22. April 2015

Raspberry PI als WLAN Hotspot - So surfst du überall

Das wireless local area network, kurz WLAN, ist in unserem heutigen Zeitalter kaum wegzudenken.

Nahezu jedes mobile Endgerät, verbindet sich heutzutage über WLAN mit dem Netzwerk. Für Standrechner wird jedoch immer noch ein Netzwerkkabel empfohlen. Einfach aus dem Grund, weil die Leitung stabiler ist und auch schneller sein kann.

Beispielsweise bei Smartphones oder Tablets ist es unmöglich ein Kabel anzuschließen. Man ist also auf das WLAN angewiesen.

So praktisch das WLAN auch ist, bringt es eine potenzielle Sicherheitslücke mit sich.

Kommt ein Angreifer nah genug an den Sender ran, hat er bereits die erste Hürde überwunden um in das Netzwerk einzudringen. Zum Glück gibt es noch ein paar andere Hürden, bis es soweit ist 😃

So minimierst du die Gefahr in deinem WLAN

Natürlich bin ich nicht der erste der sich über so etwas Gedanken macht. In den letzten Jahren ist auch sehr viel in puncto Sicherheit passiert.

Es wurden neue Verschlüsselungsalgorithmen standardisiert, Fehler in den Übertragungsprotokollen behoben und sogar die Möglichkeit gegeben eine Tarnhaubitze anzuziehen.

Finger weg von der WEP Verschlüsselung

Die WEP Verschlüsselung kann innerhalb von nur wenigen Minuten umgangen werden und dann ist man bereits im WLAN.

Der Angreifer kann dann im wahrsten Sinne des Wortes auf deine Kosten illegale Downloads starten. Meistens bekommt man das erst mit, wenn es zu spät ist. Also wenn die Abmahnung auf dem Tisch liegt.

Laut einer Rechtsprechung vom Oberlandesgerichtshof Frankfurt vom 01.07.2008 – 11 U 52/07 ist man zwar nicht automatisch Schuld wenn so etwas passiert, jedoch sagt die Rechtsprechung vom Bundesgerichtshof vom 15.05.2010 – I ZR 121/08 das man bei einem unzureichend gesicherten WLAN automatisch Schuld ist.

Der Inhaber eines WLAN-Anschlusses, der es unterlässt, die im Kaufzeitpunkt des WLAN-Routers marktüblichen Sicherungen ihrem Zweck entsprechend anzuwenden, haftet als Störer auf Unterlassung, wenn Dritte diesen Anschluss missbräuchlich nutzen, um urheberrechtlich geschützte Musiktitel in Internettauschbörsen einzustellen.BGH, 12.05.2015 – I ZR 121/08

3 weitere, nutzlose Sicherheitsmaßnahmen

Einige Router bieten ein MAC-Adressenfilter an.

Eigentlich ganz nett, jedoch ist es als alleinige Sicherheitsmaßnahme genauso wirkungsvoll wie ein Pfefferspray gegen einen Löwen.

Eine MAC-Addresse kann man sehr leicht ändern und schon ist alles vergebens. Dadurch schränkst du dich auch selbst dabei ein, weil du als Administrator erst von jeden Rechner manuell die MAC Adresse herausfinden und freischalten muss.

Den WLAN-Namen zu deaktivieren und zu hoffen unsichtbar zu sein ist schon etwas kindisch. So nach dem Motto: "Wenn ich dich nicht sehe, siehst du mich auch nicht".

Bei einigen Geräten (bspw. Tablets) kann es zu Problemen führen wenn man die Sichtbarkeit deaktiviert.

Ein zu kurzes Passwort kann ebenfalls sehr schnell geknackt werden. Wie ein sicheres Passwort aussehen könnte habe ich im Artikel über sichere Passwörter beschrieben.

Achte darauf, dass dein Passwort immer stark genug ist und du es regelmäßig änderst.

Raspberry PI als Access Point

Kommen wir zum spannenden Thema: Aktivierung von WLAN auf dem Raspberry PI.

Eigentlich bedarf es dazu nicht viel, jedoch muss man es penibelst genau machen. Ansonsten funktioniert das ganze Spiel nicht.

Zunächst benötigst du mal wieder ein Deamon (Dienst).

$ apt-get install hostapd

Aktivieren danach das WLAN auf deinem Raspberry.

$ nano /etc/network/interfaces

Sollten da noch die Zeilen zum wlan stehen, direkt auskommentieren oder löschen. Stattdessen kommen da diese Zeilen rein:

iface wlan0 inet static
address 172.26.63.253
netmask 255.255.240.0

Gleich im Anschluss wird eine neue Konfigurationsdatei angelegt.

$ nano /etc/hostapd/hostapd.conf

Hier kopierst du jetzt den Inhalt dieser Datei hinein:
github | jupiter | wlan | hostapd

ACHTUNG: Es dürfen keine Leerzeichen oder ähnliches vor oder nach jeder Zeile stehen!

Nachdem du die Konfigurationsdatei für den Deamon angelegt hast, muss es nur noch verwendet werden.

Das geschieht in der Datei:

$ nano /etc/default/hostapd

Die Zeile DEAMON_CONF änderst du wie folgt ab:

DAEMON_CONF="/etc/hostapd/hostapd.conf"

Aus irgendeinem Grund, hat sich mein wlan0 interface immer verabschiedet, sobald ich den hostapd gestartet habe. Dies kann man in der Datei abschalten, die für das herunterfahren der Netwerkschnittstellen zuständig ist:

$ nano /etc/default/ifplugd

Diese Datei wird dann wie in dieser Datei auf github abgeändert.

ACHTUNG: Nachdem du diese Änderung gemacht hast, kannst du nicht mehr zu Laufzeit die Netzwerkschnittstellen an und abschalten. Sollte dies notwendig sein, muss der Raspberry PI neu gestartet werden!

Da du über das WLAN Netzwerk hinausgehen möchtest (also bis zum Provider) muss das IP Forwarding aktiviert werden.

$ echo 1 > /proc/sys/net/ipv4/ip_forward
$ nano /etc/sysctl.conf

In dieser Datei änderst du diese Zeile wie folgt ab:

net.ipv4.ip_forward=1

Des weiteren müssen noch ein paar Ruten angelegt werden.

$ iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
$ iptables -A FORWARD -i eth0 -o wlan0 -m state --state RELATED,ESTABLISHED -j ACCEPT
$ iptables -A FORWARD -i wlan0 -o eth0 -j ACCEPT

Damit der ganze auch ein Neustart überlebt, muss der Deamon noch beim Hochfahren gestartet werden:

update-rc.d hostapd enable

Thats all folks!

Solltest du keine mobilen Geräte in deinem Netzwerk haben (wollen), kannst du das WLAN natürlich komplett abschalten bzw. noch nicht einmal installieren.

Um trotzdem etwas Sicherheit zu haben, denke daran ein sicheres Passwort zu verwenden und es regelmäßig zu ändern.

So geht’s weiter...

Im nächsten Artikel werde ich etwas über ein Domain Controller berichten. Eine Domäne ist zwar in keinen einzigen Router der Welt vorhanden, aber die ist ganz praktisch für eine globale Rechteverwaltung.

Wenn dir das gefallen hat, wirst du diese Artikel lieben!

Die neuesten Artikel, die du gelesen haben musst!

teilen

Noch mehr privux?

Verpasse keine spannende Beiträge & Tutorials mehr!

Jetzt kostenlosen Newsletter abonieren!

Jetzt newsletter abonieren