausgewählt werden können (Bild 6). Bei diesen Einstellungen wird festgelegt, wo die Zertifikate gespeichert sind. Wenn möglich sollte mit Smartcards gearbeitet werden. Zusätzlich lassen sich vertrauenswürdige Stammzertifizierungsstellen auswählen. Die Serverzertifikate in den WLANs müssen von einer der definierten Stammzertifizierungsstellen ausgestellt worden sein. Diese Einstellungen verhindern weitgehend den Zugriff auf nicht vertrauenswürdige WLANs.
