WLAN-Richtlinien

24.02.2007 von Martin Kuppinger

Drahtlose Netzwerke gewinnen immer mehr an Bedeutung. Entsprechend wird es auch zunehmend wichtig, sich vor der missbräuchlichen Nutzung zu schützen. Mit den Drahtlosnetzwerk-Richtlinien bietet Windows einen Ansatz dafür, der allerdings nicht immer ausreicht und teilweise eine komplexe Infrastruktur erfordert.

Das wichtigste Instrument für die sichere Konfiguration von Netzwerkumgebungen sind die Gruppenrichtlinien. Bei den Sicherheitseinstellungen unterhalb von Computerkonfiguration/Windows-Einstellungen gibt es unter anderem die Drahtlosnetzwerk-Richtlinien, mit denen wichtige Restriktionen für die Nutzung von WLANs konfiguriert werden können. Damit lässt sich sowohl die Nutzung interner WLANs als auch von bekannten öffentlichen WLANs beschränken. Allerdings decken die Richtlinien keineswegs alle Anforderungsbereiche ab. So kann man darüber zwar steuern, in welcher Weise bestimmte bekannte Wireless LANs genutzt werden, aber nicht abschließend den Zugriff auf andere WLANs verhindern, zumindest nicht bei Windows XP.

Außerdem setzt eine volle Nutzung der Sicherheitsfunktionen eine komplexe Infrastruktur voraus. Bild 1 zeigt eine solche Lösung. Dabei wird mit einer Identifikation von Clients auf Basis von digitalen Zertifikaten gearbeitet. Die Verschlüsselung erfolgt im Idealfall über WPA (Wi-Fi Protected Access), ein relativ neues Verfahren, das besser ist als der meist genutzte Ansatz WEP (Wired Equivalent Privacy).

Bild 1: Die Infrastruktur für sichere WLAN-Umgebungen arbeitet mit digitalen Zertifikaten (Quelle: Microsoft).

Entscheidend sind die hierfür notwendigen Voraussetzungen:

Es wird eine Infrastruktur für die Erstellung und Verteilung digitaler Zertifikate benötigt.

Die eingesetzten Wireless-Adapter und Wireless Access Points (WAPs) müssen WPA unterstützen.

Der WAP muss die Authentifizierung an einem zentralen Verzeichnis durchführen, was in der Regel wiederum eine RADIUS-Infrastruktur voraussetzt.

Windows XP ab dem Service Pack 2 und der Windows Server 2003 ab dem Service Pack 1 sind ebenfalls erforderlich, da erst diese Versionen WPA unterstützen. Mit älteren Windows-Versionen lässt sich nur WEP nutzen. Schließlich ist auch die Herausforderung der sicheren Konfiguration von WLANs durch Benutzer nicht zu unterschätzen. Auch wenn Microsoft die Einrichtung mit dem Service Pack 2 für Windows XP vereinfacht hat, bleibt doch festzuhalten, dass der Umgang mit Wireless LANs für viele Anwender nicht ganz so einfach ist – von der sicheren Konfiguration einmal ganz abgesehen, bei der ein erhebliches Maß an Kenntnissen vorausgesetzt wird.

Die Konfiguration einer Richtlinie

Im genannten Bereich der Gruppenrichtlinien lassen sich neue Richtlinien über den Befehl Drahtlosnetzwerkrichtlinie erstellen aus dem Kontextmenü einrichten. Wie so oft wird ein Assistent gestartet. In diesem können allerdings nur ein Name und eine Beschreibung eingegeben werden. Die eigentliche Konfiguration der Richtlinie erfolgt anschließend durch die Bearbeitung ihrer Eigenschaften. Hier wird es nun auch gleich interessant.

Bild 2: Die Einstellungen im Register Allgemein einer WLAN-Richtlinie.

Zu den grundlegenden Festlegungen im Register Allgemein zählen der Name, die Beschreibung und ein Intervall für die Aktualisierung der Richtlinien. Da die WLAN-Richtlinien eine Erweiterung der Gruppenrichtlinien sind, werden sie auch nicht vom regulären Aktualisierungsintervall für Gruppenrichtlinien erfasst. Der Wert von 180 Minuten ist eine Untergrenze. In stabilen Umgebungen kann man ohne weiteres auch mit einem deutlich längeren Intervall arbeiten, wobei sich die Last für die Prüfung nach aktuellen Richtlinien in engen Grenzen hält.

Interessant ist die Einstellung für die Netzwerktypen darunter. Hier kann durch Auswahl von Netzwerken mit einem zentralen Zugriffspunkt (Access Point) erreicht werden, dass Computer-zu-Computer-Netzwerke nicht verwendet werden dürfen. Das ist in vielen Fällen sinnvoll, um die oftmals unsichere Peer-to-Peer-Kommunikation zwischen Clients zu unterbinden. Allerdings gibt es auch Situationen wie bei Beraterteams, in denen genau diese Funktion für den Aufbau eines kleinen „adhoc“-WLANs benötigt werden.

Bild 3: Die (noch leere) Liste der bevorzugten Netzwerke, für die spezielle WLANEinstellungen konfiguriert sind.

Die Option Windows für die Drahtlosnetzwerkkonfiguration für Clients verwenden ist normalerweise gesetzt, um die Windows-Schnittstellen zu nutzen. Wenn sie deaktiviert wird, können Anwendungen von Drittherstellern, also beispielsweise dem Lieferanten des WLANAdapters, eingesetzt werden.

Viel interessanter ist die letzte Option. Sie ist normalerweise deaktiviert und sollte es auch bleiben. Wenn sie gesetzt wird, wird auch mit nicht bevorzugten Netzwerken automatisch eine Verbindung hergestellt. Das muss ansonsten manuell erfolgen. Bevorzugte Netzwerke können dagegen in den Richtlinien konfiguriert werden, wobei sich alle Sicherheitseinstellungen vorgeben lassen. Benutzer können allerdings immer noch Verbindungen zu nicht bevorzugten Netzwerken herstellen, müssen das aber manuell tun. Was fehlt, ist eine Option, mit der verhindert werden kann, dass Benutzer auf nicht als bevorzugt konfigurierte WLANs überhaupt zugreifen können. Das wäre aus Sicherheitsgründen wünschenswert, um eine Verbindung mit nicht als sicher bekannten WLAN-Infrastrukturen zu verhindern. Hier müssen gegebenenfalls formale Richtlinien für die Anwender zum Einsatz kommen, die eine solche Verbindung untersagen. Allerdings kann das auch zu erheblichen Einschränkungen für die praktische Nutzung von WLANs bei Notebooks führen, weil man damit den Zugang typischerweise auf wenige ausgewählte Provider beschränkt und manches Hotel-Netzwerk nicht mehr verfügbar ist.

Bild 4: Die Netzwerkeigenschaf ten eines bevorzugten Netzwerks.

Bevorzugte Netzwerke

Im Register Bevorzugte Netzwerke lässt sich anschließend eine Liste konfigurieren, in der bevorzugte Netzwerke für eine automatische Verbindung mit den zugehörigen Sicherheitseinstellungen konfiguriert sind. Bei Desktop-Rechnern kann man sich auf die im Unternehmen verfügbaren WLANs, also zumeist eine Einstellung beschränken. Bei Notebooks sollte man die WLANs im Unternehmen, auch an unterschiedlichen Standorten, und Netzwerke der bevorzugten Provider außerhalb des Unternehmens, die beispielsweise WLANs an Bahnhöfen, Flughäfen und in Hotels bereitstellen, ebenfalls mit einrichten. Allerdings lässt sich dabei, wie oben bereits ausgeführt, keine vollständige Abdeckung erreichen.

Bild 5: Die Detaileinstellungen zu IEEE 802.1x bei den Parametern eines bevorzugten Netzwerks.

Die Liste der bevorzugten Netzwerke ist zunächst noch leer. Über die Schaltfläche Hinzufügen wird ein neues Netzwerk eingerichtet.

Das erste Register bei den Einstellungen für das bevorzugte Netzwerk ist Netzwerkeigenschaften. Dort muss zunächst die SSID, also die eindeutige Kennung für das Netzwerk eingetragen werden. Leider ist diese Kennung nicht so eindeutig. So wird der Name Mobile relativ häufig von unterschiedlichen Anbietern verwendet. Das kann auch zu Problemen beim Verbindungsaufbau führen, wenn ein Netzwerk mit einer zwar definierten SSID, aber mit völlig anderen Sicherheitseinstellungen in der Nähe ist.

Darunter finden sich zwei der wichtigsten Festlegungen überhaupt:

Bei Netzwerkauthentifizierung wird konfiguriert, in welcher Form eine Authentifizierung beim Zugriff auf das WLAN erfolgen soll und muss.

Bei Datenverschlüsselung wird festgelegt, ob und in welcher Weise die übertragenen Daten verschlüsselt werden sollen.

Bei beiden Parametern hat man eine ganze Reihe von Auswahlmöglichkeiten, die teilweise voneinander abhängig sind. Für die Authentifizierung stehen folgende Optionen zur Verfügung:

Der Wert Offen legt fest, dass es sich um ein Netzwerk ohne Authentifizierung handelt. Bei vielen öffentlichen WLANs wird zwar damit gearbeitet, aber die Authentifizierung erfolgt anschließend über eine entsprechende Konfiguration eines Proxyservers, der die Weiterleitung des Datenverkehrs erst nach einer Authentifizierung bei einem Provider zulässt. Insofern ist offen nicht zwingend eine sicherheitskritische Einstellung aus Sicht des Providers. Grundsätzlich gilt aber, vor allem für eigene WLANs, dass man mit einer definierten Authentifizierung arbeiten sollte.

Die einfachste Möglichkeit dafür ist die Option Gemeinsam verwendet. Sie basiert auf WEP und verwendet für die Authentifizierung einen gemeinsam verwendeten Schlüssel. Die Nutzung solcher Schlüssel ist allerdings nur sehr eingeschränkt sicher, da gemeinsam verwendete Schlüssel dazu neigen, sehr schnell vielen Leuten bekannt zu sein. Außerdem ist die Änderung solcher Schlüssel aufwändig, da die Kommunikation in der Umstellungsphase nicht funktioniert, was zum Ergebnis hat, dass die Schlüssel kaum einmal geändert werden.

Die beste Lösung ist die Auswahl der Option WPA. In diesem Fall wird mit dem EAP (Extensible Authentication Protocol) für die Authentifizierung gearbeitet. Dabei können beispielsweise digitale Zertifikate genutzt werden. Alternativ lässt sich aber beispielsweise auch MSCHAPv2 (Microsoft Challenge Handshake Authentication Protocol) verwenden. Der Nachteil dabei ist, dass der Aufbau der Infrastruktur, wie eingangs erläutert, relativ komplex ist. Gemeinsam genutzte Schlüssel oder der Verzicht auf Authentifizierung sind natürlich deutlich einfacher umsetzbar.

Eine wiederum einfachere, dafür aber auch weniger sichere Lösung ist WPA-PSK. In diesem Fall wird WPA mit einem Pre-shared Key eingesetzt, also einem gemeinsam verwendeten, beiden Seiten vorab bekannt gemachten Schlüssel. Der Vorteil von WPA liegt hier nur noch in der höheren Sicherheit bei der Verschlüsselung, aber nicht mehr beim sicheren Verbindungsaufbau.

Dennoch kann es sinnvoll sein, diese Auswahl zu treffen, wenn es keine PKI für das Management der digitalen Zertifikate gibt, aber zumindest die Verschlüsselung von WPA genutzt werden soll. Wenn eine der ersten beiden Optionen gewählt wird, lässt sich nämlich auch nur entweder unverschlüsselt oder mit WEP-Verschlüsselung arbeiten. Ersteres ist ohnehin problematisch, Letzteres ist auch nicht der Weisheit letzter Schluss. Da WEP mit dem immer gleichen Schlüssel arbeitet und einige weitere Schwachstellen aufweist, ist es für Angreifer relativ leicht, diese Verschlüsselung zu knacken. Daher wurde auch WPA als Nachfolger für WEP definiert.

Generell gilt, dass bei der Nutzung von WLANs ohnehin überlegt werden muss, an welcher Stelle noch andere Sicherheitsmechanismen verwendet werden. Der Einsatz von IPsec und darauf oder auf anderen Mechanismen basierenden VPNs ist eine Option, eine andere ist die Verschlüsselung von E-Mails oder zumindest der Kommunikation zu SMTP, POP- und IMAP-Servern.

Falls man sich bei der Authentifizierung für einen WPA-basierenden Mechanismus entschieden hat, werden für die Verschlüsselung zwei weitere Optionen angeboten:

Bei TKIP (Temporal Key Integrity Protocol) arbeitet man mit sich verändernden Schlüsseln, die regelmäßig aktualisiert werden. Außerdem greifen einige weitere Mechanismen wie eindeutige Paketnummern, die sich fortlaufend erhöhen. Angriffe sind damit ausgesprochen schwierig durchzuführen.

AES (Advanced Encryption Standard) ist die Alternative dazu. Der Nachfolger von DES und 3DES und gilt als das derzeit sicherste Verfahren bei der Nutzung von symmetrischen Schlüsseln.

Beide Varianten bieten ein hohes Maß an Sicherheit. Das Optimum ist derzeit die Auswahl von WPA für die Authentifizierung in Verbindung mit TKIP als Verschlüsselungsverfahren und der Nutzung von digitalen Zertifikaten nach dem X.509-Standard für die Authentifizierung.

Im Register IEEE 802.1x können weitere Festlegungen zur Sicherheit vorgenommen werden. Falls für die Authentifizierung (Netzwerkzugriffssteuerung) WPA gewählt wurde, sind die IEEE 802.1x-Mechanismen standardmäßig aktiviert. Bei Verwendung von WEP sind sie optional und bieten einen zusätzlichen Sicherheitsmechanismus. Im oberen Bereich des Dialogfelds kann konfiguriert werden, ob und in welcher Weise eine EAPOL-Startmeldung übertragen wird. Es gibt in der Regel keinen Grund, diese Einstellungen anzupassen. EAPOL steht für EAP over LAN und ist eine Erweiterung von EAP, das zunächst für den Einsatz mit Wählverbindungen und damit das Zusammenspiel mit PPP (Point-to-Point Protocol) entwickelt wurde.

Darunter kann der EAP-Typ ausgewählt werden. Hier werden einerseits Smartcards und andere Zertifikatsspeicher und andererseits PEAP (Protected EAP) unterstützt. Bei PEAP erfolgt nur eine serverseitige Authentifizierung wie Zertifikat (wie beim Zugriff auf Webserver über SSL/TLS), während die clientseitige Authentifizierung beispielsweise mit MSCHAPv2 durchgeführt wird. Auf die Smartcard-Einstellungen wird weiter unten noch näher eingegangen.

Unter dem EAP-Typ finden sich noch drei weitere Optionen:

Die Option Als Gast authentifizieren, wenn Benutzer- oder Computerinformationen nicht verfügbar sind erlaubt den Zugang zu einem WLAN auch dann, wenn keine spezifischen Anmeldeinformationen vorhanden sind. Das kann für den Zugriff externer Mitarbeiter oder öffentliche WLANs hilfreich sein, widerspricht aber im Grundsatz der Idee eines sicheren WLANs.

Sehr viel mehr Sinn macht da schon Als Computer authentifizieren, wenn Computerinformationen verfügbar sind. Damit führt das System eine Authentifizierung am WLAN durch, auch wenn sich der Benutzer noch nicht angemeldet hat. Damit können bereits Dienste im Hintergrund arbeiten.

Die dritte Option ist die Computerauthentifizierung. Hier kann gesteuert werden, ob zunächst eine Benutzerauthentifizierung versucht wird, bevor die Computerinformationen verwendet werden. In der Regel bleibt man bei der Standardeinstellung Mit wiederholter Benutzerauthentifizierung, um sich mit den Benutzerinformationen anzumelden.

Darüber hinaus gibt es noch die Festlegungen für die Smartcard bzw. andere Zertifikatsspeicher, die beim EAP-Typ über die Schaltfläche Einstellungen ausgewählt werden können (Bild 6). Bei diesen Einstellungen wird festgelegt, wo die Zertifikate gespeichert sind. Wenn möglich sollte mit Smartcards gearbeitet werden. Zusätzlich lassen sich vertrauenswürdige Stammzertifizierungsstellen auswählen. Die Serverzertifikate in den WLANs müssen von einer der definierten Stammzertifizierungsstellen ausgestellt worden sein. Diese Einstellungen verhindern weitgehend den Zugriff auf nicht vertrauenswürdige WLANs.

Bild 6: Die Einstellungen für Smartcards und andere Zertifikate.

Erweiterungen bei Windows Vista/Longhorn

Windows Longhorn/Vista bietet einige zusätzliche Erweiterungen für die WLAN-Einstellungen. In den Gruppenrichtlinien im entsprechenden Bereich lässt sich dort gleich konfigurieren, zu welchen Netzwerken in welcher Reihenfolge eine Verbindung hergestellt werden soll. Damit können auch Präferenzen von Netzwerken definiert werden (Bild 7).

Bild 7: Die Einstellungen für WLAN-Richtlinien bei Windows Vista/ Longhorn.

Neben einigen Änderungen im Detail gibt es zwei große Unterschiede zu Windows XP:

Bei Windows Vista wird nun auch WPA2 unterstützt, also die überarbeitete und erweiterte Version von WPA.

Windows Vista unterscheidet zwischen den bevorzugten Netzwerken, für die der Zugriff weitgehend in gewohnter Weise konfiguriert wird, und zwischen einer Liste von weiteren Netzwerkberechtigungen. Diese Liste von Berechtigungen besteht aus SSID, Netzwerktyp und Berechtigung. Damit ist es möglich, den der Zugriff auf Netzwerke mit einer bestimmten SSID zu erlauben oder zu verweigern.

Da die Windows Vista- und Windows XP-Versionen der WLAN-Richtlinien nicht kompatibel sind, müssen für die beiden Betriebssysteme unterschiedliche Richtlinien definiert werden.

Zusammenfassung

Die Konfiguration von Drahtlosnetzwerkrichtlinien zählt zu den wichtigsten Aufgabenstellungen bei der Einrichtung von WLANs, um einen möglichst guten Schutz zu erzielen. Insbesondere eigene und bekannte WLANs lassen sich damit gut sichern. Einschränkungen gibt es aber bei der Beschränkung des Zugriffs auf WLANs. Bei Windows XP kann man zwar bevorzugte Netzwerke konfigurieren, aber keine anderen Netzwerke ausschließen. Bei Windows Vista kann zumindest eine Liste von WLANs definiert werden, auf die nicht zugegriffen werden darf. WLANs, die nicht in der Liste aufgeführt sind, sind aber potenziell weiterhin erreichbar.