Etwas 'sicheres' WLAN für Privat

Das ganze Thema Sicherheit mit dem WLAN ist immer so eine Sache. Auf der einen Seite soll es so sicher wie möglich sein, aber auf der anderen Seite den Aufwand zur Einrichtung in erträglichem Rahmen halten.

Knackpunkt bei WLAN ist wen man mit einem Pre-Shared-Key arbeitet, diese immer beim Einrichten zu übertragen. Oft vertippt man sich oder hat ein frimmeliges Eingabegerät wie ein Smartphone oder Tablet vor sich. In Konsequenz darraus gibt man sich beim WLAN Passwort keine grosse Mühe und fühlt sich mit dem verstecken der SSID auf der sicheren Seite und dann reicht auch ein “1234” als Passwort. Das genau hier der Hase im Pfeffer liegt braucht man keinem halbwegs Security-affinen Techniker erklären.

Der beste Weg ist, wen man sowohl ein halbwegs “sicheres” Passwort generiert und dieses auch ohne Probleme auf andere Geräte “schnell” und “bequem” einrichten kann.

Für das sichere Passwort helfen kleine Programme wie “apg” oder “pwgen”, welche sich mittels des Paket-Installers des Betriebssystems einrichten lassen. Bei Debian und Ubuntu reicht ein einfaches “apt-get install apg” oder “apt-get install pwgen” im Terminal als Benutzer “root”.

Bei OpenSuse muss man sich dazu vorher noch das Repository “Security / Sicherheit” hinzufügen. Dannach reicht ein “zypper install apg” oder “zypper install pwgen”.


zypper addrepo http://download.opensuse.org/repositories/security/openSUSE_13.1/security.repo

Nehmen wir einmal an das unser WLAN heisst “labor-funk”. Dann generiert man sich erstmal das Passwort mit “apg” oder “pwgen”.

apg -m 63 -n 1 > labor-funk.txt

ODER …


pwgen -c -n -s -1 63 > labor-funk.txt

Jetzt ist man in der Lage mit dem in “labor-funk.txt” enthaltenen geheimen maximal langen zufälligen Passwort von 63 Zeichen, z.Bsp. “hpPC0Wuc7EHbXPEHfmqUzUUdaCYalGstJLymyFNxPgOMzbaSlHtVc9sMkNo2vQD”, seinen WLAN Access Point zu konfigurieren. Hier gereichen die Copy+Paste Funktionen des eigenen Desktops.

Ist jetzt das Smartphone oder Tablet mit einer Kamera ausgestattet, so huscht man jetzt in den entsprechenden AppStore und sucht sich eine 2D-Barcode-Scanner-App aus, z.Bsp. diesen hier. Idealerweise hat man bereits ein solche App installiert. Man muss darauf achten, das die App das gescannte Bild nicht irgendwo hochlädt zur Analyse sondern dies Offline lokal auf dem Gerät durchführt. Diese App benutzen wir im nähsten Schritt das geheime Passwort sauber in das zu konfigurierende Endgerät zu übertragen.

Dazu benötigen wir aber noch die entsprechende Applikation zum Generieren eines 2D-Barcodes auf dem Desktop. Hier ist bei allen gängigen Distributionen das Programm “qrencode” aus den Standard-Repositories zu installieren und tut perfekt seinen Dienst. Es nimmt als Eingabe via STDIN oder als Parameter eine Zeichenkette auf und spuckt hinten einfach ein Bild raus. Dieses Bild muss man nur noch auf dem Desktop zur Anzeige bringen und mit dem Smartphone oder Tablet “abscannen”.

Die einfachste Möglichkeit der Konfiguration ist es für Android-Geräte direkt eine Zeichenkette als 2D-Barcode in die wlan.png zu kodieren, die die kompletten Einstellungen für SSID und Passwort des WLAN-Access-Points enthält.


qrencode -o wlan.png "WIFI:T:WPA;S:labor-funk;P:$(cat labor-funk.txt)"

Das Ergebnis für eine fertige Konfiguration sieht dann so aus …

Wlan

Alternativ kann man direkt das Passwort als 2D-Barcode in die secret.png generieren lassen, falls das Smartphone oder Tablet die Konfiguration nicht übernehmen kann, und dann versuchen mit Copy+Paste es in die Einstellungen zu knoten.


cat labor-funk.txt|qrencode -o secret.png

Das Ergebnis nur für das Passwort sieht dann so aus …

Secret

Alle anderen Geräte kann man bequem mit Copy+Paste initial einmal einrichten. Etwaige Brutforce/Cruncher haben es dann etwas ‘schwerer’. Viel Erfolg.