802.1x Port Security mit IAS-Server und Windows CA - Teil 2
Autor: Kai Willius, MCSEboard.de
Praktische Umsetzung der 802.1x Authentifizierung
Die praktische Umsetzung erfolgt in einer Testumgebung, bestehend aus drei Windows 2003 Enterprise Servern, einem Windows XP Client und einem Windows 2000 Client.
Als Authenticator kommt ein 3COM 3226 kabelgebundener Switch zum Einsatz, der das 802.1x Protokoll sowie das RADIUS Protokoll unterstützt. Die EAP Methode ist EAP-TLS.
Der erste Server ist primärer Domain Controller (DC1) mit folgenden Diensten => ADS, DNS, DHCP, IAS, CA, IIS 6.0
Der zweite Server ist sekundärer Domain Controller (DC2) mit folgenden Diensten => ADS, DNS, IAS,
ADS und DNS befinden sich in dauerhafter Replikation, um durchweg die gleichen Datenbestände zu haben.
Der dritte Server ist die Offline-CA (OCA1) mit folgenden Diensten => CA, IIS 6.0
Eine Authentifizierung mit EAP-TLS und dem Internet Authentifizierung Server ist nur in einer Domänenstruktur möglich, da nur hier die Sicherheit eines im ADS nachvollziehbaren user principal name => z.B. testuser.testnetz.local
und eines full qualified domain name => z.B. testpc.testnetz.local
des Computers möglich ist.
Die Domänenfunktionsebene muss, bevor man mit der weiteren Einrichtung fortfährt, mindestens auf Windows 2000 PUR umgestellt werden. Das bedeutet, dass nur noch Domain Controller mit mindestens Windows Server 2000 unterstützt werden. NT4.0 Domain Controller werden hier nicht mehr Unterstützt.
Grund dafür ist das EAP-TLS erst ab Windows Server 2000 unterstützt wird, in einer niedrigeren Domänenfunktionsebene ist EAP-TLS nicht nutzbar.
Installation des IAS
Der IAS sollte aus Performancegründen auf einem Domain Controller installiert werden, da er die Daten dann direkt verarbeiten kann und nicht erst einen Domain Controller im Netzwerk ausfindig machen muss.
Wenn der IAS installiert ist, muss er im Active Directory als IAS und RAS Server registriert werden. Mit dieser Registrierung erhält der Server LDAP Leseberechtigungen auf das Active Directory.
Im IAS werden nun noch zwei Remote Access Policy eingerichtet, diese beinhalten in diesem Fall folgende Bedingungen
- Der Computer muss ein Domänencomputer sein
- Der NAS Verbindungstyp muss Ethernet sein
- Der Benutzer muss zu einer bestimmten Organization Unit im Active Directory gehören
- Der NAS Verbindungstyp muss Ethernet sein
Als letzter Schritt wird im IAS ein RADIUS-Client eingerichtet, der Authenticator.
Den RADIUS-Client muss man erst an einer vorgegebenen Liste von Herstellern klassifizieren. Sollte der Hersteller nicht gegeben sein wählt man standardmäßig RADIUS-Standard aus.
Nun muss ein gemeinsames „shared secret“ für die Kommunikation zwischen IAS und RADIUS-Client vergeben werden. Das „shared secret“ ist ein Passwort und muss mindestens 8 Zeichen lang sein. Auch hier gilt: desto länger umso sicherer die Kommunikation.
Abschließend muss man noch den Port für die Kommunikation angeben, hier UDP Port 1812. Als Kommunikationsprotokoll wird RADIUS Standard vergeben.
In der Dokumentation des Switches kann man entnehmen ob der Switch bei den Kommunikationsprotokollen noch ein so genanntes VSA (Vendor Specific Attribute) benötigt. VSA sind proprietäre Protokollerweiterungen der Hersteller.
3COM nutzt keine VSA.
Bei der Einrichtung wird noch die Aktivierung des „message authenticator attribute“ angeboten. Dies dient zur Autorisierung der RADIUS Nachrichten des Switches gegenüber dem IAS. Bei EAP-TLS ist diese Option nicht zu aktivieren, da sie standardmäßig verwendet wird.
Ist der primäre IAS-Server eingerichtet, kann man die Einstellungen auf dem sekundären IAS-Server replizieren und erspart sich so eine weitere Einrichtung und eventuelle Flüchtigkeitsfehler.
Installation der Certification Authority
Vor der Installation der ersten CA sollte man die CApolicy.inf für das Unternehmen anpassen. Hier kann man Grundvoraussetzungen an die Installation der CA festsetzen, z.B. ob ein Actice Directory im Netzwerk vorhanden sein muss oder wie lange die Schlüssellänge der Stammzertifizierungsstelle sein muss. Die CApolicy.inf muss auf dem System eingepflegt werden auf dem eine CA installiert werden soll. Ist sie eingepflegt verhindert Sie grobe Konfigurationsfehler entgegengesetzt der Unternehmensrichtlinien.
In diesem Beispiel handelt es sich um eine zweischichtige Zertifizierungshierarchie.
Die Offline CA wird installiert. Sie bekommt eine Gültigkeitsdauer von 20 Jahren.
Auf der Offline CA werden die benötigten Zertifikate zur Verfügung gestellt.
Die Unternehmenszertifizierungsstelle wird installiert.
Die Unternehmenszertifizierungsstelle ist bei einer zweischichtigen Zertifizierungshierarchie gleichzeitig die Policy CA, die gleichzeitig die Regeln erhält sodass die Zertifizierungskette eingehalten wird. Sie bekommt eine Gültigkeitsdauer von 10 Jahren. Die Zertifikate werden via Diskette importiert.
Folgende Zertifikate werden zur Ausstellung angeboten:
1) RAS und IAS Serverzertifikat
Dient zur Autorisierung des IAS-Servers gegenüber der Clients. Enthält den FQDN des IAS-Servers.
2) Computerzertifikat (Zertifikat Version1) oder das Zertifikat Arbeitsstationsauthentifizierung (Zeritifkat Version2)
Dient zur Authentifizierung des Clients gegenüber dem IAS-Server. Enthält den FQDN des Clients.
3) Benutzerzertifikat (Zertifikat Version1) oder Nur Benutzersignatur (Zertifikat Version2)
Dient zur Authentifizierung des Benutzers gegenüber dem IAS-Server. Enthält den UPN des Benutzers.
Abschließend ist bei den Zertifikaten noch die automatische Registrierung zu aktivieren, da sonst die Verteilung mit der Group Policy nicht funktioniert.
Verteilung der Zertifikate
Die Verteilung der Zertifikate erfolgt mittels einer Group Policy. Alle Benutzer und Computer, die sich am Netzwerk authentifizieren sollen, werden in eine OU verschoben auf der die Group Policy angewandt wird.
Ob die Zertifikate installiert ist sieht man in der CA unter ausgestellte Zertifikate und am Clíent in dem man eine MMC (Microsoft Managment Console) öffnet und das Snap-In Zertifikate auswählt.
Das Zertifikat für den Windows 2000 Rechner wird manuell auf der Website der CA registriert.
Einrichten des Switches
Im Switch muss die Port Security auf den entsprechenden Ports eingerichtet und die Authentifizierung an den IAS Server weitergeleitet werden. Am Switch muss noch das im IAS vergebene „shared secret“ eingegeben werden.
Einrichten des Clients
Am Client muss in den Eigenschaften der LAN-Verbindung die 802.1x Authentifizierung ausgewählt werden und als Protokoll EAP-TLS. In den Eigenschaften kann man noch optional angeben, welcher Server kontaktiert werden soll. Die Clientkonfiguration ist auch mit einer Group Policy einheitlich möglich.
Windows 2000 Rechner müssen mindestens SP4 enthalten. Sollte bei einem der Rechner der Authentifizierungsreiter nicht verfügbar sein, muss der Dienst „Konfigurationsfreie Drahtlose Verbindung“ aktiviert werden.
Testen der Verbindung
Nun ist alles soweit eingerichtet dass ein erster Test möglich ist. Sollte es Probleme bei der Verbindung geben, gibt es im IASLOG - dass auch im IAS-Server eingerichtet werden kann - weitere Informationen zur Art des Fehlers.
Häufigste Fehlerquelle sind die bereitgestellten, oder auch nicht bereitgestellten, Zertifikate. Weitere Fehleranalyse ist auch mit einem Netzwerkscanner wie z.B. Ethereal oder Packetyzer möglich.
Quellenangaben
- Microsoft Press Windows Server 2003 PKI und Zertifikatsicherheit
- 
-
-
-
-
- Service and Maintenance Guide für 3COM 3226
© MCSEBoard.de, Kai Willius