Bents Blog

Fast auf den Tag genau vor 2 Jahren veröffentlichte ich meinen Beitrag zu einem sicheren W-LAN-Betrieb unter Nutzung von IEEE 802.1X und RADIUS. Damals erläuterte ich die Einrichtung und Funktionsweise noch mit Hilfe eines IAS (Internet Authentication Server) unter Windows Server 2003.

Inzwischen wurde unser Server migriert: Ein neuer Windows Server 2012 mit dem Network Policy Server (NPS, dt. Netzwerkrichtlinienserver) hat nun die Aufgabe der Authentifizierung unserer W-LAN-Clients übernommen. Da sich an der Technologie des Protected Extensible Authentication Protocol (PEAP) mit EAP-MSCHAPv2 nichts geändert hat, beziehe ich mich deshalb auf meinen vorangegangenen Artikel und möchte hier nur die Neuerungen und Änderungen im Bezug auf den NPS unter Windows Server 2012 skizzieren.

Beitrag weiterlesen …

Wer wie ich im Bereich der IT seine Brötchen verdient, wird seit geraumer Zeit nahezu täglich mit neuen E-Mail-Einladungen zu Online-Konferenzen, Seminaren oder sonstigen Veranstaltungen zum Thema Cloud überschüttet. Aus diesem Grund möchte ich meinen heutigen Artikel diesem Thema widmen – wenngleich auch mit einem politisch inkorrekten Titel.

Eines vorweg: Man möge mich nicht falsch verstehen, ich stehe dem Thema Cloud weder ablehnend gegenüber, noch verteufle ich die Technologien, durch die eine Umsetzung erst möglich wird. Vielmehr geht es mir um die völlig überflüssige Stilisierung des Begriffes zu einer Art „Wunderwaffe“ der kommenden Jahre sowie dessen Verwendung als geflügeltes Marketing-Schlagwort in teilweise zusammenhanglosen Anwendungsszenarien. Zumindest bei mir schwingt sich das Wort mittlerweile zum Nummer-Eins-Begriff für den Einsatz beim Bullshit-Bingo auf, findet aber auch als Nahrungsergänzung für das geliebte Phrasenschwein immer häufiger Verwendung.

Beitrag weiterlesen …

In der vergangenen Woche habe ich in unserem Unternehmen ein sicheres W-LAN aufgebaut – eigentlich zu Evaluierungszwecken gedacht, hat sich die Lösung doch recht schnell zu einer praktikablen und sicheren Variante zur Nutzung für unsere Mitarbeiter etabliert. Bei der Übertragung von Daten steht nach wie vor das Thema Sicherheit im Vordergrund – gerade was das Thema W-LAN angeht, sollte die Sensibilität für sichere Verbindungen vorhanden sein. Der folgende Artikel beschreibt, wie ich das Thema umgesetzt habe, stellt aber ganz sicher nicht die praktikabelste Lösung für alle denkbaren Einsatzzwecke dar. Allein die Tatsache, dass mit Hilfe von Windows-Boardmitteln die Umsetzung einen relativ geringen Aufwand verursachte, macht diese Möglichkeit, meiner Meinung nach, sehr interessant.

Update vom 15.02.2013

Inzwischen wurde die hier beschriebene Umgebung auf Windows Server 2012 mit dem Netzwerkrichtlinienserver (NPS) aktualisiert, nachzulesen in dem folgenden Beitrag.

Anforderungen an Funknetzwerke

Bevor man sich an die Umsetzung eines W-LANs macht, sollte man sich im Vorfeld mit den gängigen, möglichen Sicherheitsstandards vertraut machen. Auch für Betreiber eines bereits eingerichteten Funknetzwerkes sollte die regelmäßige Prüfung der Konfiguration in Bezug auf Sicherheit und Stabilität in gewissen Abständen kontrolliert und ggf. angepasst werden. Da ein offenes Funknetz für den Betreiber ein potentielles rechtliches Risiko darstellt, sollte eine sichere Authentifizierung und Verschlüsslung des Datenverkehrs oberste Priorität besitzen.

Beitrag weiterlesen …

Heute möchte ich einmal einen Beitrag zu einer – von mir bevorzugten – Sicherheitslösung für Windows Umgebungen schreiben. Dabei geht es um die Idee des One-Time-Password (OTP), also einer Authentifizierungsmethode, bei der das Passwort des Benutzers nur für wenige Sekunden gültig ist. Das Ganze bezeichnet man im Deutschen auch als Zwei-Faktor-Authentifizierung.

Wie funktioniert diese Lösung? So einfach die Idee, so genial und sicher ist diese auch. Ähnlich wie bei einer Transaktion mit einer üblichen EC-Karte, benötigt der Benutzer bei einem OTP-Verfahren zwei Dinge: Er muss etwas haben und etwas wissen. Dafür benötigt man einen sogenannten Token, der, basierend auf einem speziellen Algorithmus, eine Zahlenkombination (Code) generiert und zusätzlich eine PIN. Der Tokencode wird dabei mit Hilfe der Seriennummer eines Tokens (um die Einmaligkeit eines Tokens zu gewährleisten) und einem integrierten Quarz zeitabhängig (um ca. aller 30 Sekunden einen neuen Code erzeugen zu können) berechnet – dieser ist nicht manipulier- bzw. änderbar oder etwa durch Rückwärts-Berechnung zu ermitteln. Ein solcher Token ist deshalb mit einer Batterie ausgestattet und funktioniert typischerweise für etwa 5 Jahre. Die PIN des Benutzers kann selbstverständlich vom Benutzer geändert werden, kann es doch einmal passieren, dass ein Dritter Kenntnis von ihr erlangt.

Beitrag weiterlesen …