Sicheres eduroam-WLAN mit Windows 10

Update: Mittlerweile gibt es ein Konfigurationstool, welches die notwendigen Schritte zur korrekten WLAN-Einrichtung unter Windows übernimmt. Das Konfigurationstool steht für verschiedene Systeme bereit, die Einrichtung unter Windows ist hier detailliert beschrieben.

Prinzipiell funktioniert die Einrichtung des WLAN-Netzes „eduroam“ auf einem Windows-10-Gerät problemlos innerhalb von Sekunden. Nach ein Klick auf das Netzwerk und der Eingabe Ihres URZ-Logins und des Passwortes können Sie in der Regel drauflossurfen. Sie sollten allerdings in Erwägung ziehen, für Ihre WLAN-Einrichtung etwas mehr Zeit und Aufwand zu investieren. Warum Sie das tun sollten und wie das genau geht, erklärt dieser Beitrag …

Warum also der Aufwand?

Das schnelle Einrichten der WLAN-Verbindung mag bequem sein, ist jedoch sicherheitstechnisch bedenklich. Ihre Logindaten werden zum späteren Anmelden am WLAN auf dem Gerät gespeichert und ggf. auf die Server von Microsoft hochgeladen. Weiterhin wissen wir beim Klick auf „eduroam“ und der Eingabe unserer Daten gar nicht, welche Gegenstelle sich dahinter befindet. Prinzipiell könnte ja jeder Bösewicht sein Funknetzwerk so benennen. Da mit Ihren Logindaten neben der WLAN-Anmeldung auch ein Zugriff auf alle anderen Universitätsdienste möglich ist – vom Email-Postfach, hin zu persönlichen Dokumenten, bis zur Notenübersicht – sollten Sie diese unbedingt besser schützen.

Diese Anleitung setzt deshalb an zwei Punkten an: zum einen wird ein Geräte-Passwort zum Anmelden am WLAN verwendet, um das „echte“ Passwort nicht eingeben zu müssen. Zum anderen prüfen wir die Gegenstelle, um nur gesicherte Verbindungen zu unseren Universitätsservern zu erlauben.

Zunächst die Vorbereitung

Um die WLAN-Verbindung sicher einrichten zu können, sind zunächst zwei kleine Vorarbeiten zu erledigen:

  • Installieren unseres Zertifikates auf dem Gerät, bspw. mittels USB-Stick: UC/URZ CA G3. Das Zertifikat dient der Überprüfung des Anmeldeservers und muss vor der Einrichtung auf dem Gerät vorhanden sein. Weitere Informationen gibt es hier
  • App bzw.Geräte-Passwort für Windows 10 – WLAN im IDM-Portal erzeugen, eine detaillierte Anleitung dazu gibt es hier. Achtung: Das Passwort wird beim Generieren nur einmal angezeigt und kann dann nachträglich nicht mehr aufgerufen werden. Es sollte deshalb für die spätere Eingabe temporär notiert werden.

wlan-tuc-pw1

Die WLAN-Verbindung wird eingerichtet

Schritt 1: Im Startmenü von Windows „Netzwerk einrichten” eingeben und auf das Element „Eine Verbindung mit dem Netzwerk einrichten“ klicken (Alternativ findet man diesen Punkt im Netzwerk- und Freigabecenter durch Rechtsklick auf das WLAN-Symbol in der Taskleiste). Im anschließenden Dialog den dritten Punkt „Manuell mit einem Funknetzwerk“ verbinden auswählen. Der Netzwerkname ist „eduroam”, der einzurichtende Sicherheitstyp ist „WPA-Enterprise“. Weiterhin kann hier noch bestimmt werden, ob die Verbindung automatisch erfolgen soll, wenn das Netz in Reichweite ist. In den meisten Fällen ist dies gewollt und sinnvoll.

Schritt 2: Im daraufhin erscheinenden Fenster auf „Verbindungseinstellungen ändern“ klicken, um nun die Authentifizierung einzurichten. In den Eigenschaften des Drahtlosnetzwerkes auf den Reiter „Sicherheit“ wechseln und prüfen, ob bei der Methode für Netzwerkauthentifizierung „Microsoft: Geschütztes EAP (PEAP)“ ausgewählt ist und dort auf den daneben liegenden Button „Einstellungen“ klicken.

Da wir sicherstellen wollen, bei welchem Server wir uns authentifizieren, aktivieren wir die Option „Identität des Servers mittels Zertifikatsprüfung überprüfen“. Weiterhin beschränken wir, dass die Anmeldung nur über den Server „radius.tu-chemnitz.de“ erfolgt. Nun noch das installierte Zertifikat „Deutsche Telekom Root CA 2“ in der Auswahlliste auswählen. Abschließend aktivieren wir noch den Identitätsschutz ganz unten und geben im Textfeld „anonymous“ ein. Die restlichen Einstellungen können so bleiben, der Dialog kann nun geschlossen werden.

Schritt 3: Schlussendlich müssen wir noch unser Loginkennzeichen und das generierte Geräte-Passwort eingeben. Dazu die „Erweiterten Einstellungen“ ganz unten in den Eigenschaften aufrufen und als Authentifizierungs­modus die Benutzer­authentifizierung auswählen. Den Button „Anmelde­informationen speichern“ und das „Nutzerkennzeichen@tu-chemnitz.de“ sowie das generierte Passwort eingeben.

Fertig! Jetzt ist die Verbindung korrekt eingerichtet. Diese wird in der WLAN-Übersicht unten rechts in der Taskleiste angezeigt und funktioniert nun ganz normal.

Update: Mittlerweile gibt es ein Konfigurationstool, welches die notwendigen Schritte zur korrekten WLAN-Einrichtung unter Windows übernimmt. Das Konfigurationstool steht für verschiedene Systeme bereit, die Einrichtung unter Windows ist hier detailliert beschrieben.

Schreibe einen Kommentar