Tipps und Tricks - WLANs sicher konfigurieren

VPN: sicherer Tunnel inklusive

Ein Virtual Private Network ist für den Zugang zu einem WLAN im privaten Bereich eine reichlich extreme Maßnahme. Der verschlüsselte Tunnel verhindert, dass ein Angreifer selbst nach einem erfolgreichen Angriff auf das WLAN Zugang zum Netz bekommen oder die Datenpakete der anderen Teilnehmer im LAN belauschen kann. Allerdings ist dazu ein VPN-Server im eigenen Netz notwendig, der als Gateway die Schnittstelle zwischen WLAN und LAN regelt. Eine kostenlose Variante ist die Open-Source-Lösung OpenVPN. Der Aufwand für die Konfiguration ist jedoch nicht zu unterschätzen und nur etwas für fortgeschrittene Benutzer.

Ein VPN kann jedoch sinnvoll sein, wenn man häufig öffentliche Hotspots benutzt und dort die Sicherheit seiner übertragenen Daten erhöhen möchte. Dazu installiert man den Client auf seinem PC und verbindet sich, nachdem der Zugang zum WLAN steht, als Erstes mit dem VPN-Server. Nachdem sich Client und Server gegenseitig authentisiert haben, erfolgt die weitere Kommunikation verschlüsselt. Es gibt zahlreiche Anbieter von VPN-Lösungen speziell für den Einsatz am Hotspot wie Boingo, AnchorFree oder Hotspot Shield. Oft haben auch die Betreiber der Hotspots wie T-Mobile speziell für ihre Umgebungen zugeschnittene Software im Angebot.

RADIUS: Zugang nur nach Anmeldung

RADIUS (Remote Authentication Dial-In User Service) oder auch 802.1x ist ein zentraler Authentifizierungsserver, an den sich Services für die Authentisierung von Clients in einem physischen oder virtuellen Netzwerk (VPN) wenden. Der RADIUS-Server übernimmt dabei die Überprüfung von Benutzername und Kennwort. Die dabei verwendeten Daten entnimmt der RADIUS-Server entweder eigenen Konfigurationsdatenbanken oder zieht die Informationen aus Verzeichnisdiensten wie Microsoft Active Directory oder Novells eDirectory.

RADIUS verwaltet generell den Zugang zum Netz, das kann ein physikalischer Port an einem Switch sein oder ein virtueller Port an einem Access Point. Durch das zentrale Management können auch große Netzwerke mit vielen Benutzern einfach verwaltet werden. Der Client heißt im 802.1x Umfeld "Supplicant", das Gerät, das den Netzwerkzugang herstellt, trägt den Namen "Authenticator". Im WLAN wird diese Funktion vom Access Point beziehungsweise WLAN Controller wahrgenommen. Der Authentication Server ist der eigentliche RADIUS-Server.

Die Authentisierung geschieht über das Extensible Authentication Protocol (EAP). Dabei läuft die Kommunikation über die LAN- beziehungsweise WLAN-Schnittstelle zwischen Supplicant und Authenticator mit der Variante EAP over LAN (EAPOL). EAPOL gestattet die Übertragung von EAP-Nachrichten auf Layer-2. Auf diese Weise wird eine Authentisierung am Netzzugangspunkt ermöglicht, bevor eine Kommunikation auf IP-Ebene und auf höheren Protokollebenen stattfinden kann. Die Kommunikation zwischen Authenticator und Authentication Server geschieht über RADIUS, wobei die EAP-Nachrichten als RADIUS-Attribute übertragen werden.

Ein kostenloser RADIUS-Server ist FreeRadius, allerdings erfordert er den Einsatz von Linux als Plattform, da der Windows-Port veraltet ist und nicht mehr gepflegt wird. Auch einige Access Points enthalten RADIUS-Server, darunter die Geräte von Lancom oder Access Points die auf die Open-Source-Firmware DD-WRT umgerüstet wurden. Ein einfach zu bedienender RADIUS-Server für Windows ist WinRadius, allerdings ist die Software auf fünf Nutzer beschränkt. (hal)