IT Forum 2006 Nachlese

Für mich persönlich war es ein ganz besonderes Erlebnis, zum Abschluss des Tech·Ed IT Forum 2006 in Barcelona gemeinsam mit meinem Kollegen Michael Kalbe die letzte Session halten zu können. SEC323 Wireless Security Demonstration wurde aufgrund des grossen Interesses im Auditorium durchgeführt. Wer noch nie beim IT Forum in Barcelona war, bekommt vielleicht bei der Betrachtung des Bildes eine Vorstellung von der Dimensionen dieses Raumes, dessen Fassungsvermögen bis 3.000 Personen reicht. Der winzige Punkt in der Mitte bin übrigens ich bei den Vorbereitungen der Demoumgebung.

Für unsere Session hatten wir anspruchsvolle Inhalte geplant. Neben dem einem Einstieg in die Sicherheit drahtloser Netzwerke analysierten wir als erstes die verfügbaren Netzwerke im Auditorium. Unter Windows Vista hilft hier die Netshell. Über das Komando netsh wlan show networks mode=bssid erhält man detaillierte Informationen über alle erreichbaren Netze, deren Geschwindigkeiten, die verwendeten Funkkanäle, Abdeckung, Reichweite und vieles mehr. Mit diesen Informationen bewaffnet suchten wir uns dann einen freien Kanal aus.

Echtvorführungen von drahtlosen Netzen sind für mich die bisher kritischsten Demos gewesen, da es hier insbesondere auf Timing und eine nicht störende Umgebung ankommt. Auch muss man manchmal mit Spassvögeln rechnen, die einem das eigene Netz während der Session stören wollen. Wir hatten uns also eine echte Herausforderung gesucht.

Im nächsten Schritt zeigten wir die Konfiguration von WPA-Personal und die Absicherung durch die Verwendung eines gemeinsamen, komplexen Kennworts. Auf unseren Clients lief schon die Windows Vista RTM-Version. Darauf konnten wir sehr schön die Verbesserungen in Windows Vista beim Umgang mit drahtlosen Netzen darstellen.

Wir nutzten die Gelegenheit auch gleich, um an dieser Stelle eine oft gestellte Frage zu beantworten: Wer WPA mit der Verschlüsselungsstufe AES+TKIP verwendet, kann nicht beide Verschlüsselungsverfahren gleichzeitig benutzen. Wie heisst es so schön: Wer zuerst kommt, mahlt zuerst. Der erste Client bestimmt, welche Methode verwendet wird. Ist es ein Computer, der AES verwendet, sind dann zum Beispiel Windows Mobile Clients, die (bisher) nur WPA mit TKIP unterstützen, ausgeschlossen. Wer solche gemischten Umgebungen betreiben möchte, fährt besser, wenn er fest WPA mit TKIP einstellt.

Danach gingen wir ins Detail und zeigten, wie man mit einer Windows-basierenden Enterprise CA Zertifikate automatisch für Computer und Benutzer ausrollen kann. Diese Zertifikate nutzten wir dann, um über EAP-TLS den Zugriff auf unser drahtloses Netzwerk computer- und benutzerabhängig zu steuern. Dafür verwendeten wir als RADIUS-Server den mitgelieferten Internet Authentication Service und verbanden diesen mit dem Active Directory. Mit Hilfe einer Remote Access Policy steuerten wir dann den Zugriff auf das Netzwerk und erlaubten nur Mitgliedern der Domäne (sowohl Computer, als auch Benutzer) die Teilnahme am WPA-Enterprise Netzwerk mit der SSID SEC323.

Schliesslich erhöhten wir die Sicherheit noch durch die Verwendung von WPA2-Enterprise mit AES als Verschlüsselungsmethode, zeigten die Automatisierbarkeit dieser Konfiguration über eine Gruppenrichtlinie und veränderten zum Schluss noch das Schema, damit wir die neuen Gruppenrichtlinienfunktionen mit Windows Vista zeigen konnten. Auch ein kurzfristiges Timing-Problem an einem der beiden Clients brachte uns nicht aus dem Konzept - hier zeigten wir gleich die Trobleshootingmöglichkeiten und die Auswertung des Loggings des RADIUS-Servers.

Alles in allem war die Session ein voller Erfolg. Wir beantworteten noch viele Fragen und bekamen grossartiges Feedback. Zurück aus Barcelona bleibt mir nur wenig Zeit, die Eindrücke des diesjährigen Tech·Ed IT Forum 2006 zu verarbeiten. Es war eine grandiose Woche, gefüllt mit interessanten Sessions, Gesprächen mit Kunden beim täglichen Ask the Experts und wertvollen Möglichkeiten zum Networking mit Teilnehmern, Sprechern und Kollegen aus der ganzen Welt. Allerdings heisst es für uns schon wieder volle Kraft voraus: Die LOVE-Roadshow zum Launch von Office 2007, Windows Vista und Exchange Server 2007 startet nächsten Donnerstag in Berlin!