Das 802.1x-Protokoll unter Windows XP Der 5-Minuten-Sicherheitstipp

  • Artikel

Veröffentlicht: 01. Mrz 2004

In anderen 5-Minuten-Sicherheitstipps haben Sie die Mängel des 802.11-Protokolls im Bezug auf Verschlüsselung und Authentifizierung kennen gelernt. Die Grundaussage dieser Artikel war: Das WLAN-Protokoll 802.11 ist nicht sehr sicher. Durch die Kooperation mit Microsoft, Cisco und anderen Herstellern hat das IEEE diese Mängel der 802.11-Protokoll-Implementierungen erkannt und stellt mit dem IEEE-802.1x-Standard jetzt deutlich robustere WLAN- und LAN-Authentifizierungs- und Sicherheitsmechanismen zur Verfügung. Um das 802.1x-Protokoll zu nutzen, müssen Sie Domänencontroller unter Windows 2000 oder Windows 2003 Server zusammen mit Windows XP-Clients einsetzen.

Auf dieser Seite

Dn151217.ACDCF196BC98A92A7E35715F19C8C405(de-de,TechNet.10).png Wie das 802.1x-Protokoll arbeitet

Dn151217.ACDCF196BC98A92A7E35715F19C8C405(de-de,TechNet.10).png 802.1x auf dem Client konfigurieren

Dn151217.ACDCF196BC98A92A7E35715F19C8C405(de-de,TechNet.10).png Das 802.1x-Protokoll in kleinen Netzwerken

Dn151217.ACDCF196BC98A92A7E35715F19C8C405(de-de,TechNet.10).png Das 802.1x-Protokoll in großen Unternehmen

Wie das 802.1x-Protokoll arbeitet

Das 802.1x-Protokoll implementiert Zugangskontrollen über Ports. Im einem WLAN ist ein Port eine Verbindung zwischen einem Access Point (AP) und einem Client. Es sind zwei Arten von Ports im 802.1x-Protokoll definiert: kontrollierte und unkontrollierte Ports. Ein kontrollierter Port erlaubt es den angeschlossenen Geräten, mit allen anderer Netzwerkgeräten zu kommunizieren. Ein unkontrollierter Port beschränkt die angeschlossenen Geräte auf bestimmte Netzwerkadressen (zum Beispiel nur den Verkehr zu Authentifizierungsservern). Nachdem der Client authentifiziert worden ist, ist kann er die kontrollierten Ports verwenden. Im 802.1x-Protokoll sind unkontrollierte und kontrollierte Ports logische Einheiten, die unter demselben physikalischen Netzwerkanschluss existieren.

Im Hinblick auf die Authentifizierung definiert das 802.1x-Protokoll für Netzwerkgeräte zwei Rollen: Ein Bittsteller ist ein Gerät, das um Zugriff bittet. Ein Authentifizierer ist ein Gerät, das Clients authentifiziert, und überprüft, ob Zugriff erteilt wird oder nicht. Ein drahtloser AP könnte ein Authentifizierer sein. Der Industriestandard RADIUS eignet sich jedoch besser zur Authentifizierung (Windows 2000 stellt Ihnen den RADIUS-Dienst zur Verfügung). Mit RADIUS akzeptiert der AP die Authentifizierungsanfrage und vermittelt sie weiter zu einem RADIUS-Server. Dieser überprüft den Benutzer mit Hilfe von Active Directory.

Das 802.1x-Protokoll verwendet keine WEP-Authentifizierung (Wired Equivalent Privacy), sondern den Industriestandard EAP (Extensible Authentication Protocol) oder die neuere Variante PEAP (Protected-EAP). Der Hauptvorteil von EAP/PEAP ist, dass Sie eine Auswahl von Authentifizierungsmethoden ermöglichen. Standardmäßig verwendet 802.1x EAP-TLS (EAP-Transport Layer Security), mit dem jeder EAP-gesicherte Austausch vom TLS Protokoll (einem nahen Verwandten von SSL) verschlüsselt wird. Der Ablauf des Authentifizierungsprozesses sieht wie folgt aus:

  1. Die drahtlose Station beginnt den Verbindungsaufbau mit dem AP über einen unkontrollierten Port (weil der Client noch nicht authentifiziert ist, und somit keinen kontrollierten Port verwenden kann). Der AP übergibt eine Challenge (Herausforderung) in Form einer Zeichenkette an die Station.
  2. Die Station antwortet mit einer Identifikation.
  3. Die AP leitet die Identitätsmeldung der Station über RADIUS an den Authentifizierer weiter.
  4. Der RADIUS-Server überprüft das spezifizierte Konto und bestimmt, welche Anmeldeinformationen erforderlich sind (Sie könnten Ihren RADIUS Server zum Beispiel so konfiguriert haben, dass er nur digitale Zertifikate akzeptiert). Diese Information wird in eine Anmeldeinformations-Anfrage umgewandelt und an die Station zurückgegeben.
  5. Die Station sendet ihre Anmeldeinformationen über den unkontrollierten Port an den AP.
  6. Der RADIUS-Server wertet die Anmeldeinformationen aus. Wenn sie korrekt sind, wird ein Authentifizierungsschlüssel an den AP geschickt. Dieser ist verschlüsselt, so dass nur der AP ihn entschlüsseln kann.
  7. Der AP entschlüsselt den Schlüssel, und verwendet ihn, um einen neuen Schlüssel für die Station zu erstellen. Dieser Schlüssel wird an die Station geschickt und dort zur Verschlüsselung des globalen Authentifizierungsschlüssels benutzt.

Der AP generiert regelmäßig einen neuen globalen Authentifizierungsschlüssel und schickt diesen zum Client. So wird das Problem langlebiger und leicht angreifbarer fester Schlüssel von 802.11 beseitigt.

Dn151217.590B5404BFEA7F06684DB47B00539355(de-de,TechNet.10).png Zum Seitenanfang

802.1x auf dem Client konfigurieren

Den 802.1x-Client unter Windows XP zu konfigurieren ist sehr einfach. Die grundlegenden Schritte sehen Sie hier.

  1. Öffnen Sie den Ordner Netzwerkverbindungen. Öffnen Sie das Kontextmenü der Verbindung, mit der Sie 802.1x verwenden wollen und wählen Sie Eigenschaften.
  2. Wählen Sie unter Erweitert den WLAN Anschluss aus, mit dem Sie 802.1x verwenden wollen. Klicken Sie auf Konfigurieren.
  3. In der Dialogbox Eigenschaften wechseln Sie zur Registerkarte Authentifizierung.
  4. Vergewissern Sie sich, dass das Kontrollkästchen IEEE 802.1x Authentifizierung für dieses Netzwerk aktivieren aktiviert ist. Wählen Sie dann den entsprechenden EAP-Typ. Sie sollten EAP-TLS mit Smartcards oder lokal gespeicherten Zertifikaten oder PEAP verwenden. PEAP wird Ihnen als Auswahlmöglichkeit nur dann angezeigt, wenn Sie Windows XP Service Pack 1 installiert haben.

Dn151217.590B5404BFEA7F06684DB47B00539355(de-de,TechNet.10).png Zum Seitenanfang

Das 802.1x-Protokoll in kleinen Netzwerken

Wenn Sie ein kleines Netzwerk betreuen, denken Sie vielleicht, dass Sie das 802.1x-Protokoll nicht benötigen. Sie können 802.1x jedoch auch mit weniger Aufwand und ohne eine Public-Key-Infrastruktur einsetzen. Dies wird im Artikel https://www.microsoft.com/technet/community/columns/cableguy/cg0702.mspx beschrieben.

Dn151217.590B5404BFEA7F06684DB47B00539355(de-de,TechNet.10).png Zum Seitenanfang

Das 802.1x-Protokoll in großen Unternehmen

Wenn Sie ein Windows 2000-basiertes Netzwerk mit mindestens einem Domänencontroller verwenden, können Sie eine flexiblere und leistungsfähigere 802.1x-Infrastruktur mit Hilfe von Active Directory und Windows 2000-RAS-Richtlinien einrichten. Im ersten Schritt werden digitale Zertifikate für Ihre Clients erstellt. Sie können diese Zertifikate über Gruppenrichtlinen implementieren, die automatisch als Client-Zertifikate an die Computer in Ihrer Domäne verteilt werden. Danach können Sie die erforderliche Infrastruktur (einschließlich IAS) aufsetzen. Ihre drahtlosen APs konfigurieren Sie unter Verwendung von RADIUS für die Kommunikation mit den IAS Servern. Damit ist Ihr WLAN-Verkehr entsprechend geschützt.

Dn151217.590B5404BFEA7F06684DB47B00539355(de-de,TechNet.10).png Zum Seitenanfang

| Home | Technische Artikel | Community