Disclaimer: Dieser Thread wurde aus dem alten Forum importiert. Daher werden eventuell nicht alle Formatierungen richtig angezeigt. Der ursprüngliche Thread beginnt im zweiten Post dieses Threads.
Welle_RRZE
Moin!
Mir ist heute mit Erschrecken aufgefallen, wie viele Leute das WLAN voellig unverschluesselt nutzen. Da werden Passwoerter fuer Foren, Onlinegames, mail, irc, icq, usw. an jeden verschickt, der sich in der Naehe aufhaellt - und das alles war innerhalb nichtmal einer Stunde…
Also tut Euch den Gefallen und VERSCHLUESSELT sowas! Wenn Euch ssh zu umstaendlich ist, gibts simpel zu installierende vpn clients vom RRZE und CIP.
@Yves: Wie viele Leute loggen sich eigentlich taeglich unverschluesselt von checkpoint.gate.uni-erlangen.de ein? Poste doch mal die Login’s?
Gruss,
Sascha
Mir persönlich ist es schon bewusst, dass das Uni-WLAN unverschlüsselt ist. Das ist es schon, seit es das gibt. Das Uniforum z.B. ist aber auch über SSL erreichbar. E-Mail-Server lassen sich auch für den Zugang über SSL konfigurieren. IRC hat afaik sowieso keine Sicherheitsmerkmale. Und wer verwendet schon ICQ? Bei Jabber ist der SSL-Zugang inklusive.
Keine Ahnung, wer sich alles von da einloggt, hab jetzt auch keine Lust, die Logs soweit aufzubereiten und auszuwerten. Die Leute werden’s schon selber wissen.
Hab grade mal das CIP-VPN ausprobiert, geht leider nicht. Wie auch bereits mein früherer Versuch fehlgeschlagen ist, zum RRZE-VPN oder zum FHN-VPN zu verbinden (alle mit Mac OS X 10.4). Eigene Experimente mit Windows 2000/XP-VPNs sind bei mir bislang auch alle fehlgeschlagen. Wenn also jemand eine funktionsfähige Anleitung zu einem funktionierenden VPN-Server bereitstellen könnte, würde das sehr helfen.
Viel schlimmer finde ich eher, dass die WLAN-Anmeldung wenn man Glück hat, grade mal in 10% aller Fälle funktioniert. Laut Aussage der RRZE-Service-Theke ist das Netz allerdings völlig überlastet, sie suchen derzeit die Ursache. Ich hab zwar keine Ahnung, wo die rechnerischen 50 Teilnehmer pro AP herkommen sollen, aber die vom RZ werden schon wissen, was sie sagen.
[quote=Yves]
Mir persönlich ist es schon bewusst, dass das Uni-WLAN unverschlüsselt ist. Das ist es schon, seit es das gibt. [/quote]
anfangs wurde IPSEC verwendet…
[quote=Yves]
Das Uniforum z.B. ist aber auch über SSL erreichbar. E-Mail-Server lassen sich auch für den Zugang über SSL konfigurieren. IRC hat afaik sowieso keine Sicherheitsmerkmale. Und wer verwendet schon ICQ? Bei Jabber ist der SSL-Zugang inklusive.[/quote]
Man kann sicher auch jeden Dienst einzeln verschluesseln - aber auch das scheinen nicht viele Leute zu tun…
Und im irc ist es halt abhaengig vom Netz (Q auth, nickserv) und es soll auch server geben, die ssl unterstuetzen…
Im uebriegen habe ich aufgelistet, was fuer Pakete ich konkret gesehen habe, und nicht, was ich nutze…
[quote=Yves]
Keine Ahnung, wer sich alles von da einloggt, hab jetzt auch keine Lust, die Logs soweit aufzubereiten und auszuwerten. Die Leute werden’s schon selber wissen.[/quote]
schade…
[quote=Yves]
Hab grade mal das CIP-VPN ausprobiert, geht leider nicht. Wie auch bereits mein früherer Versuch fehlgeschlagen ist, zum RRZE-VPN oder zum FHN-VPN zu verbinden (alle mit Mac OS X 10.4). Eigene Experimente mit Windows 2000/XP-VPNs sind bei mir bislang auch alle fehlgeschlagen. Wenn also jemand eine funktionsfähige Anleitung zu einem funktionierenden VPN-Server bereitstellen könnte, würde das sehr helfen.[/quote]
Unter Linux funzt das CIP-VPN wunderbar, OS X und Windows hab ich beides noch nicht ausprobiert…
[quote=Yves]
Viel schlimmer finde ich eher, dass die WLAN-Anmeldung wenn man Glück hat, grade mal in 10% aller Fälle funktioniert. Laut Aussage der RRZE-Service-Theke ist das Netz allerdings völlig überlastet, sie suchen derzeit die Ursache. Ich hab zwar keine Ahnung, wo die rechnerischen 50 Teilnehmer pro AP herkommen sollen, aber die vom RZ werden schon wissen, was sie sagen.[/quote]
dito…
@Sascha: Wie wärs mit einem kleinen Tutorial, wie man wirklich sicher an der Uni surft? Einigen hier, inklusive mir, würde das sicher weiter helfen! VPN-Client installieren und fertig wird ja wohl nicht langen, oder?
eigentlich ist es nicht viel mehr… eventuell noch pruefen, ob die default route auf den vpn server zeigt und auf dem wlan interface alle nicht-vpn pakete blocken…
Ich hab versucht, mit dem Mac-OS-eigenen VPN-Client eine Verbindung zur auf der oben verlinkten Seite angegebenen Adresse herzustellen, mit den CIP-Zugangsdaten. Das wurde nur mit einer “Geht nicht”-Meldung quittiert. Was hab ich falsch gemacht, wenn es doch so einfach ist?
Update: Der Windows-XP-eigene VPN-Client tut genau dasselbe.
Du brauchst dafuer openvpn…
EDIT: fuer OS X ist sogar extra diese Seite verlinkt…
Ich bin zwar nicht in der uni, aber von daheim funzt es (unter debian) innerhalb von Sekunden:
openvpn openfaupn.conf
Enter Auth Username: …
Enter Auth Password: …
route del default gw 212.114…
route add default gw 10.222.1.9
traceroute uni.unclassified.de
traceroute to www.unclassified.de (213.239.201.232), 30 hops max, 38 byte packets
1 10.222.0.1 (10.222.0.1) 26.541 ms 26.501 ms 26.285 ms
2 reliant.gate.uni-erlangen.de (131.188.30.8) 27.238 ms 26.868 ms 27.196 ms
3 botany-bay.gate.uni-erlangen.de (131.188.20.109) 26.640 ms 27.114 ms 26.685 ms
4 enterprise.gate.uni-erlangen.de (131.188.20.102) 26.794 ms 27.278 ms 26.989 ms
5 borgcube.gate.uni-erlangen.de (131.188.10.1) 27.274 ms 26.748 ms 27.254 ms
6 ar-erlangen1-ge4-0.g-win.dfn.de (188.1.36.9) 27.488 ms 27.617 ms 27.269 ms
7 cr-erlangen1-ge5-0.g-win.dfn.de (188.1.72.1) 27.630 ms 27.626 ms 26.948 ms
8 cr-leipzig1-po9-2.g-win.dfn.de (188.1.18.46) 38.507 ms 37.980 ms 38.395 ms
9 cr-frankfurt1-po10-0.g-win.dfn.de (188.1.18.189) 41.508 ms 39.308 ms 42.153 ms
10 ir-frankfurt2-po4-0.g-win.dfn.de (188.1.80.46) 37.823 ms 38.511 ms 38.297 ms
11 gi-0-3-ffm2.noris.net (80.81.192.88) 39.406 ms 38.725 ms 38.379 ms
12 gi1-24-604-rt3-nbg3.core.noris.net (213.95.0.197) 41.852 ms 41.968 ms 42.246 ms
13 gi-upl.RS8K1.CISO2.hetzner.de (213.133.96.25) 43.146 ms 42.224 ms 42.423 ms
14 gi-upl.RS8600.CISO4.hetzner.de (213.239.240.196) 44.707 ms 42.684 ms 42.278 ms
15 et-1-16.RS3K1.RZ4.hetzner.de (213.239.239.2) 43.038 ms 42.803 ms 42.469 ms
16 dotforward.de (213.239.201.232) 43.334 ms 42.057 ms 42.241 ms
Naja, VPN-Clients sind ja in OSX und Windows bereits integriert, also brauch ich ja wohl nix mehr extra zu installieren. Oder ist “OpenVPN” wieder so ne Eigenbrödlerlösung und kein “VPN”, wie es die großen Systeme verstehen? Oder ist Windows-VPN inkompatibel zu OSX-VPN inkompatibel zu was auch immer?
Es gibt unterschiedliche VPN Implementierungen:
„Gängige Techniken zum Aufbau von VPNs sind PPTP, IPsec, SSL, OpenVPN, CIPE und PPP über SSH.“ [Wikipedia]
Ich meine Windows verwendet PPTP, du brauchst also nen extra OpenVPN Client…
Ich kann in meiner Windows-Verbindung auswählen zwischen
- Automatisch [meine Wahl]
- PPTP-VPN
- L2TP-IPSec-VPN
Mac OS X bietet mir folgende Einstellungen an - L2TP über IPSec [meine Wahl]
- PPTP
OpenVPN ist also eine Insellösung, die mal wieder spezielle Software an beiden Enden erfordert, na toll. Sind die beiden offensichtlich am weitesten verbreiteten Methoden irgendwie schlecht, dass man jetzt was anderes braucht?
Also pptp ohne ipsec gilt als unsicher und ipsec wird auch von windows erst seit kurzem unterstuetzt…
Ausserdem ist ipsec weit komplizierter zu konfigurieren, weshalb die meisten Anbieter eigene vorkonfigurierte Clients verwenden - so wie es das RRZE im Moment tut. Frueher hat das RRZE uebrigens ipsec fuers wlan verwendet, was damals nur wenige Benutzer zum laufen gebracht haben.
Dagegen ist OpenVPN sowohl serverseitig als auch clientseitig extrem simpel zu konfigurieren und dazu kostenlos und opensource…
Hm, also seit Windows XP ist IPsec scheinbar dabei, in meinem 2000er hab ich’s jetzt nicht gefunden. Kann also nix genaues darüber sagen, wie lang das bei Windows jetzt drin ist. Schätze mal seit 2 oder 3 Jahren etwa.
Also den Eindruck hatte ich jetzt nicht, dass das VPN besonders kompliziert zu konfigurieren wäre. Ich geb die Zieladresse an, Benutzername und Kennwort und fertig. Das wird wohl bei OpenVPN auch nötig sein. In die detaillierten Parameter kann man dann aber immer abtauchen, so man das möchte.
Das WLAN hat wohl mal IPSec verwendet, allerdings hab ich damals keine Informationen vom RRZE erhalten, außer der Aussage, dass das sowieso zu kompliziert sei und man es deshalb nicht veröffentlich wollte. Erforderlich war IPSec nie. Jedenfalls nicht, seit es die ersten Access Points auf dem Unigelände gab. Und mir wäre jetzt auch kein Windows-eigener IPSec-Client bekannt, der nicht VPN beinhaltet. Dabei muss ich zugeben, dass ich nicht wirklich weiß, was eine reine IPSec-Verbindung eigentlich ist, hab das jetzt nur im Zusammenhang mit VPN gehört. Damals war die Rede von irgendwelchen Schlüsseln, heute ist das scheinbar nicht mehr notwendig.
Das klingt alles so einfach. Meine default Route muss auf meinem Router zeigen, sonst komm ich nicht mehr raus. Und in meinem Router kann ich die Route nicht ändern.
Und wie filtert man unter Windows nicht-VPN Pakete raus?
Naja, wenn du mit nem Notebook im WLAN stehst, ist es schon ok, wenn die default route durchs VPN geht.
Eigentlich verwendet ipsec doch Zertifikate zur Authentifizierung?
Und als ich das letzte mal versucht habe Windows nen Zertifikat unterzujubeln, dass es dann auch wirklich fuer die Authentifizierung nutzen sollte, war ich jedenfalls erstmal beschaeftigt… Mag aber sein, dass es inzwischen einfacher geht…
Langfristig plant das RRZE ja angeblich eine reine ipsec Lösung, mal schaun ob das jemals was wird und wie einfach es dann zu konfigurieren sein wird…
Und das WLAN konnte man anfangs ganz sicher ausschliesslich mit ipsec nutzen. Es mag aber sein, dass Du damals noch gar nicht studiert hast…
Wie auch immer, Du wirst jedenfalls im Moment nicht um einen der beiden Clients drumrum kommen…
Du blockst alles, was nicht auf dem openvpn port läuft oder zu dem openvpn server? Das mueste doch eigentlich sogar die XP Firewall hinbekommen?
Du kannst das auch zuhause testen, indem Du vorher eine route fuer den openvpn server explizit angibst, wenns so nicht funzt…
EDIT: oder du testest die verbindung zu einem uniinternen ziel, die entsprechenden routen setzt der vpn client automatisch…
Hm, also was ich so mitbekommen hab, gibt es APs seit Ende 2002. Ich war dann seit Anfang 2003 als Nutzer mit dabei. IPSec hab ich noch nie eingerichtet. Wenn da vorher schon ein WLAN war, ziehe ich meine Aussage hiermit zurück.
Naja, mal schauen ob ich irgendwann mal Lust dazu hab, das auszuprobieren. Läuft ja ganz gut so. Mit dem VPN muss man sich dann doppelt im WLAN anmelden, oder?
Ich hab mal nachgeschaut, ich hab es das erste Mal Anfang Juni 2002 genutzt…
Ich meine es funzt auch ohne sich im WLAN anzumelden. Konnte man nicht ohne Anmeldung auf Rechner im cip zugreifen?
Im CIP sicher nicht, dafür ist bereits eine WLAN-Anmeldung nötig.