Bei der Entwicklung des Internet wurde mehr auf die Ausfallsicherheit der Kommunikationswege geachtet als auf Datensicherheit. Der Transport erfolgt standardmäßig unverschlüsselt. Dabei sind die Daten eines Anwenders auf dem Weg durch das Internet allerdings allein aufgrund der enormen Masse der ständig bewegten Pakete schon recht gut geschützt. Am Provider von Absender und Empfänger müssen allerdings alle Datenpakete vorbei. An diesen beiden Punkten lassen sich die Informationen also gezielt herausfiltern und “mitschneiden”.
Die Lösung des Problems heißt auch hier Datenverschlüsselung. Entweder verschicken Sie verschlüsselte Archive, bei denen es keine Rolle spielt, ob sie jemand abfängt, weil sie ohne das zugehörige Passwort nicht lesbar sind. Oder Sie benutzen von vornherein eine sichere Verbindung. Von den meisten Standardprotokollen im Internet gibt es nämlich inzwischen verschlüsselte Versionen. Diese stellen eine sichere Verbindung vom Client-Programm auf Ihrem Rechner über das Internet bis zur Gegenstelle her.
Sichere Protokolle
Ein Beispiel, das wir bereits erwähnt haben, ist das Surfen per https. Hierbei wird eine SSL-verschlüsselte Verbindung zwischen Browser und Webserver aufgebaut. Weitere bekannte verschlüsselte Protokolle sind zum Beispiel SFTP für Internet-Filesharing (statt FTP) und SSH für die entfernte Anmeldung (statt Telnet). Alle erzeugen einen sicheren Datenkanal durch das Internet. Auch Mail- und Chat-Verbindungen lassen sich so absichern. Ein verschlüsseltes WLAN hilft hierbei übrigens nicht, da nur die Verbindung vom Client zur Basis gesichert wird. Für den anschließenden Weg im Kabel müssen Sie extra sorgen.
Datentunnel
Einen besonderen Fall der Datenverbindung stellen VPN-Tunnel (Virtual Private Network) dar. Sie erlauben das sicherere Verbinden zweier lokaler Netzwerke über das Internet. Hierbei wird ebenfalls eine verschlüsselte Verbindung erzeugt, die den Benutzern in einem Teilnetz den Zugriff auf Dienste aus dem anderen Teilnetz erlaubt und umgekehrt. Auf diese Weise lassen sich getrennte Abteilungen von Firmen koppeln oder Außendienstmitarbeiter sicher einbinden.
Verschlüsselung aktiveren
1. Mail-Server abfragen
Sichere Verbindung zum Server mit Apple Mail aufbauen: Das Mail-Programm von Mac-OS X erlaubt die Nutzung von SSL für die Verbindung zum Mail-Server. Einen solchen Service bieten viele Betreiber von Mail-Servern an, darunter auch Apples Mobile-Me-Dienst (ehemals .Mac). Zur Aktivierung öffnen Sie die Account-Einstellungen und klicken auf den Reiter “Erweitert”. Mail passt bei Aktivierung von SSL automatisch die Port-Nummer an. Diese sollten Sie aber kontrollieren, da einige Provider andere Ports nutzen.
2. iChat-Anmeldung
Verschlüsselt chatten mit iChat: Auch iChat kann die Übertragung zum Server sichern. Hierzu öffnen Sie die Einstellungen des Programms und klicken in der Symbolleiste auf “Accounts”. Anschließend wechseln Sie in den Bereich “Sicherheit”. Als Mobile-Me-Abonnent finden Sie ganz unten im Fenster die Möglichkeit, die iChat-Verschlüsselung zu aktivieren. Für eine sichere Chat-Verbindung, muss Ihr Partner die Verschlüsselung auch aktiviert haben.
3. FTP-Verbindung
Gesichertes Filesharing im Internet: FTP ist eines der ältesten und bekanntesten Protokolle im Internet, das zur Übertragung von Dateien dient. Der in Mac-OS X integrierte FTP-Server unterstützt leider keine Verschlüsselung. Wer öfter FTP nutzt, sollte daher auf eine sichere Variante wie Pureftpd (www.pureftpd.org) ausweichen, das sich mit dem praktischen Konfigurationstool Pureftpd Manager (http://jeanmatthieu.free.fr/pureftpd) relativ komfortabel konfigurieren lässt. Für den Zugriff können Sie zum Beispiel das kostenlose (bzw. spendenabhängige) Cyberduck benutzen, das sowohl SFTP als auch FTP-SSL unterstützt.
4. AFP-Passwörter
Zugangsdaten nur verschlüsselt übertragen: Bei der Anmeldung an einem Mac mit aktivem AFP-Filesharing sollten Sie die Passwörter nicht im Klartext übertragen lassen. Diese Option stand in Mac-OS X 10.4 noch im Aktionsmenü des Anmeldedialogs zur Verfügung.
Leopard benutzt sichere Passwörter, wenn Sie die Klartext-Option nicht per plist-Editor in der zugehörigen Konfigurationsdatei aktivieren. Einige ältere LAN-Platten und Linux-Server mit AFP-Support hatten mit den verschlüsselten Passwörtern Probleme, aber bei aktuellen Softwareversionen sollten diese nicht mehr auftreten.
Entfernte Anmeldung
1. Entfernte Anmeldung
SSH-Zugang in den Sharing-Einstellungen aktivieren: Wenn Sie in den Systemeinstellungen unter “Sharing” den Dienst “Entfernte Anmeldung” aktivieren, kann man sich per Terminal über das Netzwerk an Ihrem Mac anmelden. Dafür nutzt Mac-OS X das verschlüsselte SSH-Protokoll, welches das unsichere Telnet ersetzt hat. Neben der Liste legen Sie fest, welche Benutzer sich per SSH anmelden dürfen. Da das Terminal einen sehr direkten Zugang zum Basissystem darstellt, sollten Sie diesen Kreis klein halten.
2. Zugriff per Shell
Anmeldung mit dem Terminal-Programm per SSH: Auf einem anderen Mac im Netz öffnen Sie nun das Dienstprogramm Terminal. Im Menü “Shell” gehen Sie auf den Befehl “Neue entfernte Verbindung”.
Es erscheint ein Fenster, in dem Sie unter “Dienst” das Protokoll “Sichere Shell (SSH)” auswählen können. Rechts davon können Sie eine Liste mit Servern anlegen. Hier sollte der Mac automatisch erscheinen. Wenn nicht, fügen Sie seine IP-Nummer hinzu, geben unten den Benutzernamen ein und klicken auf “Verbinden”
VPN-Router nutzen
1. Geeignete Router
DynDNS und VPN-Unterstützung: Wer die Einwahl in das heimische Netzwerk über VPN erlauben will, benötigt entweder Mac-OS X Server (das einen VPN-Server integriert hat) oder einen Router mit VPN-Server. Dieser sollte dann auch gleich DynDNS unterstützen. Dieser kostenlose Service (www.dyndns.com) weist Ihrem Internet-Zugang einen Host- und einen Domainnamen zu, unter dem in diesem Falle der VPN-Server via Internet erreichbar ist. Für einen solchen Router, im abgebildeten Beispiel ein Modell aus dem Hause Draytek, fallen Kosten zwischen 100 und 250 Euro an.
2. Einwahl aktivieren
VPN-Server am Router starten: Zunächst aktivieren Sie am Router die VPN-Einwahl. Wählen Sie als Protokollset IPsec. Unter “IPsec Einstellungen” (bei anderen Routern gegebenenfalls unter anderem Namen zu finden) legen Sie den Schlüssel fest, mit dessen Hilfe später die Codierung stattfinden soll.
Bestimmen Sie dann die Verschlüsselungsprotokolle; wir haben uns im Beispiel für hohe Sicherheit entschieden.
3. Zugang und Benutzer anlegen
Berechtigte Benutzer des VPN-Servers anlegen: VPN-Server verbinden nicht nur Netzwerke sicher miteinander, sie gewähren auch einzelnen Benutzern einen verschlüsselten Zugang. Im nächsten Schritt sind in diesem Falle die Zugangsparameter für den Benutzer festzulegen. Das erfolgt über “VPN / LAN-LAN Profile”. Drayteks Vigor-Serie unterstützt mehrere Verbindungen, für jede muss der Anwender eine eigene Einstellung festlegen und mit einem Namen (im Beispiel vrmobil) versehen. Um die Konfiguration vorzunehmen, wählen Sie den Namen des Profils aus.
4. Entfernte Netzwerke/Nutzer
Verbindungsparameter anlegen: Unter “Grundeinstellung” wird der Name des Profils eingegeben und das Profil aktiviert. Den Punkt 2, “Verbindungsaufbau zu externem LAN”, lassen Sie unverändert. Unter Punkt 3, “Einwahl von externem LAN”, aktivieren Sie lediglich “IPsec”, sämtliche anderen Einwahloptionen sollten deaktiviert sein.
Unter “Entfernte Netzwerk IP” geben Sie eine beliebige IP-Adresse aus dem Bereich privater Adressen ein, beispielsweise 10.1.2.3. Diese wird später auch beim VPN-Client eingetragen. Es ist die virtuelle Adresse des externen Nutzers, der sich dann später ins Netzwerk wählt. Unter “Entfernte Teilnetzmaske” geben Sie 255.255.255.255 ein, “RIP Pakete tauschen” sollte ausgeschaltet sein.