Meer informatie

Zonder de juiste beveiligingsvoorzieningen zijn draadloze netwerken kwetsbaar voor aanvallen zoals afluisteren en remote sniffing. Het risico van dergelijke aanvallen is kleiner bij gebruik van de standaard 802.11 omdat deze standaard verificatieservices beschrijft en voor coderingsdoeleinden het algoritme WEP (Wired Equivalent Privacy) gebruikt. Hoewel deze voorzieningen een bepaalde mate van beveiliging bieden, is de beveiliging met 802.1x aanzienlijk beter omdat bescherming wordt geboden tegen een aantal zwakke plekken.

802.11-verificatie

Voor verificatiedoeleinden beschrijft de standaard 802.11 de verificatie-subtypen Open systeem en Gedeelde sleutel.

• Open-systeemverificatie is eigenlijk geen verificatie, maar identiteitscontrole via de uitwisseling van twee berichten tussen de initiator (draadloze client) en de ontvanger (draadloos toegangspunt).
• Verificatie met een gedeelde sleutel houdt in dat wordt gecontroleerd of een initiator in het bezit is van een geheime sleutel. In de standaard 802.11 wordt ervan uitgegaan dat de gedeelde sleutel wordt verzonden naar het draadloze toegangspunt over een veilig kanaal dat geen gebruikmaakt van 802.11. In de praktijk wordt de gedeelde sleutel handmatig gedistribueerd en getypt.

Vertrouwelijkheid (codering) en integriteit van gegevens met 802.11

Met WEP worden gegevens in een draadloos netwerk op hetzelfde niveau beveiligd als gegevens in een gewoon netwerk. De vertrouwelijkheid van gegevens wordt gegarandeerd door het coderen van de gegevens die worden verzonden tussen draadloze clients en draadloze toegangspunten. Hiervoor wordt de RC4-coderingssleutel gebruikt, die standaard 40 bits lang, maar in sommige implementaties 104 bits lang is. De integriteit van gegevens wordt gegarandeerd door een integriteitscontrolewaarde (ICV) in het gecodeerde gedeelte van het draadloze frame. Hoewel 802.1x kan worden gebruikt zonder 802.11-codering, is het een goed idee een combinatie van de twee standaards te gebruiken. Als 802.1x is ingeschakeld, maar WEP-codering is uitgeschakeld, worden gegevens ongecodeerd verzonden naar een poort van een draadloos toegangspunt. Er wordt wel gebruikersverificatie toegepast. U kunt deze onveilige implementatie voorkomen door WEP samen met 802.1x te gebruiken.

Opmerking Sommige fabrikanten bieden coderingssleutels van 128 bits aan. Deze sleutels bevatten echter een 24-bits initialisatievector, wat betekent dat het in de praktijk gewoon 104 bits-coderingssleutels zijn. Een initialisatievector is een willekeurig getal dat als beginpunt wordt gebruikt voor het coderen van een set gegevens.

802.1x gebruiken voor draadloze verificatie

802.1x is een standaard voor geverifieerde netwerktoegang tot gewone Ethernet-netwerken en draadloze 802.11-netwerken. Voor draadloze 802.11-netwerken vormt 802.1x een uitbreiding van de beveiliging en worden WEP-problemen als volgt opgevangen:

• Computers en een netwerk kunnen elkaar verifiëren.
• Gegevens worden met behulp van gebruikers- en sessiesleutels gecodeerd verzonden over draadloze verbindingen.
• Sleutels kunnen op vaste intervallen dynamisch worden gewijzigd.

De implementatie is vereenvoudigd doordat 802.1x ondersteuning biedt voor gebruikersidentificatie en -verificatie, centrale verificatie, autorisatie en het bijhouden van accountgegevens.

802.1x maakt gebruik van EAP (Extensible Authentication Protocol) om berichten uit te wisselen tijdens het verificatieproces. De ondersteuning van 802.1x voor EAP-beveiligingstypen maakt het mogelijk verificatiemethoden zoals certificaten te gebruiken.

Verificatie met 802.1x

In 802.1x wordt de toegang tot het netwerk op poortniveau geregeld. Dit houdt in dat de fysieke kenmerken van de infrastructuur van een geschakeld LAN worden gebruikt om apparaten te verifiëren die zijn aangesloten op een LAN-poort en om toegang tot die poort te voorkomen wanneer de verificatie mislukt.

Tijdens het proces van het verlenen van toegang tot een netwerk kan een LAN-poort twee verschillende rollen hebben: die van verificator of van supplicant. In de rol van verificator dwingt een LAN-poort verificatie af voordat een gebruiker toegang krijgt tot de services die toegankelijk zijn via die poort. In de rol van supplicant verzoekt een LAN-poort toegang tot de services die via de poort van de verificator toegankelijk zijn. Een verificatieserver, die kan bestaan uit een afzonderlijk apparaat of deel uitmaakt van de verificator, controleert namens de verificator de referenties van de supplicant. De verificatieserver stuurt vervolgens een respons naar de verificator waarbij wordt aangegeven of de supplicant bevoegd is gebruik te maken van de services van de verificator.

De netwerktoegangscontrole die op poortniveau wordt uitgevoerd door de verificator resulteert in een van twee logische gegevenspaden naar het LAN, die beide via één fysieke LAN-poort lopen. Het eerste gegevenspad, de onbeheerde poort, is bestemd voor de uitwisseling van gegevens tussen de verificator (de poort die verificatie afdwingt voordat toegang tot services op die poort wordt verleend) en een computerapparaat in het LAN, ongeacht de verificatiestatus van dat apparaat. Dit is het pad dat wordt gevolgd door EAPOL (EAP over LAN)-berichten. Het tweede logische gegevenspad, de beheerde poort, maakt het mogelijk gegevens uit te wisselen tussen een geverifieerde LAN-gebruiker en de verificator. Dit is het pad dat wordt gebruikt voor al het overige netwerkverkeer, echter pas nadat het computerapparaat is geverifieerd.

802.1x en IAS RADIUS

Voor draadloze netwerken kunt u 802.1x gebruiken in combinatie met Windows 2000 of de Microsoft Windows Server 2003 IAS (Internet Authentication Service)-servers voor RADIUS-verificatie. In de RADIUS-implementatie worden gegevens alleen vanaf het draadloze toegangspunt doorgestuurd naar een gewoon netwerk of een andere draadloze client als een geldige verificatiesleutel kan worden overlegd. Het proces van het verkrijgen van een geldige verificatiesleutel ziet er als volgt uit:

1. Wanneer een draadloze client binnen het bereik komt van een draadloos toegangspunt, verstuurt het toegangspunt een challenge naar de client.
2. De draadloze client reageert hierop door een id naar het toegangspunt te verzenden, waarna deze id wordt doorgestuurd naar een RADIUS-server.
3. De RADIUS-server vraagt de referenties van de draadloze client op om de id van de client te controleren. In dit verzoek om referenties wordt ook aangegeven welk type referenties de client moet verstrekken.
4. De draadloze client reageert op het verzoek door de referenties naar de RADIUS-server te verzenden.
5. De RADIUS-server controleert de referenties van de draadloze client. Als de referenties in orde zijn, verstuurt de RADIUS-server een gecodeerde verificatiesleutel naar het draadloos toegangspunt.
6. Deze verificatiesleutel wordt door het draadloos toegangspunt gebruikt om op een veilige wijze per station, unicast-sessiesleutels en multicast- of algemene verificatiesleutels naar de draadloze client te verzenden.

Voor Windows 2000 vereist de implementatie van RADIUS de volgende extra onderdelen:

• Windows 2000 Service Pack 2.
  Klik op het volgende artikelnummer in de Microsoft Knowledge Base voor meer informatie:
  

  260910Het meest recente servicepack voor Windows 2000 ophalen

• Een patch voor Windows 2000 Internet Authentication Service (IAS), een voorziening van de RADIUS-server die is opgenomen in Windows 2000 Server.
  Klik op het volgende artikelnummer in de Microsoft Knowledge Base voor meer informatie:
  

  304697Waarden voor draadloze verbindingen voor RADIUS-kenmerken niet beschikbaar

• Een patch voor Active Directory die computeraccounts de mogelijkheid van inbeleigenschappen biedt. .
  Klik op het volgende artikelnummer in de Microsoft Knowledge Base voor meer informatie:
  

  306260Inbelmachtigingen voor computers met draadloze netwerkverbinding kunnen niet worden gewijzigd

• Een patch voor een computer met Windows 2000 Server, om computerverificatie op het netwerk mogelijk te maken als een gebruiker niet is aangemeld. Deze patch moet zijn geïnstalleerd op de Active Directory-server.
  Klik op het volgende artikelnummer in de Microsoft Knowledge Base voor meer informatie:
  

  304347Server maakt geen EAP-OE-verbinding met LAN als een gebruiker niet is aangemeld

Lees voor meer informatie het onderwerp 'Enterprise Deployment of IEEE 802.11 Using Windows XP and Windows 2000 Internet Authentication Service'. Dit onderwerp kunt u vinden op de volgende website van Microsoft:

Verschillen in de Windows 2000 802.1x-client

De functionaliteit van 802.1X kan worden toegevoegd aan het Windows 2000-platform door gebruik te maken van een subset van voorzieningen van het Microsoft Windows XP-platform. De 802.1X-engine zelf is vrijwel ongewijzigd. Het grote verschil tussen de clients ligt op het vlak van interactie met de clients via de gebruikersinterface. Hier volgt een overzicht van de verschillen in de Windows 2000-client:

• Installatietype — De service Windows 2000 802.1X is standaard uitgeschakeld na de installatie. U moet het installatietype wijzigen in Automatisch en de service starten om te beschikken over de toegevoegde functionaliteit.
• Zero Configuration-functionaliteit - De Windows 2000-client biedt geen ondersteuning voor Zero Configuration. Dit betekent dat u een hulpprogramma van de leverancier nodig hebt om de 802.11-instellingen te configureren.
• Programma's van andere leveranciers — Zoals eerder aangegeven, is op de Windows 2000-client een hulpprogramma van een andere leverancier nodig om de 802.11-instellingen te configureren. In tegenstelling tot Windows XP, waar 802.11-instellingen per gebruiker worden opgeslagen, is dit in veel programma's niet het geval. Hierdoor kunnen verschillende gebruikers zich bij dezelfde computer aanmelden en een algemeen profiel configureren in plaats van een gebruikersspecifiek profiel.
• Groepsbeleid — Het configureren van instellingen voor een draadloos netwerk met behulp van groepsbeleid wordt niet ondersteund.
• Verificatiestatus controleren — U kunt de verificatiestatus bekijken door de muisaanwijzer te plaatsen boven het pictogram Netwerkverbinding, helemaal rechts op de taakbalk.
• De Windows 2000-client kan slechts één draadloze netwerkadapter tegelijkertijd ondersteunen. Hoewel het technisch mogelijk is gebruik te maken van een laptop met meer dan één draadloze netwerkadapter, werkt de Windows 2000 802.1X-client altijd met maar één adapter.
• Upgrade van bèta — Als u een van de Windows 2000-bèta-clients hebt geïnstalleerd, moet u deze eerst verwijderen en vervolgens de vrijgegeven client installeren. Er is geen ondersteund upgrade-pad van een bèta-client naar de officiële client.
• Contextafhankelijke Help - Er is geen contextafhankelijke Help beschikbaar in de client.

Ga voor meer informatie over het beveiligen van draadloze netwerken naar een van de volgende Microsoft-websites:

Algemene problemen

• Geen tabblad Verificatie - De service 802.1X is standaard uitgeschakeld na installatie van de hotfix. U lost dit probleem op door de service Draadloze netwerken in te schakelen in de lijst met services:
  1. Klik met de rechtermuisknop op Deze computer en klik op Beheren.
  2. Klik op Services en toepassingen en klik op Services.
  3. Stel de optie Opstarttype voor de service in op Automatisch en start de service.
• Tabblad Verificatie niet toegankelijk — Als het tabblad Verificatie wel aanwezig is, maar niet kan worden gebruikt, biedt het stuurprogramma van de netwerkadapter geen goede ondersteuning voor 802.1x. Kijk in de volgende lijst of bezoek de website van de hardwarefabrikant om de juiste versie van het netwerkadapterstuurprogramma vast te stellen.

Geteste stuurprogramma's en hulpprogramma's

De volgende lijst bevat informatie van hardwarefabrikanten over onderdelen die zij hebben getest met de Windows 2000 802.1x-client. Deze lijst is niet volledig, maar is uitsluitend bedoeld als referentiekader voor de releasedatum (4 november 2002). Bezoek voor informatie over nieuwe updates de website van de fabrikant.

Microsoft verstrekt deze contactinformatie om u te helpen bij het aanvragen van technische ondersteuning. Deze contactinformatie kan zonder aankondiging worden gewijzigd. Microsoft kan derhalve niet instaan voor de juistheid van deze contactinformatie.