Homeautomation mit der Fritz!Box

Die Idee dazu gibt’s bei mir schon länger. Bereits Anfang 2015 gab es die Überlegung DECT Heizkörperventile für Bieberehren zu beschaffen. Für das Haus wäre aber gleich das volle Dutzend nötig geworden. Bei einem Stückpreis von seinerzeit noch rund 60 € durchaus ein kräftiges Investment. Die seinerzeit eingesetzte FritzBox 7490 hätte die 12 Ventile aber in der Tat unterstützt.

Stand Januar 2018 sind die Preise bei deutlich unter 40 €/Stück angekommen und für meine kleine Bude standen lediglich 5 der EUROtronic Comet DECT Thermostatventile auf dem Bestellzettel. Die nahezu baugleichen Fritz!DECT 301 liegen immer noch bei etwas mehr als 50 €/Stk.

Warum Homeautomation?

Zur Motivation der Beschaffung in meinem Fall: Zum einen liegt meine Wohnung im Souterrain und ist damit durchaus etwas anfällig für Feuchtigkeit. Bewusstes Heizen und regelmässiges Stoßlüften hält das Risiko allerdings im Zaum. Stoßlüften heisst natürlich auch: zu dem Zeitpunkt sollte die Heizung runtergeregelt werden, um nicht die Wärme zum Fenster raus zu blasen. Zum zweiten bin ich oft genug unter der Woche bei Kunden unterwegs und fast regelmässig auch an den Wochenenden außer Haus. Da braucht es nicht die volle Heizleistung. Beide Szenarien lassen sich mit genügender Disziplin auch manuell durchführen, aber einfacher ist die Automation. Andererseits ist es natürlich auch sehr schön in eine gemütlich warme Wohnung heimzukehren. Hier kann nur die Automation helfen. Als Nebeneffekt nehme ich eine Einsparung an Energiekosten oder auch die Zeitersparnis für die Beseitigung von Schimmel – s.o. unter Feuchtigkeit – gerne mit.

Installation

Die Thermostatventile selbst sind relativ schnell eingebunden. Der erste Schritt kann komplett am Schreibtisch erfolgen: DECT-Ventil aus der Verpackung nehmen, die mitgelieferten Batterien griffbereit daneben legen, FritzBox Weboberfläche aufrufen, Abteilung Heimnetz/SmartHome aufrufen und die Kopplung eines neuen Geräts starten. Als nächstes die Batterien einlegen. Im Display des Thermostatventils erscheint erst PREP dann INST und nach ein bisschen blinkern der DECT Anzeige kam bei mir auf allen fünfen sofort eine Verbindung zustande. In der Weboberfläche wird das Gerät dann noch passend benannt und der erste Schritt ist abgeschlossen.

Die physische Inbetriebnahme war in meinem Fall ebenso einfach: einmal die vorhandenen “statischen” Thermostatventile einmal mit der Wasserpumpenzange links gedreht, die neuen draufmontiert und die Adaption kann losgehen. Für den Fall, dass ein anderes Gewinde vorliegt, sind Adapterringe mitgeliefert. Auch wenn ich durch den Sanitär- und Heizungsbaubetrieb meines Vaters, in dem ich als Jugendlicher mithelfen durfe, etwas erblich vorbelastet bin: das ist keine Raketenwissenschaft und mit durchschnittlichem handwerklichem Geschick zu leisten. Die Anzeige liefert bei der Montage INST, 3 Sekunden auf OK und schon beginnt eine kurze Anlernphase in der einmal der komplette Ventilweg durchgesteuert wird.

Konfiguration

Auch wenn manuelle Stellmöglichkeiten am Ventil selbst nach wie vor vorhanden sind – ab jetzt passiert erstmal alles in der Weboberfläche der FritzBox. Erster Schritt: die Definition von Komfort- und SparTemperatur. Nur was ist komfortabel in Grad Celsius? Unsere üblichen Heizkörperventile kennen Striche von 0 bis 5, aber keine Gradangaben. Auch hier half mir die Quasi-Ausbildung durch meinen Vater. Als gängige Faustregeln für die RaumTemperaturen gelten:

  • Wohnräume und Büro: 21 °C – je nach Empfinden auch gerne ein Grad mehr oder weniger. Gerade im Büro bei sitzender Tätigkeit – also wenn unsere Muskeln kaum bewegt werden und damit keine körpereigene Wärme produzieren, kann ein Grad mehr den Unterschied machen.
  • Kinderzimmer: 23 °C – insbesondere bei kleineren Kindern, je älter die Kinder werden, desto näher kann die Temperatur an die Wohnräume angepasst werden.
  • Schlafzimmer: 18 °C – mehr braucht es zum Schlafen tatsächlich nicht, je nach Empfinden sogar noch bis zu drei Grad weniger.
  • Bad: 23 °C – hier darf’s etwas behaglicher sein, insbesondere nach dem Baden oder Duschen.
  • Küche: 19°C – schon alleine weil dort Herd und Backofen zur rechten Zeit zuheizen.

Wie gesagt: alles erstmal nur Faustregeln, die man auf das persönliche Wohlbefinden anpassen muss. Aber als Ausgangsdaten für unsere Grundsteuerung taugen sie schon mal. Die Werkseinstellung mit 21 °C Komfort- und 16 °C Spartemperatur lassen sich so schon mal je Raum anpassen.

Als nächstes kommen wir zum Zeitplan, nach dem zwischen Komfort und Sparmodus umgeschaltet wird. Hier sind die persönlichen Lebensumstände natürlich maßgebend. Wer – wie ich – alleine lebt, hat’s einfach, ansonsten ist hier der Familienrat gefragt. Wann sind Aufsteh- und Zubettgeh-Zeiten? Wer hält sich wann in welchem Raum auf und braucht dann die Komforteinstellung, bzw. umgekehrt: wann kann ein Raum auf Sparflamme gesetzt werden? Wie verhält sich das an normalen Wochentagen und wie am Wochenende? Dazu sollte eingerechnet werden, dass es auch noch eine gewisse Vorlaufzeit braucht, bis ein Raum von kühl auf komfortabel eingeheizt ist – also auch die Raumgröße beachten! Wie weit will ich tatsächlich runterregeln, um einen guten Kompromiss zwischen Energieeinsparung und Eiskeller zu finden?

Hier greift eine weitere Faustregel: Maximal sollte die Temperaturdifferenz zwischen Komfort und Spareinstellung 4 bis 5 °C betragen. Zu starke Differenzen in Spar- und Komforttemperatur schaffen keinen Energieeinspareffekt mehr. Es ist weniger Energieaufwand geringe Differenzen wieder auszugleichen, als einen bereits ausgekühlten Raum wieder auf Komforttemperatur zu bringen! Aus das hatte ich rudimentär schon bei meinem Vater gehört, war aber dankbar das von meinem Bürokollegen Architekt nochmal en detail erläutert zu bekommen.

Am Ende hilft nur etwas experimentieren und die Aufzeichnungen der Temperaturen, die die Ventile an die FritzBox senden, auszuwerten. Zusammen mit den Einstellungen für die Heizperiode als Ganzes (Abschaltung der Heizkörper in einem vorgegebenen Zeitraum) sowie der Möglichkeit Urlaubszeiten einzutragen in denen nur eine Grundtemperatur gehalten und der Zeitplan ignoriert wird ist ein Großteil der Anforderungen bezüglich volle Pulle vs. Sparflamme aufgrund von An- und Abwesenheiten damit schon weitestgehend erledigt.

Ebenfalls sehr hilfreich ist ein externes Raumthermometer um die tatsächliche Temperatur im Raum mit der vom Ventil gemessenen abzugleichen. Konkret: wie ist die Temperatur an Stellen im Raum an denen ich mich regelmässig aufhalte: über Tag am Schreibtisch, abends auf der Couch, nachts im Bett, zum Essen am Küchentisch, …?

Hierfür gibt es einen sog. Offset in den Einstellungen mit der Differenzen in der Messung im Raum vs. der Temperatur am Ventil ausgeglichen werden können. Es ist durchaus sinnvoll jeden Raum mal über ein, zwei Tage daraufhin zu überwachen und nachzujustieren.

Das Anwendungsszenario Stoßlüften ist sozusagen ab Werk schon gelöst. Wird ein Fenster geöffnet – sprich: fällt die Temperatur im Raum schlagartig ab – regelt das Thermostatventil sofort komplett ab. Die Erkennung dafür und die Zeit der Abschaltung lassen sich einstellen, scheinen mir auf den ersten Blick aber ab Werk gut gewählt. Aber auch da habe ich im Laufe der Zeit etwas nachkorrigiert. So habe ich es mir zur Angewohnheit gemacht während des morgendlichen Badaufenthalts das Schlafzimmer durchzulüfen. Die dafür voreingestellten 10 Minuten waren etwas zu knapp bemessen, so dass ich den Wert auf 15 Minuten angehoben habe um ganz in Ruhe mich Duschen zu können, ohne das im Schlafzimmer schon wieder die Heizung anläuft und zum Fenster rausbläst.

Zugriff von Außen

Ein weiteres Komfortmerkmal ergibt sich aus der Zugänglichkeit der FritzBox aus dem Internet. Sofern man das will und sofern man die notwendigen Sicherheitsvorkehrungen dafür treffen kann und getroffen hat! Erlaubt man den Zugriff von außen – wahlweise direkt auf das Webinterface der FritzBox via https oder per VPN und dann über die interne IP auf die FritzBox können die Einstellungen für die SmartHome Geräte auch von unterwegs getroffen werden. Wie gesagt: hier wäre es mehr als wünschenswert, alles dafür zu tun, dass nur berechtigte Personen solche Einstellungen vornehmen können.

Nicht nur die Weboberfläche selbst wird so erreichbar auch verschiedene Drittanbieter Tools können über diesen Zugang angebunden werden. Im iOS AppStore finden sich gleich mehrere Anwendungen dafür:

  • MyFritz!App – die von FritzBox Hersteller AVM selbst entwickelte App, die unter anderem auch den Zugriff auf die Homeautomation ermöglicht (aber eben auch noch auf NAS Inhalte, Einstellungen, Anruflisten und Nachrichten auf dem Anrufbeantworter). Anders als der Name vermuten lässt bedarf es nicht zwingend eines MyFritz Kontos. Auch über eine fixe IP, einen DynDNS Eintrag und einfachen Benutzer-Credentials lässt sich die App mit der FritzBox verbinden. Die Einstellmöglichkeiten sind rudimentär: WunschTemperatur hoch oder runter. Die aktuell gemessene RaumTemperatur wird erst angezeigt, wenn man sich die Details des jeweiligen Geräts aufruft. Dafür ist die App kostenlos.
  • smart!DECT – für das Schalten von (AVM) Steckdosen prima geeignet. Beim Abfragen der Thermostatventile fing die Anzeige aber regelmässig das Flackern an. Dafür ist (mir) kostenlos noch zu teuer.
  • Smart!Home – von HOsy. Eigentlich eine gute Adresse, wenn es um Anbindungen von macOS oder iOS an die FritzBox geht. In dem Fall aber leider ungeeignet, weil nur auf schaltbare Steckdosen fokussiert. Vielleicht liefert ein kommendes Update ja noch die Steuerung für die Thermostatventile. Dann wären 2,29 € sicher nicht zu viel Geld dafür. So erstmal keine Kaufempfehlung.
  • fritch – kostet ebenfalls 2,29 €. Allerdings finde ich schon das Interface nicht sonderlich attraktiv. Zumal sich mit den gewählten Farben Festlegungen von Temperaturbereichen verbinden, die nichts mit meinen Einstellungen in der FritzBox zu tun haben, sondern in der App willkürlich festgelegt sind. Ungetestet.
  • smartFranz – Kann erstmal kostenlos getestet werden und dann über einen In-App Kauf zu 9,99 € komplett freigeschaltet werden. Absolute Killerfeatures: die Verkettung von mehreren Geräten für eine Aktion sowie die Geo-Fence Funktion. Verlasse ich das Haus in einem bestimmten (einstellbaren) Umkreis, werden festgelegte Aktionen ausgeführt. In meinem Fall eben die Temperatur runtergedreht oder auch bestimmte schaltbare Steckdosen ein- oder ausgeschaltet.

Wichtig hierbei: nicht zu enge Radien wählen, weil ansonsten schon beim Gang zum Briefkasten oder beim Einkauf um die Ecke die Heizung runtergefahren wird. Bei mir haben sich 2 km als guter Wert erwiesen. Wichtig auch: exakte Adresse eingeben. Wenn man ansonsten später von außerhalb mal die Einstellungen nachjustiert, kann die Geo-Fence Funktion “2 km von aktuellem Standort” anders als gewollt interpretieren.

Umgekehrt natürlich genauso: nähere ich mich meinem Zuhause wieder an, dreht die Heizung auf. Letzteres nutze ich zwischenzeitlich schon nicht mehr. Die 2 km für’s Abschalten reichen umgekehrt bei der Annäherung nicht aus, um die Räume wieder auf angenehme Temperatur zu bringen. Und ein zweiter Schaltpunkt – sagen wir bei Annäherung auf 10 km – würde zu einer Fehlinterpretation nach dem Abschalten führen, da 2 km auch näher als 10 km sind und damit unmittelbar nach dem Abschalten sofort wieder ein Einschaltbefehl gesendet würde. Stattdessen nutze ich für die Annäherung einfach die Verkettung: Abhängig von der Tageszeit habe ich zwei verschiedene Temperaturszenarien hinterlegt, die ich wahlweise bei Heimkehr unter Tags oder in den Abendstunden ca. 30 – 45 Minuten vor geplanter Ankunft unterwegs abrufe.

Priorisierung

Sehr wesentlich zu wissen: was passiert wann, wenn von unterschiedlichen Stellen auf die Einstellungen der Thermostatventile zu gegriffen wird. Welche Einstellung überfährt welche?

  • Das erste Setting erfolgt durch die Angabe der (Nicht-)Heizperiode. Innerhalb des eingestellten Zeitraums werden keinerlei andere Regelungen – egal ob Zeitplan, App, manuell, … – zugelassen
  • Die zweite Priorität liegt im Urlaubsplan. Auch während dort hinterlegten Zeiträume werden keine Zeitpläne ausgeführt, bzw. der Zugriff via App und am Ventil selbst deaktiviert.
  • Als drittes greifen die Zeitpläne. Manuelle Eingriffe am Ventil oder via App werden von den Zeitplänen überfahren. Sprich: ändere ich unterwegs die Temperatur, wird beim nächsten Schaltvorgang im Zeitplan die dort hinterlegte Einstellung gezogen. Ebenso, wenn manuell am Thermostat selbst eine Temperatur eingestellt wird.
  • Alle manuellen Eingriffe – gleich ob über die Weboberfläche, verbundene Apps oder manuell am Thermostatventil selbst haben die niedrigste Priorität und werden von allen vorgenannten Stellmöglichkeiten wieder überfahren. Hier gilt einfach nur: wer zuletzt lacht, lacht am besten. Temperatur in der App runtergedreht und anschliessend am Ventil wieder nach oben, behält die letzte Einstellung, also in dem Fall die manuelle Veränderung.

Wünsche an AVM

Gerade was die Eintragung von Urlaubszeiten und Heizperiode angeht, darf der Komfort gerne noch etwas größer werden. Zwar ist es Möglich mehrere Ventile zu einer Gruppe zusammen zu fassen und gemeinsam zu konfigurieren. Aber bei der Gruppenkonfiguration gilt: alles oder nichts. So werden nicht nur die Urlaubszeiten an alle Ventile einheitlich übertragen, sondern auch die Zeitpläne werden komplett angeglichen. Just da will ich aber soviel individuelle Einstellung wie möglich haben. Nur weil ich den ganzen Tag im Büro bin und die Komforttemperatur von 22 °C haben möchte, müssen andere Räume wie das Schlafzimmer nicht ebenfalls auf dem (dort eh viel zu hohen) Niveau gehalten werden. Umgekehrt: in dem Moment wo ich die Ventile einzeln anspreche, muss ich einen Urlaubstermin auch jeweils einzeln pro Ventil hinterlegen. Da wäre eine Vorauswahl was global und was individuell eingestellt werden soll sehr hilfreich.

Sicherheit

Ein bisschen was dazu klang ja bereits weiter oben an: Der Zugriff von außen sollte natürlich so restriktiv wie möglich gehandhabt werden. Starke Kennwörter, Verschlüsselung der Verbindung sind das absolute Minimum. Und auch die Verwendung des MyFritz Zugangs ist trotz der der Einbindung eines Let’s-Encrypt Zertifikats nicht ganz problemlos.

Aber auch ohne die FritzBox ins Internet zu exponieren ergibt sich in der Kommunikation zwischen Ventil und FritzBox durch die Verwendung von DECT ein potentieller Angriffsvektor. Unklar ist ob die DECT Ventile bei der Kommunikation mit der FritzBox sich einer Verschlüsselung bedienen und ob diese auch Reverse Engineering Angriffen standhält. Aber zumindest sollte man das Szenario nicht aus den Augen verlieren!

Warum ich Sicherheits PlugIns mag

Und dann war ja doch Thorsten Landsiedels Blog Beitrag auf den ich noch eine Antwort schuldig bin: http://torstenlandsiedel.de/2016/12/16/warum-ich-keine-all-in-one-sicherheitsplugins-mag/

Angefangen hatte alles mit einem Tweet: 

Oha. Wenn so eine krasse Aussage von Thorsten kommt, dann werde ich hellhörig. Auf dem WP-Camp Berlin 2012 hatte Er einen (damals durch aus kontrovers diskutierten)  Vortrag zum Thema WordPress Sicherheit gehalten und mich mit damit angefixt. Sicherheit und Administraton war bis dahin schon mein Tagesgeschäft auf der Mac Seite. Das WordPress gleichermaßen einen Pflegebedarf hat, war mir bis dahin nicht in den Sinn gekommen. 

Schön, dass er deshalb meiner Bitte nach etwas mehr Ausführlichkeit nachkam. 

Nach aufmerksamer Lektüre des Blogbeitrags bleibt von der pauschalen Kritik an iThemes Security allerdings nicht viel übrig. Grundsätzlich richtig ist allerdings: “Das beste Werkzeug ist ein Tand in eines tumben Toren Hand.” Ich habe es die Tage unlängst selbst wieder erlebt: nur mal eben das PlugIn installieren hilft halt nichts. Und willkürlich ein paar Haken reinsetzen leider auch nichts. 

Was ich dennoch an solchen Security Suites wie z.B. dem von iThemes mag:

  1. Ein komplettes Paket, das viele potentielle Lücken adressiert wird von der Performance nicht schlechter sein, als viele kleine, die jeweils für sich ein einzelnes Thema bedienen. 
  2. Wer sich in Sicherheit gründlich einarbeitet, kann jede Absicherung die iThemes Security bietet auch auf andere, direktere Art realisieren. Insbesondere für die zahlreichen Einträge in der .htaccess braucht es nicht zwingend ein PlugIn. Aber “for the rest of us” ist es einfach, hilfreich und vor allem transparent es mit wenigen Klicks zu konfigurieren. 
  3. Ein Security PlugIn ist ein Security PlugIn ist ein Security PlugIn. Und Backup ist ein anderes Thema. Ebenso wie Spamabwehr. Die Tatsache das rudimentäre Funktionen dafür auch in iThemes Security stecken, heißt nicht, das man sie nutzen muss. Am ehesten kann man hier noch als Entschuldigung gelten lassen: besser als gar nichts. 

Den Kern der Kritik in Thorstens Blogbeitrag “ohne gesundes Wissen hilft kein PlugIn” teile ich uneingeschränkt. Das gilt für Security und Administraton ebenso, wie für SEO, Performance oder Content Marketing. Nur ein PlugIn zu installieren ist and der Stelle ebenso gut, worauf Wunderheilungen zu hoffen. 

Den Rant auf Twitter, der alles ins Rollen brachte sehe ich schon durch seinen eigenen ausführlichen Beitrag als relativiert an. 

Sind ihre Passwörter sicher?

Es vergeht fast kein Tag mehr, an dem nicht von irgendeinem Hack – Sony, Sega, US-Senat, GoogleMail, etc., etc. – zu lesen ist und bei dem Passwörter erspäht oder sogar veröffentlich werden. Wer auch nur eine handvoll Webdienste mehr oder minder intensiv nutzt und evtl. sogar Einkäufe oder Geldtransfers tätigt der sollte spätestens jetzt alarmiert sein. Wenn dann noch die oft vorherrschende (Un)Sitte ein Passwort für mehrere Dienste einzusetzen dazu kommt, wird’s wirklich ernst!

Ich gebe zu: in der Vergangenheit bin ich auch mit 3 bis 4 Passwörtern im Internet ausgekommen. Eines für relativ triviale Zwecke wie einmalige Einsätze um Downloads zu erhaschen oder an Gewinnspielen mal teilnehmen zu dürfen. Eines für Forenzugänge, eines für Einkäufe und ein »Hochsicherheitspasswort« für wirklich wichtige Sachen. Aber ehrlich: 6 bis 8 Buchstaben, die sich evtl. sogar in der eingesetzten Reihenfolge auch noch in einem Wörterbuch finden lassen sind nicht Hochsicherheit! Und ein Passwort für alle Foren könnte – sofern auch nur ein Forum gehackt würde – zu einer erheblichen »Identitätskrise« führen, wenn ein Angreifer die gewonnenen Erkenntnisse reihum einsetzen würde um mir eher unliebsame Dinge in meinem Namen zu verbreiten. Von irgendwelchen Auswirkungen auf meinem Konto, wenn demnächst jemand mal bei Amazon, mal bei ebay in meinem Namen einkaufen geht ganz zu schweigen.

Die sichere Variante schaut so aus:

  1. jeder Webdienst bekommt sein eigenes, individuelles Passwort
  2. Passwörter müssen sicher sein, sprich: eine willkürliche Kombination aus Buchstaben – evtl. sogar noch Gross- und Kleinschreibung unterschieden, Zahlen und evtl. noch Sonderzeichen

Klingt aufwändig? Ist es erstmal auch, insbesondere dann, wenn man wie ich schon eine Vielzahl von Logins sein eigen nennt und die erstmal nach diesen Richtlinien geändert werden müssen. Aber es ist eigentlich wie immer: Sicherheit und Bequemlichkeit sind zwei Dinge, die sich diametral entgegen stehen und zwischen denen jeder für sich einen gangbaren Weg finden muss. Ich für meinen Teil habe nach den o.g. Vorkommnissen gerne den etwas steinigeren Pfad gewählt.

Dabei gibt es einen – für mich zwischenzeitlich unverzichtbaren – Helfer, der eigentlich schon seit längerem seinen Dienst bei mir tut, den ich aber noch sie so strapaziert habe wie jüngst. Die Rede ist von 1Password.

Mit einem merkfähigen Masterpasswort bekomme ich den Zugriff auf beliebig viele sichere Passwörter für die div. Internetdienste.

01-1P-Loginscreen.jpg  

Damit merkfähig nicht automatisch unsicher heisst – also etwa der Mädchenname meiner Grossmutter oder der Geburtstag der Katze – gibt es mehrere Möglichkeiten um ein solches Passwort zu generieren. Kleiner Exkurs »wie baue ich ein Passwort«:

  1. Der Merksatz
    »Das ist das Haus vom Nikolaus« gäbe etwa das Passwort »DidHvN«. Noch etwas kurz und bis jetzt lediglich Buchstaben – immerhin schon Gross- und Kleinschreibung gemischt. Da Nikolaus stets am 6.12. gefeiert wird, könnte also »DidHv612« draus werden und schon wären zum einen zwei Zeichen und sogar Ziffern dazu gekommen. Qualität schon in der Rubrik mittelprächtig
  2. Ein verfremdetes Wort
    Als erstes ein Wort finden das min. 8 Zeichen umfasst und irgendwie in den zu schützenden Kontext gehört. Nehmen wir als Beispiel doch einfach »Privatsphäre«. Innerhalb dieses Wortes finden sich nun Buchstaben, die sich durch Zahlen ersetzen lassen. Ein »E« ist nichts anderes als eine gespiegelte »3«, eine »4« schaut einem »A« ähnlich, je nach Schrifttype sind »1« schon mal leicht mit dem großen »I« oder dem kleinen »l« und die »0« mit »O« zu verwechseln. So könnte aus »Privatsphäre« leicht »Pr1v4tsph43r3« werden. Noch etwas Gross- und Kleinschreibung gemischt und »pR1v4tSph43R3« geht als klasse Passwort durch
  3. Tastenläufe
    ob man’s glauben mag oder nicht … »qwertz123456« ist aufgrund seiner Länge und der Mischung von Buchstaben und Zahlen ein sicheres Kennwort. Grosses Aber: es sollte niemand hinter einem stehen und spicken, wenn man es auf der Tastatur eingibt!
  4. Aussprechbare Kunstwörter
    »soveraida« oder »rotantiou« sind keine wirklichen Wörter, auch wenn Sie auf den ersten Blick so aussehen und so klingen. Nicht einmal in einer Fremdsprache. Es sind nach dem »FIPS-181« Standard erzeugte Kennwörter. Mit etwas mehr Textlänge (ab 21 Zeichen) oder in Kombination mit Ziffern dürfen sie als sicher gelten. »bukolufotatamana123« könnte so eine Zauberformel für den Zugang zu ihrem Passwort-Tresor werden

Erster Disclaimer: keines der o.g. Bespiele kommt bei mir zum Einsatz ;-).

Nichts spräche dagegen nach dieser Methodik sich nun für jede Seite ein entsprechendes Passwort aufzubauen und z.B. über die einschlägige Browserfunktion die sich Kennwörter einmerkt abzuspeichern. Mehr noch: Sofern der Browser auf den Mac OS X Schlüsselbund zugreift (Safari, Camino) steht auch dort ein Passwortgenerator zur Verfügung, der z.B. FIPS 181 kompatible Kennwörter erzeugen kann.

Aber es geht eben mit 1Passwort noch einfacher und an ein paar Ecken – da kommen wir noch zu – auch komfortabler. Wie schon gesagt: von dieser Sorte Passwort brauche ich bei Verwendung von 1Passwort genau eines. Nämlich das, das mir den Zugang zu 1Passwort und seiner Passwort-Datei eröffnet. Innerhalb von 1Passwort – und damit für jeden Webdienst – bietet mir das Programm selbst einen sehr guten Passwortgenerator an. Meine Voreinstellungen für neue Passwörter steht zwischenzeitlich bei 20 Zeichen, Ziffern und Buchstaben gemischt, Reihenfolge zufällig.

02-1P-Kennwort-erzeugen.jpg

Sofern eine Webseite ordentlich genug programmiert ist und maximale Längenbeschränkungen für Passwörter übermittelt werden, kürzt 1Passwort diese Vorgabe automatisch ein, ansonsten ist an der Stelle noch etwas Handarbeit gefragt um ein neues Passwort gemäss den Vorgaben einer Webseite zu erzeugen, sprich: etwas unsicherer zu machen ;-).

Durch die Integration in den Browser schlägt 1Password bei neuerkannten Logins automatisch vor, diese einzumerken.

03-1P-Abruf-im-Browser.jpg

Dabei können die Login-Einträge innerhalb von 1Password in Unterordner gruppiert und/oder mit Etiketten getaggt werden.
Damit wären en passant schon zwei Vorteile von 1Password gegenüber dem Mac OS X Schlüsselbund genannt. Zum einen die Integration in alle Browser, nicht nur in die, die den OS X Schlüsselbund nutzen. Einmal einen Eintrag erzeugt, greifen alle Browser – auch Firefox, Opera und Chrome, die ansonsten ihr eigenes Süppchen kochen – auf den gemeinsamen Passwortspeicher zu. Die Integration umfasst sogar Programme, die nur im Nebenberuf Browser sind, wie z.B. den RSS-Client NetNewsWire oder das Dokumentenmanagement DevonAgent.
04-1P-Settings-Integration.jpg

Zum zweiten die sehr viel weitergehenden Sortiermöglichkeiten über Unterordner und/oder Etiketten mit deren Hilfe sich eine vernünftige Struktur in die gesammelten Passwörter bringen läßt.
Als drittes wäre der schnelle Zugriff auf die Logins zu nennen. Anstatt erst URL einzugeben und dann den Login abzurufen, bietet 1Passwort einen sehr schnellen Weg über das Menü »Anmeldung zeigen«, das mit einem Tastenkürzel (Alt-Shift-Umschalt-+) aufgerufen werden kann.
05-1P-Quick-Access.jpg
Name des Eintrags oder Teile der URL reichen als Suchbegriff aus um den gewünschten Login zu identifizieren, ein Return um die Seite fixfertig mit Anmeldung aufzurufen. Diese Funktion fand ich derart nützlich, das ich das Kürzel via Butler gleich Systemweit eingeführt habe.
06-1P-Global-Shortcut.jpg
Mit der Tastenkombination wird ausserhalb von Safari, in jedem beliebigen Programm Safari in den Vordergrund geholt und der entsprechende Eintrag im Menü dort aufgerufen.
Ein weiteres Plus gegenüber dem Systemschlüsselbund: pro Webdienst kann ich mir mehr als nur einen Zugang abspeichern. Das ist für mich eine erhebliche Arbeitserleichterung, habe ich doch z.B. auf einem Webhosting-Server mehrere Zugänge zu Kundenpräsenzen. Diese sind alle über ein- und dieselbe URL erreichbar, unterscheiden sich aber naturgemäß durch die Login-Daten. Mit 1Passwort kann ich nun je einen Eintrag »Webhosting Kunde A«, »Webhosting Kunde B«, … erzeugen und kriegen diese als Login passend präsentiert.

07-1P-Multi-Logins.jpg
Weiterhin kann ich verschiedene Zahlungsinformationen wie Bankkonten und Kreditkarten verwalten und sogar (sofern die Feldbezeichnungen in Webformularen richtig erkannt werden) ausfüllen lassen. Ebenso können Anmeldevorgänge bei Webseiten beschleunigt werden. Immer wieder abgefragte Informationen wie Anschrift, Geburtsdatum etc. werden aus den in 1Passwort hinterlegten Identitäten abgefragt. Dabei können auch hier wiederum mehrere Identitäten – beispielsweise private und geschäftliche, aber auch unterschiedliche Personen – dort hinterlegt werden. Oder auch eine »Pseudoidentität« für Dienste die allzu neugierig und vielleicht sogar geschwätzig sind ;-).
1Passwort liefert zudem ein paar Ordnungskriterien, die die laufende Arbeit an Passwörtern vereinfachen. Über einen Intelligenten Ordner kann ich z.B. alle tendenziell unsicheren und schon länger im Gebrauch befindlichen Passwörter identifizieren. Sprich: hier steckt eigentlich mal die nächste Arbeit drin, diese Zugänge zu härten.
Zweiter Disclaimer: gar nicht erst anstrengen. Die meisten der hier gelisteten Passwörter sind entweder eh publik und keine Zugangssicherung im engeren Sinne oder nur intern in meinem Netz verfügbar oder eine Vorgabe meiner Kunden auf die ich (leider) (bisher) keinen Einfluss habe
07-1P-Verwaltung.jpg
Neben den schon beschriebenen Abteilungen für Web-Anmeldungen, Zahlungsinfos und Identitäten können auch Informationen zu anderen Zugängen, z.B. über Programme wie iTunes zum iTS, sichere Notizen und Seriennummern von Programmen sicher eingemerkt und verwaltet werden.
08-1P-Software.jpg
An der Stelle sind die Unterschiede zum Schlüsselbund eher marginal. Bestenfalls die Möglichkeit per Drag ‘n Drop Bilder und eMails aufzunehmen verdient eine Erwähnung.
Sehr viel wichtiger als Funktion ist mir dagegen die Möglichkeit die Daten auch zu meinem iPhone spielen zu können. In diesem speziellen Fall sogar ohne den für andere Plattformen notwendigen Weg via Dropbox, sondern direkt via WLAN Peer-to-Peer zwischen den beiden Programmversionen für Mac und iPhone. Wer sich traut seinen (verschlüsselten) Kennwortspeicher von 1Passwort der Dropbox anzuvertrauen, dem stehen auch Syncronisationsmöglichkeiten zwischen mehreren Rechnern – Mac und PC – sowie zusätzlich der Android-Plattform offen.
1Passwort ist kostenpflichtig. Die Einzellizenz für Mac oder Windows liegt bei knapp $ 40, beide Plattformen zusammen sind für $ 60 zu erwerben. Bei mehreren Rechnern lohnt ein Blick auf die 5er Lizenz. Für eine einzelne Plattform (Mac oder Win) sind dafür $ 70 fällig, plattformübergreifend $ 20 mehr. Im iTunes AppStore finden sich Versionen für iPhone/iPod touch oder iPad zu je 7,99 € oder eine 1Password Pro Version, die die iPad- und iPhone/iPod touch-Version in sich vereint zu 14,99 €.
1Passwort taucht oft genug auch in den einschlägigen Bundle-Angeboten auf. Aktuell (21.6.2011) z.B. im Freelance Mac App Bundle. Wer dort weitere für sich interessante Programme (Billings und TextExpander sind auf jeden Fall einen Blick wert!) ausmacht, kann zu einem Preis von $ 49 zuschlagen.

Ein Grund mehr sein WLAN zu schützen

Was ich in meinem Artikel »Sicherheit im WLAN« schon beschrieb, hat nun das Landgericht Hamburg in einem Urteil vom 26. Juli bestätigt: Wer sein drahtloses Netz jedermann offen hält, wird für die Folgen haftbar. Im konkreten Fall konnte sich die Musikindustrie mit einem Unterlassungsbegehren gegen einen WLAN-Betreiber durchsetzen, der sein Netz ohne Schutzmechanismen betrieb. Nachdem über den offenen Accesspoint Musikstücke illegal über ein Gnutella-Netz bereitgestellt wurden, hatte nicht der (unerkannte) Filesharer das Problem, sondern der Betreiber des WLANs!

Wörtlich heißt es in dem von Rechtsanwalt Lampmann veröffentlichten Urteil:

Zwar konnte weder festgestellt werden, dass sie selbst die Rechtsverletzung begangen haben, noch konnte es durch die Vorlage der eidesstattlichen Versicherung ausgeschlossen werden. Denn die eidesstattliche Versicherung sagt nichts dazu aus, ob die Antragsgegner persönlich zum streitgegenständlichen Zeitpunkt die Rechtsverletzung begangen haben, dass sie sich auf eine erst am 20.03.2006 erfolgte Überprüfung bezieht. Auch kann letztendlich nur vermuten, wie seine Eltern, die Antragsgegner, den Internetanschluss genutzt haben. Es ist aber nicht auszuschließen, dass die Rechtsverletzung durch andere nicht bekannte Nutzer des Anschlusses erfolgt sind die die ungeschützte WLan-Internetverbindung der Antragsgegner genutzt haben.

Ob die Antragsgegner die Rechtsverletzungen selbst begangen haben oder ob die Rechtsverletzungen aufgrund einer Nutzung der ungeschützten WLan-Internetverbindung durch Dritte erfolgten, kann aber dahinstehen. Denn die Antragsgegner haben für diese Rechtsverletzung jedenfalls nach den Grundsätzen der Störerhaftung einzustehen.

Wie üblich schützt auch Unwissenheit hier nicht vor Strafe! Auch wer nicht selbst über die notwendigen technischen Kenntnisse zur Einleitung von Absicherungsmassnahmen verfügt, muss für Abschottung sorgen. Die Kosten für professionelle Hilfe hält das Gericht – aus meiner Sicht zu recht – für zumutbar. Auch die widerspenstigsten WLAN-Router und -Accesspoints sollten nach längstens einer halben Stunde dichtgemacht sein.

Neben den vitalen Interessen, die jeder haben sollte, seine eigenen Dateien und Netzressourcen vom dem Zugriff Dritter zu schützen, tritt damit auch der Schutz vor zivilrechtlichen Ansprüchen und – mal die gerade gerne genommenen Szenarien von Terror, Kinderporno oder Rechtsextremismus rangezogen – sogar vor strafrechtlicher Verfolgung.

Sichere USB-Sticks selbst gemacht

Für’s Onlinebanking empfiehlt sich das sehr sichere HBCI-Verfahren mehr als die unsägliche Sicherheitslücke PIN/TAN (egal ob mit oder ohne “M” oder “i” vorn dran – das grundsätzlich Konzept ist unsicher). MacGiro unterstützt von Anfang an diese Möglichkeit. Allerdings waren in der Frühzeit des Onlinebankings über HBCI nur Karten und entsprechende Leser als Medium für den HBCI-Schlüssel wirklich sicher. Nun setzen sich neuerdings immer mehr USB-Sticks mit entsprechenden Sicherheitsmechanismen durch.

OS X hat auch hier zum im Werkzeugkasten das passende Bordmittel um einen handelsüblichen USB-Stick in ein hochsicheres Medium zu verwandeln.

Mit dem unter OS X mitgelieferten Festplatten-Dienstprogramm lassen sich verschlüsselte Images erstellen:

  1. Festplattendienstprogramm unter Programme/Dienstprogramme/ starten.
  2. Neues Image erstellen
    Festplattendienstprogramm
  3. Image-Einstellungen vornehmen
    Oben Dateinamen und Speicherort wählen
    (Ziel-)Größe Festlegen (z.B. 100 MB) – die HBCI-Schlüsseldatei selbst ist etwa 1,9 kB groß
    Verschlüsselung aktivieren
    Format wählen (z.B. mitwachsendes Image)
    Einstellungen
    Unterschied “beschreibares Image” gegen “mitwachsendes Image”: Das mitwachsende passt seine Grösse nach dem Inhalt an. d.h. es ist anfangs kleiner und wächst je nach inhalt bis zur angegebenen Zielgrösse mit. Beim “beschreibaren Image” ist die Grösse fix. d.h. es benötig von Anbeginn die angegebene Grösse, auch wenn noch nix drin ist.
  4. Passwort vergeben
    Passworteingabe
    Hier wird das Passwort für den Zugang zum Image eingegeben. Je nachdem ob der Haken für den Schlüsselbund gesetzt wird, erfolgt beim Mounten des Images eine Passwortabfrage oder der Rückgriff auf den OS X Schlüsselbund. Mehr dazu unten
  5. Image wird erstellt
    erzeugte Image-Datei
    Am oben ausgewählten Speicherplatz erscheint nun das Diskimage (.sparsimage oder .img je nach verwendetem Format unter Schritt 3) und auf dem Schreibtisch erscheint das aktivierte Volumen. Dort können nun die Dokumente reingeschrieben werden.

Das gespeicherte Imagefile kann nun per Doppelklick im Finder gestartet werden und wird – wie jeder andere Datenträger auch – gemountet und verhält sich auch ansonsten wie eine normale Festplatte oder eine Serverfreigaben. Es kann mit Apfel-E oder mit Drag ‘n Drop auf auf den Papierkorb entfernt werden.

Ist der Haken für den Schlüsselbund (siehe unter 4.) deaktiviert worden, muß beim Aktivieren des Images das festgelegte Passwort eingegeben werden. Wurde der Haken gesetzt, wird das Volume automatisch aktiviert ohne das eine Nachfrage erfolgt. Die Wahl ist also hier zwischen »sicher« und »bequem« zu treffen. Für die Bequemlichkeit spricht, das der Stick falls er in unbefugte Hände gerät, an einem anderen Rechner (ohne Passwort im Schlüsselbund) immer noch geschützt ist. Wird der Stick an einem dafür eingerichteten Rechner benutzt ist der Schutz natürlich ungleich löchriger, weil bestenfalls noch eine Abfrage für das Masterpasswort des Schlüsselbundes (je nach Einstellungen) auftaucht.

Dieser Beitrag basiert auf einem Posting von meinem Freund Simon Eisele, Mac-Systemadministrator an der Hochschule der Medien, Stuttgart im Apfeltalk-Forum. Von ihm stammen auch die Screenshots. Vielen Dank für die Genehmigung dies hier zu veröffentlichen.

Sicherheit im WLAN

Drahtloses Surfen erfreut sich steigender Beliebtheit. Auch ich gönne mir jeden Sommer diesen Spaß gegönnt und warte schon wieder sehnsüchtig auf die ersten Sonnenstrahlen, die es mir ermöglichen mein Büro in den Garten zu verlegen. Ein echtes Stück Lebens- und Arbeitsqualität das ich nicht mehr missen möchte. Aber deshalb muß man es ja nicht gleich jedem gönnen.

Das Plug-and-Play-Vergnügen das einem die Hersteller der diversen WLAN-Basisstationen liefern ist unter Sicherheitsaspekten als kritisch einzustufen! Das gilt nebenbei bemerkt für fast alle Hersteller solcher AccessPoints. So unterschiedlich die mitgelieferten Konfigurationstools, Firmwares etc. sein mögen, die Werkseinstellungen bezüglich der Sicherheit sind i.d.R. offen wie ein Scheunentor. Rühmliche Ausnahme scheinen die Fritz!Boxen zu sein, die dafür an anderer Stelle so ihre Tücken haben.

In dem Moment wo ein WLAN-AccessPoint eingeschaltet wird, ist er für jeden Rechner, der mit einer entsprechenden Gegenstelle ausgestattet ist, sicht- und ansprechbar. Alle dahinterliegenden Dienste sind sofort verfüg- und nutzbar, sofern diese nicht eigene Sicherheitsvorkehrungen mitbringen. Verfügbare Dienste heißt nicht automatisch (nur) Internetzugang, auch wenn dies der mit Abstand meistgebotene Dienst ist. Auch freigegebene Laufwerke von Servern oder Arbeitsplatzrechnern, Intranet-Webserver, freigegebene Drucker, FaxModems, Mailserver, etc. etc. sind dann für jeden, der über diesen Accesspoint zum eigenen Netz Zutritt erhält verfügbar. Obwohl räumlich »Von aussen« kommend ist ein solcher »Gast« netzlogisch ein interner Benutzer. Daher sind z.B. auch alle Vorkehrungen die zur Abschottung des internen Netzes gegenüber dem Internet in Form von Firewalls, Paketfiltern, Proxies etc. getroffen werden an dieser Stelle erst einmal wirkungslos.

Die Folgen der Freiheit

Wie schon gesagt stehen diverse Dienste, die für die berechtigten Nutzer eines Netzwerks gedacht sind, auch allen anderen »Besuchern« offen. Da oft auch andere Sicherheitseinstellungen, z.B. für den Zugriff auf gemeinsame Dateien lax gehandhabt werden, könnte ein unberechtigter Dritter Einblick in Dateien nehmen, diese verändern oder sogar löschen. Oder auf freigegebenen Druckern den Papier- und Tonervorrat mit reichlich Müll verbraten. Oder über ein FaxModem noch einen Kumpel anrufen und auch ihm das Netz via Modem zugänglich machen. Der häufigste Fall des Mißbrauchs wird jedoch das Surfen auf anderer Leute Kosten und in anderer Leute Verantwortung sein.

Eine mögliche Kostenfalle läßt sich am einfachsten mit einer Flatrate umgehen. Einige WLAN-Accesspoint-Betreiber machen dies sogar bewußt um im Sinne eines »OpenSource«-Gedankens anderen an ihrer schnellen Internetverbindung teilhaben zu lassen. Auch erste Geschäftsmodelle, die diesen Gedanken um eine Bezahlvariante anreichern sind in der Entstehung, wenn auch nicht immer ganz ausgegoren oder wirtschaftlich. Egal unter welchen Bedigungen ein WLAN-Accesspoint offen steht – freiwillig oder unfreiwillig, kostenlos oder gegen Obulus – zum Internetzugangsprovider für DSL, ISDN oder Analog-Verbindung tritt das interne Netz immer nur unter einer IP-Nummer auf. Und diese ist rückverfolgbar bis zum Netz des WLAN-Betreibers. Und auf den fällt die Beweislast, wer wann in Netz mit welcher internen IP denn bestimmte (illegale) Dinge getan hat. Ein schwierig zu führender Beweis, da die WLAN-Accesspoints über gar keine oder keine ausreichenden Log-Funktionen verfügen! Spätestens hier wird ersichtlich das es bestimmte Hürden braucht um seine Ressourcen nur den jenigen zu überlassen, denen man vertraut.

Fünf Sicherheitstipps für den Betrieb eines WLAN

  1. WLAN abschalten
    Auch wenn das zunächst paradox klingt: wenn WLAN nicht wirklich gebraucht wird (weil man sowieso gerade neben der Ethernet-Steckdose sitzt), einfach mal den AccessPoint abschalten. Voreinstellungen sind in einem nichtflüchtigen Speicher geschützt, so das es überhaupt nichts schadet diesen Teil des Netzwerks bedarfsweise vollkommen lahm zulegen. Der sicherste Schutz überhaupt!
  2. ESSID-Kennung ändern und verstecken
    Ab Werk sind WLAN-Accesspoints mit so sinnigen Namen für den ESSID (Extended Service Set Identifier) wie “default” oder dem Namen des Herstellers ausgestattet. Anhand dieser einfachen Benenung sind WLAN-Netze leicht aufzustöbern und auf Verfügbarkeit zu prüfen. Ein eigener, eindeutiger Name ist also ein erster Schritt. Durch das Verstecken dieser Kennung, können sich weiterhin nur die Rechner am WLAN anmelden, die den korrekten Namen kennen und übermitteln. Die Grenzen des ESSID-Versteckens sind allerdings auch schon ausführlich beleuchtet.
    Schutzmechanismen am Beispiel der Airport Basisstation
  3. WEP/WPA-Verschlüsselung aktivieren
    Wie schon am Titel zu erahnen sind für die Verschlüsselung gleich mehrere Methoden unterwegs. Die Auswahlreihenfolge ist einfach: WPA (Wi-Fi Protected Access) geht vor WEP (Wired Equivalent Privacy). Je größer die bit-Zahl des Verschlüsselungsalgorithmus ist, desto sicherer. Hex geht vor ASCII. Ausgewählt wird letztlich das, worauf alle Rechner eines Netzes sich verstehen (kleinster gemeinsamer Nenner aus Kompatibilitätsgründen). Größter Nachteil dieser Verschlüssung – bei WPA zwar etwas besser als bei WEP – ist, das der Schlüssel statisch ist und ein ausreichend langes Belauschen der drahtlosen Übermittlung von eingebuchten Rechnern ausreicht um den Schlüssel rückrechnen zu können. Tools zum Aufspüren und Entschlüsseln von WLANs sind im Internet frei verfügbar. Entsprechend kann und sollte der Schlüssel von Zeit zu Zeit ausgetauscht werden.
    Dialogfenster zur Einstellung der WEP/WPA-Schutzfunktionen Die Angabe der entsprechenden WEP/WPA-Einstellungen auf dem einwählenden Rechner
  4. Positivliste von MAC-Adressen
    Jede Netzwerkkarte – eine WLAN-Karte ist nichts anderes – ist mit einem eindeutigen Media Access Code (MAC-Adresse) versehen. Durch eine Liste von zulässigen Netzwerk(WLAN)Karten in der Konfigurationsdatei des Accesspoints wird sichergestellt, das sich nur Geräte einwählen können, deren MAC-Adresse in der Positivliste auf der Basisstation enthalten ist. Umgekehrt können auch identifizierte Angreifer in eine Negativliste aufgenommen werden. Auch für dieses Verfahren gibt es Grenzen; eine MAC-Adresse kann mit entsprechenden Tools gefälscht werden.
    Hinterlegung von zugelassenen MAC-Adressen Einstellungen auf der Clientseite für den Zugang zu einem geschützten WLAN
  5. VPN-Verschlüsselung
    Einige neuere WLAN-Router verfügen über die Möglichkeit den WLAN-Netzverkehr in einem verschlüsselten Tunnel – einem Virtual Private Network (VPN) zu übertragen. Auch auf älteren Accesspoints ist dies machbar, sofern dahinter ein entsprechender Router/Server betrieben wird, der als VPN-Gegenstelle fungiert. Im Prinzip werden zwei Netze – eines vor (der Rechner, der sich per WLAN einwählt) und eines hinter dem WLAN-Accesspoint (das eigentliche Firmennetz) zu einem gemeinsamen Netz gekoppelt. Sofern ein solches WLAN abgehört wird, ist für einen Angreifer nur ein verschlüsselter Tunnel sichtbar. Dieser Schlüssel ist durch die gewählten Verfahren (zumeist IPSec) sehr sicher. Der eigentliche Datenverkehr läuft dann im Inneren dieses Tunnels ab und kann über weitere Mechanismen zusätzlich abgesichert werden.

Fazit

Für ein normales Maß an Sicherheit sollte eine Kombination aus den Verfahren 2), 3) und 4) verwendet werden. Damit werden einem potentiellen Angreifer gleich mehrere Hürden aufgestellt. Zunächst muß ihm die ESSID bekannt sein. Als nächstes muß er den stattfindenden Netzverkehr solange belauschen, bis der WEP/WPA-Schlüssel geknackt ist und zu guter letzt muß er dem Accesspoint eine gültige MAC-Adresse vorgaukeln. Wie schon gesagt: machbar ist das alles, wenn auch mit hohem Zeitaufwand für den Angreifer verbunden. Genau hierin liegt der Schutz: Aufwand und zu erwartender Erfolg stehen in keinem vernünftigen Maß zueinander. Wer kann und wer sich besonders gut schützen möchte, sollte eine VPN-Lösung erwägen, da sich hierbei der Zeitaufwand für einen Angreifer auf nahezu unendlich verschiebt. Die größtmögliche Sicherheit bietet ein bei Nichtbenutzung ausgeschalteter AccessPoint.

VPN Zugang einrichten

Wer unterwegs oder von zu Hause auf seine Serverdaten zugreifen möchte ohne die notwendigen Sicherheitsaspekte dazu nicht aus den Augen zu verlieren kommt um einen VPN-Zugang nicht herum.

OS X Server bietet mit ein paar wenigen Mausklicks die Möglichkeit einen solchen VPN-Zugang bereitzustellen. Neben dem unsicheren PPTP-Verfahren ist auch das L2TP/IPSec-Verfahren unterstützt.

Clientseitig sind folgende Schritte notwendig um einen Zugang zu einem VPN-Server zu erhalten:

Programm “Internet-Verbindung” starten, dort neue VPN-Verbindung erstellen
Konfigurations PopUp

Im anschliessenden Dialog L2TP über IPsec als Protokoll-Art auswählen

L2TP/IPSec versus PPTP

Danach steht die eigentliche Konfiguration an:

Konfigurations PopUp

Konfigurationsdaten eintragen

Die Beschreibung ist wahlfrei, als Server-Adresse ist der DynDNS-Namen oder eine fixe IP mit der der Server vom Internet aus ansprechbar ist einzutragen. Unter Account die Benutzerkennung desjenigen, der die Verbindung aufbaut. Als Benutzer-Identifizierung wird Kennwort vorgeschlagen, das dem User zugewiesene Passwort für seinen Zugriff auf die Dienste des OS X Servers gilt auch hier, da auch der VPN-Zugang über den zentralen Authentifizierungsdienst des OS X Servers läuft.

Alternativ können auch vom Server erstellte Zertifikate, der servereigene Kerberos-Dienst oder eine RSA-SecurID zur Benutzeridentifizierung verwendet werden.

Die Rechneridentifizierung läuft wahweise über ein Kennwort (Shared Secret) oder ebenfalls über ein Serverzertifikat.

Wird der Haken bei “VPN bei Bedarf aktivieren” gesetzt, erscheint folgendes Fenster, in dem nochmals der Domainname von DynDNS einzutragen ist. Damit wird sichergestellt, das bei Aufruf dieser Domain der VPN-Tunnel automatisch etabliert wird.

VPN Verbindung ausschliesslich für …

Nach Bestätigen mit den Buttons “Fertig” und “Ok” und dann erscheint folgende fertige Konfiguration.

Fertige Konfiguration

Wenn nun eine Internetverbindung besteht (egal ob GPRS, Modem, ISDN, DSL) kann via “Verbinden” die Einwahl zum Server ausgelöst werden.

Mit dem Haken bei “VPN-Status” wird ein kleines schwarzes “Ticket” in der Menüleiste eingeblendet, über das ebenfalls die Einwahl ausgelöst werden kann.

Menübar VPN-Status

Steht die VPN-Verbindung zum Server sind alle Dienste verfügbar als wäre man im lokalen Netz eingloggt. Lediglich die zumeist geringere Geschwindigkeit im Vergleich zum lokalen Ethernet deutet noch auf die Ferneinwahl hin.