Vor wenigen Jahren noch gab es das Ideal einer flächendeckenden Verfügbarkeit freier WLAN-Netze, betrieben durch Privatleute. Dieses Ideal sah vor, dass jeder die Ressource seines heimischen Internetzugangs teilte und der Umgebung zur Teilnahme bereitstellte. Alsbald jedoch erlebten wir die Kriminalisierung offener WLANs und ihrer Betreiber. Vergleichbar mit den Gegebenheiten im ‘richtigen’ Leben sind es auch im Internet die wenigsten Menschen, welche Unrechtes tun. Ungleich der Handhabe im Real-Life jedoch, nahm man dankbar den Betreiber des jeweiligen WLANs her, wenn – und das war und ist der Regelfall – der wahre Missetäter nicht auszumachen war. So gerieten die ursprünglich hehren Ziele aus dem Blick und der Gedanke des freien WLAN-Netzes wurde regelrecht verunglimpft. Selbstverständlich sank die allgemeine Bereitschaft gen Null, sein eigenes WLAN offen zu lassen. Wen wundert das schon angesichts derart existentieller Widrigkeiten. So sind es mittlerweile nur noch wenige offene Wifi-Netze da draußen, deren Betreiber einem die Möglichkeit einräumen, frei und ohne Querelen in den Cyberspace zu gelangen.
In meinem gedachten Szenario taucht also eines dieser noch offenen WLANs in der Liste der verfügbaren WLAN-Access-Points auf, so ganz ohne Schloss und lediglich einen schnellen Klick darauf ist man bereits im Internet. Im einfachsten Fall, sofern nicht entsprechend vorgesorgt wurde, geschieht sodann jede weitere Onlineaktivität ziemlich transparent für den WLAN-Anbieter. Dieser kann jede Browseraktivität mitverfolgen und bei SSL-Verbindungen sieht der Schnüffler immer noch die URLs, die an sich schon eine extrem wertvolle und aufschlussreiche Information darstellen. E-Mails können protokolliert werden und ungesicherte FTP-Verbindungen lassen nicht nur einen Mitschnitt zu, sondern spielen dem lokalen Übeltäter ebenso die FTP-Zugangsdaten in die Hände.
Sicherheit in unsicherer Umgebung mittels VPN. Als Bonus: Privatheit
Weil derartige Unsicherheit nicht wünschenswert sein kann, verlangt es nach einer Lösung, hinreichende Sicherheit auch in unsicheren Umgebungen wie offenen WLAN-Netzen zu gewährleisten. VPN ist hier die Lösung. Der Mac hat so seinen Internetzugang praktisch auf einem entfernten Rechner, über welchen er mittels eines verschlüsselten Tunnels seinen Internetverkehr durchreicht.
Dieser entfernte Rechner kann ein Persönlicher Server daheim sein, ebenso aber ein kommerzieller VPN-Anbieter, welcher für ein monatliches Entgelt im Idealfall Ressourcen derart bereitstellt, daß über diesen VPN-Umweg keine Verlangsamung der Internetnutzung wahrnehmbar ist. Zusätzlich ist ein Punkt bei externen Anbietern besonders interessant: Die Gegenstellen im Internet sehen nicht die Provider-IP, sondern die jeweilige IP UND die geografische Lokation unseres VPN-Anbieters. Das ist neben der reinen Sicherheit ein großer Zugewinn in Sachen Anonymität und Privatheit. Das sind fleischgewordene Grundrechte.
Die Praxis mit dem Anbieter vpntunnel.se als Beispiel
Die schwedsche Firma Netalia mit ihrem Dienst vpntunnel.se sitzt in Stockholm und wird hier guten Gewissens empfohlen. Seit Jahren schon ist der Dienst perfomant nutzbar und nicht ein Fall ist im Netz publik geworden, in welchem vpntunnel.se die Sicherheit der Nutzer sträflich vernachlässigt oder aufgegeben hätte. Mit wenigen Ausnahmen ist vpntunnel.se zudem so schnell, dass der Download unserer liebgewonnenen Podcasts oder eines größeren Binärpakets praktisch nicht länger dauert als ohne VPN.
Ein Account bei vpntunnel.se kostet aktuell 5 € im Monat. Ist die Anmeldeprozedur erledigt, so loggt man sich auf der Website ein. Unter dem Punkt ‘Software’ lädt man sich als nächsten Schritt den Mac Client herunter, was dann nichts Geringeres ist als die quelloffene VPN Benutzeroberfläche für Mac OS X namens ‘Tunnelblick’. Das Progrämmchen Tunnelblick kann selbstverständlich auch von Google Code gezogen werden, jedoch empfiehlt sich hier dringend der Download aus dem besagten Bereich auf vpntunnel.se, weil so schon alle erforderlichen Konfigurationen und Zertifikate enthalten sind. Nach dem Download wird Tunnelblick entzippt und nach ‘Programme’ verschoben und gestartet. Oben rechts befindet sich nun neben der Spotlight Lupe das Tunnelblick Icon. Klicken wir dieses Icon, so sehen wir auch schon die verschiedenen VPN-Server, welche wir als vpntunnel.se Kunde nutzen können.
Klicken wir beispielsweise ‘openvpn-Swe’, so sind wir umgehend mit einer schwedischen IP in den Augen unserer Gegenstellen im Internet und unserer lokaler Zugangspunkt, beispielsweise das unsichere WLAN-Netz oder der DSL-Anbieter, sieht nur noch ein Datenrauschen. Ein Vorteil ist es ebenso, dass ohne weiteres Zutun alle Internetanwendungen getunnelt werden. Neben dem Browser also auch Mail, Voicechat, IRC usw.
Prävention gegen den Zusammenbruch des Tunnels
Die gewonnene Sicherheit erfährt jedoch genau dann einen Gefahrenmoment, wenn die VPN-Verbindung zusammenbricht. Sorgt man hier nicht vor, würden unsere Softwareclients wie Browser, Mail und FTP u.U. dafür sorgen, dass in diesem Moment geschwind alles wieder per Klartext durchläuft. Damit das nicht passieren kann, arbeiten wir unserer OpenVPN-Lösung mittels vpntunnel.se und Tunnelblick zu und verbiegen die interne IP Firewall (ipfw) vom Mac OS X derart, dass nur noch Daten über vpntunnel.se ins Netz fließen oder eben gar nicht. Der entsprechende vpntunnel.se Server hat die IP 178.73.212.224. Terminal auf und los:
su rootpfw add 00998 allow udp from me to any 53 via en0ipfw add 00999 allow ip from me to 178.73.212.224/28 via en0ipfw add 01000 deny ip from me to any via en0Probiert es hiernach aus: VPN-Verbindung mittel Tunnelblick aufbauen (sofern noch nicht geschehen). Datenfluss und IP checken unter WhatIsMyIp.com. Nun die VPN-Verbindung beenden und nochmals WhatIsMyIp.com aufrufen. Nichts passiert. Keine Internetverbindung. Ziel erreicht.
Nun sind die 3 derart einpflegten ipfw-Regeln allerdings nach dem nächsten Neustart wieder weg und sicher könnte man jetzt in klassischer Manier alles manuell erledigen, doch gibt es ein zu famoses kleines grafisches Frontend für die ipfw in Mac OS X names ‘WaterRoof‘. Dieses kostenlose Tool ist eine Riesenempfehlung. WaterRoof also installieren und ausführen …
Wenn wir nun innerhalb des WaterRoof-Programmfensters den unteren ‘Update’-Button drücken, sehen wir unsere 3 ipfw Regeln wieder. Durch Drücken des Buttons ‘Save rules & load at boot’ passiert genau das, was drauf steht. WaterRoof kann noch sehr viel mehr und es macht die ipfw beherrschbar, doch wir brauchen an dieser Stelle nicht mehr. Ahoi!
