Fallstudie: Das drahtlose Netzwerk von Microsoft

Transcription

Fallstudie: Das drahtlose Netzwerk von Microsoft
9
181
183
185
186
194
Fallstudie: Das drahtlose
Netzwerk von Microsoft
Geschichte des drahtlosen Microsoft-LANs
Vorüberlegungen bei der Planung
Installation des drahtlosen Netzwerks
Aktuelle Ausbaustufe und Infrastruktur
Zusammenfassung
Dieses Kapitel beschreibt, wie Microsoft das eigene sichere Drahtlosnetzwerk mit 802.11b und
EAP-TLS-Authentifizierung (Extensible Authentication Protocol – Transport Layer Security)
implementiert hat. Als früher Anwender der Drahtlosnetzwerktechnik wurde Microsoft mit einigen Herausforderungen konfrontiert, als es an den Aufbau einer sicheren und zuverlässigen globalen Drahtlosnetzwerkinfrastruktur ging. Inzwischen hat Microsoft über 30.000 drahtlose Clients, und das Drahtlosnetzwerk ist ein Schlüsselelement der unternehmensweiten Infrastruktur.
Geschichte des drahtlosen Microsoft-LANs
Der Bedarf an einem drahtlosen Zugang zu Unternehmens-LANs steigt durch die wachsende
Zahl mobiler Computer wie Laptops und Persönliche Digitale Assistenten (PDAs) immer weiter,
ebenso durch den Wunsch der Benutzer, über stabile Verbindungen zum Netzwerk zu verfügen,
ohne mit Kabeln an Steckdosen gebunden zu sein, die einen Ortswechsel während der Arbeit
verhindern. Microsofts Bestreben, dem Endbenutzer überall und jederzeit eine Verbindung zu
ermöglichen, treibt die Entwicklung der eigenen Produkte für drahtlose Verbindungen ebenso
voran wie die Bemühungen, eine sichere und zuverlässige unternehmensweite Drahtlosnetzwerkinfrastruktur bereitzustellen.
Als erstes Großunternehmen wandte sich Microsoft der Drahtlos-LAN-Technologie (Wireless
LAN, WLAN) als Alternative zu verkabelten Laptops zu. Nach der Ratifizierung des IEEE
802.11 WLAN-Standards als internationalen Standard unterstützte Microsoft die IEEE 802.11bErweiterung des frisch veröffentlichten Standards (ratifiziert am 16. September 1999) und
begann im Dezember 1999 mit der praktischen Umsetzung von IEEE 802.11b auf dem eigenen
Firmengelände in Redmond. Seitdem war Microsoft in den IEEE 802.11-Standardgremien aktiv
und führend an der Weiterentwicklung und Verbesserung der Bereiche Datenschutz, Authentifizierung und Netzwerkzuverlässigkeit beteiligt.
181
Kurz nach der Ratifizierung von IEEE 802.11b begann die IEEE 802.1 MAC Bridging-Gruppe
mit der Arbeit an der IEEE 802.1X-Erweiterung des 802.1-Bridging-Standards, um einen authentifizierten Portzugriff auf herkömmliche Kabelnetzwerke zu ermöglichen, wie IEEE 802.3 (Ethernet), IEEE 802.5 (Token Ring), Fiber Distributed Data Interface (FDDI) und IEEE 802.11.
Anfangs bot Microsoft die Drahtlosverbindung als Ergänzung zu den allgegenwärtigen Kabelnetzwerken an. Obwohl er nicht als Hauptverbindung für den Endbenutzer konzipiert war, entwickelte sich der WLAN-Dienst schnell zu einer begehrten Verbindungsalternative für improvisierte Diskussionen, Software-Vorführungen und die Möglichkeit, die Arbeit in Besprechungen
mitzunehmen – und alles wirkte sich positiv auf die Produktivität aus.
Nach dem Abschluss der Installation verfügte Microsoft zwar über das größte unternehmensweite
WLAN-Netzwerk der Welt, hatte aber sofort die Probleme mit der Einrichtung, Integration und
Wartung zu lösen, die ein großes WLAN-Netzwerk mit sich bringt. Mit einer ersten Installation
von 2.800 Access Points (Zugriffspunkte) und 19.000 Drahtlosnetzwerkadaptern musste sich
Microsoft von Anfang an um Sicherheits- und Skalierbarkeitsprobleme kümmern. So kam Microsoft zum Beispiel zu der Überzeugung, dass die MAC-Adressenfilterung (Media Access Control)
und die frühen VPN-Lösungen (Virtual Private Network) keine gut skalierbaren Lösungen für
ein globales WLAN darstellen.
Bei der ersten Installation von 802.11b auf dem Firmengelände in Redmond wurden statische
128-Bit-Schlüssel zur WEP-Verschlüsselung verwendet, um die Vertraulichkeit der Daten zu
gewährleisten und eine IEEE 802.11 Shared Key-Authentifizierung zu ermöglichen. Berichte
über erfolgreiche Angriffe auf WEP und Shared Key-Authentifizierung veranlassten Microsoft,
sich noch intensiver um die Sicherheit der eigenen WLAN-Struktur zu kümmern. Das Ergebnis
dieser Haltung ist die aktuelle WLAN-Installation, die mit 802.1X, EAP-TLS-Authentifizierung
auf Zertifikatbasis und sitzungsbezogenen WEP-Schlüsseln arbeitet.
Microsoft leitet weiterhin die Entwicklungen in den Bereichen Authentifizierung und Datenschutz in der IEEE 802.11i-Sicherheitsgruppe. Microsoft ist sich zudem der Vorteile für andere
Funktionsbereiche bewusst und leistet Beiträge zur Unterstützung eines Weltmodus (world mode)
der Drahtlosnetzwerkadapter und eines Access Point-übergreifenden Protokolls, das mit Verbindungsblöcken arbeitet, in denen Informationen zur Zuordnung von Sitzungen erfasst werden.
HINWEIS Der »Weltmodus« (world mode) macht es möglich, einen Drahtlosnetzwerkadapter
in verschiedenen Ländern zu benutzen, von denen jedes die Verwendung des S-Band ISMFrequenzbereichs für die drahtlose 802.11b-Vernetzung anders definieren kann. Verschiedene
Länder teilen das S-Band ISM in unterschiedliche Kanäle auf und definieren unterschiedliche
Vorgaben für die Übertragungsleistung. Access Points und Drahtlosnetzwerkadapter unterstützen den Weltmodusbetrieb.
Die Microsoft-WLAN-Technologie
Das Microsoft-WLAN benutzt folgende Technologien:
b
IEEE 802.11b
b
IEEE 802.1X
b
EAP-TLS-Authentifizierung
b
RADIUS
b
Active Directory-Verzeichnisdienst
b
X.509-Zertifikate
182
Kapitel 9
Vorüberlegungen bei der Planung
Die drahtlose Verbindung dient bei Microsoft für den Zugriff auf das Intranet des Unternehmens
(im Folgenden kurz Corpnet genannt). Einmal im Microsoft-Corpnet, hindern keine Firewalls
die Angestellten oder andere autorisierte Benutzer am Zugriff auf Netzwerk- und Unternehmensressourcen.
Leistung
Weil das WLAN von Microsoft als Ergänzung, nicht als Ersatz der verkabelten Ethernet-LANInfrastruktur gedacht war, teilen sich durchschnittlich zwei bis vier Benutzer 11 MBit/s Bandbreite pro Access Point. Der tatsächliche Datendurchsatz schwankt zwischen 4 und 6, 5 MBit/s.
Unter voller Last (25 Benutzer pro Access Point) verhält sich die drahtlose Netzwerkverbindung
aus der Sicht eines Benutzers wie eine langsame DSL- oder Kabelmodemverbindung.
Eine spezielle Technik wurde zur Sicherung einer hohen Übertragungsleistung benutzt, wenn
viele Benutzer auf relativ engem Raum versammelt sind, wie zum Beispiel bei Mitarbeiterversammlungen und Schulungen. Durch die Verringerung der Sendeleistung der Access Points von
30 Milliwatt (mW) auf 15 oder 5 mW (oder sogar nur 1 mW) entstanden kleinere Sendebereiche.
Die Verringerung der Sendeleistung machte es möglich, auf derselben Fläche eine größere Anzahl
von Access Points aufzustellen. Zum Beispiel wurden in einem Raum für 200 Leute, in dem sich
normalerweise drei Access Points mit normaler Sendeleistung aufstellen lassen, ohne dass es zu
Problemen mit den sich überlappenden Sendebereichen kommt, zusätzliche Access Points mit
geringer Sendeleistung eingesetzt. Das Ergebnis war eine kleinere Anzahl drahtloser Clients pro
Access Point und eine höhere durchschnittlich verfügbare Bandbreite pro drahtlosen Client.
Skalierbarkeit
Microsofts WLAN-Design beruht auf einem Sendebereich mit 20 Metern Durchmesser, der eine
hinreichend redundante Abdeckung ergibt, um Ausfälle einzelner Access Points aufzufangen,
und es den Benutzern ermöglicht, sich im Gebäude frei zu bewegen. Microsofts Operations and
Technology Group (OTG) hat überprüft, ob die Installation der Access Points mit einer international entwickelten Checkliste übereinstimmt. Außerdem hat sie die Abdeckungen und die
Netzwerkverbindungen der einzelnen Access Points überprüft. Auf der technischen Seite hat
man sich bei Microsoft außerdem um einen kleineren Abdeckungsbereich bemüht, um eine
Überlappung der Abdeckungsbereiche mit entsprechender Kanalkonfiguration und um eine
Abschwächung der Bluetoothinterferenzen.
Ortsveränderung und Mobilität
In Microsofts WLAN-Installation liegen alle Access Points, die im selben Gebäude aufgestellt
werden, im selben IP-Subnetz, so dass sich bei Bewegungen eines Benutzers innerhalb des
Gebäudes lückenlose Übergänge ergeben. Wenn drahtlose Clients verschiedenen Access Points
zugeordnet sind, führt der DHCP-Erneuerungsprozess zu einer Bestätigung der vorhandenen
TCP/IP-Konfiguration. Bei Ortswechseln zwischen verschiedenen Gebäuden führt der DHCPErneuerungsprozess zu einer Änderung der IP-Adressenkonfiguration. Daraus können sich Probleme ergeben, wenn die Anwendungen nicht auf solche IP-Adressenänderungen oder andere
Fallstudie: Das drahtlose Netzwerk von Microsoft
183
Konfigurationsänderungen ausgelegt sind. In beiden Fällen wird der Benutzer nicht zur Authentifizierung beim WLAN aufgefordert, weil die Authentifizierung mit EAP-TLS und Zertifikaten
erfolgt.
Sicherheit
Bei der Konzeption der Sicherheitsvorkehrungen wurden auch folgende Punkte berücksichtigt
(sie werden in den folgenden Abschnitten ausführlicher beschrieben):
b
Authentifizierung
b
Lauschangriffe
b
Bösartige Access Points
Authentifizierung
Microsoft verwendet als Authentifizierungsmethode für drahtlose Verbindungen EAP-TLS mit
Benutzer- und Computerzertifikaten, die auf dem Computer gespeichert werden, und zwar aus
folgenden Gründen:
b
EAP-TLS führt nicht zur Abhängigkeit vom Kennwort des Benutzerkontos.
b
Die EAP-TLS-Authentifizierung erfolgt automatisch und erfordert normalerweise kein Eingreifen des Benutzers.
b
EAP-TLS verwendet Zertifikate, die einen relativ starken Authentifizierungsmechanismus
ergeben.
b
Der EAP-TLS-Datenaustausch wird durch eine Verschlüsselung mit öffentlichem Schlüssel
geschützt und ist nicht für Offline-Wörterbuchangriffe anfällig.
b
Der EAP-TLS-Authentifizierungsprozess liefert gegenseitig abgestimmtes Verschlüsselungsmaterial zur Datenverschlüsselung (den WEP-Unicastsitzungsschlüssel) und Signatur.
Lauschangriffe
Der Drahtlosnetzwerkdatenverkehr im Microsoft WLAN wird auf folgende Weise vor Lauschangriffen geschützt:
b
EAP-Nachrichten für IEEE 802.1X-Verhandlungen werden im Klartext versendet. Allerdings
verhindert die Anwendung von EAP-TLS und Verschlüsselung mit öffentlichem Schlüssel,
dass Angreifer die Informationen erhalten, die sie brauchen, um sich als drahtloser Client
oder als authentifizierender Server ausgeben zu können.
b
Nach dem Abschluss der EAP-TLS-Verhandlungen werden die Daten, die zwischen einem
authentifizierten Client und seinem zugeordneten Access Point ausgetauscht werden, entweder mit dem WEP-Multicast-/Global- oder mit dem Unicastsitzungsschlüssel verschlüsselt.
Durch das Auffangen der 802.1X-Nachrichten, der 802.11-Steuernachrichten und der übermittelten Daten könnte ein Angreifer, der den Drahtlosnetzwerkdatenverkehr belauscht, folgende
Informationen erhalten:
b
Namen der Computer- oder Benutzerkonten, die an den EAP-TLS-Verhandlungen beteiligt
sind
b
MAC-Adressen des drahtlosen Clients und des Access Points
b
MAC-Adressen der Knoten in den Subnetzen der Access Points
b
Zeitpunkte der Zuordnung und Trennung
184
Kapitel 9
Ein Angreifer könnte solche Informationen zur Erstellung von Nutzungsprofilen verwenden, aus
denen sich Erkenntnisse über Benutzer oder Geräte ableiten lassen könnten.
Als Schutz vor Lauschangriffen werden sensible Attribute in den RADIUS-Nachrichten, die
zwischen Access Points, RADIUS-Servern und Proxys ausgetauscht werden, mit dem geheimen
RADIUS-Schlüssel geschützt.
Bösartige Access Points
Das Microsoft-WLAN wird vor bösartigen Access Points durch die Verwendung von EAP-TLS
geschützt, das eine gegenseitige Authentifizierung des drahtlosen Clients und des authentifizierenden RADIUS-Servers verlangt. Um sich als Microsoft-Access-Point ausgeben zu können, wäre
ein bösartiger Zugangspunkt auf eine Sicherheitsbeziehung mit einem Microsoft OTG RADIUSServer angewiesen, die durch die Konfiguration des Access Points als RADIUS-Client des
RADIUS-Servers oder -Proxys und einen geheimen RADIUS-Schlüssel definiert und kontrolliert
wird. Verfügt ein Access Point nicht über diese Sicherheitsbeziehung und Konfiguration, kann er
keine RADIUS-Nachrichten mit dem RADIUS-Server austauschen und daher keine drahtlosen
802.1X-Clients authentifizieren. Allerdings könnte ein bösartiger Access Point als RADIUS-Client
eines bösartigen RADIUS-Servers konfiguriert werden. Microsoft-Drahtlosclients überprüfen
aber von Haus aus das Zertifikat des RADIUS-Servers. Wenn also der RADIUS-Server des Access
Points kein gültiges Zertifikat vorlegen kann und nicht beweisen kann, dass er den dazugehörigen
geheimen Schlüssel kennt, beendet der drahtlose Client die Verbindung.
Installation des drahtlosen Netzwerks
Microsoft hat das drahtlose Netzwerk in vier Phasen aufgebaut, die in den folgenden Abschnitten
genauer beschrieben werden.
b
Phase 1: Planung
b
Phase 2: Installation
b
Phase 3: Abnahme
b
Phase 4: Übergabe an Microsoft-Benutzer
Phase 1: Planung
Zu den Vorbereitungen gehörten folgende Schritte:
1. Entwicklung eines Aufstellungsplans für die Access Points, wobei die Richtlinien so ausgelegt
sind, dass 95 Prozent der Installationen keine spezielle Antenne erfordern.
2. Durchführung eines Feldversuchs, bei dem überprüft wird, ob sich bei den ermittelten Standorten der Access Points irgendwelche Besonderheiten ergeben.
3. Vorlage des endgültigen Standortplans zur Genehmigung bei einem Microsoft-OTG-Designer.
Er muss zustimmen, bevor die Installation beginnen kann.
Phase 2: Installation
Auch die Installation der Access Points umfasste mehrere Schritte:
1. Unterbringung der Access Points und Antennen in speziellen Gehäusen, die den Anforderungen an den Brandschutz genügen.
Fallstudie: Das drahtlose Netzwerk von Microsoft
185
2. Konfiguration einer zentralen Niederspannungs-Stromversorgung durch eine unterbrechungsfreie Stromquelle.
3. Aufbau der RADIUS-Infrastruktur.
Phase 3: Abnahme
Zur Abnahme gehörten folgende Schritte:
1. Stichproben der Access-Point-Installation nach einer vorbereiteten Checkliste.
2. Überprüfung der Bereichsabdeckung und der Netzwerkverbindung jedes Access Points.
3. Auslieferung der Dokumentation, in welcher der endgültige Standort jedes Access Points
verzeichnet ist.
Phase 4: Übergabe an Microsoft-Benutzer
Die Übergabe an Microsoft-Benutzer erfolgte in folgenden Schritten:
1. Erstellung eines CAPICOM-Skripts (Cryptographic API Component Object-Modell) zur
Installation der Zertifikate.
2. Erstellung einer Website für Anleitungen, aktualisierte Treiber und das CAPICOM-Skript.
3. Information der Benutzer der Website darüber, wie man drahtlosen Zugriff erhält.
Zur Beschaffung der Computer- und Benutzerzertifikate, die für die drahtlose Verbindung mit
dem firmeneigenen drahtlosen Microsoft-Netzwerk erforderlich sind, muss der Computer, im
Normalfall ein drahtloser Laptop, über einen Ethernet-Anschluss Verbindung mit dem Microsoft-Corpnet aufnehmen.
WEITERE INFORMATIONEN Weitere Informationen zu CAPICOM finden Sie auf der Webseite »Cryptography, CryptoAPI, and CAPICOM« unter http://msdn.microsoft.com.
Aktuelle Ausbaustufe und Infrastruktur
Weltweit gibt es derzeit mehr als 3.200 installierte Access Points im Microsoft-WLAN. Die Größenordnung dieser Installation zog für Microsoft große Herausforderungen in den Bereichen
Sicherheit und Authentifizierung nach sich. Microsoft OTG richtete für den Aufbau und die
Einrichtung der 802.11 WLAN-Lösung mehrere Abteilungen ein: End User Services (EUS), Corporate Security, Enterprise Network Engineering und Corporate Server-Supportgruppen waren
für die Integrationstests und den Aufbau eines sicheren Microsoft-WLANs zuständig.
Die aktuelle WLAN-Installation besteht aus folgenden Elementen:
b
Active Directory-Domänencontroller
b
Windows Server 2003-Zertifizierungsstellen (Certification Authorities, CAs)
b
Drahtlose Windows XP-Clients
b
Access Points der Serien Cisco Aironet 340 und 350
b
RADIUS-Server und -Proxys unter Windows Server 2003
186
Kapitel 9
Active Directory-Domänencontroller
Die Domänen im Microsoft-Corpnet arbeiten im einheitlichen Modus mit Domänencontrollern,
auf denen ein Mitglied der Windows Server 2003-Familie läuft. Während des Übergangs auf
Windows Server 2003 gab es Domänencontroller, auf denen Windows 2000 Server mit Service
Pack 2 (SP2) und den erforderlichen Patches für Active Directory lief, damit Einwähleigenschaften und die SChannel-Zertifikatzuordnung verfügbar waren (diese Patches sind nun Bestandteil
von Windows 2000 SP3). Im Microsoft-Corpnet gibt es folgende Active Directory-Gesamtstrukturen:
b
Corpnet.ms.com
b
NT.Dev
b
Win.SE
b
Win.Deploy
Die Gesamtstruktur corpnet.ms.com enthält die Domäne corpnet.ms.com und eine Reihe von
untergeordneten Domänen, mit denen die größeren geografischen Regionen der Microsoft Corporation nachgebildet werden. Abbildung 9.1 zeigt den Aufbau dieser Gesamtstruktur.
corpnet.ms.com
...
Nordamerika
Redmond
Europa
Südpazifik
Abbildung 9.1: Der Aufbau der
Gesamtstruktur corpnet.ms.com
Wie durch die Gesamtstruktur für Active Directory definiert, kann ein Mitgliedsserver aus einer
Domäne der Gesamtstruktur die Anmeldeinformationen von jedem Konto aus jeder Domäne der
Gesamtstruktur überprüfen. So kann zum Beispiel ein Mitgliedsserver der Domäne Redmond die
Benutzer- oder Computeranmeldeinformationen von Konten aus den untergeordneten Domänen
Nordamerika, Europa, Südpazifik und anderen überprüfen.
WEITERE INFORMATIONEN Weitere Informationen zur Active Directory-Infrastruktur von
Microsoft-Corpnet finden Sie in einer Veröffentlichung mit dem Titel »Windows 2000: Designing and Deploying Active Directory Service for the MS Internal Corpnet« unter
http://www.microsoft.com/technet.
Die RAS-Berechtigung auf der Registerkarte Einwählen der Benutzer- und Computerkonten
wurde auf Zugriff über RAS-Richtlinien steuern eingestellt. Da sich Microsoft dafür entschieden
hat, allen zugelassenen Domänencomputern und Benutzerkonten den Drahtloszugriff zu gestatten, werden die Einwähleigenschaften des Kontos bei der Bewertung der Autorisierung und der
Bestimmung der Beschränkungen für die Verbindung ignoriert. Es gibt keine globale oder universelle Gruppe für alle Konten, die Drahtloszugriff haben. (Weitere Informationen finden Sie in
diesem Kapitel unter »RADIUS-Server und -Proxys unter Windows Server 2003«.)
Fallstudie: Das drahtlose Netzwerk von Microsoft
187
Zertifizierungsstellen unter Windows Server 2003
Zur Ausgabe von Benutzer- und Computerzertifikaten und zur Veröffentlichung der Zertifikatsperrliste (CRL) wurde die vorhandene Microsoft-PKI benutzt. Entsprechend den PKI-Empfehlungen von Microsoft hat die Microsoft-PKI folgenden Aufbau:
b
Eine Stammzertifizierungsstelle, die offline betrieben wird
b
Eine Ebene mit Zwischenzertifizierungsstellen, die ebenfalls offline arbeiten
b
Eine Ebene mit ausstellenden Zertifizierungsstellen, die online erreichbar sind
Diese PKI-Hierarchie ist in Abbildung 9.2 zu sehen.
Stammzertifizierungsstelle (offline)
Zwischenzertifizierungsstelle 1
(offline)
Zwischenzertifizierungsstelle 2
(offline)
Ausstellende
Zertifizierungsstelle1 (online)
Ausstellende
Zertifizierungsstelle 2 (online)
Abbildung 9.2: Die Hierarchie der
Microsoft-PKI
Diese PKI ist flexibel und schützt die Stammzertifizierungsstelle vor den Versuchen böswilliger
Benutzer, ihren geheimen Schlüssel aufzudecken. Alle Zertifizierungsstellen in der MicrosoftPKI laufen auf einem Windows Server 2003-Mitgliedsserver.
WEITERE INFORMATIONEN Weitere Informationen zur PKI finden Sie auf der Website
»Windows 2000 Security Services« unter http://www.microsoft.com/windows2000/technologies/security/default.asp und der Website »Windows Server 2003 Security Services«
unter http://www.microsoft.com/windowsserver2003/technologies/security/default.mspx.
Zur Ausstellung von Computerzertifikaten wurde die automatische Registrierung – unter Verwendung der Einstellungen der automatischen Zertifikatanforderung in der Computerkonfigurations-Gruppenrichtlinie – in den entsprechenden Domänensystemcontainern aller Gesamtstrukturen konfiguriert. Alle Mitgliedscomputer fordern von der zuständigen ausstellenden
Zertifizierungsstelle ein Computerzertifikat an, wenn sie eine aktualisierte Computerkonfigurations-Gruppenrichtlinieneinstellung vorfinden.
Zur Ausstellung von Benutzerzertifikaten hat die Microsoft-OTG-Abteilung ein CAPICOMSkript entwickelt. Da die automatische Registrierung von Benutzerzertifikaten mit den Windows
188
Kapitel 9
2000-Unternehmenszertifizierungsstellen, die anfangs nur zur Verfügung standen, nicht möglich
war, standen als Alternativen die Verwendung von CAPICOM-Skripts oder die Webregistrierung
mit dem Zertifikate-Snap-In zur Verfügung, um ein Zertifikat anzufordern oder zu importieren.
Die Wahl fiel auf CAPICOM-Skripts, weil sie keine weiteren Aktionen seitens des Benutzers
erfordern.
Damit sich die Microsoft-Benutzer informieren können und es einen Ort gibt, an dem sich das
CAPICOM-Skript starten lässt, hat die Microsoft-OTG-Abteilung eine interne Website eingerichtet. Das CAPICOM-Skript überprüft, ob bereits ein Benutzer- oder Computerzertifikat installiert
ist. Wenn das nicht der Fall ist, veranlasst das Skript den Computer, von der zuständigen ausstellenden Zertifizierungsstelle ein Benutzer- oder Computerzertifikat anzufordern.
Das Computerzertifikat (mit automatischer Registrierung installiert) und das Benutzerzertifikat
(mit dem CAPICOM-Skript installiert) werden beschafft, während der Computer über eine
Ethernet-Verbindung mit dem Microsoft-Corpnet verbunden ist.
Drahtlose Clients mit Windows XP
Im Hause Microsoft ist Microsoft Windows XP die Betriebssystemplattform für drahtlose Clients.
Es unterstützt 802.11 und 802.1X. Der Benutzer eines Drahtlosclients stellt die Verbindung mit
dem drahtlosen Microsoft-Firmennetzwerk mit Hilfe des konfigurationsfreien Dienstes für drahtlose Verbindungen (WZC) von Windows XP her. Die standardmäßigen Einstellungen aktivieren
die WEP-Verschlüsselung, die Verwendung der 802.1X-Authentifizierung und die EAP-TLSAuthentifizierungsmethode mit Benutzer- und Computerzertifikaten. Alle Drahtlosnetzwerkadapter, die bei Microsoft benutzt werden, unterstützen den WZC-Dienst.
Wenn Microsoft-Benutzer auch zu Hause über ein drahtloses Netzwerk verfügen, macht es der
konfigurationsfreie Dienst für drahtlose Verbindungen möglich, beide drahtlosen Netzwerke in
die Liste der bevorzugten drahtlosen Netzwerke aufzunehmen, also das drahtlose MicrosoftFirmennetzwerk und das private drahtlose Netzwerk. Bei der Arbeit nimmt der drahtlose Laptop
dann Verbindung mit dem Microsoft-Firmennetzwerk auf, während er zu Hause eine Verbindung
zum privaten drahtlosen Netzwerk herstellt. Jedes drahtlose Netzwerk kann seine eigene Konfiguration haben, wie zum Beispiel die Netzwerkart (Infrastruktur oder Ad-hoc) und die Einstellungen für Authentifizierung und Verschlüsselung.
Access Points aus der Produktreihe Cisco Aironet 340 und 350
Das Microsoft-WLAN benutzt Access Points der Produktreihe Cisco Aironet 340 und 350, auf
denen das Wireless IOS Release 11.21 oder höher läuft. Anfangs werden die Access Points mit
einer Minimalkonfiguration installiert, die den TCP/IP-Zugriff und das Simple Network Management-Protokoll (SNMP) bietet. Ein von Microsoft entwickeltes SNMP-Skript auf PERL-Basis
wird gestartet und konfiguriert die Standardeinstellungen für den Access Point und individuelle
Einstellungen, wie die Kanalnummer oder die Sendeleistung, die aus einer relationalen Datenbank
ausgelesen werden. Die Access Point- und Sende-Firmware wird installiert, indem in jedem Gebäude ein Access Point aktualisiert wird und dann die »Distribute Image«-Fähigkeit der Access
Points genutzt wird, um diese Firmware auf alle Access Points im Gebäude zu übertragen.
Alle Access Points werden als RADIUS-Clients von zwei RADIUS-Servern konfiguriert, die
beide zu einer untergeordneten Domäne der Gesamtstruktur corpnet.ms.com gehören. Es gibt
Fallstudie: Das drahtlose Netzwerk von Microsoft
189
keine Access Points, welche die RADIUS-Server in den Gesamtstrukturen NT.Dev, Win.SE oder
Win.Deploy benutzen. Diese Konfiguration wird von Abbildung 9.3 dargestellt.
Gesamtstruktur
NT.Dev
Gesamtstruktur corpnet.ms.com
corpnet.ms.com
Gesamtstruktur
Win.SE
Nordamerika
Redmond
Europa
Südpazifik
RADIUSServer
Gesamtstruktur
Win.Deploy
RADIUSClients
Abbildung 9.3: Konfiguration der Access Points als RADIUS-Clients
Die Access Points werden zwar mit einem primären und einem sekundären RADIUS-Server konfiguriert, benutzen aber normalerweise nur den primären RADIUS-Server, es sei denn, er ist nicht
erreichbar. Dann wechseln sie auf den sekundären RADIUS-Server und benutzen ausschließlich
diesen. Lässt sich der sekundäre RADIUS-Server nicht erreichen, wechseln die Access Points
wieder auf den primären RADIUS-Server und benutzen ausschließlich diesen. Zur besseren Verteilung der Authentifizierungsanforderungen von allen Access Points einer Domäne wird ungefähr die Hälfte der Access Points mit bestimmten primären und sekundären RADIUS-Servern
konfiguriert (der primäre ist zum Beispiel RAD1 und der sekundäre RAD2). Die andere Hälfte
der Access Points wird mit der umgekehrten Anordnung der primären und sekundären RADIUSServer konfiguriert (der primäre wäre dann zum Beispiel RAD2 und der sekundäre RAD1). Diese
manuelle Konfiguration der Access Points sorgt dafür, dass die RADIUS-Authentifizierungslast
mehr oder weniger gleichmäßig unter den beiden RADIUS-Servern der Domäne aufgeteilt wird
(sofern beide RADIUS-Server verfügbar sind).
RADIUS-Server und -Proxys mit Windows Server 2003
Die RADIUS-Infrastruktur des Microsoft-WLANs besteht aus Paaren von Domänenmitgliedsservern, auf denen jeweils Windows Server 2003 und der Internetauthentifizierungsdienst (IAS)
laufen. Die IAS-Server dienen als RADIUS-Server, RADIUS-Proxys oder beides. Die Computer
werden paarweise eingesetzt, damit der verbleibende Computer die gesamte Arbeit übernehmen
kann, falls einer der beiden Computer ausfällt.
Die RADIUS-Infrastruktur ist in Abbildung 9.4 zu sehen.
190
Kapitel 9
Gesamtstruktur
NT.Dev
Gesamtstruktur corpnet.ms.com
corpnet.ms.com
SQL Server
RADIUSServer
Nordamerika
RADIUSServer
Gesamtstruktur
Win.SE
Andere
RADIUSServer/
Proxys
RADIUSServer
RADIUSProxys
Gesamtstruktur
Win.Deploy
RADIUSServer
Abbildung 9.4: Die RADIUS-Infrastruktur für das Microsoft-WLAN
Die untergeordnete Domäne Nordamerika
Die Domäne Nordamerika enthält die meisten Access Points und Konten, die authentifiziert
werden müssen. Um die sich dadurch ergebende starke Belastung bewältigen zu können, werden
die IAS-Server als RADIUS-Proxys eingesetzt, die sich um den RADIUS-Datenverkehr kümmern.
Die RADIUS-Proxys verteilen den RADIUS-Datenverkehr auf die RADIUS-Server und ermöglichen eine Skalierung der Authentifizierungsinfrastruktur, bei der keine Neukonfigurierung aller
Access Points erforderlich ist.
Ein IAS-Serverpaar, das als RADIUS-Proxy dient, leitet Nachrichten in folgender Weise weiter:
b
Für Konten aus der Gesamtstruktur corpnet.ms.com leiten die IAS-Server Nachrichten von
den Access Points aus Nordamerika an die Nordamerika-RADIUS-Server weiter.
b
Für Konten aus den Gesamtstrukturen NT.Dev, Win.SE oder Win.Deploy leiten die IASServer Nachrichten von den Access Points aus Nordamerika an die RADIUS-Server der
entsprechenden Gesamtstruktur weiter.
Fallstudie: Das drahtlose Netzwerk von Microsoft
191
Dieses Routen wird durch die Konfiguration der folgenden Verbindungsanforderungsrichtlinien
in der folgenden Reihenfolge erreicht:
1. Authentifizierungsanforderungen, in denen das Attribut User-Name auf corpnet.ms.com
endet, werden an die Remote-RADIUS-Servergruppe NorthAmerica weitergeleitet (sie besteht
aus den beiden RADIUS-Servern in der Domäne Nordamerika).
2. Authentifizierungsanforderungen, in denen das Attribut User-Name auf NT.Dev.ms.com
endet, werden an die Remote-RADIUS-Servergruppe NT.Dev weitergeleitet (sie besteht aus
den beiden RADIUS-Servern in der Gesamtstruktur NT.Dev.ms.com).
3. Authentifizierungsanforderungen, in denen das Attribut User-Name auf Win.SE.ms.com
endet, werden an die Remote-RADIUS-Servergruppe Win.SE weitergeleitet (sie besteht aus
den beiden RADIUS-Servern in der Gesamtstruktur Win.SE.ms.com).
4. Authentifizierungsanforderungen, in denen das Attribut User-Name auf Win.Deploy.ms.com
endet, werden an die Remote-RADIUS-Servergruppe Win.Deploy weitergeleitet (sie besteht
aus den beiden RADIUS-Servern in der Gesamtstruktur Win.Deploy.ms.com).
5. Für Windows XP (vor SP1) werden die Computerkontennamen, die während der Computerauthentifizierung übermittelt werden, im Format Domäne/Computerkonto angegeben. Im
Gegensatz dazu haben die Benutzerkontennamen, die während der Benutzerauthentifizierung
übermittelt werden, das Format Benutzerkonto@Domäne.Gesamtstruktur.
Wegen des unterschiedlichen Formats der Computerkontennamen wurden für jede Domäne
zusätzliche Verbindungsanforderungsrichtlinien erstellt, die den Computerkontennamen
anpassen und den RADIUS-Datenverkehr an die entsprechende Remote-RADIUS-Servergruppe weiterleiten. So wurde zum Beispiel eine Verbindungsanforderungsrichtlinie für die
Computerkonten in der Domäne Nordamerika folgendermaßen konfiguriert: Authentifizierungsanforderungen, bei denen das User-Name-Attribut mit NorthAmerica/ beginnt, werden
an die Remote-RADIUS-Servergruppe NorthAmerica weitergeleitet. Und für die Computerkonten in der Domäne NT.Dev wurde zum Beispiel eine Verbindungsanforderungsrichtlinie
folgendermaßen konfiguriert: Authentifizierungsanforderungen, bei denen das User-NameAttribut mit NT.Dev/ beginnt, werden an die Remote-RADIUS-Servergruppe NT.Dev weitergeleitet.
Unter Windows XP (SP1 und höher), Windows Server 2003 und Windows 2000 werden
Computerkontennamen bei der Computerauthentifizierung im Format Computerkonto@
Domäne.Gesamtstruktur gesendet. Zusätzliche Verbindungsanforderungsrichtlinien für
Computerkonten sind nicht erforderlich.
In der Nordamerika-Domäne wird eine Schicht RADIUS-Proxys eingesetzt, damit die Authentifizierungsanforderungen für Access Points aus der gesamten Region Nordamerika (also nicht nur
vom Firmengelände in Redmond) gleichmäßig auf die IAS-Server in der Remote-RADIUS-Servergruppe NorthAmerica verteilt werden. Für die IAS-Server, die in der Domäne Nordamerika als
RADIUS-Server dienen, reicht eine einzelne Verbindungsanforderungsrichtlinie aus. Sie sorgt
dafür, dass alle Authentifizierungsanforderungen auf dem IAS-Server bearbeitet werden, in denen
das Attribut User-Name auf corpnet.ms.com endet.
WEITERE INFORMATIONEN Weitere Informationen zum Einsatz von Windows Server
2003-IAS als RADIUS-Proxy und zur Konfiguration von Verbindungsanforderungsrichtlinien
finden Sie in Kapitel 4, »RADIUS, IAS und Active Directory«.
192
Kapitel 9
Andere untergeordnete Domänen
Ein IAS-Serverpaar, das in den anderen untergeordneten Domänen der Gesamtstruktur corpnet.ms.com als RADIUS-Server/-Proxys eingesetzt wird, arbeitet folgendermaßen:
b
Für Konten aus der Gesamtstruktur corpnet.ms.com führt der IAS-Server eine Authentifizierung durch.
b
Für Konten aus den Gesamtstrukturen NT.Dev, Win.SE oder Win.Deploy werden die Nachrichten an die RADIUS-Server der entsprechenden Gesamtstruktur weitergeleitet.
Die Weiterleitung von Authentifizierungsanforderungen an RADIUS-Server in anderen Gesamtstrukturen wird durch die Konfiguration der folgenden Verbindungsanforderungsrichtlinien in
folgender Reihenfolge erreicht:
1. Authentifizierungsanforderungen, in denen das Attribut User-Name auf corpnet.ms.com
endet, werden auf diesem Server authentifiziert.
2. Authentifizierungsanforderungen, in denen das Attribut User-Name auf NT.Dev.ms.com
endet, werden an die Remote-RADIUS-Servergruppe NT.Dev weitergeleitet.
3. Authentifizierungsanforderungen, in denen das Attribut User-Name auf Win.SE.ms.com
endet, werden an die Remote-RADIUS-Servergruppe Win.SE weitergeleitet.
4. Authentifizierungsanforderungen, in denen das Attribut User-Name auf Win.Deploy.ms.com
endet, werden an die Remote-RADIUS-Servergruppe Win.Deploy weitergeleitet.
Zur Anpassung des abweichenden Formats der Computerkontennamen wurden für jede Domäne
zusätzliche Verbindungsanforderungsrichtlinien erstellt, die für eine Anpassung des Computerkontennamens sorgen und den RADIUS-Datenverkehr an die entsprechende Remote-RADIUSServergruppe weiterleiten.
Die Gesamtstrukturen NT.Dev, Win.SE und Win.Deploy
In den Gesamtstrukturen NT.Dev, Win.SE und Win.Deploy führt ein IAS-Serverpaar, das als
RADIUS-Server dient, folgende Arbeit durch:
b
Für Konten aus der Gesamtstruktur führt der IAS-Server eine Authentifizierung durch.
Diese Authentifizierung wird durch die Konfiguration der folgenden Verbindungsanforderungsrichtlinie erreicht:
b
Für Authentifizierungsanforderungen, in denen das Attribut User-Name mit dem Gesamtstrukturnamen endet, wird auf diesem Server eine Authentifizierung durchgeführt.
Drahtlos-RAS-Richtlinieneinstellungen
Für jeden IAS-Server, der als RADIUS-Server Authentifizierungen und Autorisierungen durchführt, wurde eine Drahtlos-RAS-Richtlinie mit folgenden Einstellungen konfiguriert:
b
Bedingungen: NAS-Porttyp=Drahtlos-IEEE 802.11.
b
Berechtigungen: RAS-Berechtigung erteilen.
b
Profil, Registerkarte Einwählbeschränkungen: Verbindung trennen bei einer Leerlaufzeit
von wurde auf 120 eingestellt. Diese Einstellung erzwingt eine erneute Authentifizierung für
eine drahtlose Verbindung, bei der es zwei Stunden lang keine Aktivität gab.
b
Profil, Registerkarte Authentifizierung: Das EAP (Extensible Authentication Protocol) und
der EAP-Typ Smartcard oder anderes Zertifikat wurden gewählt. Löschen Sie alle anderen
Kontrollkästchen.
Fallstudie: Das drahtlose Netzwerk von Microsoft
193
b
Profil, Registerkarte Verschlüsselung: Löschen Sie alle Kontrollkästchen mit Ausnahme des
Kästchens für die stärkste Verschlüsselung. Diese Einstellung führt dazu, dass alle drahtlosen
Verbindungen mit 128-Bit-Verschlüsselung arbeiten.
b
Profil, Registerkarte Erweitert: Das Attribut Ignore-User-Dialin-Properties wurde auf True
gesetzt.
Zur Vereinfachung der Bewertung von Authentifizierungen und Verbindungsbeschränkungen
und damit sichergestellt ist, dass sich drahtlose Verbindungen herstellen lassen, wurden die
Drahtlos-RAS-Richtlinien für alle IAS-Server, die als RADIUS-Server dienen, so konfiguriert,
dass die Einstellungen auf der Registerkarte Einwählen der Computer- und Benutzerkonten
ignoriert werden.
Zentrale Protokollierung auf einem SQL Server
Da es in Windows Server 2003-IAS möglich ist, Daten in SQL Server zu protokollieren, werden
alle Verbindungsinformationen zur Analyse auf einem zentralen SQL Server erfasst (siehe Abbildung 9.4).
Zusammenfassung
Das Microsoft-WLAN ist ein sicheres drahtloses Netzwerk, das eine Kombination von IEEE
802.11b, IEEE 802.1X, EAP-TLS-Authentifizierung mit Zertifikaten, RADIUS, sowie Zertifikaten
und Active Directory einsetzt. Auf den drahtlosen Clients läuft Windows XP und auf den Servern
der Zertifizierungs- und Authentifizierungsinfrastruktur läuft Windows Server 2003. Computerzertifikate werden mit automatischer Registrierung auf den drahtlosen Clients installiert. Benutzerzertifikate und Informationen zur Konfiguration der drahtlosen Clients sind auf einer internen
Website zugänglich, auf der es auch das entsprechende CAPICOM-Skript gibt. Die RADIUSInfrastruktur benutzt zur besseren Verteilung der Last und zum Routen des RADIUS-Datenverkehrs an die verschiedenen Active Directory-Gesamtstrukturen eine Kombination von RADIUSServern und Proxys.
194
Kapitel 9