Aus LinuxUser 12/2004

Sichere WLAN-Vernetzung mit verschlüsseltem OpenVPN-Tunnel

Funkgeheimnis

Drahtlose Netze sind praktisch und gefährlich zugleich: Die eingebaute WEP-Verschlüsselung hält keinem Angreifer stand. Abhilfe schaffen zusätzliche Sicherheitsmaßnahmen bis hin zum verschlüsselten OpenVPN-Tunnel.

Die WLAN-Technik arbeitet unsicher, das hat sich herumgesprochen [5]. Die eingebaute Verschlüsselungstechnik ist leicht zu knacken – und zu allem Überfluss oft deaktiviert. Während im klassischen Heimnetz mit Kabel, Stecker und Dose ein Datenspion Zugang in die Wohnung (oder zu einem Rechner) braucht, können neugierige Zeitgenossen mit Laptop und WLAN-Karte ausgerüstet durch die Straßen ziehen und sich in jedes drahtlose Netz einklinken. Dank Verstärker und spezieller Antennen gelingt das problemlos über viele hundert Meter.

Dennoch gehören die praktischen Funknetze heute zu den etablierten Netzwerktechniken. Wer mit seinem Laptop auf dem Balkon oder im Garten arbeitet, will auch hier Webseiten betrachten oder Dateien vom Desktop-PC im Wohnzimmer auf den Laptop kopieren. Dagegen ist auch nichts einzuwenden – es gilt nur einige Grundregeln zu beherzigen, dann verliert die drahtlose Technik ihren Schrecken.

Gezielt schützen

Welche Schutzmaßnahmen sich am besten eignen hängt davon ab, wie die Rechner vernetzt sind und welche Daten das WLAN transportieren soll. Für manche Anwender ist der WLAN-eigene Schutz ausreichend, einige verzichten sogar bewusst auf jede Sicherung. Wer mehr will, greift auf VPN-Protokolle zurück. Einfach zu bedienen aber dennoch modern und sicher erweist sich OpenVPN [1]. Dieses Protokoll verschlüsselt und authentifiziert die komplette Kommunikation zwischen zwei Linux- oder Windows-Rechnern.

Jenseits des Heimnetzes lauern im Internet wieder die gleichen Gefahren wie im WLAN: Angreifer können in beiden Fällen Daten abhören, manipulieren oder eigene Informationen einschleusen. Es sind daher zwei Fälle zu unterscheiden: Der einzelnen PC oder Laptop, der per Funknetz und einem WLAN-Router online geht (siehe Kasten 1) sowie das geschützte Heimnetz, dessen Besitzer die kabelgebundenen Netze durch ein WLAN ergänzt oder ersetzt (Kasten 2).

Kasten 1: Einzelner Computer

Im einfachsten Fall verbindet das WLAN einen Rechner mit einem Accesspoint, der die Daten ins Internet weiterreicht. Als zusätzliche Gefahr im Vergleich zum herkömmlichen Kabel drohen das Schnorren des Online-Zugangs, das Stören der Verbindung (Denial of Service) und der einfachere Zugriff durch Nachbarn und Passanten. Nur wer direkte und gezielte Angriffe fürchtet, sieht Funknetze als besonderes Risiko. Zufällige und ziellose Attacken können ihn bei der Datenübertragung im Internet genauso treffen wie auf dem letzten Teilstück zwischen WLAN-Zugangsrouter und Laptop.

Abbildung 1: Wer nur einen Laptop mit einem WLAN-Zugangsrouter betreibt, braucht kaum mehr Angriffe fürchten als wenn er sein Rechner per Modem oder DSL ins Internet bringt. In beiden Fällen sind die Daten manipulierbar.
Abbildung 1: Wer nur einen Laptop mit einem WLAN-Zugangsrouter betreibt, braucht kaum mehr Angriffe fürchten als wenn er sein Rechner per Modem oder DSL ins Internet bringt. In beiden Fällen sind die Daten manipulierbar.

Es gilt in jedem Fall, gegenüber sämtlichen Daten ein gewisses Maß an Misstrauen zu entwickeln. Nur mit kryptografischen Mitteln lässt sich feststellen, ob Daten authentisch sind, sowie vermeiden, dass Unbefugte darauf zugreifen. Also: Wo möglich, Webseiten per SSL/TLS geschützt abholen, und auch beim Abholen von E-Mail den SSL-Schutz der gängigen Mail-Programme aktivieren. SSL verschlüsselt und authentifiziert die Daten während der Übertragung. Wer noch einen Schritt weiter geht, setzt auf PGP oder S/MIME Diese Verfahren verschlüsseln die E-Mail selbst und nicht nur deren Übertragung. Für sichere Remote-Logins empfiehlt sich SSH.

Kasten 2: Heimnetz mit WLAN

Deutlich komplizierter zu bewerten als der Fall in Kasten 1 ist ein Heimnetz, in dem sich mehrere Rechner befinden. Den Internet-Zugang solcher Netze schützt meist eine Firewall, hinter der sich die Benutzer sicher vor Angriffen fühlen. Häufig verhindert die Firewall jede Kontaktaufnahme aus dem Internet in das LAN. In dieser heimeligen Atmosphäre konnten sich viele gefährliche Praktiken halten: Da gibt der NFS– oder Samba-Server die privaten Verzeichnisse für alle Rechner frei, der Druckserver sendet seine Daten im Klartext, Logins über Telnet oder Rlogin sind erlaubt. Kurz: Jeder Computer vertraut dem Netz und den angeschlossenen Rechnern.

Abbildung 2: Auf die Übertragung zwischen beiden Desktops haben Außenstehende keinen Zugriff, so lange sie nicht das LAN-Kabel anzapfen. Bei WLAN entfällt dieser physische Schutz, jeder Nachbar und jeder Passant kann die Daten abhören oder eigene Pakete einschleusen.
Abbildung 2: Auf die Übertragung zwischen beiden Desktops haben Außenstehende keinen Zugriff, so lange sie nicht das LAN-Kabel anzapfen. Bei WLAN entfällt dieser physische Schutz, jeder Nachbar und jeder Passant kann die Daten abhören oder eigene Pakete einschleusen.

Dieses Vertrauen ist schon im klassischen LAN gefährlich, im WLAN aber deutlich schlimmer. Hier sitzt der Angreifer auf der falschen Seite der Firewall und greift das lokale Netz von innen an. Beim herkömmlichen drahtgebundenen Netz brauchen die Spione und Saboteure dazu immerhin Zugang in die Wohnung. Bei WLAN genügt es, wenn sie vor Wohnung oder im Nachbargebäude stehen – der Zugang zu Kabeln oder Steckdosen wird überflüssig.

Nur mit Kryptographie gelingt es, Funkverbindungen vor fremden Zugriffen wirksam zu schützen. Der erste Versuch, dies für WLAN zu standardisieren, scheiterte jedoch: Das WEP-Verfahren ist recht einfach zu knacken und erfüllt damit seinen Aufgabe nur ungenügend. Per VPN-Protokoll lässt sich dieser Schutz jedoch nachrüsten (siehe Artikel).

Schnorrer und Störer

Eine neue Gefahr bringen WLAN-Netze jedoch mit: Fremde können offene WLAN-Accesspoints mitbenutzen, um darüber eine Online-Verbindung ins Internet zu schnorren. Der potenzielle Schaden hängt in erster Linie vom Online-Tarif ab. Viele Flatrate-Eigner kümmert es nicht, wenn sich der Nachbar per WLAN auf Umwegen ins Netz schummelt. Bei Volumen- oder Zeittarifen droht dem eigenen Geldbeutel aber durchaus Gefahr. Diese lässt sich immerhin begrenzen, wenn der MAC-Filter im WLAN-Router aktiviert ist und die WEP-Verschlüsselung zum Einsatz kommt (zur Konfiguration siehe die anderen Artikel in diesem Heftschwerpunkt).

Beide Maßnahmen stellen zwar keinen sicheren Schutz dar, aber sie dienen immerhin als zusätzliche Hürden, die ein Schnorrer nehmen muss. Er kann sich nicht mehr darauf herausreden, das fremde WLAN versehentlich zu verwenden oder denken, der Besitzer des WLAN-Hotspots wäre damit einverstanden, dass jeder den Online-Zugang mitbenutzt. MAC-Filter und WEP sollten daher immer aktiviert sein, sie abzuschalten gilt fast als Einladung für Cracker, Schnorrer und Spione.

Besserer Schutz gelingt nur mit deutlich mehr Aufwand. Immerhin steht bereits ein WEP-Nachfolger fest: Die IEEE hat Ende Juni 2004 einen Standard namens 802.11i verabschiedet, auch WPA-2 genannt. Leider beherrschen nur neuere Karten diese Technik. Der korrekte Einsatz ist nicht einfach: Der neue Standard beschreibt viele Techniken, aber nicht alle gelten als sicher. Empfehlenswert sind AES-CCMP zur Verschlüsselung und 802.1x für Authentifizierung und Schlüssel-Management.

Mit VPN geschützt

Auch ohne neue WLAN-Karten ist ein sicherer und Schnorrer-resistenter WLAN-Betrieb unter Linux möglich. Was die Hardware nicht leistet, muss die Software nachrüsten: VPN-Protokolle (Virtuelle Private Netze) verschlüsseln und authentifizieren die Daten auf der IP-Schicht. Ein VPN-Endpunkt nimmt alle Daten entgegen, verschlüsselt und signiert sie und überträgt sie drahtlos. Das Gegenstück am anderen Ende packt die Pakete wieder aus.

Ein VPN nutzt das herkömmliche WLAN, sieht für den Client aber aus wie ein zusätzliches Netz – eben virtuell. Abbildung 3 verdeutlicht das Prinzip: Laptop und Desktop sind über ein WLAN miteinander verbunden. Im drahtlosen Netz sind beide über ihre reale IP-Adresse zu erreichen. Das VPN gibt Laptop und Desktop je eine zusätzliche IP-Adresse. Alle Daten, die über die virtuellen Adressen gesendet werden, verpackt das VPN und sendet sie an die reale IP des Gegenübers. Der Empfänger packt die Daten wieder aus und behandelt sie so, als ob sie über seine virtuelle Adresse hereingekommen wären. Dadurch entsteht ein Tunnel zwischen Laptop und Desktop.

Abbildung 3: Das Virtuelle Private Netz wird durch einen Tunnel geleitet, der an den realen IP-Adressen von Laptop und Desktop beginnt und endet.
Abbildung 3: Das Virtuelle Private Netz wird durch einen Tunnel geleitet, der an den realen IP-Adressen von Laptop und Desktop beginnt und endet.

Zusätzliche Firewall-Regeln sorgen dafür, dass beide Rechner nur die Daten annehmen, die durch den Tunnel gekommen sind. Pakete, die ein Angreifer direkt in das WLAN einschleust, haben damit keine Chance.

LinuxUser 12/2004 KAUFEN
EINZELNE AUSGABE Print-Ausgaben Digitale Ausgaben
ABONNEMENTS Print-Abos Digitales Abo
TABLET & SMARTPHONE APPS
Deutschland

Hinterlasse einen Kommentar

  E-Mail Benachrichtigung  
Benachrichtige mich zu: