Die Sicherheit bei Wireless LANs ist ja so eine Sache. Einerseits werden sehr viele WLANs nach wie vor gar nicht geschützt. Andererseits ist es aber gar nicht so einfach, diese abzuschotten. Die noch immer weit verbreiteten Geräte nach dem IEEE-Standard 802.11b bieten eine 128bit-Verschlüsselung nach dem WEP (Wired Equivalent Privacy) Standard, welcher einige Schwachstellen aufweist und mit den richtigen Programmen meist innert wenigen Minuten geknackt werden kann. Im schlimmsten Fall müssen einige 100´000 Datenpakete abgewartet werden, damit der "geheime" Schlüssel innert Sekundenbruchteilen freigelegt werden kann. Die neueren Wireless Access Points nach IEEE 802.11g arbeiten mit Wi-Fi Protected Access (WPA) resp. WPA2, für welche bis jetzt nur Passwort-Attacken bekannt sind. Bei einem ausreichend langen und komplizierten Passwortschlüssel (63 Zeichen aus Gross- & Kleinbuchstaben, Zahlen und Sonderzeichen) gilt das Verfahren z. Z. also als sicher. Leider wird es aber noch nicht überall eingesetzt. Und auch unter Linux müssen oft zusätzliche Programme/Treiber installiert werden.
Dass durch unsicheres WLAN mein Internet-Zugang (von Nachbarn, Wardrivern etc.) mitbenutzt werden könnte, stört mich weniger. Schwerer wiegt, dass z. B. meist Mails, oft auch Passwörter im Klartext durch die Luft schwirren. Und natürlich könnte in meinem Namen auch allerhand Schabernack im Internet angestellt werden.
Neben dem Einsatz von WPA gibt es auch noch die Möglichkeit, Wireless Geräte per Virtual Private Network (VPN) anzubinden. Diese Technik findet oft in Firmen Verwendung und gewährleistet, dass sich z. B. Aussendienstmit- oder HeimarbeiterInnen per geschütztem virtuellem Kanal via Internet ins Firmennetz einwählen können. Genau so etwas habe ich bei mir realisiert.
Zuerst braucht es dazu eine Firewall, die VPN unterstützt. Meine Wahl fiel dabei auf das Software-Projekt m0n0wall von Manuel Kaspar. Die Beschaffung einer geeigneten Hardware gestaltete sich etwas schwieriger. Da 4 Netzwerkanschlüsse und genügend CPU-Leistung für die Verschlüsselung gefragt waren, habe ich eine Network Appliance CMB-564E5R-128 bestellt. Was ich heute aber eher nicht mehr tun würde. Bis eine komplette, funktionstüchtige Firewall geliefert wurde, vergingen sage und schreibe 11 Monate. Dazu ist der eingebaute Lüfter etwas laut und das Kistchen an der Schmerzgrenze teuer. Wer einen alten PC herumstehen hat, könnte diesen verwenden; mir sind sie zu laut, gross und energiehungrig. Soekris und PC Engines haben aber zudem verschiedenste passende Geräte im Angebot.
Auf der m0n0wall-Homepage gibt es gute Anleitungen. Hier werde ich nur auf einige Besonderheiten und die VPN-Konfiguration eingehen.
Grundinstallation
Falls als Datenträger eine CompactFlash Disk im Einsatz ist und beim Booten der Fehler "config.xml could not be found" auftritt, muss im BIOS das "IDE Sector Adressing" ausgeschaltet werden. Was beim CMB-564 nicht möglich ist. Abhilfe hat die Verwendung einer anderen CF-Disk gebracht.
Auf jeden Fall müssen für die Grundinstallation die Netzwerk Interfaces 1 und 4, sowie Tastatur und Monitor angeschlossen werden. Da ziemlich sicher kein Disketten-Laufwerk angehängt ist, muss im BIOS das Booten von Floppy ausgeschaltet werden.
Über 1) Interfaces: assign network ports können die Zuweisungen:
LAN: rl0 WAN: rl3 OPT: rl1 OPT: rl2vorgenommen und nach einem Restart unter 2) Set up LAN IP adress das LAN-Interface konfiguriert werden. Anschliessend können Monitor & Tastatur weggeräumt und die weiteren Einstellungen übers Netz erledigt werden.
VPN via PPTP (Point-to-Point Tunneling Protocol)
PPTP arbeitet mit dem Port 1723/TCP. Dieser muss eingehend für das Netzwerkinterface, wo der Wireless Access Point angeschlossen ist, freigeschaltet werden. Falls PPTP auch via Internet möglich sein soll, gilt dies analog auch für den WAN-Anschluss.
Dann gilt es, die PPTP-Konfiguration vorzunehmen. Als "Server Adress" und "Remote address range" können Adressen innerhalb des LAN-Netzes genommen werden. Bei mir ist das nicht der Fall. Dadurch sind zusätzliche Firewall Rules für die PPTP Clients im neu dazu gekommenen Reiter PPTP VPN nötig, die dafür unterschiedlich von denen fürs LAN sein können.
Beim Erfassen des/der Benutzer gilt zu beachten, dass die Verschlüsselungsstärke direkt vom vergebenen Passwort abhängt. Daher sollte dieses mindestens 12 Zeichen lang sein und aus zufälligen Buchstaben, Zahlen und Sonderzeichen bestehen.
Linux-Clients (Ubuntu und Knoppix)
Für Ubuntu gilt es zuerst (per Synaptic) das Paket pptp-linux zu installieren. Anschliessend müssen zwei Dateien ergänzt/angelegt werden:
/etc/ppp/chap-secrets:
[user gemäss oben] PPTP [passwort] *
/etc/ppp/peers/pptp-wlan:
pty "pptp [IP-Adresse der m0n0wall im Wireless-LAN] --nolaunchpppd" name [user wie oben] remotename PPTP file /etc/ppp/options.pptp ipparam pptp-wlan mtu 1404Der Parameter "mtu 1404" oder der Befehl "ifconfig ppp0 mtu 1400" nach dem Verbindungsaufbau ist unbedingt wichtig, da ansonsten diese bei der Übertragung grösserer Daten einfriert.
Für Testzwecke kann die Sache dann per
pon pptp-wlan debug dump logfd 2 nodetachgestartet werden. Fall alles wie gewünscht läuft, reichen folgende Befehle:
Starten: pon pptp-wlan updetach Status: plog Stoppen: poff pptp-wlanZu guter Letzt muss noch der Default Routing-Eintrag auf die IP-Adresse des PPTP-Servers gändert werden:
route del default route add default gw [gemäss Beispiel: 10.0.3.1]Falls im Wireless-LAN die Namensauflösung nicht funktioniert oder gewünscht ist, kann in der Datei /etc/resolv.conf nun noch der DNS-Server dem LAN entsprechend geändert werden.
Unter Knoppix 5.0 ist pptp-linux bereits vorinstalliert. Ansonsten können die Angaben von oben übernommen werden. Allerdings muss der Datei pptp-wlan noch folgender Parameter angehängt werden:
require-mppeWeitere/genauere Anleitungen finden sich auf den PPTP-Client Dokumentations-Seiten. Wenn alles schön funktioniert, packt mensch sich das alles in ein praktisches Script. Wer möchte, kriegt ein einfaches Beispiel von mir per Mail.
Windows Client
Unter Windows (XP) ist das ganze ein Kinderspiel. Mit dem Netzwerkverbindungs-Assistenten lässt sich ruckzuck eine PPTP-Verbindung (mit dem Netzwerk am Arbeitsplatz) einrichten: VPN-Verbindung auswählen, beliebiger Name für die Verbindung eintragen, keine Anfangsverbindung auswählen, m0n0wall-Adresse (im WLAN) eingeben, für eigene Verwendung erstellen, fertig. Dann muss nur noch beim Verbindungsaufbau Benutzername und Kennwort eingetragen werden.
Copyright © 1997, 2010 some rights reserved - letztmals geändert am 31. Mai 2009 von Kire.