Spezialsicherheitsmod (frage wie kann ichs machen)

[justnooping]

Ich habe die 7170 mit der neuesten Firmware 29.04.29
in dem DS- mod habe ich gelesen das es mit einem Teil des DS möglich ist das Wlan komplett vom LAN zu trennen
http://wiki.ip-phone-forum.de/software:ds-mod:wlan_iptables
desweiteren ist dort ein openvpn eingebaut. (ich möchte nur die beiden features sonst nichts aus dem mod)
und hier ist beschrieben wie man einen rootserver aufsetzt http://blog.rootserverexperiment.de/2007/01/27/fritzbox-rootserver/
was bei mir allerdings nicht ganz klapt, da das installscript beim einbinden von ext2.o abbricht


Meine Idee war folgende:
Fritz mit Rootserver auf Stick erweitern (256MB SWAP/2000MB ext2 mit rootserver/ 1700MB FAT32 für div. datentrans)
openvpn & freeradius auf der box laufen lassen
wlan von lan & box trennen
wlan von WPA2 PSK aus WPA2 radius umstellen
schließlich anbinden der wlan-clients über vpn ans lan

(und falls noch rechenkap übrig ist: ein digitaler AB, der die sprachfiles auf den Stick legt und am besten noch per telefon abhörbar ist.)

Meine Fragen an die Experten:
1. Meint ihr das ist sinnvoll?
(das Wlan wird wohl aus pers Gründen 24/7 funken, deswegen reicht mir der PSK nicht)
2. hat einer irgendwelche logischen fehler in meiner Idee gefunden?
3. wie packe ich es an.
(4. warum verweigert sich ext2)

dankend im vorraus Ein linux noop
P.S.: /root ist bei meiner box versteckt (da gibts wohl auch unterschiede)

 

[frank_m24]

Hallo,

1. Meint ihr das ist sinnvoll?

Zum Rootserver auf der Box hab ich keine Meinung, ist nicht mein Spezialgebiet.
Aber WLAN mit WPA und dann noch die Clients über VPN anbinden ist definitiv maßlos übertrieben.

2. hat einer irgendwelche logischen fehler in meiner Idee gefunden?

Logische Fehler vielleicht nicht, aber gedankliche Fehler einige:
Da du an den WLAN Treiber der Box nicht dran kommst (closed source), kannst du Radius vergessen. Du hast keine Möglichkeit, einen Supplicant (den wpa_supplicant z.B.) auf den Treiber zugreifen zu lassen, um die Schlüssel einzustellen. PSK ist die einzige Möglichkeit, aber auch absolut ausreichend. WPA und WPA2 sind nach momentanem Ermessen unknackbar, wenn du ein gutes Passwort benutzt (63 Zeichen möglichst chaotisch). WPA Enterprise (wie der Name schon sagt) ist eher was für Firmen, wo es zu aufwendig wäre, einzelne PSKs zu konfigurieren.
Des weiteren glaube ich nicht, dass die Box auch nur annähernd genug Rechenleistung hat, um nur einen Client über VPN ans LAN anzubinden (reicht es doch kaum für VPN in Internetgeschwindigkeit). Wenn dann noch 2 oder 3 Clients dran sind, dazu die erforderliche Leistung für die Transfers auf USB, VoIP und den Internetzugang an sich .... Bedenke: Bei der Benutzung von P2P ist die Box allein mit dem Internetzugang schon überlastet (Load > 3, Reboots) - ohne VoIP, VPN, USB-Zugriff.
Dann ist OpenVPN nicht die beste Lösung für VPN über WLAN, es eignet sich eher für die Lan-to-Lan Anbindungen. PPTP ist aufgrund seiner Arbeitsweise eher geeignet, VPN für WLAN Clients zu machen. Draytek z.B. macht es auch mit PPTP in seinen Routern.

3. wie packe ich es an.

Das mit dem Rootserver musst du wohl selbst lösen. Wende dich doch mal an den Autor des Howtos. Vielleicht passt das ext2 Modul nicht zu deiner Kernel Version.
Den Rest (WLAN + Sicherheit) kannst du komplett vergessen. Es geht nicht und macht keinen Sinn.

Viele Grüße

Frank

 

[justnooping]

Da du an den WLAN Treiber der Box nicht dran kommst (closed source), kannst du Radius vergessen. Du hast keine Möglichkeit, einen Supplicant (den wpa_supplicant z.B.) auf den Treiber zugreifen zu lassen, um die Schlüssel einzustellen. PSK ist die einzige Möglichkeit,

gutes Argument, deswegen gibt es wohl noch kein mod der dies ermöglicht

aber auch absolut ausreichend. WPA und WPA2 sind nach momentanem Ermessen unknackbar, wenn du ein gutes Passwort benutzt (63 Zeichen möglichst chaotisch).

Ich habe ein gutes PW per Generator erzeugt 63 Zeichen zahlen Buchstaben groß/klein & Sonderzeichen. Ausreichend? Das glaub ich nicht.

Des weiteren glaube ich nicht, dass die Box auch nur annähernd genug Rechenleistung hat, um nur einen Client über VPN ans LAN anzubinden (reicht es doch kaum für VPN in Internetgeschwindigkeit)....

Hatte ich aber gedacht, da es doch einige mods gibt, die per box zu box VPN über Internet arbeiten

Das mit dem Rootserver musst du wohl selbst lösen. Wende dich doch mal an den Autor des Howtos.

Danke hab ich

Vielleicht passt das ext2 Modul nicht zu deiner Kernel Version.

Ich hab zwar keine richtige Ahnung, sieht für mich eher wie ein "access denied" aus (da eine kopier aktion fehlschlägt)
die aktion

/sbin/insmod /var/tmp/ext2.o

bricht mit

insmod: cannot insert `/var/tmp/ext2.o’: Success (8): Succes

ab

Den Rest (WLAN + Sicherheit) kannst du komplett vergessen. Es geht nicht und macht keinen Sinn.

also im Moment siehts so aus:

das entspricht meine ursprüngliche Idee

Im Moment hab ich diese hmm, geht das ohn VPN Server, mal schlau machen

 

[frank_m24]

Hallo,

Ich habe ein gutes PW per Generator erzeugt 63 Zeichen zahlen Buchstaben groß/klein & Sonderzeichen. Ausreichend? Das glaub ich nicht.

Warum nicht? Nenn mir nur einen Grund, warum das nicht ausreicht. Die Möglichkeit, dass es irgendwann mal geknackt wird? Und wer sagt dir, dass dein VPN oder WPA-Enterprise nicht früher geknackt wird, als WPA-PSK? WPA-Enterprise setzt u.a. MSChapv2 als Authentifizierungsprtokoll ein, und da gibt es Sicherheitslücke (man kann die Anzahl der zu testenden Passwörter bei einer Attacke um Faktor 65000 reduzieren. Ist unbedeutend und nur ausnutzbar, wenn man kein Radius Server Zertifikat benutzt). Aber immerhin. Für WPA-PSK gibt es sowas noch nicht. :-Ö

Hatte ich aber gedacht, da es doch einige mods gibt, die per box zu box VPN über Internet arbeiten.

Richtig. Box to Box über INTERNET. Die Upload-Rate beider Seiten ist das Maximum, also höchstens 1 MBit/s, meistens deutlich weniger. Du willst VPN im WLAN, Netto 30 Mbit/s. Das ist eine andere Größenordnung.

Viele Grüße

Frank

 

[justnooping]

..

Ich habe ein gutes PW per Generator erzeugt 63 Zeichen zahlen Buchstaben groß/klein & Sonderzeichen. Ausreichend? Das glaub ich nicht.

Warum nicht? Nenn mir nur einen Grund,

Ich bin ein bischen paranoid

warum das nicht ausreicht. Die Möglichkeit, dass es irgendwann mal geknackt wird? Und wer sagt dir, dass dein VPN oder

nee: und! (VPN und WPA-Enterprise)

WPA-Enterprise nicht früher geknackt wird, als WPA-PSK? WPA-Enterprise setzt u.a. MSChapv2 als Authentifizierungsprtokoll ein, und da gibt es Sicherheitslücke (man kann die Anzahl der zu testenden Passwörter bei einer Attacke um Faktor 65000 reduzieren. Ist unbedeutend und nur ausnutzbar, wenn man kein Radius Server Zertifikat benutzt). Aber immerhin. Für WPA-PSK gibt es sowas noch nicht. :-Ö

Außer das ich Paranoid bin, gibts es noch den Grund, das das Wlan demnächst 24/7 an sein wird.
Und das ich von allenhalben immer gehört hab das WPA-Enterprise (von MicroDoof Sicherheitslücken mal abgesehen) weitaus schwerer zu knacken als nur mit dem PSK
zudem wenn ein Angreifer bis dahin gekommen ist, dann nicht gewonnen haben wird weil er dann noch durchs VPN brechen muß.

Mal davon abgesehen das ich wohlmöglich mal dann und wann ein Gerät anhängen möchte das leider, und das auch nur eingeschränkt WEP kann. ev. muß ich für dieses Gerät auf Verschlüsselung ganz verzichten!!!
Und ich denke nicht daran für die Zeit mein FB-PW zu ändern & alle Rechner herunter zu fahren.

 

[frank_m24]

Hallo,

Und das ich von allenhalben immer gehört hab das WPA-Enterprise (von MicroDoof Sicherheitslücken mal abgesehen) weitaus schwerer zu knacken als nur mit dem PSK.

Davon hätte ich gerne die Quelle.

Mal davon abgesehen das ich wohlmöglich mal dann und wann ein Gerät anhängen möchte das leider, und das auch nur eingeschränkt WEP kann. ev. muß ich für dieses Gerät auf Verschlüsselung ganz verzichten!!!

Sowas kommt leider vor. Aber wie dem auch sei: Mit der Fritzbox wirst du da wenig Chancen haben.
Du könntest WLAN APs mit einem eigenen VPN Router (Linux PC z.B.) einrichten, das würde relativ einfach gehen. Da kannst du dann auch WPA-Enterprise machen, es gibt durchaus APS mit Unterstützung dafür.

Viele Grüße

Frank

 

[justnooping]

Tja hätt ich die Quellen zur Hand hätt ich sie auch erwähnt. Tu ich aber noch wenn ich sie wiederfinde (Mist meine dumme Angewohnheit das Halbe[3/4;7/8?]Internet zu Bookmarken.)