Mit VPN geschützt

Auch ohne neue WLAN-Karten ist ein sicherer und Schnorrer-resistenter WLAN-Betrieb unter Linux möglich. Was die Hardware nicht leistet, muss die Software nachrüsten: VPN-Protokolle (Virtuelle Private Netze) verschlüsseln und authentifizieren die Daten auf der IP-Schicht. Ein VPN-Endpunkt nimmt alle Daten entgegen, verschlüsselt und signiert sie und überträgt sie drahtlos. Das Gegenstück am anderen Ende packt die Pakete wieder aus.

Ein VPN nutzt das herkömmliche WLAN, sieht für den Client aber aus wie ein zusätzliches Netz – eben virtuell. Abbildung 3 verdeutlicht das Prinzip: Laptop und Desktop sind über ein WLAN miteinander verbunden. Im drahtlosen Netz sind beide über ihre reale IP-Adresse zu erreichen. Das VPN gibt Laptop und Desktop je eine zusätzliche IP-Adresse. Alle Daten, die über die virtuellen Adressen gesendet werden, verpackt das VPN und sendet sie an die reale IP des Gegenübers. Der Empfänger packt die Daten wieder aus und behandelt sie so, als ob sie über seine virtuelle Adresse hereingekommen wären. Dadurch entsteht ein Tunnel zwischen Laptop und Desktop.

Abbildung 3: Das Virtuelle Private Netz wird durch einen Tunnel geleitet, der an den realen IP-Adressen von Laptop und Desktop beginnt und endet.

Zusätzliche Firewall-Regeln sorgen dafür, dass beide Rechner nur die Daten annehmen, die durch den Tunnel gekommen sind. Pakete, die ein Angreifer direkt in das WLAN einschleust, haben damit keine Chance.

OpenVPN

Das VPN-Prinzip findet sich in verschiedenen Protokollen, Produkten und Projekten. Als stabile und einfache Variante, die ohne Eingriff in den Kernel oder den IP-Stack auskommt, hat sich OpenVPN [1] bewährt. Da dieses Programm auf dem etablierten Krypto-Protokoll TLS basiert und sauber implementiert ist, gilt es unter Experten als sehr sicher [6].

OpenVPN sammelt an beiden Enden des Tunnels die Datenpakete, die für die Gegenseite bestimmt sind. Dann verschlüsselt es sie mithilfe eines lokal hinterlegten Schlüssels und sendet die so geschützten Pakete zur anderen Seite. Das Gegenüber packt die Daten aus und prüft deren Herkunft. Nur Daten, die mit dem korrekten Schlüssel verpackt wurden, akzeptiert die Gegenstelle und leitet sie weiter, andere Pakete ignoriert sie. So tunneln Datenpakete in sicheren Containern durch ein Meer der Unsicherheit.

Das folgende Beispiel geht davon aus, dass das drahtlose Netz über wlan0 angebunden ist. Der Desktop-Rechner hat zudem eine herkömmliche, drahtgebundene Netzwerkkarte, die er mit eth0 anspricht. Über dieses Ethernet sind andere Rechner im heimischen Netz sowie das Internet zu erreichen (Abbildung 3).

Kasten 3: Installation

OpenVPN ist recht einfach zu installieren. Das Source-Paket der stabilen Version 1.6.0 ist auf der Projekt-Homepage [1] oder auf unserer Heft-CD zu finden. Folgende Kommandos entpacken das Paket, übersetzen es und installieren es mit Root-Rechten:

tar -xvzf openvpn-1.6.0.tar.gz
cd openvpn-1.6.0
./configure --disable-lzo
make
su
make install

Der Configure-Aufruf ist hier mit dem Parameter --disable-lzo angegeben, um die Kompression abzuschalten. Da sich die Daten nach der Verschlüsselung nicht mehr komprimieren lassen, ist diese Bibliothek für langsame Leitungen jedoch sehr zu empfehlen. Sie ist auf [3] oder der Heft-CD zu finden. Auf jeden Fall nötig ist die OpenSSL-Bibliothek zusammen mit den Entwicklerdateien. Bei SuSE sind das zwei getrennte Pakete: openssl und openssl-devel.

Das Tunnel-Device ist in aktuellen Kerneln bereits enthalten, für ältere Versionen steht das Paket auf [2] bereit. Wer den Kernel selbst übersetzt, findet in make xconfig das TUN-Modul in der Sektion "Network device support" unter dem Namen "Universal TUN/TAP device driver support". Das Modul lässt sich auch einzeln nachträglich übersetzen und installieren, ohne den ganzen Kernel auszutauschen. Nach dem Konfigurieren des Kernels genügt:

make modules
make modules_install

Nun muss noch das Device-File /dev/net/tun angelegt werden. Falls das Verzeichnis /dev/net/ noch nicht vorhanden ist: mkdir /dev/net/. Dann noch das Device anlegen:

mknod /dev/net/tun c 10 200

LinuxCommunity kaufen

Einzelne Ausgabe
 
Abonnements
 
TABLET & SMARTPHONE APPS
Bald erhältlich
Get it on Google Play

Deutschland

Ähnliche Artikel

  • Sichere WLAN-Vernetzung mit verschlüsseltem OpenVPN-Tunnel
    Drahtlose Netzwerke sind zwar praktisch, aber auch gefährlich: Die eingebaute WEP-Verschlüsselung ist für einen Angreifer kein ernstes Hindernis, er kann Daten abhören, manipulieren und Pakete einschmuggeln. Abhilfe schafft ein verschlüsselter Tunnel: OpenVPN schützt die Daten.
  • Verschlüsselte Tunnel mit OpenVPN einrichten
    Viele WLAN-Geräte verschlüsseln die Verbindungen nur unzureichend. Mit OpenVPN und wenigen Befehlen richten Sie ihr eigenes verschlüsseltes Netzwerk ein und können sich sogar aus dem Internet zu Hause einloggen.
  • Sicher unterwegs im Wireless LAN
    Wireless LAN endet nicht an der Grundstücksgrenze, und gerade in Städten finden sich immer wieder unerwünschte Zaungäste. Wir zeigen Ihnen, wie Sie es Angreifern möglichst schwer machen, in Ihr drahtloses Netz einzudringen.
  • Durchgetunnelt
    Der Einsatz eines virtuellen privaten Netzwerks erlaubt die sichere Kommunikation über unsichere Netzwerke. Mit OpenVPN steht dafür ein einfach zu konfigurierendes, mächtiges Werkzeug bereit.
  • Tag der offenen Tür
    Fast jede öffentliche Einrichtung und jedes Hotel bieten heute ein kostenpflichtiges WLAN an. Kreative Zeitgenossen finden jedoch meist schnell eine Möglichkeit, ein solches Netz unautorisiert zu nutzen.
Kommentare

Infos zur Publikation

LU 10/2017: Daten retten & sichern

Digitale Ausgabe: Preis € 8,50
(inkl. 19% MwSt.)

LinuxUser erscheint monatlich und kostet 5,95 Euro (mit DVD 8,50 Euro). Weitere Infos zum Heft finden Sie auf der Homepage.

Das Jahresabo kostet ab 86,70 Euro. Details dazu finden Sie im Computec-Shop. Im Probeabo erhalten Sie zudem drei Ausgaben zum reduzierten Preis.

Bei Google Play finden Sie digitale Ausgaben für Tablet & Smartphone.

HINWEIS ZU PAYPAL: Die Zahlung ist ohne eigenes Paypal-Konto ganz einfach per Kreditkarte oder Lastschrift möglich!

Stellenmarkt

Aktuelle Fragen

Lieber Linux oder Windows- Betriebssystem?
Sina Kaul, 13.10.2017 16:17, 2 Antworten
Hallo, bis jetzt hatte ich immer nur mit
IT-Kurse
Alice Trader, 26.09.2017 11:35, 2 Antworten
Hallo liebe Community, ich brauche Hilfe und bin sehr verzweifelt. Ih bin noch sehr neu in eure...
Backup mit KUP unter Suse 42.3
Horst Schwarz, 24.09.2017 13:16, 3 Antworten
Ich möchte auch wieder unter Suse 42.3 mit Kup meine Backup durchführen. Eine Installationsmöglic...
kein foto, etc. upload möglich, wo liegt mein fehler?
kerstin brums, 17.09.2017 22:08, 5 Antworten
moin, zum erstellen einer einfachen wordpress website kann ich keine fotos uploaden. vom rechne...
Arch Linux Netzwerkkonfigurationen
Franziska Schley, 15.09.2017 18:04, 0 Antworten
Moin liebe Linux community, ich habe momentan Probleme mit der Einstellung des Lan/Wlan in Arc...