et5994.jpg

Geschützter Tunnel

Sichere WLAN-Vernetzung mit verschlüsseltem OpenVPN-Tunnel

01.10.2002
, ,
Drahtlose Netzwerke sind zwar praktisch, aber auch gefährlich: Die eingebaute WEP-Verschlüsselung ist für einen Angreifer kein ernstes Hindernis, er kann Daten abhören, manipulieren und Pakete einschmuggeln. Abhilfe schafft ein verschlüsselter Tunnel: OpenVPN schützt die Daten.

Bei einem Wireless-LAN genügt es, wenn ein Angreifer mit seinem Laptop vor dem Grundstück des Opfers steht. Schon finden alle Datenpakete den Weg über die WLAN-Karte in das Notebook des Bösewichts. Fast so, als hätte das Opfer an der nächsten Bushaltestelle eine Netzwerkdose montiert und gehofft, dass sich niemand einklinkt. Besonders in Großstädten ist das Risiko auch für Privatanwender sehr hoch. So genannte Wardriver sind auf der Suche nach WLANs, um den Internetzugang zu schnorren, Daten abzuhören oder den internen Server zu hacken und lahm zu legen.

Während bei drahtgebundenen Netzwerken ein Angreifer Zugang zu einer Netzwerkdose oder zum Kabel braucht, lässt sich ein WLAN nicht durch Mauern und Zäune aufhalten. Um die Daten dennoch zu schützen, gibt es seit der Anfangszeit der drahtlosen Netze ein Verfahren namens "Wireless Equivalent Privacy". WEP sollte eine Sicherheit bieten, die der drahtgebundener Netze gleicht. Dazu nutzt es einen eigenen Verschlüsselungsalgorithmus. Zunächst waren Schlüssellängen von 40 Bit vorgesehen, heutige Geräte arbeiten mit 128 Bit. Doch der verwendete Algorithmus ist schwach: 40-Bit-Schlüssel sind in wenigen Minuten zu knacken, selbst die 128-Bit-Keys halten einem Angriff nur wenige Tage stand. WEP bietet also kaum Schutz.

Verschlüsselung

Abhilfe bringt ein Virtuelles Privates Netz (VPN), das alle Daten entgegen nimmt, verschlüsselt, drahtlos überträgt und am anderen Ende wieder auspackt. Ein VPN nutzt das herkömmliche WLAN, sieht für den Client aber aus wie ein zusätzliches Netz – eben virtuell. Abbildung 1 verdeutlicht das Prinzip anhand des VPN-Pakets OpenVPN [1]: Laptop und Desktop sind über ein WLAN miteinander verbunden. Im drahtlosen Netz sind beide über ihre reale IP-Adresse zu erreichen. Das VPN gibt Laptop und Desktop je eine zusätzliche IP-Adresse. Alle Daten, die über die virtuellen Adressen gesendet werden, verpackt das VPN und sendet sie an die reale IP des Gegenübers. Der Empfänger packt die Daten wieder aus und tut so, als ob sie über seine virtuelle Adresse hereingekommen wären. Dadurch entsteht ein Tunnel zwischen Laptop und Desktop.

Abbildung 1: Das Virtuelle Private Netz wird durch einen Tunnel geleitet, der an den realen IP-Adressen von Laptop und Desktop beginnt und endet

Zusätzliche Firewall-Regeln sorgen dafür, dass beide Rechner nur die Daten annehmen, die durch den Tunnel gekommen sind. Pakete, die ein Angreifer direkt in das WLAN einschleust, haben damit keine Chance.

Das VPN benutzt kryptographische Verfahren, um den Tunnel zu schützen. Im Gegensatz zum unsicheren WEP kommen dabei bekannte und geprüfte Algorithmen zum Einsatz, die ein hohes Maß an Sicherheit bieten. Der Tunnel schützt damit die Daten, die durch ihn geleitet werden, vor neugierigen Blicken. Er stellt auch sicher, dass sich niemand als berechtigter Laptop ausgeben und ebenfalls durch den Tunnel senden kann – die Tunnelwände halten dicht.

OpenVPN

Das VPN-Prinzip wird von verschiedenen Protokollen, Produkten und Projekten umgesetzt. Eine stabile und einfache Umsetzung, die ohne Eingriff in den Kernel oder den IP-Stack auskommt, ist OpenVPN. Es sammelt an beiden Enden des Tunnels die Datenpakete, die für die Gegenseite bestimmt sind. Dann verschlüsselt es sie mithilfe eines lokal hinterlegten Schlüssels und sendet die so geschützten Pakete zur anderen Seite. Diese packt die Daten aus und prüft die Herkunft. Nur Daten, die mit dem richtigen (nur den beiden Seiten bekannten) Schlüssel verpackt wurden, werden ausgepackt und weitergeleitet, andere verworfen. So tunneln Datenpakete in sicheren Containern durch ein Meer der Unsicherheit.

Das folgende Beispiel geht davon aus, dass das drahtlose Netz über wlan0 angebunden ist. Der Desktop-Rechner hat zusätzliche eine herkömmliche, drahtgebundene Netzwerkkarte, die mit eth0 angesprochen wird. Über dieses Ethernet sind andere Rechner im heimischen Netz sowie das Internet zu erreichen.

Installation

Um OpenVPN zu installieren, holt man sich am besten von [1] das Source-Paket openvpn-1.3.1.tar.gz, packt es aus, übersetzt und installiert es (als Root).

tar -xvzf openvpn-1.3.1.tar.gz
cd openvpn-1.3.1
./configure --disable-lzo
make
make install

Der Configure-Aufruf ist hier mit dem Parameter --disable-lzo angegeben, der schaltet die Kompression ab. Alternativ kann man auch die LZO-Bibliothek [3] installieren. Auf jeden Fall nötig ist die OpenSSL-Bibliothek, zusammen mit den Entwickler-Dateien. Bei SuSE sind das zwei getrennte Pakete: openssl und openssl-devel.

Wer Debian benutzt, hat es leichter. Ihm genügt folgender Aufruf, um OpenVPN zu installieren:

apt-get install openvpn

Die OpenVPN-Entwickler stellen auch RPM-Pakete für Red Hat 7.2 und 7.3 zur Verfügung.

TUN-Device

Das Tunnel-Device ist in aktuellen Kernel bereits enthalten, für ältere Versionen ist das Paket auf [2] erhältlich. Wer den aktuellen Kernel selbst übersetzt, findet in make xconfig das TUN-Modul in der Sektion "Network device support" unter dem Namen "Universal TUN/TAP device driver support".

Das Modul lässt sich auch einzeln nachträglich übersetzen und nachinstallieren, ohne den ganzen Kernel auszutauschen. Nach dem Konfigurieren des Kernels genügt:

make modules
make modules_install

Nun muss noch das Device-File /dev/net/tun angelegt werden. Falls das Verzeichnis /dev/net/ noch nicht vorhanden ist: mkdir /dev/net/. Dann noch das Device anlegen:

mknod /dev/net/tun c 10 200

LinuxCommunity kaufen

Einzelne Ausgabe
 
Abonnements
 

Ähnliche Artikel

  • Sichere WLAN-Vernetzung mit verschlüsseltem OpenVPN-Tunnel
    Drahtlose Netze sind praktisch und gefährlich zugleich: Die eingebaute WEP-Verschlüsselung hält keinem Angreifer stand. Abhilfe schaffen zusätzliche Sicherheitsmaßnahmen bis hin zum verschlüsselten OpenVPN-Tunnel.
  • Verschlüsselte Tunnel mit OpenVPN einrichten
    Viele WLAN-Geräte verschlüsseln die Verbindungen nur unzureichend. Mit OpenVPN und wenigen Befehlen richten Sie ihr eigenes verschlüsseltes Netzwerk ein und können sich sogar aus dem Internet zu Hause einloggen.
  • Sicher unterwegs im Wireless LAN
    Wireless LAN endet nicht an der Grundstücksgrenze, und gerade in Städten finden sich immer wieder unerwünschte Zaungäste. Wir zeigen Ihnen, wie Sie es Angreifern möglichst schwer machen, in Ihr drahtloses Netz einzudringen.
  • Tag der offenen Tür
    Fast jede öffentliche Einrichtung und jedes Hotel bieten heute ein kostenpflichtiges WLAN an. Kreative Zeitgenossen finden jedoch meist schnell eine Möglichkeit, ein solches Netz unautorisiert zu nutzen.
  • Durchgetunnelt
    Der Einsatz eines virtuellen privaten Netzwerks erlaubt die sichere Kommunikation über unsichere Netzwerke. Mit OpenVPN steht dafür ein einfach zu konfigurierendes, mächtiges Werkzeug bereit.
Kommentare

Infos zur Publikation

title_2014_10

Digitale Ausgabe: Preis € 4,95
(inkl. 19% MwSt.)

Mit der Zeitschrift LinuxUser sind Sie als Power-User, Shell-Guru oder Administrator im kleinen Unternehmen monatlich auf dem aktuelle Stand in Sachen Linux und Open Source.

Sie sind sich nicht sicher, ob die Themen Ihnen liegen? Im Probeabo erhalten Sie drei Ausgaben zum reduzierten Preis. Einzelhefte, Abonnements sowie digitale Ausgaben erwerben Sie ganz einfach in unserem Online-Shop.

NEU: DIGITALE AUSGABEN FÜR TABLET & SMARTPHONE

HINWEIS ZU PAYPAL: Die Zahlung ist auch ohne eigenes Paypal-Konto ganz einfach per Kreditkarte oder Lastschrift möglich!       

Tipp der Woche

Schnell Multi-Boot-Medien mit MultiCD erstellen
Schnell Multi-Boot-Medien mit MultiCD erstellen
Tim Schürmann, 24.06.2014 12:40, 0 Kommentare

Wer mehrere nützliche Live-Systeme auf eine DVD brennen möchte, kommt mit den Startmedienerstellern der Distributionen nicht besonders weit: Diese ...

Aktuelle Fragen

Windows 8 startet nur mit externer Festplatte
Anne La, 10.09.2014 17:25, 4 Antworten
Hallo Leute, also, ich bin auf folgendes Problem gestoßen: Ich habe Ubuntu 14.04 auf meiner...
Videoüberwachung mit Zoneminder
Heinz Becker, 10.08.2014 17:57, 0 Antworten
Hallo, ich habe den ZONEMINDER erfolgreich installiert. Das Bild erscheint jedoch nicht,...
internes Wlan und USB-Wlan-Srick
Gerhard Blobner, 04.08.2014 15:20, 2 Antworten
Hallo Linux-Forum: ich bin ein neuer Linux-User (ca. 25 Jahre Windows) und bin von WIN 8 auf Mint...
Server antwortet mit falschem Namen
oin notna, 21.07.2014 19:13, 1 Antworten
Hallo liebe Community, Ich habe mit Apache einen Server aufgesetzt. Soweit, so gut. Im Heimnet...
o2 surfstick software für ubuntu?
daniel soltek, 15.07.2014 18:27, 1 Antworten
hallo zusammen, habe mir einen o2 surfstick huawei bestellt und gerade festgestellt, das der nic...