WLAN mit IPsec sichern (was: Re: Kauf Wlan-Karte ...)

Robert Lillack <rob(at)lillack.de> wrote:

> Definitiv. Wenn es nur um ein kleines Privatnetz geht und Du
> keinen Aufwand betreiben willst, mag es reichen WEP einzuschalten
> und möglichst viel Traffic auf Application-Ebene zu sichern, aber
> für jeden anderen Fall würde ich nur IPSEC nehmen.

Okay, ich beiße an: Wie macht man das? Wie sichert man ein WLAN?

Schritt 1: Man richtet es als eigenes Netz ein, das über ein Gateway
mit dem verkabelten Netz verbunden ist. Damit hat man nicht seinen
ganzen ARP-Verkehr im Funkraum und kriegt von dort auch kein lästiges
ARP-Spoofing rein.

Schritt 2: IPsec. Tja, und jetzt wird es schwierig.

Was ich bisher an IPsec-Tutorials im Netz gefunden habe, geht alles
davon aus, dass ich zwei Netze über einen Tunnel durch das feindselige
Internet verbinden will. Zauberwort VPN. Will ich aber gar nicht,
ich will mein WLAN sichern. Die eine Anwendung lässt sich nicht
recht auf die andere übertragen. Nach Lesen von diversen Man-Pages
und RFC2401ff. fällt es mir immer noch schwer, das von Null auf
einzurichten.

Ich bin mir noch nicht einmal sicher, was für einen IPsec-Modus ich
brauche. Tunnel oder transparent? Nach RFC2401 ist für Verkehr in
die weite Welt über das Gateway Tunnel-Modus zu diesem fällig.
Ohh-kay, aber was ist mit Verkehr zwischen einzelnen Hosts im WLAN?
Die sollen ja auch miteinander reden können. Soll das alles übers
Gateway gehen?

Manual Keying ist Krätze, aber die isakmpd-Man-Pages sind auch etwas
unübersichtlich. (Ist das zunehmende Vergreisung meinerseits, oder
waren Internet-Protokolle früher einfacher?)

Auf der FOSDEM hat man mich auf den Text unter
http://www.openbsd.de/kochbuch.php
gestoßen. Muss ich noch genauer durcharbeiten, aber das sieht ganz
vielversprechend aus...

-- 
Christian "naddy" Weisgerber                          naddy(at)mips.inka.de
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message