Grenzen der Sicherheit

Jedes Netzwerk ist nur so sicher wie die angeschlossenen Rechner. Hat ein Unbefugter Zugriff auf einen OpenVPN-Laptop, dann erfährt er den Schlüssel und erhält Zugang zum virtuellen Netz und darüber ins LAN. Drahtlose Geräte sind daher besonders gegen Diebstahl zu sichern.

Wer diese Grundsätze berücksichtigt, findet in OpenVPN ein sehr sicheres und dennoch einfach zu bedienendes VPN-Produkt. Es umschifft die Schwächen der WLAN-Verschlüsselung elegant. So darf man ruhigen Gewissens die Bequemlichkeit eines Funknetzes nutzen.

Glossar

Denial of Service

Bei dieser Technik blockiert der Angreifer einen Dienst oder eine Datenübertragung.

WLAN-Zugangsrouter

Kompaktes Gerät, das neben einem WLAN-Accesspoint auch über einen Kabel-gebunden Internet-Anschluss verfügt (etwa per Ethernet, Modem, ISDN oder DSL).

SSL/TLS

Die Secure Sockets Layer ist ein von Netscape entwickeltes Krypto-Protokoll. SSL hat sich beim verschlüsselten Übertragen bewährt und etabliert. Die Weiterentwicklung findet unter dem Namen Transport Layer Security statt.

PGP

Pretty Good Privacy kommt beim Verschlüsseln und Signieren von E-Mail zum Einsatz. PGP bezeichnet ein Programm, OpenPGP ist der Standard für das Verfahren und GnuPG eine neuere Implementierung.

S/MIME

Secure/Multipurpose Internet Mail Extensions ist ein weiteres Verfahren neben PGP, um E-Mails zu verschlüsseln und digital zu signieren.

SSH

Mit der Secure Shell können sich Linux-User auf anderen Computern einloggen. Die komplette Sitzung inklusive Passwort-Übertragung wird von SSH verschlüsselt.

NFS

Das Network File System ist eine recht alte aber weiterhin verbreitete Technik, um Verzeichnisse von fernen Unix/Linux-Rechnern einzubinden (mounten).

Samba

Dieses Programmpaket ist kompatibel zur Windows-Verzeichnisfreigabe. Hiermit kann man Linux-Verzeichnisse für Windows-Clients freigeben und umgekehrt Windows-Shares unter Linux einbinden.

VPN

Virtuelles Privates Netz. Benutzt ein tatsächlich vorhandenes Netz, um darüber eine andere Vernetzung nachzubilden. Die VPN-Software verschlüsselt die übertragenen Daten meist, bevor es sie weiterleitet.

WEP

Mit Wired Equivalent Privacy wollten die Väter des WLAN ein sicheres Krypto-Protokoll standardisieren, mit dem der Funkverkehr ebenso geschützt ist wie in einem Kabel. Es zeigte sich aber bald, dass das Protokoll fehlerhaft und damit unsicher arbeitet.

MAC

Media Access Control. Innerhalb dieser Protokollschicht kommen eigene Adressen zum Einsatz. Die so genannten MAC-Adressen sind jedem Gerät bereits bei der Auslieferung vorgegeben und weltweit eindeutig.

IEEE

Institute of Electrical and Electronics Engineers, eine internationale Organisation, die unter anderem Standards entwickelt und festschreibt.

802.11i

Neuer Standard für Sicherheit in Funknetzen, der WEP und WPA ablöst. Er basiert auf WPA, 802.1x sowie RSN (Robust Security Network).

WPA-2

Das WPA-Protokoll (WiFi Protected Access) behebt die bekannten Fehler von WEP, ist aber kein anerkannter Standard. Die WiFi-Organisation bezeichnet den WPA-Nachfolger 802.11i als WPA-2.

AES-CCMP

Advanced Encryption Standard, ein moderner (symmetrischer) Verschlüsselungsalgorithmus. Das Counter-Mode/CBC-MAC Protocol ist eine Sicherheitsschicht, die Daten verschlüsselt und authentifiziert.

private Adressen

Normale, öffentliche IP-Adressen sind weltweit eindeutig. Nur so kann ein Paket den Weg zum richtig Ziel finden. Im Gegensatz dazu sind die privaten IP-Adressen nur im lokalen Netz gültig, sie werden nicht in das öffentliche Internet geroutet. Dadurch können mehrere Netze die selben privaten Adressen nutzen. Für diesen Zweck sind einige IP-Bereiche reserviert: 10.x.x.x und 192.168.z.z sowie 172.16.y.y bis 172.31.y.y.

Routing

Wegewahl für IP-Pakete. Linux entscheidet anhand einer Routing-Tabelle, über welches Interface es ein Paket senden muss, damit es seinem Ziel näher kommt. Bei einem Einzelplatzrechner ist die Entscheidung einfach: 127.0.0.1 geht über das Loopback-Device lo, der Rest über die Default-Route über eth0 oder Ähnliches. Router mit vielen Netzwerkkarten müssen hier komplizierter entscheiden.

Infos

[1] OpenVPN: http://openvpn.sourceforge.net

[2] TUN/TAP-Treiber: http://vtun.sourceforge.net/tun/

[3] LZO-Bibliothek: http://www.oberhumer.com/opensource/lzo/

[4] Marc André Selig, "Paketfilter-Firewall", LinuxUser 05/2002, S. 30: http://www.linux-user.de/ausgabe/2002/05/030-firewall/firewall-4.html

[5] Mark Vogelsberger, "Kismet & Co.: WLAN-Sicherheit unter der Lupe", Linux-Magazin 12/2003, S. 36

[6] Sicherheitslücken in vielen VPN-Protokollen: Peter Gutmann, "Schutz (be)dürftig", Linux-Magazin 01/2004, S. 84

LinuxCommunity kaufen

Einzelne Ausgabe
 
Abonnements
 
TABLET & SMARTPHONE APPS
Bald erhältlich
Get it on Google Play

Deutschland

Ähnliche Artikel

  • Sichere WLAN-Vernetzung mit verschlüsseltem OpenVPN-Tunnel
    Drahtlose Netzwerke sind zwar praktisch, aber auch gefährlich: Die eingebaute WEP-Verschlüsselung ist für einen Angreifer kein ernstes Hindernis, er kann Daten abhören, manipulieren und Pakete einschmuggeln. Abhilfe schafft ein verschlüsselter Tunnel: OpenVPN schützt die Daten.
  • Verschlüsselte Tunnel mit OpenVPN einrichten
    Viele WLAN-Geräte verschlüsseln die Verbindungen nur unzureichend. Mit OpenVPN und wenigen Befehlen richten Sie ihr eigenes verschlüsseltes Netzwerk ein und können sich sogar aus dem Internet zu Hause einloggen.
  • Sicher unterwegs im Wireless LAN
    Wireless LAN endet nicht an der Grundstücksgrenze, und gerade in Städten finden sich immer wieder unerwünschte Zaungäste. Wir zeigen Ihnen, wie Sie es Angreifern möglichst schwer machen, in Ihr drahtloses Netz einzudringen.
  • Durchgetunnelt
    Der Einsatz eines virtuellen privaten Netzwerks erlaubt die sichere Kommunikation über unsichere Netzwerke. Mit OpenVPN steht dafür ein einfach zu konfigurierendes, mächtiges Werkzeug bereit.
  • Tag der offenen Tür
    Fast jede öffentliche Einrichtung und jedes Hotel bieten heute ein kostenpflichtiges WLAN an. Kreative Zeitgenossen finden jedoch meist schnell eine Möglichkeit, ein solches Netz unautorisiert zu nutzen.
Kommentare

Infos zur Publikation

LU 12/2017: Perfekte Videos

Digitale Ausgabe: Preis € 5,95
(inkl. 19% MwSt.)

LinuxUser erscheint monatlich und kostet 5,95 Euro (mit DVD 8,50 Euro). Weitere Infos zum Heft finden Sie auf der Homepage.

Das Jahresabo kostet ab 86,70 Euro. Details dazu finden Sie im Computec-Shop. Im Probeabo erhalten Sie zudem drei Ausgaben zum reduzierten Preis.

Bei Google Play finden Sie digitale Ausgaben für Tablet & Smartphone.

HINWEIS ZU PAYPAL: Die Zahlung ist ohne eigenes Paypal-Konto ganz einfach per Kreditkarte oder Lastschrift möglich!

Stellenmarkt

Aktuelle Fragen

Huawei
Pit Hampelmann, 13.12.2017 11:35, 1 Antworten
Welches Smartphone ist für euch momentan das beste? Sehe ja die Huawei gerade ganz weit vorne. Bi...
Fernstudium Informatik
Joe Cole, 12.12.2017 10:36, 2 Antworten
Hallo! habe früher als ich 13 Jahre angefangen mit HTML und später Java zu programmieren. Weit...
Installation Linux mint auf stick
Reiner Schulz, 10.12.2017 17:34, 3 Antworten
Hallo, ich hab ein ISO-image mit Linux Mint auf einem Stick untergebracht Jetzt kann ich auch...
Canon Maxify 2750 oder ähnlicher Drucker
Hannes Richert, 05.12.2017 20:14, 4 Antworten
Hallo, leider hat Canon mich weiterverwiesen, weil sie Linux nicht supporten.. deshalb hier die...
Ubuntu Server
Steffen Seidler, 05.12.2017 12:10, 1 Antworten
Hallo! Hat jemand eine gute Anleitung für mich, wie ich Ubuntu Server einrichte? Habe bisher...