Funkgeheimnis

Sichere WLAN-Vernetzung mit verschlüsseltem OpenVPN-Tunnel

01.12.2004
Drahtlose Netze sind praktisch und gefährlich zugleich: Die eingebaute WEP-Verschlüsselung hält keinem Angreifer stand. Abhilfe schaffen zusätzliche Sicherheitsmaßnahmen bis hin zum verschlüsselten OpenVPN-Tunnel.

Die WLAN-Technik arbeitet unsicher, das hat sich herumgesprochen [5]. Die eingebaute Verschlüsselungstechnik ist leicht zu knacken – und zu allem Überfluss oft deaktiviert. Während im klassischen Heimnetz mit Kabel, Stecker und Dose ein Datenspion Zugang in die Wohnung (oder zu einem Rechner) braucht, können neugierige Zeitgenossen mit Laptop und WLAN-Karte ausgerüstet durch die Straßen ziehen und sich in jedes drahtlose Netz einklinken. Dank Verstärker und spezieller Antennen gelingt das problemlos über viele hundert Meter.

Dennoch gehören die praktischen Funknetze heute zu den etablierten Netzwerktechniken. Wer mit seinem Laptop auf dem Balkon oder im Garten arbeitet, will auch hier Webseiten betrachten oder Dateien vom Desktop-PC im Wohnzimmer auf den Laptop kopieren. Dagegen ist auch nichts einzuwenden – es gilt nur einige Grundregeln zu beherzigen, dann verliert die drahtlose Technik ihren Schrecken.

Gezielt schützen

Welche Schutzmaßnahmen sich am besten eignen hängt davon ab, wie die Rechner vernetzt sind und welche Daten das WLAN transportieren soll. Für manche Anwender ist der WLAN-eigene Schutz ausreichend, einige verzichten sogar bewusst auf jede Sicherung. Wer mehr will, greift auf VPN-Protokolle zurück. Einfach zu bedienen aber dennoch modern und sicher erweist sich OpenVPN [1]. Dieses Protokoll verschlüsselt und authentifiziert die komplette Kommunikation zwischen zwei Linux- oder Windows-Rechnern.

Jenseits des Heimnetzes lauern im Internet wieder die gleichen Gefahren wie im WLAN: Angreifer können in beiden Fällen Daten abhören, manipulieren oder eigene Informationen einschleusen. Es sind daher zwei Fälle zu unterscheiden: Der einzelnen PC oder Laptop, der per Funknetz und einem WLAN-Router online geht (siehe Kasten 1) sowie das geschützte Heimnetz, dessen Besitzer die kabelgebundenen Netze durch ein WLAN ergänzt oder ersetzt (Kasten 2).

Kasten 1: Einzelner Computer

Im einfachsten Fall verbindet das WLAN einen Rechner mit einem Accesspoint, der die Daten ins Internet weiterreicht. Als zusätzliche Gefahr im Vergleich zum herkömmlichen Kabel drohen das Schnorren des Online-Zugangs, das Stören der Verbindung (Denial of Service) und der einfachere Zugriff durch Nachbarn und Passanten. Nur wer direkte und gezielte Angriffe fürchtet, sieht Funknetze als besonderes Risiko. Zufällige und ziellose Attacken können ihn bei der Datenübertragung im Internet genauso treffen wie auf dem letzten Teilstück zwischen WLAN-Zugangsrouter und Laptop.

Abbildung 1: Wer nur einen Laptop mit einem WLAN-Zugangsrouter betreibt, braucht kaum mehr Angriffe fürchten als wenn er sein Rechner per Modem oder DSL ins Internet bringt. In beiden Fällen sind die Daten manipulierbar.

Es gilt in jedem Fall, gegenüber sämtlichen Daten ein gewisses Maß an Misstrauen zu entwickeln. Nur mit kryptografischen Mitteln lässt sich feststellen, ob Daten authentisch sind, sowie vermeiden, dass Unbefugte darauf zugreifen. Also: Wo möglich, Webseiten per SSL/TLS geschützt abholen, und auch beim Abholen von E-Mail den SSL-Schutz der gängigen Mail-Programme aktivieren. SSL verschlüsselt und authentifiziert die Daten während der Übertragung. Wer noch einen Schritt weiter geht, setzt auf PGP oder S/MIME Diese Verfahren verschlüsseln die E-Mail selbst und nicht nur deren Übertragung. Für sichere Remote-Logins empfiehlt sich SSH.

Kasten 2: Heimnetz mit WLAN

Deutlich komplizierter zu bewerten als der Fall in Kasten 1 ist ein Heimnetz, in dem sich mehrere Rechner befinden. Den Internet-Zugang solcher Netze schützt meist eine Firewall, hinter der sich die Benutzer sicher vor Angriffen fühlen. Häufig verhindert die Firewall jede Kontaktaufnahme aus dem Internet in das LAN. In dieser heimeligen Atmosphäre konnten sich viele gefährliche Praktiken halten: Da gibt der NFS- oder Samba-Server die privaten Verzeichnisse für alle Rechner frei, der Druckserver sendet seine Daten im Klartext, Logins über Telnet oder Rlogin sind erlaubt. Kurz: Jeder Computer vertraut dem Netz und den angeschlossenen Rechnern.

Abbildung 2: Auf die Übertragung zwischen beiden Desktops haben Außenstehende keinen Zugriff, so lange sie nicht das LAN-Kabel anzapfen. Bei WLAN entfällt dieser physische Schutz, jeder Nachbar und jeder Passant kann die Daten abhören oder eigene Pakete einschleusen.

Dieses Vertrauen ist schon im klassischen LAN gefährlich, im WLAN aber deutlich schlimmer. Hier sitzt der Angreifer auf der falschen Seite der Firewall und greift das lokale Netz von innen an. Beim herkömmlichen drahtgebundenen Netz brauchen die Spione und Saboteure dazu immerhin Zugang in die Wohnung. Bei WLAN genügt es, wenn sie vor Wohnung oder im Nachbargebäude stehen – der Zugang zu Kabeln oder Steckdosen wird überflüssig.

Nur mit Kryptographie gelingt es, Funkverbindungen vor fremden Zugriffen wirksam zu schützen. Der erste Versuch, dies für WLAN zu standardisieren, scheiterte jedoch: Das WEP-Verfahren ist recht einfach zu knacken und erfüllt damit seinen Aufgabe nur ungenügend. Per VPN-Protokoll lässt sich dieser Schutz jedoch nachrüsten (siehe Artikel).

Schnorrer und Störer

Eine neue Gefahr bringen WLAN-Netze jedoch mit: Fremde können offene WLAN-Accesspoints mitbenutzen, um darüber eine Online-Verbindung ins Internet zu schnorren. Der potenzielle Schaden hängt in erster Linie vom Online-Tarif ab. Viele Flatrate-Eigner kümmert es nicht, wenn sich der Nachbar per WLAN auf Umwegen ins Netz schummelt. Bei Volumen- oder Zeittarifen droht dem eigenen Geldbeutel aber durchaus Gefahr. Diese lässt sich immerhin begrenzen, wenn der MAC-Filter im WLAN-Router aktiviert ist und die WEP-Verschlüsselung zum Einsatz kommt (zur Konfiguration siehe die anderen Artikel in diesem Heftschwerpunkt).

Beide Maßnahmen stellen zwar keinen sicheren Schutz dar, aber sie dienen immerhin als zusätzliche Hürden, die ein Schnorrer nehmen muss. Er kann sich nicht mehr darauf herausreden, das fremde WLAN versehentlich zu verwenden oder denken, der Besitzer des WLAN-Hotspots wäre damit einverstanden, dass jeder den Online-Zugang mitbenutzt. MAC-Filter und WEP sollten daher immer aktiviert sein, sie abzuschalten gilt fast als Einladung für Cracker, Schnorrer und Spione.

Besserer Schutz gelingt nur mit deutlich mehr Aufwand. Immerhin steht bereits ein WEP-Nachfolger fest: Die IEEE hat Ende Juni 2004 einen Standard namens 802.11i verabschiedet, auch WPA-2 genannt. Leider beherrschen nur neuere Karten diese Technik. Der korrekte Einsatz ist nicht einfach: Der neue Standard beschreibt viele Techniken, aber nicht alle gelten als sicher. Empfehlenswert sind AES-CCMP zur Verschlüsselung und 802.1x für Authentifizierung und Schlüssel-Management.

LinuxCommunity kaufen

Einzelne Ausgabe
 
Abonnements
 

Ähnliche Artikel

  • Sichere WLAN-Vernetzung mit verschlüsseltem OpenVPN-Tunnel
    Drahtlose Netzwerke sind zwar praktisch, aber auch gefährlich: Die eingebaute WEP-Verschlüsselung ist für einen Angreifer kein ernstes Hindernis, er kann Daten abhören, manipulieren und Pakete einschmuggeln. Abhilfe schafft ein verschlüsselter Tunnel: OpenVPN schützt die Daten.
  • Verschlüsselte Tunnel mit OpenVPN einrichten
    Viele WLAN-Geräte verschlüsseln die Verbindungen nur unzureichend. Mit OpenVPN und wenigen Befehlen richten Sie ihr eigenes verschlüsseltes Netzwerk ein und können sich sogar aus dem Internet zu Hause einloggen.
  • Sicher unterwegs im Wireless LAN
    Wireless LAN endet nicht an der Grundstücksgrenze, und gerade in Städten finden sich immer wieder unerwünschte Zaungäste. Wir zeigen Ihnen, wie Sie es Angreifern möglichst schwer machen, in Ihr drahtloses Netz einzudringen.
  • Durchgetunnelt
    Der Einsatz eines virtuellen privaten Netzwerks erlaubt die sichere Kommunikation über unsichere Netzwerke. Mit OpenVPN steht dafür ein einfach zu konfigurierendes, mächtiges Werkzeug bereit.
  • Tag der offenen Tür
    Fast jede öffentliche Einrichtung und jedes Hotel bieten heute ein kostenpflichtiges WLAN an. Kreative Zeitgenossen finden jedoch meist schnell eine Möglichkeit, ein solches Netz unautorisiert zu nutzen.
Kommentare

Infos zur Publikation

LU 11/2014: VIDEOS BEARBEITEN

Digitale Ausgabe: Preis € 4,95
(inkl. 19% MwSt.)

Mit der Zeitschrift LinuxUser sind Sie als Power-User, Shell-Guru oder Administrator im kleinen Unternehmen monatlich auf dem aktuelle Stand in Sachen Linux und Open Source.

Sie sind sich nicht sicher, ob die Themen Ihnen liegen? Im Probeabo erhalten Sie drei Ausgaben zum reduzierten Preis. Einzelhefte, Abonnements sowie digitale Ausgaben erwerben Sie ganz einfach in unserem Online-Shop.

NEU: DIGITALE AUSGABEN FÜR TABLET & SMARTPHONE

HINWEIS ZU PAYPAL: Die Zahlung ist auch ohne eigenes Paypal-Konto ganz einfach per Kreditkarte oder Lastschrift möglich!       

Tipp der Woche

Schnell Multi-Boot-Medien mit MultiCD erstellen
Schnell Multi-Boot-Medien mit MultiCD erstellen
Tim Schürmann, 24.06.2014 12:40, 0 Kommentare

Wer mehrere nützliche Live-Systeme auf eine DVD brennen möchte, kommt mit den Startmedienerstellern der Distributionen nicht besonders weit: Diese ...

Aktuelle Fragen

WLAN-Signalqualität vom Treiber abhängig
GoaSkin , 29.10.2014 14:16, 0 Antworten
Hallo, für einen WLAN-Stick mit Ralink 2870 Chipsatz gibt es einen Treiber von Ralink sowie (m...
Artikelsuche
Erwin Ruitenberg, 09.10.2014 07:51, 1 Antworten
Ich habe seit einige Jahre ein Dugisub LinuxUser. Dann weiß ich das irgendwann ein bestimmtes Art...
Windows 8 startet nur mit externer Festplatte
Anne La, 10.09.2014 17:25, 6 Antworten
Hallo Leute, also, ich bin auf folgendes Problem gestoßen: Ich habe Ubuntu 14.04 auf meiner...
Videoüberwachung mit Zoneminder
Heinz Becker, 10.08.2014 17:57, 0 Antworten
Hallo, ich habe den ZONEMINDER erfolgreich installiert. Das Bild erscheint jedoch nicht,...
internes Wlan und USB-Wlan-Srick
Gerhard Blobner, 04.08.2014 15:20, 2 Antworten
Hallo Linux-Forum: ich bin ein neuer Linux-User (ca. 25 Jahre Windows) und bin von WIN 8 auf Mint...