WLAN-Sicherheit und Authentifizierung

Die Sicherheit von drahtlosen Netzwerken ist eine der aktuellen Herausforderungen für die IT. Drahtlose Netzwerke sind praktisch, stellen aber ein potenzielles Sicherheitsrisiko dar, da der Zugang für Angreifer per se einfacher ist als bei konventionellen Netzwerken

In den vergangenen Jahren haben sich drahtlose Netzwerke nach dem IEEE 802.11-Standard etabliert. Fast jedes mobile Endgerät enthält bereits standardmäßig einen Adapter. An Bahnhöfen, Flughäfen und vielen anderen Stellen ist der Netzwerkzugang mehr oder minder problemlos, wenn auch oft zu überhöhten Preisen möglich.

Die Herausforderung für solche Netzwerke liegt in ihrer Sicherheit. Dabei sind mehrere Aspekte zu beachten. Zum einen geht es gerade bei öffentlich zugänglichen Netzwerken darum, die übertragenen Informationen zu sichern. Hier geht es um sichere Zugriffe auf interne Websites oder die verschlüsselte E-Mail-Übertragung.

Beim Betrieb eigener WLANs liegt die Herausforderung dagegen darin sicherzustellen, dass die Netzwerke überhaupt nur von autorisierten Systemen und Benutzern verwendet werden können. Diese müssen daher zunächst authentifiziert und für den Zugriff autorisiert werden.

Authentifizierung bei WLANs

Die Authentifizierung an WLANs ist im Standard 802.1X definiert. Dieser wird ab dem Service Pack 4 für Windows 2000 unterstützt, entsprechend auch bei Windows XP und dem Windows Server 2003. Zwei Authentifizierungsmethoden können eingesetzt werden. Bei Verwendung von PEAPMS-CHAPv2 wird mit einem Challenge-Handshake-Verfahren gearbeitet. Diese Verfahren werden auch sonst bei der Authentifizierung häufig genutzt.

Alternativ dazu kann mit EAP-TLS gearbeitet werden. TLS ist eine Weiterentwicklung von SSL. Entsprechend wird wie bei SSL mit digitalen Zertifikaten nach dem X.509v3-Standard gearbeitet, wobei für die Authentifizierung sowohl Computer- als auch Benutzerzertifikate eingesetzt werden können.

Bild 1: Die Authentifizierung an drahtlosen Netzwerken wird von Windows standardmäßig unterstützt.
Bild 1: Die Authentifizierung an drahtlosen Netzwerken wird von Windows standardmäßig unterstützt.

Wichtig ist, dass die eingesetzten Wireless Access Points für die Authentifizierung der Zugriffe auf das WLAN mehrere Standards unterstützen müssen:

  • IEEE 802.1X ist erforderlich, damit die verschiedenen Varianten der Authentifizierung überhaupt durchgeführt werden können.

  • RADIUS wird benötigt, um die Authentifizierungsanforderungen an einen RADIUS-Server weiterzuleiten, der sie wiederum gegen ein Verzeichnis – im Windows-Umfeld typischerweise das Active Directory – durchführt.

  • WPA oder WPA2 werden für die sichere Kommunikation innerhalb des WLANs eingesetzt. Der ältere Standard WEP ist allenfalls als Übergangslösung akzeptabel. Allerdings kann man davon ausgehen, dass Access Points mit Unterstützung für IEEE 802.1X und RADIUS auch Support für WPA oder WPA2 bieten.

Die Arbeitsweise

Damit ist auch das Grundkonzept klar, nach dem die Authentifizierung erfolgt:

  • Der Client erkennt ein Netzwerk.

  • Er versucht sich mit dem Netzwerk zu verbinden.

  • Der Wireless Access Point ist so konfiguriert, dass er eine Authentifizierung verlangt.

  • Der Client sendet die Authentifizierungsinformationen. Bei Verwendung von EAP-TLS ist das in der Regel das Benutzerzertifikat, während bei PEAP-MS-CHAPv2 die Anmeldeinformationen von Windows verwendet werden.

  • Der Wireless Access Point leitet diese Informationen über RADIUS an den konfigurierten RADIUS-Server weiter.

  • Dieser führt die Authentifizierung gegen das Active Directory durch.

  • Die Ergebnisse der Authentifizierung werden wieder zurück an den Wireless Access Point gegeben, der dem Client bei erfolgreicher Authentifizierung Zugriff auf das Wireless LAN erlaubt.

Damit ist ein relativ hohes Maß an Sicherheit für drahtlose Netzwerke zu erreichen. Positiv ist, dass man das Konzept – wenn man von den ohnehin erforderlichen Wireless Access Points absieht – auf Basis von Windows-Standardkomponenten umsetzen kann. RADIUS wird mit dem IAS (Internet Authentication Server) geliefert und ist in dieser Implementierung eng mit dem Active Directory integriert.

Für die Erstellung von Zertifikaten können die Zertifikatsdienste von Windows eingesetzt werden, deren Funktionalität für diesen Aufgabenbereich durchaus ausreicht.

Alle anderen Anforderungen werden ohnehin standardmäßig von den Clients und Servern unter Windows abgedeckt.

Der Konfigurationsaufwand darf dennoch nicht unterschätzt werden. Insbesondere der Aufbau der erforderlichen Public-Key-Infrastruktur, also die Einrichtung der Zertifikatsdienste und die Verteilung der Zertifikate, verursachen einigen Aufwand. Dieser ist bei Nutzung von PEAP-MS-CHAP v2 natürlich geringer, weil keine Clientzertifikate erforderlich sind. Serverzertifikate werden aber auch dort benötigt, weil die Clients diese anfordern, um die Identität der Server zu bestätigen. Insofern unterscheidet sich der tatsächliche Aufwand für den Aufbau der Infrastruktur bei den beiden Authentifizierungsmechanismen kaum.

Auch wenn die Liste der erforderlichen Komponenten auf den ersten Blick relativ lang ist, ist – entsprechende Wireless Access Points vorausgesetzt – der Aufwand für den Aufbau einer solchen sicheren Infrastruktur geringer, als man zunächst vermuten mag. Und wenn man mit drahtlosen Netzwerken im professionellen Umfeld arbeitet, sollte man diesen Aufwand treiben, um Sicherheitsrisiken zu vermeiden.

In einer der folgenden Ausgaben von Expert’s inside Windows NT/2000 werden wir auf die konkrete Konfiguration der Authentifizierung für den Zugriff auf drahtlose Netzwerke eingehen.