Grundlegendes zur 802.1X-Authentifizierung für drahtlose Netzwerke

802.1X ist ein IEEE-Standard für authentifizierten Netzwerkzugriff auf verkabelte Ethernet-Netzwerke und drahtlose 802.11-Netzwerke. IEEE 802.1X trägt zur Verbesserung der Sicherheit und der Bereitstellung bei, indem er Unterstützung für zentralisierte Benutzeridentifikation, Authentifizierung, dynamische Schlüsselverwaltung und Kontoführung bereitstellt.

Mithilfe der Unterstützung, die 802.1X für EAP-Typen (Extensible-Authentication-Protokoll) bereitstellt, können Sie eine Auswahl aus mehreren unterschiedlichen Authentifizierungsmethoden für Drahtlosnetzwerkclients und -server treffen.

802.1X verwendet EAP zum Nachrichtenaustausch während des Authentifizierungsvorgangs. Mit EAP wird eine beliebige Authentifizierungsmethode verwendet, wie z. B. Zertifikate, Smartcards oder Anmeldeinformationen. EAP ermöglicht einen nicht begrenzten Austausch zwischen einem EAP-Client (z. B. einem Drahtloscomputer) und einem EAP-Server (z. B. einem Internetauthentifizierungsdienst-Server (Internet Authentication Service, IAS). Die Konversation besteht aus Anforderungen von Authentifizierungsinformationen durch den Server und Antworten des Clients. Für eine erfolgreiche Authentifizierung müssen der Client und der Server dieselbe Authentifizierungsmethode verwenden.

Bei EAP-TLS (Transport Layer Security) handelt es sich um einen EAP-Typ, der in einer zertifikatbasierten Sicherheitsumgebung verwendet wird und die stärkste Methode zur Authentifizierung und zur Schlüsselermittlung bereitstellt. EAP-TLS stellt gegenseitige Authentifizierung, Aushandlung der Verschlüsselungsmethode und Ermittlung verschlüsselter Schlüssel zwischen dem Client und dem authentifizierenden Server bereit. Wenn Sie Zertifikate oder Smartcards für die Benutzer- und Clientcomputerauthentifizierung verwenden möchten, müssen Sie EAP-TLS oder, für mehr Sicherheit, Geschütztes EAP (Protected EAP, PEAP) mit EAP-TLS verwenden.

Das EAP-MS-CHAP v2 (Microsoft Challenge Handshake Authentication-Protokoll, Version 2) ist eine Methode zur gegenseitigen Authentifizierung, die eine kennwortbasierte Benutzer- oder Computerauthentifizierung unterstützt. Während des EAP-MS-CHAP v2-Authentifizierungsvorgangs müssen sowohl der Server als auch der Client beweisen, dass ihnen das Kennwort des Benutzers bekannt ist. Nur dann ist die Authentifizierung erfolgreich. Bei EAP-MS-CHAP v2 können die Benutzer nach einer erfolgreichen Authentifizierung ihre Kennwörter ändern, und bei Ablauf des Kennworts erfolgt eine Benachrichtigung der Benutzer.

Hinweis

• EAP-MS-CHAP v2 steht nur mit PEAP zur Verfügung.
  

PEAP ist eine Authentifizierungsmethode, bei der TLS zur Erhöhung der Sicherheit anderer EAP-Authentifizierungsprotokolle verwendet wird. PEAP bietet die folgenden Vorteile: einen Verschlüsselungskanal zum Schutz der in PEAP ausgeführten EAP-Methoden, durch TLS generiertes dynamisches Schlüsselmaterial, schnelle Wiederherstellung der Verbindung (die Möglichkeit, eine neue Verbindung mit einem Drahtloszugriffspunkt durch Verwendung zwischengespeicherter Sitzungsschlüssel herzustellen, sodass ein schneller Wechsel zwischen Zugriffspunkten möglich ist) und Serverauthentifizierung, mit deren Hilfe die Bereitstellung von nicht autorisierten Drahtloszugriffspunkten verhindert wird.

Der PEAP-Authentifizierungsvorgang umfasst zwei wichtige Phasen:

1. Serverauthentifizierung und die Erstellung eines TLS-Verschlüsselungskanals. Der Server identifiziert sich bei einem Client, indem er Zertifikatinformationen für den Client bereitstellt. Nachdem der Client die Identität des Servers überprüft hat, wird ein geheimer Hauptschlüssel generiert. Die vom geheimen Hauptschlüssel abgeleiteten Sitzungsschlüssel werden dann zum Erstellen eines TLS-Verschlüsselungskanals verwendet, der die gesamte nachfolgende Kommunikation zwischen dem Server und dem drahtlosen Client verschlüsselt.
   
2. EAP-Konversation und Benutzer- und Clientcomputerauthentifizierung. Die vollständige EAP-Konversation zwischen Client und Server wird innerhalb des TLS-Verschlüsselungskanals eingekapselt. Mithilfe von PEAP können Sie eine der verschiedenen EAP-Authentifizierungsmethoden verwenden, z. B. Kennwörter, Smartcards und Zertifikate, um den Benutzer und Clientcomputer zu authentifizieren.
   

Die während des PEAP-Authentifizierungsvorgangs generierten Sitzungsschlüssel stellen Schlüsselmaterial für die WEP-Verschlüsselungsschlüssel (Wired Equivalent Privacy) bereit, mit deren Hilfe die zwischen drahtlosen Clients und drahtlosen Zugriffspunkten gesendeten Daten verschlüsselt werden.

PEAP kann mit einer der folgenden Authentifizierungsmethoden zur drahtlosen Authentifizierung verwendet werden:

• EAP-TLS. Bei dieser Methode werden Zertifikate zur Serverauthentifizierung und entweder Zertifikate oder Smartcards zur Benutzer- und Clientcomputerauthentifizierung verwendet.
  
• EAP-MS-CHAP v2. Bei dieser Methode werden Zertifikate zur Serverauthentifizierung und Anmeldeinformationen zur Benutzerauthentifizierung verwendet.
  
• EAP-Authentifizierungsmethoden anderer Hersteller.
  

Hinweise

• PEAP kann nicht mit EAP-MD5 verwendet werden.
  
• PEAP steht als Authentifizierungsmethode für drahtlose 802.11-Clients zur Verfügung, es wird jedoch für VPN-Clients (Virtual Private Network, virtuelles privates Netzwerk) oder andere RAS-Clients nicht unterstützt. Daher können Sie PEAP nur dann als Authentifizierungsmethode für eine RAS-Richtlinie konfigurieren, wenn der Internetauthentifizierungsdienst (Internet Authentication Service, IAS) verwendet wird.
  

Wenn Clients eine Verbindung zu einem drahtlosen 802.11-Netzwerk herstellen, verfügt die authentifizierte Sitzung über ein Ablaufintervall, das vom Netzwerkadministrator zum Einschränken der Dauer authentifizierter Sitzungen festgelegt wird. Wenn Sie verhindern möchten, dass die authentifizierten Clients zur Angabe ihrer Anmeldeinformationen aufgefordert werden, um eine erneute Authentifizierung durchzuführen und die Sitzung fortzusetzen, können Sie die Option Schnelle Wiederherstellung der Verbindung aktivieren.

PEAP unterstützt eine schnelle Wiederherstellung der Verbindung, sodass Benutzer mobiler Geräte eine dauerhafte Konnektivität zum Drahtlosnetzwerk aufrechterhalten können, während sie zwischen unterschiedlichen Drahtloszugriffspunkten in einem Netzwerk wechseln, solange jeder Drahtloszugriffspunkt als ein Client desselben IAS-Servers (RADIUS-Servers) konfiguriert ist. Zudem muss sowohl auf dem drahtlosen Client als auch dem RADIUS-Server die schnelle Wiederherstellung der Verbindung aktiviert sein.

Nachdem die erste PEAP-Authentifizierung erfolgreich war, werden Benutzer nicht mehr zur Angabe ihrer Anmeldeinformationen (falls PEAP mit EAP-MS-CHAP v2 zur Authentifizierung verwendet wird) bzw. ihrer PIN (persönliche Identifikationsnummer, Personal Identification Number) (falls PEAP mit Smartcards zur Authentifizierung verwendet wird) aufgefordert, wenn sie zu einem neuen drahtlosen Zugriffspunkt wechseln. Wenn die schnelle Wiederherstellung der Verbindung in PEAP aktiviert ist, werden stattdessen nach der erfolgreichen ersten PEAP-Authentifizierung TLS-Sitzungsschlüssel vom Client und Server zwischengespeichert. Wenn Benutzer eine Assoziation mit einem neuen drahtlosen Zugriffspunkt herstellen, verwenden Client und Server die zwischengespeicherten Schlüssel zur gegenseitigen erneuten Authentifizierung, bis der Cache abgelaufen ist. Da die Schlüssel zwischengespeichert sind, kann der RADIUS-Server rasch feststellen, dass es sich bei der Clientverbindung um eine wiederhergestellte Verbindung handelt. Dadurch wird die zeitliche Verzögerung zwischen einer Authentifizierungsanforderung eines Clients und der Antwort des RADIUS-Servers verringert. Auch die Ressourcenanforderungen können dadurch für Client und Server verringert werden.

Falls nicht der ursprüngliche RADIUS-Server verwendet wird, muss eine vollständige Authentifizierung stattfinden. Der Benutzer wird dann erneut zur Angabe von Anmeldeinformationen oder einer PIN aufgefordert. Dies kann in den folgenden Situationen geschehen:

• Der Benutzer stellt eine Assoziation mit einem neuen drahtlosen Zugriffspunkt her, der als Client eines neuen RADIUS-Servers konfiguriert ist.
  
• Der Benutzer stellt eine Assoziation mit demselben drahtlosen Zugriffspunkt her, der drahtlose Zugriffspunkt leitet die Authentifizierungsanforderung jedoch an einen neuen RADIUS-Server weiter.
  

In beiden Situationen speichert der Client die neuen TLS-Sitzungsschlüssel zwischen, nachdem die erste Authentifizierung beim neuen RADIUS-Server erfolgreich war. Clients können TLS-Sitzungsschlüssel für mehrere RADIUS-Server zwischenspeichern.

Weitere Informationen finden Sie unter EAP, MS-CHAP, Version 2 und PEAP.

Weitere Informationen zum Konfigurieren des Sitzungszeitlimits für drahtlose RAS-Richtlinien finden Sie unter Einführung in die Richtlinien für den Remotezugriff, Konfigurieren von Richtlinien für den Remotezugriff und Elemente einer RAS-Richtlinie.

Wenn Sie sich für eine Authentifizierungsmethode entscheiden, sollten Sie einen Ausgleich zwischen dem erforderlichen Maß an Sicherheit und dem durch die Bereitstellung entstehenden Aufwand anstreben. Die höchste Sicherheitsstufe wird erreicht, wenn Sie PEAP mit Zertifikaten (EAP-TLS) verwenden. Die einfachste Bereitstellung ist möglich, wenn Sie PEAP mit Kennwörtern (EAP-MS-CHAP v2) wählen.

Sowohl PEAP mit EAP-TLS als auch EAP-TLS stellen bereits durch die Verwendung von Zertifikaten zur Serverauthentifizierung und Zertifikaten oder Smartcards zur Clientcomputer- und Benutzerauthentifizierung ein hohes Maß an Sicherheit bereit, jedoch werden bei Verwendung von PEAP mit EAP-TLS Clientzertifikatinformationen verschlüsselt. Bei der Bereitstellung von PEAP mit EAP-MS-CHAP v2 fallen die wenigsten Arbeitsschritte an, da die Clientauthentifizierung kennwortgeschützt ist, sodass auf den Clients keine Zertifikate oder Smartcards installiert werden müssen. Da PEAP einen verschlüsselten End-to-End-Kanal aufbaut, ehe die EAP-MS-CHAP v2-Authentifizierung erfolgt, wird beim Authentifizierungsaustausch das Risiko von Offlineverzeichnisangriffen verringert.

Informationen zu den Zertifikatanforderungen für 802.1X-Authentifizierungsmethoden finden Sie unter Netzwerkzugriffsauthentifizierung und Zertifikate. Informationen zum Bereitstellen von Smartcards finden Sie unter Prüfliste: Bereitstellen von Smartcards für das Anmelden an Windows.

Wichtig

• Wenn Sie sowohl PEAP als auch EAP ohne PEAP-Schutz bereitstellen, sollten Sie nicht denselben EAP-Authentifizierungstyp mit und ohne PEAP verwenden. Wenn Sie beispielsweise PEAP mit EAP-TLS (PEAP-EAP-TLS) bereitstellen, sollten Sie nicht zusätzlich EAP-TLS ohne PEAP bereitstellen. Das Bereitstellen von Authentifizierungsmethoden gleichen Typs (eine Methode mit und eine ohne den PEAP-Schutz) führt zu Sicherheitsrisiken.
  
• Zu den Zertifikatvorlagen gehört eine neue Zertifikatvorlage der Version 2 mit dem Namen Arbeitsstationsauthentifizierung. Diese Zertifikatvorlage kann für die automatische Registrierung konfiguriert werden und steht für Organisationszertifizierungsstellen auf Computern unter Windows Server 2003 Enterprise Edition, Windows Server 2003 Datacenter Edition oder einem der Betriebssysteme der Windows Server 2003-Produktfamilie, 64-Bit-Versionen, zur Verfügung. Mit Zertifikaten, die auf dieser Vorlage basieren, kann die Identität von Clientcomputern für Server authentifiziert werden. Sie sollten diese Zertifikatvorlage verwenden, wenn Sie die zertifikatbasierte Authentifizierung für Drahtlosnetzwerkclients unter Windows XP verwenden und zugleich eine Organisationszertifizierungsstelle auf einem Computer unter Windows Server 2003 Enterprise Edition, Windows Server 2003 Datacenter Edition oder einem der Betriebssysteme der Windows Server 2003-Produktfamilie, 64-Bit-Versionen, bereitstellen. Wenn Sie in diesem Fall die Zertifikatvorlage Computer verwenden, schlägt die Clientauthentifizierung fehl. Weitere Informationen finden Sie unter Zertifikatvorlagen und Verwalten von Zertifikatsvorlagen für eine Organisationszertifizierungsstelle.
  

802.1X implementiert die anschlussbasierte Netzwerkzugriffsteuerung. Bei der anschlussbasierten Netzwerkzugriffsteuerung werden die physikalischen Merkmale der Infrastruktur eines geschalteten lokalen Netzwerks (LAN, Local Area Network) verwendet, um Geräte an einem LAN-Anschluss zu authentifizieren und den Zugriff auf den Anschluss zu verhindern, wenn der Authentifizierungsvorgang fehlschlägt.

Während einer Interaktion zur anschlussbasierten Netzwerkzugriffsteuerung übernimmt ein LAN-Anschluss eine von zwei Funktionen: Authentifizierung oder Anforderung. In der Authentifizierungsfunktion erzwingt ein LAN-Anschluss die Authentifizierung, bevor der Benutzerzugriff auf die über den Anschluss bereitgestellten Dienste zugelassen wird. In der Anforderungsfunktion fordert ein LAN-Anschluss den Zugriff auf die über den Anschluss des Computers mit Authentifizierungsfunktion bereitgestellten Dienste an. Ein Authentifizierungsserver, der entweder eine separate Einheit darstellen oder mit dem Computer mit Authentifizierungsfunktion identisch sein kann, prüft im Auftrag des Computers mit Authentifizierungsfunktion die Anmeldeinformationen des Computers mit Anforderungsfunktion. Der Authentifizierungsserver antwortet dann dem Computer mit Authentifizierungsfunktion, ob der Computers mit Anforderungsfunktion zum Zugriff auf die Dienste des Computers mit Authentifizierungsfunktion autorisiert ist.

Durch die anschlussbasierte Netzwerkzugriffsteuerung des Computers mit Authentifizierungsfunktion werden zwei logische Datenpfade zum LAN über einen physikalischen LAN-Anschluss definiert. Der erste Datenpfad, der unkontrollierte Anschluss, lässt den Datenaustausch zwischen dem Computer mit Authentifizierungsfunktion und einem Gerät im LAN zu, unabhängig vom Authentifizierungsstatus dieses Gerätes. Hierbei handelt es sich um den Pfad, den EAPOL-Meldungen (EAP over LAN) verwenden werden. Der zweite Datenpfad, der kontrollierte Anschluss, ermöglicht den Datenaustausch zwischen einem authentifizierten LAN-Benutzer und dem Computer mit Authentifizierungsfunktion. Hierbei handelt es sich um den Pfad, den der gesamte übrige Netzwerkdatenverkehr verwenden wird, nachdem das Gerät authentifiziert worden ist.

Wenn Sie die Authentifizierung, Autorisierung und Kontoführung für Drahtlosnetzwerkverbindungen unterstützen möchten, können Sie 802.1X mit IAS verwenden. IAS stellt die Microsoft-Implementierung eines RADIUS-Servers (Remote Authentication Dial-in User Service) und Proxyservers dar. Wenn RADIUS implementiert worden ist, verhindert ein Drahtloszugriffspunkt die Weiterleitung von Datenverkehr an ein verkabeltes Netzwerk oder an einen anderen Drahtlosnetzwerkclient ohne gültigen Authentifizierungsschlüssel. Beim Erhalt eines gültigen Authentifizierungsschlüssels wird der folgende Vorgang ausgeführt:

1. Wenn ein drahtloser Client in den Bereich eines drahtlosen Zugriffspunktes kommt, fragt der drahtlose Zugriffspunkt den Client ab.
   
2. Der drahtlose Client sendet seine Identität an den drahtlosen Zugriffspunkt, der diese Informationen an einen RADIUS-Server weiterleitet.
   
3. Der RADIUS-Server fordert die Anmeldeinformationen des drahtlosen Clients an, um die Identität des Clients zu überprüfen. Als Teil dieser Anforderung gibt der RADIUS-Server den Typ der erforderlichen Anmeldeinformationen an.
   
4. Der drahtlose Client sendet seine Anmeldeinformationen an den RADIUS-Server.
   
5. Der RADIUS-Server überprüft die Anmeldeinformationen des drahtlosen Clients. Sind die Anmeldeinformationen gültig, sendet der RADIUS-Server einen verschlüsselten Authentifizierungsschlüssel an den drahtlosen Zugriffspunkt.
   
6. Der drahtlose Zugriffspunkt verwendet diesen Authentifizierungsschlüssel zur sicheren Übertragung der Unicastsitzungs- und Multicastauthentifizierungsschlüssel für jede Station an den drahtlosen Client.
   

Informationen zum Konfigurieren von IAS für die Authentifizierung des Drahtloszugriffs finden Sie unter Prüfliste: Konfigurieren des IAS-Servers und drahtloser Zugriffspunkte für den drahtlosen Zugriff und Drahtloser Zugriff.

Informationen zum Konfigurieren von 802.1X-Einstellungen für Clients finden Sie unter Definieren der 802.1X-Authentifizierung für Drahtlosnetzwerke auf einem Clientcomputer.

Allgemeine Informationen zur Sicherheit für Drahtlosnetzwerke finden Sie unter Sicherheitsinformationen zu drahtlosen Netzwerken.