WLAN - Einrichten eines abgesicherten kabellosen Netzwerks

« zurück (Gesammelte Anleitungen)

Übersicht

Vorbereitungen

Bevor die Einrichtung eines kabellosen Netzwerks in Angriff genommen werden kann, muss zuerst der Treiber für die verwendete WLAN-Karte ordnungsgemäß eingebunden worden sein. Ferner muss diese Karte von dem Programm wpa_supplicant unterstützt werden. Hinweise dazu findet man in der Dokumentation, z. B. den Manpages.

In diesem Fall wurde das Netzwerk mit einer Karte von Atheros eingerichtet, die in meinem Thinkpad R50p eingebaut ist und inzwischen gut unterstützt wird. Den Treiber findet man direkt auf der Webseite des Madwifi Projekts, inklusive mehrerer Anleitungen für verschiedene Linux-Distributionen.

Als Access Point dient hier eine FRITZ!Box Fon WLAN 7050, deren Konfiguration im Folgenden kurz erläutert wird. Diese Konfiguration bezieht sich allerdings lediglich auf den Aspekt der Absicherung des Kabellosnetzwerks.

« nach oben

Einrichten der FRITZ!Box Fon WLAN 7050 als Access Point

(Hinweis: Dieser Beschreibung liegt der Firmware Stand 14.04.06 zu Grunde)

Die Konfiguration der FRITZ!Box sollte mit der integrierten Weboberfläche keine großen Probleme darstellen. Zuerst aktiviert man die Expertenansicht, um eventuell ausgeblendete Elemente sichtbar zu machen. Das Kontrollfeld für die Expertenansicht befindet sich unter Einstellungen => System => Ansicht.

Das WLAN kann unter Einstellungen => WLAN eingerichtet werden.

Keine neuen Netzwerkgeräte zulassen

FRITZ!box WLAN Monitor

Zuerst sollte man die Möglichkeit beschränken, dass sich neue Geräte in das WLAN einklinken können. Damit man sich aber nicht selbst aussperrt, müssen alle eigenen Karten bereits einmal versucht haben, die FRITZ!box zu erreichen. Die bekannten Netzwerkkarten sind in dem grünen Kasten eingerahmt. Sind alle Karten erkannt, kann man den MAC-Adressen Filter auf "Keine neuen WLAN-Netzwerkgeräte zulassen" (roter Kasten) umstellen.

WPA - Starke Verschlüsselung aktivieren

FRITZ!box WLAN Sicherheit

Als erstes aktiviert man die WPA-Verschlüsselung, die dem alten Standard WEP (unsicher) oder gar der unverschlüsselten Variante in jedem Fall vorzuziehen ist. Der von mir verwendete WPA-Modus ist TKIP (WPA), der sowohl unter Windows XP als auch unter Linux hier funktioniert. Als WPA-Netzwerkschlüssel wird eine beliebige Zeichenkette zwischen 8 und 63 Zeichen ein, die zugelassenen Zeichen sind in der Hilfe beschrieben. Als Group Key Intervall habe ich den Defaultwert 3600 Sekunden (60 Minuten) beibehalten.

Anschließend muss das WLAN noch unter "Funkeinstellungen" aktiviert werden.

« nach oben

wpa_supplicant - Verschlüsselung mit WPA

Einrichten des Heimnetzes

Unter debian genügt die Installation des Pakets wpasupplicant, das sich selbst in die Netzwerkskripte unter /etc/network/ip-up.d einbindet. Die Konfiguration erfolgt über die Datei wpasupplicant.conf(5), oder einer beliebig benannten Datei, die deren Format folgt.

Mit dieser Datei wird ein oder mehrere Netzwerke beschrieben, zu denen man eine Verbindung aufbauen will. Ich habe diese Dateien zentral in dem Verzeichnis /etc/wpasupplicant/ liegen und jeweils nur ein Netzwerk pro Datei angegeben. Hier das Beispiel für die Verbindung zur FRITZ!Box: 

# WPA-PSK/TKIP

ctrl_interface=/var/run/wpa_supplicant

network={
        ssid="heimnetz"
        key_mgmt=WPA-PSK
        proto=WPA
        pairwise=TKIP
        group=TKIP
        psk="[absolut geheimes Passwort]"
}

Die Passwörter müssen natürlich übereinstimmen. Die Konfiguration sollte man allerdings zuerst einmal testen: 

# ifconfig ath0 up
# wpa_supplicant -iath0 -c /etc/wpa_supplicant/heimnetz.conf -Dmadwifi -d

Zuerst wird das Netzwerkgerät ath0 aktiviert, damit wpa_supplicant sich auf die Schnittstelle verbinden kann. Anschließend wird wpa_supplicant mit der debug-Option -d und der soeben erstellten Konfiguration gestartet. Außerdem wurde explizit der Treiber madwifi (blau) angegeben. Im Erfolgsfalle müsste eine ähnliche Ausgabe wie hier zu lesen sein: 

Initializing interface 'ath0' conf '/etc/wpa_supplicant/heimnetz.conf' driver 'madwifi' ctrl_interface 'N/A' bridge 'N/A'
Configuration file '/etc/wpa_supplicant/heimnetz.conf' -> '/etc/wpa_supplicant/heimnetz.conf'
Reading configuration file '/etc/wpa_supplicant/heimnetz.conf'
ctrl_interface='/var/run/wpa_supplicant'
Priority group 0
   id=0 ssid='heimnetz'
Initializing interface (2) 'ath0'

[... viele Debugging Ausgaben ...]

State: GROUP_HANDSHAKE -> COMPLETED
CTRL-EVENT-CONNECTED - Connection to 00:15:0c:00:af:fe completed (auth) [id=0 id_str=]

[...]

RTM_NEWLINK, IFLA_IFNAME: Interface 'ath0' added

[...]

Die Verbindung wurde ordnungsgemäß hergestellt (Handshake erfolgreich) und jetzt könnte man z. B. die DHCP-Anfrage beginnen, um eine IP-Adresse zugewiesen zu bekommen. Da wir das Ganze aber automatisieren wollen, brechen wir wpa_supplicant mit STRG-C ab.

Automatisierung der Authentifizierung

Unter Debian ist wurde das Tool wpa_supplicant direkt in die Datei /etc/network/interfaces, so dass hier eine zentrale Steuerung möglich ist. Der Eintrag für die Schnittstelle ath0 sieht folgendermaßen aus: 

iface ath0 inet dhcp
        wireless-ap 00:15:0C:00:AF:FE
        wpa-conf /etc/wpa_supplicant/heimnetz.conf

Das ist schon alles. *g*

Die Option wireless-ap definiert die MAC-Adresse der FRITZ!Box als Access Point und die Option wpa-conf verweist auf die zu verwendende Konfigurationsdatei. Es gibt noch eine Menge weiterer Optionen, die alle in interfaces(5) beschrieben sind.

Möchte man auch die Wahl eines vorhandenen Netzwerkes automatisieren, sollte man sich mal die Anleitung zu dem sogenannten map-schemes (keyword mapping). Eine beispielhafte Konfiguration mit einer "normalen" Netzwerkkarte habe ich hier beschrieben: Automatische Netzwerkkonfiguration mit map-schemes. Damit konfiguriert sich die Karte je nach Umgebung entweder statisch (zu Hause) oder dynamisch (im Geschäft).

« nach oben

« zurück (Gesammelte Anleitungen)