© 1995-2013 by The FreeBSD Project. All rights reserved.URL: http://lists.de.freebsd.org
On Mon, Feb 10, 2003 at 02:50:30AM +0000, Christian Weisgerber wrote:
> Robert Lillack <rob(at)lillack.de> wrote:
>
> > Definitiv. Wenn es nur um ein kleines Privatnetz geht und Du
> > keinen Aufwand betreiben willst, mag es reichen WEP einzuschalten
> > und möglichst viel Traffic auf Application-Ebene zu sichern, aber
> > für jeden anderen Fall würde ich nur IPSEC nehmen.
>
> Okay, ich beiße an: Wie macht man das? Wie sichert man ein WLAN?
>
> Schritt 1: Man richtet es als eigenes Netz ein, das über ein Gateway
> mit dem verkabelten Netz verbunden ist. Damit hat man nicht seinen
> ganzen ARP-Verkehr im Funkraum und kriegt von dort auch kein lästiges
> ARP-Spoofing rein.
Und von diesem Netz sollte erst mal kein ungesichertes Packet in ein
anderes LAN gehen, sowie umgekehrt.
Das ist gar nicht so selbstverständlich, da die IPSec Regeln ja nicht
sofort greifen.
> Schritt 2: IPsec. Tja, und jetzt wird es schwierig.
>
> Was ich bisher an IPsec-Tutorials im Netz gefunden habe, geht alles
> davon aus, dass ich zwei Netze über einen Tunnel durch das feindselige
> Internet verbinden will. Zauberwort VPN. Will ich aber gar nicht,
> ich will mein WLAN sichern. Die eine Anwendung lässt sich nicht
> recht auf die andere übertragen. Nach Lesen von diversen Man-Pages
> und RFC2401ff. fällt es mir immer noch schwer, das von Null auf
> einzurichten.
>
> Ich bin mir noch nicht einmal sicher, was für einen IPsec-Modus ich
> brauche. Tunnel oder transparent? Nach RFC2401 ist für Verkehr in
> die weite Welt über das Gateway Tunnel-Modus zu diesem fällig.
> Ohh-kay, aber was ist mit Verkehr zwischen einzelnen Hosts im WLAN?
> Die sollen ja auch miteinander reden können. Soll das alles übers
> Gateway gehen?
Du brauchst in jedem Fall tunnel mode, da du mit mehr als nur einem
IP Partner zu tun hast.
transport wickelt immer nur die Kommunikation zwischen zwei Maschinen,
oder gar nur eine Session ab.
Ausnahme ist, wenn du anderweitig tunnelst, z.B. per gif, aber das
schließt sich mit einigen Betriebssystemen aus.
Die Kommunikation zu anderen Maschinen im WLAN ist in jedem Fall ein
Problem, da die in der Tat immer über den IPSec Server gehen muß.
Ein voll vermaschtes IPSec Netz ist administrativ kaum beherschbar.
Das macht natürlich für den Fall, daß sich zwei WLAN Kisten unter-
halten, doppelte Last auf dem WLAN und ist verdammt spaßig zu routen,
da die Maschinen sich immer noch direct connected zu den anderen im WLAN
glauben.
Ich benutze dann immer eine Sammlung von Transfernetzen mit einer
entsprechenden DHCP Konfiguration.
Eine andere Variante ist PPtP.
Unter FreeBSD ist die Einrichtung mittels mpd recht einfach.
Leider hat man damit nichts von Cryptohardware.
Mein persönlicher Favourit ist ein anderer:
Man läßt nur SSL Services per WLAN zu, bei denen man sich getrennt
Authorisieren muß.
> Manual Keying ist Krätze, aber die isakmpd-Man-Pages sind auch etwas
> unübersichtlich. (Ist das zunehmende Vergreisung meinerseits, oder
> waren Internet-Protokolle früher einfacher?)
Die Manpages versteht man IMO erst nach Studium von diversen Beispiel-
konfigurationen.
Ich selber habe damals auch google strapaziert, dabei sind im Nach-
hinein betrachtet die mitgeliferten Beispiele gar nicht schlecht.
Manchmal ist es halt so - mit dem Wald und den Bäumen.
-- B.Walter COSMO-Project http://www.cosmo-project.de ticso(at)cicely.de Usergroup info(at)cosmo-project.de To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org with "unsubscribe de-bsd-questions" in the body of the messageReceived on Mon 10 Feb 2003 - 08:39:56 CET