Drahtlos abgeschottet
Sicher unterwegs im Wireless LAN
Firewall
Abschließend müssen wir noch eine Firewall auf Rechner 2 und drei einrichten, die das Versenden unverschlüsselter Daten über die WLAN-Karte, hier im Beispiel das Gerät wlan0, unterbindet. Einzig die Ports 5000 respektive 5001 bleiben für UDP offen, damit der Tunnel noch funktioniert, alles andere wird rigoros geblockt. Am einfachsten lassen sich die Firewall-Regeln auf der Kommandozeile setzen, hier das Beispiel für Rechner 2:
iptables -A INPUT -i tun0 -j ACCEPT iptables -A OUTPUT -o tun0 -j ACCEPT iptables -A INPUT -i wlan0 -p udp --dport 5000 -j ACCEPT iptables -A INPUT -i wlan0 -j DROP iptables -A OUTPUT -o wlan0 -p udp --dport 5000 -j ACCEPT iptables -A OUTPUT -o wlan0 -j DROP iptables -A FORWARD -i wlan0 -j DROP
Bei Rechner 3 ändert sich lediglich der Parameter --dport 5000 in --dport 5001. Schlussendlich muss auf Rechner 1 noch Masquerading angeschaltet werden, damit Rechner 2 und drei Kontakt zur Außenwelt bekommen:
iptables -A FORWARD -i tun0 -j ACCEPT iptables -A FORWARD -i tun1 -j ACCEPT iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
Missbrauch möglich
Die Schwachstellen unserer Beispiel-Vernetzung sind Drucker und Windows-Rechner: Sie kommunizieren nur mit WEP-Verschlüsselung, können also vergleichsweise leicht belauscht werden. Beim Drucker sind die Risiken überschaubar, leere Tintenpatronen und abgehörte Briefe gehören schon zu den extremen Missbräuchen. Deutlich problematischer ist der Windows-Rechner, wenn er Zugang zum Internet bekommen soll: Ein erfolgreicher Angreifer könnte Internet-Verbindungen aufbauen und zudem alle Dienste des Servers nutzen, die dem Windows-Rechner angeboten werden. Die Lösung ist ein IP-Sec- oder CIPE-basierter Tunnel, der auch unter Windows eingesetzt werden kann. Die Konfiguration von IP-Sec ist allerdings alles andere als leicht, kein Vergleich zum hier vorgestellten OpenVPN.
Glossar
SSID
(Extended) Service Set ID, die Kennung oder der Name eines drahtlosen Netzes, auch ESSID genannt.
WEP
Wired Equivalent Privacy, bedeutet so viel wie "Draht-ähnliche Vertraulichkeit". Das Verschlüsselungsverfahren sollte eine ähnliche Datensicherheit und -Vertraulichkeit garantieren wie eine herkömmliche Ethernet-Verkabelung. WEP ist jedoch sehr anfällig für Angriffe, Schlüssellängen von 40 Bit respektive 104 Bit sind für einen versierten Cracker kein nennenswertes Hindernis.
ACL
Access Control List, enthält die Hardware-Adressen (MAC-Adressen) aller zugangsberechtigten WLAN-Geräte. Die Hardware-Adressen werden vom jeweiligen Gerätehersteller fest eingetragen und lassen sich normalerweise nicht verändern.
Access Point
Zentraler Knoten eines drahtlosen Netzes, auch "Managed Infrastructure" genannt. Alle WLAN-Teilnehmer senden ihre Daten an den Access Point, der sie dann an den tatsächlichen Empfänger weiter leitet (Stern-Verteilung). Heutige APs haben meist einen zusätzlichen Ethernet-Anschluss und verbinden darüber drahtgebundene mit drahtlosen Netzen.
Infos
[1] OpenVPN: http://openvpn.sourceforge.net
[2] Achim Leitner, Mirko Dölle, Oliver Kluge: "Geschützter Tunnel", LinuxUser 10/2002, Seite 30, sowie auf der Heft-CD unter LinuxUser/030-tunnel
Einem Freund empfehlen
