Sicher in offenen WLANs mit Hilfe eines VPNs und der eigenen Fritz!Box

Die Nutzung offener und frei zugänglicher WLANs in Cafés, Hotels und der Bahn ist eine schöne Sache. Da jedoch der Netzwerkverkehr unverschlüsselt abläuft, besteht die Gefahr, dass ein Fremder den gesamten Verkehr mitschneiden kann. Das kann bedeuten, dass E-Mails mitgelesen oder ganze HTTP-Sessions geklaut werden, wie die Diskussion um die Browser-Extension Firesheep zeigte. Um diesen Aspekten zu entgehen, bietet es sich daher an, das öffentliche WLAN über eine verschlüsselte Verbindung  zu benutzen. Nachfolgend werde ich in Kurzform erklären, was zu tun ist, um mit iPhone und Laptop sicher unterwegs zu sein.

Grundlagen

Die nachfolgend vorgestellte Variante baut darauf auf, dass „daheim“ eine Fritz!Box steht, die Dynamisches DNS und VPN-Verbindungen unterstützt. Das Funktionsprinzip ist darauf aufbauend das folgende:

Mit Hilfe einer VPN-Verbindung wird ein Tunnel zwischen dem mobilen Endgerät und dem heimischen Router aufgebaut. Der darin ablaufende Datenverkehr ist dann verschlüsselt. Im hier dargestellten Fall wird dazu auf IPSec zurückgegriffen. Gleichzeitig wird damit das mobile Gerät in das heimische Netz einbezogen, was bspw. Zugriff auf Ressourcen im lokalen Netzwerk ermöglicht.

Für den Aufbau eines solchen Tunnels ausgehend vom mobilen Gerät, muss die Adresse des anderen Endpunktes bekannt sein. Hierbei ergibt sich das Problem, dass die DSL-Router der wenigsten Privatkunden über eine statische IP-Adresse verfügen und erreichbar sind. Um dieses Problem zu umgehen, greifen wir auf Dynamisches DNS zurück. Dabei wird über einen Anbieter für Dynamisches DNS eine URL registriert, unter der zukünftig der Router erreichbar sein wird.

Dynamisches DNS einrichten

Um die Erreichbarkeit des Ziel-Endpunkts unseres VPN-Tunnels sicherzustellen, wird Dynamisches DNS benötigt. Damit wird es möglich, statt mit der sich ändernden IP-Adresse des Routers, die Adressierung über eine URL vorzunehmen, die über das Domain Name System aufgelöst werden kann.

Einer der bekanntesten Anbieter für Dienste um Dynamisches DNS ist DynDNS. Hier gab es bis vor kurzer Zeit noch kostenlose Accounts für Privatnutzer. Da dieses abgeschafft wurde, bin ich nach kurzer Suche auf No-IP gestoßen. Hier gibt es für Privatnutzer einen kostenlosen Account mit der Möglichkeit sogenannte Hosts einzurichten. Nach einer kurzen Registrierung kann es damit auch gleich losgehen. Unter „Add a Host“ kann ein neuer Host angelegt werden. In unserem Fall ist dieses kein Server, sondern die Fritz!Box. Daher wird auch das immer wieder angebotene Update-Tool nicht benötigt.

Beim Anlegen des Hosts ist zu beachten, dass der gewählte Host-Name direkt in die URL einfließt. Hierbei sollte darauf geachtet werden, dass der Name einprägsam, aber nicht zu einfach ist, um nicht bereits vergeben zu sein. Die IP-Adresse, die bei der Anlage eines Hosts bereits eingetragen wird, entspricht der IP-Adresse, die nach außen im Internet bekannt ist. Das bedeutet, dass es die IP des Routers ist, oder die eigene IP, falls man per UMTS unterwegs ist. Dieses soll uns aber erst einmal nicht stören, da genau diese Adresse später durch die Fritz!Box selbst aktualisiert wird. Die weiteren angebotenen Einstellungen (Redirect und Gruppen) werden hier nicht benötigt.

Nachdem dieses erledigt ist, stellt sich die Frage „Was kann ich jetzt damit tun?“ Die Antwort ist, dass die Einstellungen für Dynamisches DNS in der Fritz!Box hinterlegt werden müssen. Zuerst sollte die erweiterte Ansicht der Fritz!Box aktiviert sein. Ist dieses gegeben, sollte unter Internet -> Freigaben der Reiter „Dynamisches DNS“ angezeigt werden. Hier sind die bei der Host-Anlage gewählten Einstellungen einzutragen. Benutzername und Kennwort entsprechen den Daten, die bei der Registrierung beim DynDNS-Anbieter verwendet wurden.

Nach einem Klick auf „Übernehmen“ ist sichergestellt, dass die Fritz!Box jedes Mal, wenn sie eine neue IP-Adresse durch den Internet-Provider erhält, den Eintrag für Dynamisches DNS beim Anbieter aktualisiert und über den vergebenen Namen erreichbar ist. Man sollte sich hier nicht irritieren lassen, wenn sich dieses nicht sofort zeigt, da sich die IP-Adresse des Routers in der Zeit zwischen Anlage des Hosts und Konfiguration der Fritz!Box wahrscheinlich nicht verändert hat.

Konfiguration des VPN

Jetzt, wo die Frage der Adressierung gelöst ist, können wir uns der Konfiguration des Virtual Private Networks zuwenden. AVM bietet für die Fritz!Box ein VPN-Portal, in dem im Download-Bereich die Programme „Fritz!Fernzugang einrichten“ und „Fritz!Fernzugang“ heruntergeladen werden können. Da ich persönlich keine modifizierte Firmware auf meine Box spielen wollte für diesen VPN-Versuch, habe ich mit den Bordmitteln von AVM gearbeitet.

Zur Konfiguration des VPNs dient das Programm „Fritz!Ferzugang einrichten“. Mit diesem werden Konfigurationsdateien für die Fritz!Box sowie für das Programm „Fritz!Fernzugang“ erstellt, welches einen VPN-Client zum Start auf einem Windows-PC darstellt. Zur Erstellung der Konfiguration bietet es sich an, dem Step-by-Step Guide von AVM zu folgen. Hierbei sei jedoch darauf hingewiesen, dass der geforderte Benutzername nicht zwanghaft eine E-Mail-Adresse sein muss, sondern auch ein sprechender Name wie „AntonsLaptop“ sein kann. In der darauf folgenden Maske wird nach dem Namen der Fritz!Box gefragt – auch hier ist wieder die URL, die für Dynamisches DNS verwendet wird, einzutragen. Wichtig ist, in der Maske zur Einstellung der IP-Adressen auszuwählen, dass der gesamte Verkehr über den VPN-Tunnel geht. Wird der VPN-Client von AVM verwendet, ist ansonsten nicht sichergestellt, dass wir sicher im ungeschützten WLAN surfen.

Bei der ersten Erstellung der Konfigurationsdatei wird nur ein Benutzer hinzugefügt. Sollen mehrere Benutzer per VPN angebunden werden, ist die Einrichtung entsprechend mehrfach zu durchlaufen. Sind alle Benutzer eingerichtet, kann die Konfigurationsdatei für die Fritz!Box importiert werden. Dieses geschieht in der Oberfläche der Fritz!Box unter Internet -> Freigaben unter dem Reiter VPN. Hat alles geklappt, wird auch auf der Übersichtsseite angezeigt, welche VPN-Verbindungen aktiv sind.

Einrichtung der mobilen Endgeräte

Wie die Software „Fritz!Fernzugang“ zu verwenden ist, ist bereits am Ende des Step-by-Step Guides beschrieben und lässt sich auf die folgenden Punkte reduzieren:

  1. Programm starten
  2. Konfiguration für den Client importieren
  3. Verbinden

Auch für die Einrichtung der VPN-Verbindung im iPhone stellt AVM eine Anleitung bereit. Die entsprechende Einrichtung ist unter iOS 5.1 in den Einstellungen unter dem Pfad Allgemein -> Netzwerk -> VPN vorzunehmen. Die Beschreibung kann dabei beliebig gewählt werden. Jedoch ist darauf zu achten, dass alle anderen Angaben denen aus der erzeugten Konfigurationsdatei entsprechen. Insbesondere das Shared Secret ist wirklich per Hand abzutippen. Nachdem die Einstellungen gesichert wurden, ist im Hauptbildschirm der Einstellungen ein weiterer Schieberegler zur Aktivierung der VPN-Verbindung verfügbar und das sichere surfen kann beginnen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.