Verfahrensanweisung

Umgang mit dem WLAN

© 2003 Albrecht Müller, Enzensperger Str. 6, 81669 München, Tel: +49-177-48 56 71 0, E-Mail: albrecht.mueller@astrail.de. Begonnen am Samstag, 30. August 2003, Stand: Entwurf, Freitag, 24. Oktober 2003.

Zweck

Diese Verfahrensanweisung beschreibt einige typischen Arbeitsabläufe, die beim Einsatz des WLAN vorkommen. Damit sollen in Hinblick auf Sicherheit und Zeitaufwand optimale Abläufe erreicht werden. Diese Verfahrensanweisung ist auf meine Anforderungen zugeschnitten und entspricht meinem derzeitigen Wissenstand. Sie erhebt weder den Anspruch auf Vollständigkeit noch auf Fehlerfreiheit.

Dokumentation der Konfiguration des WLAN

Für die Vergabe der IP-Adressen wird der "Private Adddess Space" gemäß RFC 1918 verwendet, und zwar im Bereich 192.168.0.0 ... 192.168.255.255.

Als Sicherheitsmaßnahmen sollten soweit möglich die Empfehlungen umgesetzt werden, die in der Broschüre "Drahtlose lokale Kommunikationssysteme und ihre Sicherheitsaspekte" des Bundesamts für Sicherheit in der Informationstechnik für Funk-LAN angegeben werden. Der Access-Points für das WLAN wird so konfiguriert, dass die Verschlüsselung eingeschaltet ist und fremde MAC-Adressen gesperrt sind. Das Netzwerk-Passwort (= Community-String) des Access-Points wird gegenüber der Default-Einstellung geändert. Die WLAN-Karte im Notebook wird mit explizit angegebenem Schlüssel konfiguriert, d.h. kein automatisches Beziehen des Schlüssels, weil der auch von unerwünschten Rechnern kommen könnte.

Die Dokumentation der Konfiguration des WLAN der erfolgt in einem UML Diagramm, das die Struktur des Netzwerks enthält. Wegen der geringen Größe des Netzwerks kann man damit die nötigen Informationen vollständig auf einem Blatt Papier vollständig darstellen. Sensible Daten wie Passwörter und Schlüssel werden nicht dokumentiert oder nur in einem Papierausdruck eingetragen, der dann an einem sicheren Ort aufbewahrt wird. Sensible Daten sind im Diagramm durch "xxxx" gekennzeichnet.

Wenn mit dem WLAN weniger experimentiert wird, sollte überlegt werden, welche Passwörter und Schlüssel tatsächlich dokumentiert werden müssen und auf deren Dokumentation weitgehend verzichtet werden. So dürfte es z.B. nicht notwendig sein, den Schlüssel des WLANs aufzuschreiben. Da nur wenige Geräte eingesetzt werden und Zugriff auf alle diese Geräte besteht, können beim Verlust eines Schlüssels mit wenig Aufwand neue Schlüssel eingestellt werden.

Konfiguration des WLAN

Betrieb des Notebook im Netzwerk

Das Zusammenspiel des Notebook mit dem Netzwerk läuft derzeit noch nicht rund. Das Hauptproblem besteht darin, dass ein Neustart des Notebook erforderlich ist, wenn eine Online-Verbindung verfügbar wird und man von dem Offline in den Online-Modus wechseln will.

Allgemeines

Soweit möglich, wird an dem Notebook nur unter Benutzerkennungen gearbeitet, die keine Administratorrechte haben.

Einrichten der Offline-Dateien

Dies ist nur mit Administratorrechten möglich. Ausserdem muss das schnelle Umschalten zwischen den Benutzeranmeldungen deaktiviert sein, d.h. dass ein neuer Benutzer kann sich nur anmelden, wenn sich der vorherige Benutzer abgemeldet hat.

Unter diesen Voraussetzungen klickt man Start -> Arbeitsplatz -> Extras -> Ordneroptionen. -> Offlinedateien. Auf der dann angezeigten Karte aktiviert man das Kontrollkästchen "Offlinedateien aktivieren" und klickt dann auf "OK". Damit ist zwar die Funktion der Offlinedateien verfügbar, aber noch keine Dateien festgelegt, die Offline verfügbar sein sollen.

Die Festlegung, welche Dateien offline verfügbar sein sollen und automatisch mit dem Netzwerk synchronisiert werden sollen, kann jeder Benutzer selbst vornehmen, auch wenn er keine Administratorrechte besitzt. Bei bestehender Netzwerkverbindung wird mit der rechten Maustaste auf die gewünschte Datei oder den Ordner geklickt und dann auf "Offline verfügbar machen". Die offline verfügbaren Dateien oder Ordner sind durch einen Pfeil an der linken unteren Ecke des dazugehörigen Icons gekennzeichnet.

Die automatische Synchronisation wird so eingestellt, dass sie sowohl beim Anmelden als auch beim Abmelden erfolgt, um die Zeit, in der Änderungskonflikte entstehen können, möglichst kurz zu halten.

Anmerkung: Für manche Arten von Dateien, z.B. Access-Datenbanken, muss eine geeignete Anwendung auf dem Notebook installiert sein, damit die Datei offline zur Verfügung gestellt werden kann.

Anmerkung: Ausschalten der Offlinedateien scheint den Cache mit den offline verfügbar gemachten Dateien nicht zu löschen, sondern nur die Synchronisationsmechanismen zu deaktivieren. Wenn man die Offlinedateien wieder einschaltet, kann man auf diese Dateien anscheinend wieder zugreifen.

Betrieb des Notebook ohne Verbindung mit dem Netzwerk

Unter der Voraussetzung, dass die Offlinedateien aktiviert sind, kann man auch ohne Netzwerkverbindung mit den Dateien, die Offline zur Verfügung stehen, genauso weiterarbeiten, als ob eine Netzwerkverbindung bestehen würde. Der wesentliche Unterschied beim Browsen der Computer im Netzwerk besteht darin, dass nur die explizit als offline verfügbar definierten Dateien und Verzeichnisse angezeigt werden sowie die Verzeichnisse, die zum Zugriff auf Offline verfügbare Dateien nötig sind. Davon abgesehen ist die angezeigte Verzeichnisstruktur dieselbe wie beim bestehender Netzwerkverbindung. Drucken über das Netzwerk ist natürlich nicht möglich.

Es gibt ein Fenster, in dem man die Gesamtheit der offline verfügbaren Dateien und ihren Änderungsstatus ansehen kann. Diese Anzeige erreicht man, indem man sich über Start -> Arbeitsplatz -> Extras -> Ordneroptionen... -> Offlinedateien zu dem Reiter mit den Offlinedateien durchklickt und dann den Knopf "Dateien anzeigen" anklickt. Dieser Knopf ist nur verfügbar, wenn die Offlinedateien aktiviert sind. Man erhält ein Fenster, das alle offline verfügbaren Dateien anzeigt, allerdings in einem einzigen, "flachen" Verzeichnis zusammengefasst.

Betrieb mit Anschluss an das Netzwerk

Wenn eine Verbindung mit dem Netzwerk verfügbar ist, werden offenbar Veränderungen an Dateien sowohl auf den Originalen im Netzwerk als auch im lokalen Cache vorgenommen. Das verlangsamt die Schreibvorgänge etwas.

Die für den WLAN Betrieb gewünschte Reduktion des Netzwerkverkehrs ist daher nicht zu erwarten.

Synchronisation des Notebook mit dem Server

Um Synchronisationskonflikte zu vermeinden, empfiehlt es sich, sich vor der Bearbeitung einer Datei zu überlegen, auf welchem Rechner man eine Datei ändern will.

Löschen einer Datei sollte man vorzugsweise auf dem Rechner vornehmen, auf dem die Originale der Dateien liegen: Sie landen dann im Papierkorb und können von dort notfalls wieder geholt werden. Löschen vom Notebook aus löscht die Datei ohne diese Sicherheitsmaßnahme.

Umgang mit Passwörtern und Schlüsseln

Passwörter und Schlüssel werden nur dann elektronisch gespeichert, wenn dies aus technischen Gründen notwendig ist. Die Schlüssel, den die am WLAN beteiligten Rechner zur Verschlüsselung des Funkverkehr verwenden, müssen gespeichert sein. Ähnliches gilt für Informationen, mit denen die Server Freigabepasswörter oder Passwörter für die Anmeldung überprüfen.

Alle anderen Passwörter oder Schlüssel werden nicht gespeichert. Insbesondere wird auf folgende Dinge geachtet:

Viele Dialogboxen für die Eingabe von Passwörtern bieten die Möglichkeit an, das Passwort zu speichern. Diese Option bleibt grundsätzlich ausgeschaltet. Es ist zwar lästig, das Passwort immer wieder eingeben zu müssen. Andererseits hat das z.B. zur Konsequenz, dass jedes Programm, das eine Verbindung zum Internet aufbauen will, nach dem Passwort fragen muss und sich dadurch bemerkbar machen muss.
Passwörter dürfen nicht in Dokumente eingetragen werden. Dadurch soll verhindert werden, dass Passwörter oder Schlüssel versehentlich weitergegeben werden oder bei einem Einbruch auf der Festplatte gefunden werden können.

Einige Spezialfälle sind zu beachten:

Es kommt gelegentlich vor, dass der WinCim 3.04, Build 388 das eingegebene Passwort ungefragt speichert. Dies scheint dann manchmal dann zu geschehen, wenn man das Compuserve-Konto bei Outlook Express verwendet und das Passwort versehentlich in die Dialogbox eingibt, die erscheint, bevor man die Telefonverbindung herstellt anstatt diese leer zu lassen und erst die vom Netzwerk initierte Frage nach dem Passwort zu beantworten. Man erkennt das Problem daran, dass die Dialogbox ausbleibt, die nach der Herstellung der Telefonverbindung nach dem Passwort fragt. Je nachdem, ob das gespeicherte Passwort korrekt ist oder nicht, kommt eine Verbindung zu Compuserve zustande oder nicht. Das Problem wird behoben, indem man im WinCim-Menu die unter "Gehe zu" -> "Einstellungen" erreichbare Dialogbox öffnet und den unter dem Reiter "Verbindung" befindlichen Passwort-Eintrag löscht.
Manche Web-Seiten mit Formularen enthalten Passwörter. Wenn man diese Seiten speichert, kann es sein, dass in der gespeicherten Seite die Passwörter im Klartext enthalten sind, auch wenn der Browser nur Ersatzzeichen anzeigt. Speichern solcher Seiten ist wenn möglich zu vermeiden - allerdings ist die Vorgehensweise hierfür noch nicht klar. Diese Seiten können auch im Cache des Browsers gespeichert sein. Nachträglichen Entfernen des Passworts kann dazu führen, dass der verwendete Editor Sicherheitskopien anlegt, die das Passwort immer noch enthalten.
Der Webseiten-Kopierer HTTrack erlaubt es, auch passwortgeschützte Seiten zu kopieren. In diesem Zusammenhang kann es vorkommen, dass wie vorher schon beschrieben, Webseiten zusammen mit darin enthaltenen Passwörtern gespeichert werden. Die für den Zugriff auf die Seiten nötigen Passwörter speichert das Programm an einigen Stellen. Diese Daten sind im Klartext abgelegt - und das Programm weist auch darauf hin, wo vertrauliche Daten abgelegt sein könnten. Eine gute Lösung für das Problem, die passwortgeschützten Seiten auf meinem Rechner zu spiegeln ohne gleichzeitig die Passwörter zu speichern, habe ich noch nicht gefunden.
Mit Hilfe von Suchfunktionen nach gespeicherten Passwörten zu suchen, kann dazu führen, dass das Passwort dauerhaft gespeichert wird. Grund: Viele Tools legen Suchhistories an, so dass man frühere Suchvorgänge wiederholen kann. In diesen Historien sind dann auch die Passwörter im Klartext gespeichert, nach denen man gesucht hat.
Das Tool, mit dem man den WLAN-Access-Point konfiguriert, kann die für die Einstellung nötigen Daten speichern. Dies geschieht in .apc-Dateien, die offenbar auch sensible Informatione enthalten (Schlüssel für die Konfiguration des Accesspoints und die Datenverschlüsselung). Daher sollten diese Dateien nur auf einem externen Datenträger gespeichert werden, der nur bei Bedarf eingelegt wird.

Für einige dieser Fälle könnte sich die Strategie eignen, dass man zuächst das Passwort ändert, dann die Operationen durchführt, die zum Speichern des Passworts führen können, und danach das Passwort nochmal ändert. Dann würde zwar ein Passwort gespeichert, doch das wäre unmittelbar danach ungültig.

Schlüsseländerung

Schlüssel festlegen

Für den Schlüssel werden 10 hexadezimale Ziffern benötigt. Wenn man diese nicht mit der Randomize-Funktion der Accesspoint-Software festlegen will, kann man durch Werfen von Münzen eine Binärdastellung ermitteln, die man dann nur noch umzuwandlen braucht.

Schlüssel auf dem Accesspoint ändern

Access-Point-Software starten
Konfigurationdaten laden
falls der Schlüssel nicht anderweitig festgelegt ist, mit der Randomize-Funktion des Accesspoints erzeugen. Notieren, weil der Schlüssel noch für die Einstellung des Notebook benötigt wird.
neuen Schlüssel eintragen
Schlüssel auf Accesspoint laden durch "Commit to Network"
Schlüssel auf einen festen Wert setzen und Konfigurationsdaten speichern. Dies entfällt, wenn man ausser dem Schlüssel nichts geändert hat. Damit wird sichergestellt, dass in den Konfigurationsdaten der Schlüssel nicht enthalten ist. Achtung: Schlüsselwerte, die nur aus "0" oder nur aus "F" Ziffern bestehen, läßt die Software nicht zu.

Anmerkung: Die Konfigurationsdaten des Accesspoints sollten aus Sicherheitsgründen nicht auf dem Rechner selbst gespeichert werden, sondern auf einem externen Datenträger, damit im Falle einer Sicherheitslücke nicht auf die Konfigurationsdaten des Accesspoints zugegriffen werden kann. Mit dem oben genannten Verfahren kann man zwar verhindern, dass der für die Übertragung über die Luft verwendete Schlüssel gespeichert wird, der Schlüssel, den man braucht, um auf die Konfiguration des Accesspoints zu verändern, ist wird trotzdem gespeichert. Für den Fall, dass das ein Problem darstellen könnte, besteht offenbar die Möglichkeit, den Accesspoint zu sperren, so dass man die Konfiguration nur nach einem Hardwareeingriff ändern kann.

Schlüssel auf Notebook ändern

Start -> Netzwerkumgebung. Bei den Netzwerkaufgaben auf "Netzwerkverbindungen" anzeigen klicken. Dann müsste eine "Drahtlose Netzwerkverbindung" angezeigt werden. Mit der rechten Maustaste draufklicken und im daraufhin erscheinenden Kontextmenü "Eigenschaften" auswählen. Damit werden die Eigenschaften der Sony PCWA-C150 Wireless PC Card angezeigt.
In "Bevorzugte Netzwerke" das Netzwerk auswählen und dann auf "Eigenschaften" klicken. In der daraufhin erscheinenden Dialogbox kann man dann den Netzwerkschlüssel eingeben und mit OK speichern. Danach die Dialogbox "Eigneschaften von Drahtlose Netzwerke" mit OK verlassen, denn erst damit wird der Schlüssel aktiviert.

Ausprobieren

Nach der Änderung ausprobieren, ob die Kommunikation möglich ist, z.B. durch Aufruf von "ping".
Wenn es funktioniert hat, Aufzeichnungen über Schlüssel vernichten. (Normalbetrieb - solange experimentiert wird, kann der Schlüssel an einem sicheren Ort noch aufgehoben werden).

Das Verfahren für die Schlüsseländerung könnte man später, wenn ich mehr Übung habe und mehr über die Randomize-Funktion weiß, vereinfachen. Wenn man den Schüssel in der Accesspoint-Software hat, kann man ihn von da auch gleich am Notebook abtippen und braucht keine Notizen, Würfel oder Münzen. Damit ließe sich eine Schlüsseländerung vermutlich in weniger als einer Minute erledigen.

Noch zu tun:

Es fehlt derzeit eine Statistik, die einen Überblick über den Umfang des Datenverkehrs seit der letzten Schlüsseländerung gibt.

Internet-Zugriff

Funktioniert derzeit noch nicht.