Re: [Sicherheit] WLAN-AP auf Server?!
FunkyFish schrieb:
Hi Thorsten,
Hallo!
Szenario 1: AP bleibt AP, Server bleibt Server
Jan hat schon Recht, wenn er sagt, das man grundsätzlich Dienste trennt,
damit Sicherheitslücken sich nicht auf alles auswirken. Allerdings musst
du hier bedenken, dass wenn jemand dein WPA knackt, er kompletten
Zugriff auf dein Netzwerk hat. Er kann also alles mithören, was
Das gilt allerdings doch für beide Varianten, oder?! WPA geknackt heißt
Stecker im LAN, unabhängig ob WLAN im Router oder Server. D.h. ein
Angreifer könnte alle unverschlüsselten Dinge mitlesen (und das sind
ziemlich viele hier im LAN) ins Internet, Spam verschicken usw. usf.
unverschlüsselt passiert. Loggst du dich zum Beispiel per Telnet oder
http (kein https) auf deinem Router ein, bekommt der Angreifer alle
Passwörter auf dem Tablett serviert. Das gleiche gilt für die
Kommunikation mit deinem Server. Eventuelle Windows-Freigaben usw.
liegen alle offen da.
Soweit klar.
Szenario 2: Server spielt den AP
Hier hat Jan auch Recht. Prinzipiell bedeutet das knacken des "APs" auch
Zugriff auf deinen ganzen Server. Allerdings kann man dagegen auch
vorgehen. Es gibt Möglichkeiten zur Virtualisierung (Xen), user-mode
linux und chroot. Der Vorteil bei einer solchen Lösung? Du kannst dein
WLan in ein eigenes virtuelles Lan packen und nur bestimmte Dienste über
das Wlan zulassen (zum Beispiel nur http und ftp). Im Prinzip kannst du
so noch eine Firewall zwischen Wlan und dem Rest packen. Das ganze ist
dann allerdings schon ein gewaltiger Bastel-Aufwand ;) Aber wenn es dir
Spaß macht hast du damit eine sehr flexible und meines Erachtens auch
sichere Lösung (natürlich nur, wenn es sauber implementiert ist).
Naja, mit geht es mehr um's Lernen als um den Zeitaufwand. Einen Router
(fli?) in einer XEN-Umgebung. Hm, das könnte mir schon gefallen. Mal
sehen wann ich mal gaaaanz viel Zeit zum Basteln habe.
Die c't hatte das ganze so ähnlich auch einmal in einem Homeserver mit
Debian und IpCop. Da lief als Server OS Debian und per user-mode linux
IpCop als Firewall. IpCop hat die Verbindung ins Internet hergestellt
und als Firewall fungiert. Diverse Dienste des Servers waren dann aus
dem Internet erreichbar, andere wiederum nur aus dem eigenen Lan.
Ja, stimmt, du hast recht! Habe die c't im Abo aber daran hatte ich
nicht mehr gedacht. Muss ich gleich mal rauskramen um mir Ideen zu holen.
Das Problem mit Sicherheitsfragen ist IMHO, dass normale Menschen wie
ich gar nicht daran denken, was potentielle Angreifer tun _könnten_ weil
eben diesen normalen Menschen sowas nie im Traum einfallen würde...
Herzlichen Dank für deine ausführliche Antwort!!
Viele Grüße,
Tom
--
"Bill Gates fing in einer Garage an. In Deutschland wäre er damit
bereits an der Gewerbeaufsicht gescheitert."
-- Roman Herzog
Reply to: