Sicherheit
Wireguard VPN (FAQ)
- GNU GPLv2 Open Source
- modern, stabil, einfach konfigurierbar, roamingfähig, schlank und schnell (höhere Übertragungsgeschwindigkeit, geringere Latenz)
- schneller als IPSec oder OpenVPN
- schlanker Code und geringe Komplexität
- energieeffizient, kaum Daten im Leerlauf, geeignet für Mobilgeräte
- kostenloser Client für alle gängigen OS (Windows (nur mit Adminkonto), Android, macOS, embedded Devices, OpenBSD, FreeBSD, NetBSD)
- seit 2020 im Linuxkernel integriert
- ähnlich wie OpenVPN ist die Konfiguration über alle Plattformen hinweg identisch
- Roamingfähig, keine Verbindungsabbrüche bei Netzwechsel
- robust gegen kurze Verbindungsausfälle
- Port: UDP, Default: UDP 51820, frei änderbar - muß manuell in Firewalls frei gegeben werden (MTU: 1420), problemlos über NAT
- jede Verbindung hat eigene Public- und Private Key (einfache Textstrings) und funktioniert ähnlich wie SSH-Keys
Die Schlüsselpaare lassen sich meist komfortabel im Gerät erstellen, es geht aber auch offline (siehe unten).
Damit lassen sich VPN-Verbindungen für Endgeräte konfigurieren, ohne diese in den Händen zu halten. - jeder Public Key wird mit Liste erlaubter Netze verknüpft (Wildcard 0.0.0.0/0 bedeutet: alle Netze gehen durch Tunnel)
- In Versandrichtung verhält sich die Liste wie eine Routing Tabelle.
- In Empfangsrichtung dient die Liste als Access Control List. - Clients bekommen (meist) statische IPs, Firewallregeln pro Endgerät möglich (DHCP-Pool nur über Scripts)
- eine Verbindung lässt sich auf mehreren Endgeräte nutzen, diese bekommen aber die gleiche IP und gleiche AccessRights
- nur eine Seite muß eine feste IP und einen von außen erreichbaren UDP-Port besitzen
- Server erstellt (je nach Gerät) einfache Textdatei .conf oder QR-Code, der einfach am Client eingebunden wird
- Wireguard-Router: Dreytek Vigor, MikroTik, AVM Fritzbox, GL.iNet, pfSense, OpenSense, OpenWRT
Der Wireguard-Router als Verbindungs-Empfänger muß eine feste IP haben und der verwendete UDP-Port muss beim Router ankommen.
Wird der WG-Router nach dem Standardgateway installiert, sind im Gateway-Router folgende Einstellungen erforderlich:
- Portforwarding: UDP-Port (51820) zum WG-Router (LAN-IP)
- Routing-Tabelle: WG-Transfernetz (192.168.200.0/24) zum WG-Router (LAN-IP), Maskierung aus
- Firewall: UDP-Zielport (51820) frei geben
- Firewall: Verbindungsquelle Wireguard-Router (LAN-IP) Internet erlauben
- Firewall: Verbindungsziel WG-Transfernetz (192.168.200.0/24) erlauben
(Bintec: "vollständige IP v4-Filterung" deaktivieren ->siehe Bintec)
Wireguard-Client
- exportiert 'wireguard-export.zip' (die enthält für jede Verbindung eine '[verbindung].conf'
- importiert wahlweise einzelne 'verbindung.conf' oder 'wirguard-export.zip' mit allen Verbindungen
- vorhandene Verbindungen bleiben bei einem weiteren Import erhalten
Anleitung: https://administrator.de/tutorial/merkzettel-vpn-installation-mit-wireguard-660620.html
MikroTik: siehe MikroTik Wireguard-Artikel
GL.iNet LTE: siehe GL.iNet Wireguard mit OpenVPN
Public Key und Private Key können auch unabhängig vom jeweiligen Gerät konfiguriert werden,
um eine .conf Datei für ein beliebiges Endgerät zu erstellen.
umask 077
wg genkey | tee server_private.key | wg pubkey > server_public.key
wg genkey | tee peer1_private.key | wg pubkey > peer1_public.key
Weitere VPN Client (Peer) Schlüssel generiert man dann nur noch mit wg genkey | tee peer2_private.key | wg pubkey > peer2_public.key usw.
Beispiel der .conf Datei für den Peer1:
[Interface]
# Name = wireguard-server2.example
Address = 192.168.200.3/32
PrivateKey = OMjSCv6e/iXECZwq0ZVL5Ywf/KzZvdsGpYKv1512345=
# DNS = 172.16.7.254[Peer]
# Name = Client-peer1
PublicKey = cA+mynt84tVH1gPaUN66E8K0nfzvpsQMohrEbz54321=
Endpoint = router.myfritz.de:51820
AllowedIPs = 192.168.200.0/24, 192.168.188.0/24
# PersistentkeepAlive = 25
- Die importierte Verbindung heisst wie die .conf-Datei.
- #Name - Comment-Feld, nur informativ
- Address = Client: Client Adresse (192.168.200.3/32), Server: ganzes Subnetz (192.168.200.0/24), auch mehrere Subnets möglich
- PrivateKey = der jeweils eigene private.key, im Endgerät wird dann der Public-Key angezeigt
- ListenPort = UDP Port, auf den der Server hört
- Table = ggf. Routing Table
- PublicKey = gegenüberliegender public.key
- AllowedIPs = die Adressen die der Wireguard Server in den Tunnel routet. Wireguard nennt dies "Cryptokey Routing" was bewirkt das der Wireguard Server und Client das Routing für die jeweils remoten IP Netze automatisch in die Routing Tabelle übernimmt.
AllowedIPs = 0.0.0.0/0 bewirkt, dass der gesamte Traffic durch den Tunnel geht. - Endpoint = [öffentl.Serveradresse]:Port (nur beim Client, Port nicht vergessen!)
- PersistentkeepAlive = hält die Verbiundung offen, nur bei Clients hinter NAT
Site-to-Site VPN-Verbindung
- beide Seiten routen im Wireguard in das jeweils gegenüberliegende LAN mit einem Eintrag "AllowedIPs"
- ist der Wireguard-Router nicht das Standardgateway, muß das Standardgateway (oder der PC) ein Routing zum Zielnetz besitzen
Wireguard Online Config Generator:
- Tool erstellt komplette .conf-Datei: https://www.wireguardconfig.com/
- Tool erstellt Schlüsselpaare: https://wg.orz.tools/
- MS blendet standardmäßig Dateiendungen aus, so dass man nicht wirklich eine PDF von einer EXE unterscheiden kann (spinnen die bei MS?).
-> Explorer / Optionen / Ansicht / "Erweiterungen bei bekannten Dateitypen ausblenden" abhaken - Ordner erstellen für Benutzer im Root-Verzeichnis unterbinden
-> LW C: Sicherheit / Erweitert / Erweiterte Berechtigungen:
• (Auth)Benutzer = "Ordner erstellen/Daten anhängen" von "Diesen Ordner, Unterordner" ändern in "Nur Unterordner"
• Für alle lokalen Laufwerke wiederholen
- verschlüsselte Verbindung in das eigene Heim- oder Firmennetz über das Internet
- Vernetzung von Firmen oder Standorten untereinander über das Internet
- sichere Anbindung von eigenen Cloud-Standorten
- verschlüsselte Nutzung unsicherer Netzwerke wie öffentliche WLAN über einen "sicheren" eigenen(!) Endpunkt
Diese Anbieter bieten eine (VPN-)verschlüsselte Verbindung zu ihren Standorten, um diesen als Einwahlpunkt ins Internet zu nutzen.
Was diese Anbieter nicht bieten können ist eine sichere Verbindung, denn man holt sich bewußt als Tunnelende der Verschlüsselung einen fremden VPN-Anbieter.
Die Lösung macht keinen Sinn zur "sicheren" Einwahl ins Internet oder gar zum eigenen Mailprovider.
Das Internet ist nützlich.
Das Internet ist unzuverlässig und unsicher.
Es ist sinnvoll, das Internet zu nutzen.
Es ist gefährlich, sich vom Internet abhängig zu machen.
Diese Trends sehe ich mit Sorge:
- Windows 11: Internetverbindung und MS-Konto wird auch in der Pro-Version Pflicht (siehe hier)
- MS Office 2021, Microsoft 365 und Office 365 erlauben Autosave nur noch in der Cloud. Eine lokale Sicherung ist nicht mehr vorgesehen (siehe hier)
- geschäftskritische Software wird vermietet, die Lizenz muß online aktiviert werden (ohne Internet keine Funktion) und kann jederzeit online deaktiviert werden
Überlegen Sie die Folgen, wenn das 2FA-Gerät nicht mehr verfügbar wäre, und schaffen Sie Redundanz.
Das Versprechen, Cloud Computing sei genau das richtige, um alle IT-Probleme in den Unternehmen ein für alle Mal zu lösen, ist vor ein paar Jahren in den großen Marketing-Abteilungen entstanden.
Dabei spielen Sicherheitsfragen, Verfügbarkeit der eigenen Daten und nicht zuletzt die oft nicht verfügbare Bandbreite eine große Rolle.
Sicher ist die Cloud meist redundant ausgelegt und hat riesigen Rechenpower, aber meine ich das mit Sicherheit?
„Software as a Service“ made in USA wurde 2019 per Präsidentenerlass über Nacht einfach abgeschaltet.
Ich teile die Meinung: So wenig IT outsourcen wie möglich!
.... mehrDazu gehören Intrusion Prevention, SSL und SSH Inspection, Deep-Packet-Inspection, Reputations-basierte Malware-Abwehr oder Applikations-Awareness.
IT-Konzept, Backup-Konzept, Sicherheitskonzept
8. Januar 2021 - hunderte Demonstranten stürmen das Capitol der
Vereinigten Staaten, verschaffen sich Zugang zu Büros und bleiben über 2
Stunden unkontrolliert in dem Gebäude. Das Capitol ist Sitz der US
Representantenhauses und der Legislative der USA.
Die Überwachungskameras können nicht lückenlos den Aufenthalt aller Eindringlinge nachverfolgen.
Gegenstände und Dokumente wurden gestohlen.
Sicher auch Zugangsdaten, Passworte, geheime Informationen.
Es kursieren Bilder, dass ein PC nicht einmal gesperrt war.
Da nicht feststellbar ist, welche Geräte kompromittiert sind, ist aus Security-Sicht davon auszugehen, dass alle Geräte kompromittiert wurden sind.
Die meisten Computer wurden wenige Stunden nach dem Einbruch wieder in Betrieb genommen und arbeiteten noch tagelang.
Es ist also davon auszugehen, dass inzwischen auch weitere externe Verbindungen kompromittiert sind.
Das Capitol muss komplett gesäubert werden.
Der physische Zugangsschutz zu den IT-Systemen ist die Grundvoraussetzung für die IT-Sicherheit eines jeden Systems.
.... mehr
|
-
Ubuntu (Linux) Basics
-
VPN Wireguard Verbindung an GL.iNET OpenWRT
-
Windows 10-11 Home / S Mode
-
Meine Haustechnik
-
CMS: Textpattern
-
BIOS, Bootreihenfolge Tastenkürzel
-
Win11 23H2: Explorer Einstellungen wieder herstellen
-
Backup: Veeam Backup
-
Win10/11: Werbung ausschalten
-
Windows 11 optimieren
-
Antivirus eScan
-
MikroTik Geräte
-
Windows 10/11 Installation und Update
-
Wireguard VPN
-
VPN Wireguard Verbindung an MikroTik Router
-
Proxmox Virtualisierung
(Dauerlizenz, KRITIS-tauglich) -
ESET Antivirus Partner
-
LANCOM Partner
-
LANCOM Professional Techician Firewalls
-
BLUECHIP Partner
-
VMWARE Partner
(Mietlizenz, Online) -
MailStore Certified Technican
-
BARAMUNDI Partner
-
NETGEAR Partner
-
EBERTLANG Partner
-
VEEAM Partner
(Mietlizenz, Online) -
PEASSLER PRTG Netzwerk-Monitoring