Re: [Sicherheit] WLAN-AP auf Server?!

To: debian-user-german@lists.debian.org
Subject: Re: [Sicherheit] WLAN-AP auf Server?!
From: FunkyFish <FunkyFish@gmx.net>
Date: Mon, 10 Jul 2006 17:22:10 +0200
Message-id: <[🔎] 44B270A2.8040001@gmx.net>
In-reply-to: <[🔎] 38b9o3-6b5.ln1@homer.billroth.lan>
References: <[🔎] 38b9o3-6b5.ln1@homer.billroth.lan>

Hi Thorsten,

Thorsten Steinbrenner schrieb:
> Hallo!
> 
> Bitte nicht hauen wegen der blöden Frage, aber macht es
> sicherheitstechnisch einen Unterschied ob ich einen WLAN-AP im LAN habe
> (konkret im DSL-Router) oder diesen gleich im Server integriere?!
Wie schon in der Antwort von Jan: Ja es macht einen Unterschied!

> Natürlich jeweils WPA-verschlüsselt usw.
> Hintergrund ist der, dass ich in meiner Soekris eigentlich eine
> WLAN-Karte eingebaut habe, diese aber z.Z. brach liegt, weil der
> DSL-Router auch AP spielt. Jetzt würde ich die Soekris-Box nicht nur
> Server sondern auch gerne AP spielen lassen.
Prinzipiell natürlich möglich.

Ich möchte nur noch ein paar Dinge zu beiden Varianten los werden.
Vielleicht hilft dir das bei der Entscheidung.

Szenario 1: AP bleibt AP, Server bleibt Server
Jan hat schon Recht, wenn er sagt, das man grundsätzlich Dienste trennt,
damit Sicherheitslücken sich nicht auf alles auswirken. Allerdings musst
du hier bedenken, dass wenn jemand dein WPA knackt, er kompletten
Zugriff auf dein Netzwerk hat. Er kann also alles mithören, was
unverschlüsselt passiert. Loggst du dich zum Beispiel per Telnet oder
http (kein https) auf deinem Router ein, bekommt der Angreifer alle
Passwörter auf dem Tablett serviert. Das gleiche gilt für die
Kommunikation mit deinem Server. Eventuelle Windows-Freigaben usw.
liegen alle offen da.

Szenario 2: Server spielt den AP
Hier hat Jan auch Recht. Prinzipiell bedeutet das knacken des "APs" auch
Zugriff auf deinen ganzen Server. Allerdings kann man dagegen auch
vorgehen. Es gibt Möglichkeiten zur Virtualisierung (Xen), user-mode
linux und chroot. Der Vorteil bei einer solchen Lösung? Du kannst dein
WLan in ein eigenes virtuelles Lan packen und nur bestimmte Dienste über
das Wlan zulassen (zum Beispiel nur http und ftp). Im Prinzip kannst du
so noch eine Firewall zwischen Wlan und dem Rest packen. Das ganze ist
dann allerdings schon ein gewaltiger Bastel-Aufwand ;) Aber wenn es dir
Spaß macht hast du damit eine sehr flexible und meines Erachtens auch
sichere Lösung (natürlich nur, wenn es sauber implementiert ist).

Die c't hatte das ganze so ähnlich auch einmal in einem Homeserver mit
Debian und IpCop. Da lief als Server OS Debian und per user-mode linux
IpCop als Firewall. IpCop hat die Verbindung ins Internet hergestellt
und als Firewall fungiert. Diverse Dienste des Servers waren dann aus
dem Internet erreichbar, andere wiederum nur aus dem eigenen Lan.

Gruß
-Sascha-

Reply to:

Follow-Ups:
- Re: [Sicherheit] WLAN-AP auf Server?!
  - From: Thorsten Steinbrenner <news@billroth.de>

References:
- [Sicherheit] WLAN-AP auf Server?!
  - From: Thorsten Steinbrenner <news@billroth.de>

Prev by Date: Re: [OT] HDD Empfehlung
Next by Date: Re: SIP Telefonie unter Debian
Previous by thread: Re: [Sicherheit] WLAN-AP auf Server?!
Next by thread: Re: [Sicherheit] WLAN-AP auf Server?!
Index(es):
- Date
- Thread