Wir zeigen Euch heute, wie Ihr ganz praktisch die Sicherheit beim Surfen erhöhen könnt, beispielsweise wenn Ihr das Gratis-WLAN in Eurem Lieblingscafé oder einem Hotel nutzt.
Wer macht das nicht? Das WLAN ist umsonst, natürlich nimmt man lieber das als das eigene Datenvolumen aufzubrauchen. Meist verfügen diese freien Wifi-Hotspots auch über kein Passwort, so dass das Auswählen des richtigen Netzes schon ausreicht. Diese Nutzungsart hat aber einen gewaltigen Haken: der gesamte Datenverkehr zwischen Eurem Handy und der Antenne des Routers ist komplett unverschlüsselt. Nutzt Ihr gut programmierte Apps oder HTTPS-Verbindungen, so ist das egal, weil die Verschlüsselung schon stattfindet, bevor sie überhaupt das Handy verlassen. Der ganze andere Traffic, häufig auch der, der von Apps gesendet wird, schwirrt jedoch völlig ungesichert Daten durch die Gegend. Und jeder kann es mithören und mitschneiden – denn früher oder später ist, und sei es nur weil man mal eben das Passwort in die falsche Seite eingetippt hat, etwas Wertvolles dabei. Wir zeigen Euch hier, wie einfach es ist sich ein eigenes VPN für solche Gelegenheiten anzulegen.
Ein VPN ist unsere ganz private Datenpipeline
Ein VPN ist ein virtuelles privates Netzwerk. Virtuell deswegen, weil es selbstverständlich immer noch das Internet benutzt, aber eben extra für Euch die genutze Verbindung verschlüsselt – bis es dann ins Internet geht. Etwas bildlicher: die Datenpakete (stellt Euch ruhig ganz kleine DHL Pakete vor) schwirren von Eurem Handy zum Router und dann ins Internet. Genauso wie die von allen anderen auch. Möchte jetzt jemand sehen, was da verschickt wird, können die Pakete einfach mitgenommen (abgehört) werden. Um das zu verhindern, bauen wir eine Rohrleitung, eine private Pipeline, vom Handy zum Router und weiter zum VPN-Anbieter, so eine Art moderne Rohrpost. So kommt an die Datenpakete keiner ran, weil keiner das Passwort für die Pipeline kennt.
Jetzt brauchen wir also jemand, der bereit ist, diese Pipeline, die uns Sicherheit bietet, aufzubauen. Dieser VPN Anbieter hat ein paar Server stehen, die es erlauben eine verschlüsselte Verbindung zwischen unserem iPhone oder Mac und eben diesen Rechnern aufzubauen. Praktischerweise haben beide Apple-Geräte schon die passende Software an Bord, um diese Infrastruktur auch nutzen können.
Investiert fünf Minuten Arbeit
und steht jeden Tag gut da!
Um kurz auf das Sicherheitslevel einzugehen, das wir erreichen wollen: wir wollen verhindern, das wir jemandes freien Internetzugang nutzen und dieser unseren Traffic abhört bzw. jemand Fremdes, der sich im gleichen Netz wie wir befindet, bevor das Internet erreicht wird. Also das Niveau, was wir auch bekommen, wenn wir mit unserer eigenen DSL-Leitung ins Netz gehen oder die UMTS/LTE Verbindung nutzen. Zwar bekommen wir durch die Nutzung der VPN-Verbindung auch eine andere IP, aber ums anonyme Surfen geht es hier erstmal nicht. Ebensowenig sind wir dadurch vor der NSA sicher, deren Arbeit beginnt, wenn die Daten das Internet betreten. Es geht schlicht darum ein Mindestmaß an Sicherheit zu erreichen und nicht mit heruntergelassener Hose (ja, so schlimm ist es) im Café unsere Daten herauszuposaunen. Schließlich soll der Mac nicht nur gut aussehen, wir wollen ja auch nicht dumm stehen und dem Klischee des dummen Nutzers entsprechen. ;)
Und los gehts: als ersten suchen wir uns einen VPN-Anbieter. Da gibt es viele, googelt einfach mal. Wir nutzen traceless.me, weil dieser Dienst ein Surfvolumen von 5 GB gratis anbietet. Wer also nur ab und zu mal in öffentlichen Netzen unterwegs ist oder nur Texte hin und her schiebt, dürfte damit schon glücklich werden. Unbegrenztes Volumen kostet dort knapp 6,50 Euro. Zudem ist der Support sehr nett und hilfsbereit und half uns sehr kompetent und ausdauernd beim Einrichten (keine Angst, das war der Worst Case und wir sagen Euch unten woran es lag).
Eine VPN-Verbindung auf macOS einrichten
Für die Errichtung einer VPN Verbindung müssen zwei Dinge gegeben sein: man muss sich mit seinem Account einloggen und ebenfalls nochmal beim Server. Das mit dem Account ist so einfach wie bei Euren eMails: Name und Passwort. Die Authentifizierung gegenüber dem Server kann nun einfach per Shared Secret erfolgen (nochmal ein Passwort) oder man macht es per Zertifikat. Das dauert nur eine Minute länger, man spart sich ein Passwort, und ist besser, weil es Man-in-the-Middle-Attacken ausschließt und Euch zudem zum King of the Hill macht. Dafür entscheiden wir uns, weil wir eh schonmal dabei sind und die Zertifikate bis 2025 gültig sind.
Für traceless.me ladet Ihr ein ganzes Zertifikatepaket hier herunter – es heißt l2tp_ipsec_certs.zip. Entpackt es und seht mal rein. Dem geneigten Betrachter fällt nun auf, dass es zwei Gruppen gibt: ca**.crt und client**.p12. Die erste Gruppe steht für die Authentifizierung beim Server, das zweite dient für unsere Anmeldung, wir sind der Client. Und welches Zertifikat nehmen wir nun? Ganz einfach, das mit dem Landeskürzel unseres Servers. Da wir den deutschen VPN-Server nutzen, wählen wir also cade.crt und clientde.p12. Zum Hinzufügen doppelklicken wir erst auf cade.crt doppelt, danach auf das andere, bitte in dieser Reihenfolge.
Während des Prozesses wird einmal nach Eurem Systempasswort gefragt (was Ihr hoffentlich im Kopf habt) und einmal nach dem Zertifikatepasswort, für traceless.me in diesem Fall ist es (haha) traceless.me. Nebenbei sollte sich auch die Keychain öffnen, so dass Ihr sehen könnt, dass die Zertifkate ihren Weg dort hin gefunden haben.
Da es sich um manuell eingefügte Zertifikate handelt, müssen wir unserem Mac noch sagen, dass wir ihm trauen. Doppelklickt also auf Kazana Solutions UG CA DE (das mit dem roten Punkt) und stellt die oberste Option auf “Immer vertrauen”. Schließt das Fenster wieder und ihr seid fertig. Der Punkt ist nun blau. Jetzt kann sich unser System und die Servergegenseite vertrauen und weiß wer wer ist. Für den Aufbau einer verschlüsselten Verbindung essentiell. Und diese gilt es im nächsten Schritt zu etablieren.
Wir verlassen Keychain nun und so begeben uns in die Systemeinstellungen > Netzwerk und klicken unten links auf das Pluszeichen. Damit können wir eine neue Verbindung hinzufügen. Wir wählen in diesem Fall IKEv2, eine aktuelles Protokoll, was auch von allen Apple Produkten unterstützt wird. Nach dem Anlegen der Verbindung braucht es noch die Serveradresse und die Remote ID, welche für die deutschen Server de.traceless.me lauten. Local ID bleibt leer.
Jetzt noch auf Authentication Settings und dort Username und Passwort auswählen. Wir wählen explizit nicht Zertifikat, da wir die sichere Variante mit Zwei-Faktor-Authentifizierung geählt haben: Die Zertifikate für den Server und unseren Zugang (geschieht im Hintergrund) und Name und Passwort erneut für unseren Account. Das wars auch schon! Probierts direkt mal mit dem “Verbinden” Button aus! Sofort sollte eine verschlüsselte Verbindung zu den Servern von traceless stehen, so dass niemand mehr auf dem Weg von Eurem Mac bis dorthin mithören kann und Ihr Euch nun sorgenlos auch in freien WLANs herumtreiben könnt. Setzt Ihr unten links noch das kleine Häkchen, so habt Ihr immer das VPN-Symbol in der Menüleiste, so dass Ihr es einfach und wieder ausschalten könnt.
Die Zertifikate gelten für jeden der Server einmal. D.h. eins für den deutschen, eins für den niederländischen etc. Wollt Ihr die nutzen, importiert einfach alle entsprechenden Zertifikate in die Keychain und achtet dann beim Anlegen einer neuen Verbindung darauf, dass das Land des gewählten Servers mit dem des Zertifikates übereinstimmt. Name und Passwort Eures Account bleiben hingegen gleich.
Probleme bei der Zertifikatsinstallation auf macOS: Unable to import. Error -25294
Falls es beim Import es Zertifikates in die Keychain eine Fehlermeldung gibt wie diese
Schaut mal links oben in die Liste der angelegten Ordner. Sollten dort mehre den gleichen Namen haben und zudem leer sein, dann will Keychain aus irgendeinem Grund die Zertifikate dort hinzufügen. Sie müssen sich aber in “Keychain/System” und “Category/Certificates” Ordner landen.
Löscht daher einfach die überflüssigen leeren Ordner.
VPN-Verbindungen auf iPhone mit iOS anlegen
Jetzt, da der Mac sich sicher fühlt, ist das iPhone dran. Auch hier hat Apple alles schon gut vorbereitet, so dass wir nur entsprechenden Zertifikate installieren und unsere Zugangsdaten eintragen müssen. Das Importieren ist beim iPhone sogar noch etwas einfacher. Wenn Ihr sowieso gerade am Mac seid, sendet Euch einfach die beiden oben gewählten Zertifikate in einer Mail zu. Auf dem iPhone öffnet Ihr die Mail und tappt erst wieder auf das ca**.crt Zertifikat und installiert es (mit Eingabe Eurer PIN) und dann das andere mit traceless.me als Passwort. Fertig!
Jetzt zum Anlegen der eigentlichen Verbindung: In den Einstellungen > Allgemein ziemlich weit unten auf VPN und dann VPN hinzufügen gehen. Wir wählen auch hier die aktuellste IKVe2 Option und geben wie auf dem Mac als Serveradresse und Remote ID de.traceless.me ein.
Und jetzt aufpassen: genauso wie auf dem Mac nutzen wir zwar das Zertifikat, allerdings geschieht das automatisch im Hintergrund (wers nicht glaubt kann das Zertifikat mal wieder löschen, wenn alles läuft). Daher auch hier als Authentifizierungsmethode Username und Passwort wählen! Damit sollte alles klappen. Nun könnt ihr die VPN-Verbindung mal einschalten und sehen ob alles läuft. Oben in der Menüleiste sollte auch ein Rechteck mit VPN-Bezeichnung auftauchen, so dass Ihr immer seht, ob die Verbindung steht oder nicht. Apple war auch so schlau, die VPN Verbindung als neuen Menüpunkt ganz oben in den Einstellungen zu listen, so dass diese bei Bedarf auch schnell zu erreichen ist.
Abgesicherte VPN Verbindungen für Netze, die freien Zugang bieten, und bei denen Ihr nicht wisst, wem die Infrastuktur gehört
Mit diesen Konfigurationen surft Ihr ab sofort in allen öffentlichen WLAN-Netzen, Flughafen Wifis oder Hotelnetzwerken sicher. Ihr dürft nur nicht vergessen sie einzuschalten. Selbstverständlich könnt Ihr sie auch dauerhaft eingeschaltet lassen, dann benötigt ihr nur die preiswerte kostenpflichtige Option und erspart Euch damit das An/Abschalten, so dass für alles die einmalige Konfiguration genügt. Beim iPhone solltet Ihr Euch auch angewöhnen in öffentlichen Hotspots nur noch über VPN zu surfen, schließlich wisst Ihr jetzt Bescheid ;)
VPN Anbieter hier im Beispiel: traceless.me
