ComputerBase Menü
Aktuelles

Passwortschutz für Windows WireGuard möglich?

T

tdklaus

Cadet 3rd Year
Registriert
Jan. 2014
Beiträge
59
Hallo,
der WireGuard-Client für Windows macht sich zwar die Mühe, die config-files zu verschlüsseln, aber bei offenem Windows ist der Verbindungsaufbau jederzeit ohne weitere Passwortabfrage möglich.
Was könnte man da dazwischenbauen? Kann man zB den Client bei der Installation in einen VeraCrypt-Container schicken? Oder sein Data-Verzeichnis in so einen Container umbiegen? In der Registry finde ich keinen expliziten Data-Pfad, der scheint unter dem Installationsverzeichnis hart verdrahtet zu sein.
Oder gibt's irgendwo ein kleines Utility, das einfach um den Aufruf von wireguard.exe eine Passwortabfrage legt?
 
Und was willst du damit erreichen?
Wenn jemand an deinen Rechner kommt und der zu der Zeit läuft, dann ist es von einem Sicherheitsstandpunkt vorbei. Wenn er nicht gelockt ist, ist dann nur noch sekundär.
 
  • Gefällt mir
Reaktionen: Raijin
Ich verstehe grad den Sinn nicht so ganz dahinter. Wenn du vermeiden willst, dass jemand Drittes an deinen Rechner geht, wenn du nicht davor sitzt, dann log dich einfach aus.

Wenn ich meinen Rechner ohne Aufsicht offen laufen lassen würde, dann wäre aber der VPN-Client das Allerletzte um das ich mir Sorgen mache.
 
  • Gefällt mir
Reaktionen: h00bi
Ja, herzlichen Dank für all die Antworten warum ich nicht brauche was ich will...
Also gut, die Rechtfertigung zuerst:
Ist ein Bürocomputer, der mehreren Mitarbeitern offensteht. Sachen, die nicht alle angehen, sind in Containern. Genau in so einem hätte ich gerne auch den WG-Client. Nur weil ich meine Haustür offen lasse, muss noch nicht jeder meinen Tresorschlüssel haben.
Das allgemeine Konto hat Admin-Rechte, weil sonst die $%&§$-Branchensoftware nicht läuft, weitere Windows-Konten sind also auch keine besonders gute Abschottung.
 
  • Gefällt mir
Reaktionen: Wolfgang359 und blaiz
Soweit ich weiß, kann wireguard das nicht.
War auch sehr erstaunt, wie läppisch das umgesetzt ist.

Betreibe schon länger einen OpenVPN und einen Wireguard "Server" (lange bevor das mal "endlich" beim Consumer in der Fritte ankam.
Ganz ehrlich: Ich versteh den Hype nicht.

OpenVPN kann mehr in Sachen Security, ist jetzt nicht soooo kompliziert wie alle tun und von der Performance sind meine beiden VPNs gleich (also von wegen OpenVPN wäre ja so viel langsamer).
 
tdklaus schrieb:
Oder sein Data-Verzeichnis in so einen Container umbiegen?
Zum Vergrößern anklicken....
Man kann viele Verzeichnisse ohne Probleme umbiegen. Windows hat dafür sein Konsolen-Programm "mklink". Mit Konsole meine ich die Eingabeaufforderung, keine Ahnung ob irgendwer auch eine schöne GUI dafür programmiert hat.
  1. Den gewünschten Ordner zum neuen Ort verschieben (z.B. dorthin, was du als "Container" bezeichnest).
  2. Die Eingabeaufforderung öffnen.
  3. Befehl MKLINK /D "Alter Ort" "Neuer Ort" eingeben.
    Beispiel: MKLINK /D "C:\Users\tdklaus\Wireguard" "G:\Wireguard" (Namen sind ausgedacht)
  4. Fertig.
Nach dieser Aktion wirst du unter "C:\Users\tdklaus" einen Order mit dem Namen "Wireguard" sehen, der links unten einen Verknüpfungspfeil hat. Und er leitet alle Lese-/Schreibaktionen zu "G:\Wireguard" weiter.
 
  • Gefällt mir
Reaktionen: h00bi und tdklaus
Danke, probier' ich mal. Wird man schon vor dem Import der configs machen müssen, denn danach hat nur noch SYSTEM Zugriff auf die verschlüsselten Versionen. Falls dann der Autostart von WG nicht mehr geht weil der Container noch nicht offen ist wär's für mich nicht schlimm.

Ein simples wireguard.exe --datadir= ... wäre auch zu schön gewesen.
 
Darkman.X schrieb:
Man kann viele Verzeichnisse ohne Probleme umbiegen.
Zum Vergrößern anklicken....

Tja, dieses leider nicht. Wireguard setzt seine Vorgaben gnadenlos um. Mit "Data" als vorhandenem Link läuft es gar nicht. Nicht mal %programfiles% vor der Installation auf einen Veracrypt-Container umzubiegen hat geholfen - es landet wieder alles in C:\Program Files.

Trotzdem danke für die Mühe!
 
(Ich habe meinen gesamten Text nochmal umgebaut, um es kompakter zu machen.)

Ich habe mal Wireguard installiert und getestet. "Data" lässt sich tatsächlich nicht umbiegen.

Was aber ging:
Das "Configurations"-Verzeichnis (z.B. MKLINK /D "C:\Program Files\WireGuard\Data\Configurations" "F:\Test") und das Log (z.B. MKLINK "C:\Program Files\WireGuard\Data\log.bin" "F:\Test\log.bin") umbiegen.

Damit hatte Wireguard bei mir funktioniert. Würde das dein Problem lösen?

Noch ein Hinweis:
Das ist übel, dass Wireguard die Konfiguration in seinem Installationsverzeichnis speichert. Soetwas macht man nicht. Die von mir genannten Umbiegungen haben den Nachteil, dass sie auch bei anderen Usern auf deinem PC angewendet werden, falls sie auch Wireguard nutzen. Bei denen wird Wireguard durch das Fehlen deines Veracrypt-Containers (des Ziel-Pfades) höchstwahrscheinlich nicht funktionieren / auf Fehler laufen.
 
Zuletzt bearbeitet: (Kompletten Text umgebaut.)
  • Gefällt mir
Reaktionen: tdklaus
Danke, @Darkman.X , das funktioniert so. Da muss man auch erst mal drauf kommen, Respekt...

Darkman.X schrieb:
Bei denen wird Wireguard durch das Fehlen deines Veracrypt-Containers (des Ziel-Pfades) höchstwahrscheinlich nicht funktionieren
Zum Vergrößern anklicken....

Genau das war das Ziel des Spieles :)
 
  • Gefällt mir
Reaktionen: Darkman.X
Tornhoof schrieb:
Und was willst du damit erreichen?
Wenn jemand an deinen Rechner kommt und der zu der Zeit läuft, dann ist es von einem Sicherheitsstandpunkt vorbei. Wenn er nicht gelockt ist, ist dann nur noch sekundär.
Zum Vergrößern anklicken....
Die Frage ist ja eigentlich selbsterklärend.

Er möchte einen zusätzlichen PW Schutz haben wenn man auf Verbinden klickt. zB wie bei OpenVPN wenn du mit Securepoint VPN neben User und PW ein zusätzliches PW vor einem erfolgreichen Verbindungsversuch zur Abfrage bringst.

Kenne das leider beim Wireguard Client nicht out of the Box die Frage ist aber wie gesagt selbsterklärend
Ergänzung ()

Darkman.X schrieb:
Man kann viele Verzeichnisse ohne Probleme umbiegen. Windows hat dafür sein Konsolen-Programm "mklink". Mit Konsole meine ich die Eingabeaufforderung, keine Ahnung ob irgendwer auch eine schöne GUI dafür programmiert hat.
  1. Den gewünschten Ordner zum neuen Ort verschieben (z.B. dorthin, was du als "Container" bezeichnest).
  2. Die Eingabeaufforderung öffnen.
  3. Befehl MKLINK /D "Alter Ort" "Neuer Ort" eingeben.
    Beispiel: MKLINK /D "C:\Users\tdklaus\Wireguard" "G:\Wireguard" (Namen sind ausgedacht)
  4. Fertig.
Nach dieser Aktion wirst du unter "C:\Users\tdklaus" einen Order mit dem Namen "Wireguard" sehen, der links unten einen Verknüpfungspfeil hat. Und er leitet alle Lese-/Schreibaktionen zu "G:\Wireguard" weiter.
Zum Vergrößern anklicken....
Das wäre eigentlich nur ein Symbolik Link. Der Schutzmechanismus wäre ?

-----

Update
OK jetzt hab ich dich. So was ähnliches habe ich im dem Cryptomator gemacht.
Verstehe

danke ist wohl der beste Ansatz
 
Zuletzt bearbeitet:
tdklaus schrieb:
Ja, herzlichen Dank für all die Antworten warum ich nicht brauche was ich will...
Also gut, die Rechtfertigung zuerst:
Ist ein Bürocomputer, der mehreren Mitarbeitern offensteht. Sachen, die nicht alle angehen, sind in Containern. Genau in so einem hätte ich gerne auch den WG-Client. Nur weil ich meine Haustür offen lasse, muss noch nicht jeder meinen Tresorschlüssel haben.
Das allgemeine Konto hat Admin-Rechte, weil sonst die $%&§$-Branchensoftware nicht läuft, weitere Windows-Konten sind also auch keine besonders gute Abschottung.
Zum Vergrößern anklicken....
Das ist das Internet. Ich suche einen Hammer für ABC. Hä? Für ABC ist doch ein Baum viel besser geeignet. Warum willst du für ABC einen Hammer verwenden? Es ist doch viel einfacher und günstiger wenn du blablub. Spätestens Nach 23 Jahren wirst du merken, dass das schlecht ist. Anstatt das so wie du zu versuchen, ist es viel sinnvoller sich eine Stadt neu zuzulegen.
 
@tdklaus
Danke für deinen Beitrag hier, das interessiert mich nämlich auch. Es gibt Umstände wo das notwendig ist, auch wenn es manche Plapperer nicht begreifen.
Übrigens als Ergänzung:
Ich habe das gleiche Problem zusätzlich auch am Handy. Dort habe ich aber BitDefender drauf und der kann Apps im Handy sperren und erst mit Passwort freigeben. Daher sind bei mir am Handy Telebanking, Wireguard und alles was kritisch ist mit einem Passwort beim App-Start gesichert. Das geht dort also eleganter.
Es wäre noch interessant zu wissen ob am Handy die Keys irgendwo im Klartext liegen.
Zu Wireguard am PC habe ich eine portable Version gefunden. Dazu unten im Nachtrag mehr.

Falls du meinen Beitrag liest vielleicht kannst du sagen wie es dir in der Praxis damit ergeht.

lg Wolfgang

Nachtrag:
Das Problem von uns haben mehrere und hier auch noch eine Lösung die ich beim Suchen gefunden habe:
https://www.cc-community.net/thread...d-data-configurations-portabel-nutzen.122955/

Wie im Link beschrieben habe ich hier die wireguard.exe geladen. Die wg.exe habe ich nicht gebraucht.
https://github.com/DrEm-s/wireguard-windows-portable

Juhu: :)
Ich habe die wireguard.exe und die config Datei in einen VeraCrypt Container gegeben, welchen ich bei Bedarf auf ein Laufwerk mounte. Und dann starte ich dort drinnen die wireguard.exe
In wireguard selbst lade ich dann die wg_config.conf (die ich von der Fritzbox habe) und die Verbindung steht.
Der einzige Unterschied zur installierten Version ist, das man die 5 Sekunden braucht um jedesmal die config zu laden. Nun ist aber die - in Klartext lesbare - config-Datei sicher im verschlüsselten Container geparkt, wenn wireguard nicht benötigt wird.

Bleibt nur mehr die Frage ob am Handy die kexs sicher verstaut sind. 🤔
 
Zuletzt bearbeitet:
Wolfgang359 schrieb:
Falls du meinen Beitrag liest vielleicht kannst du sagen wie es dir in der Praxis damit ergeht.
Zum Vergrößern anklicken....
Für mich funktioniert die Lösung von @Darkman.X immer noch einwandfrei. Das portable wireguard ist natürlich viel eleganter, aber wenn du auf die Daten guckst dann bekam die portable Version erst ein Jahr nach dieser Diskussion die Updates zu v0.5.3 des Hauptzweigs... Ich probiers mal aus.

Hängt natürlich von deinem genauen Nutzungsfall ab, aber normalerweise sperrt man sein Handy ja sicher genug für den einfachen Diebstahls/Verlustfall ab.

Die keys digital auf dem Handy zu knacken ist eher ein Szenario für Strafverfolgung oder Geheimdienste - und wenn solche hinter dir her sind, dann hast du noch ganz andere Sorgen :cool_alt:

Was nutzen aber zusätzliche Passwörter vor einzelnen Apps falls dir Nachts einer das Messer an die Gurgel hält und "entsperr mal" brummt?
 
>> Was nutzen aber zusätzliche Passwörter vor einzelnen Apps falls dir Nachts einer das Messer an die Gurgel hält und "entsperr mal" brummt?
Zum Vergrößern anklicken....

Mann oh Mann, das bringt gleich viel wie ein Passwort für Wireguard, wenn dir jemand ein Messer an die Gurgel hält. Sorry, aber ich vertschüß mich hier wieder.
 
  • Gefällt mir
Reaktionen: omavoss
ach Leute... ihr sagt doch nichts anderes als ich: dass auf einem Handy (neben der normalen Sperre) ein zusätzliches App-Passwort keine zusätzliche Sicherheit bringt.

Mein ursprüngliches Szenario war doch ein PC, auf den mehrere Leute Zugriff haben. Wäre ja noch schöner wenn das Personal erstmal ein Messer bräuchte um seine Arbeit verrichten zu dürfen...
Und das mit der Gurgel war doch nur Rhetorik, das Szenario kann man auch mit "droht, einen Finger abzuschneiden" erklären.
 
  • Gefällt mir
Reaktionen: omavoss
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

N
Windows Wireguard Server - Verbindung der Geräte untereinander
Antworten
7
Aufrufe
593
Nuhro1899
N
R
htaccess Passwortschutz für URL umgehen
Antworten
4
Aufrufe
4.825
-Rayz-
R
K
Passwortschutz für USB-Stick
Antworten
6
Aufrufe
2.327
enteon
E
HilRoy
Passwortschutz für Festplatten/Ordner
Antworten
6
Aufrufe
1.421
HilRoy
HilRoy
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 187 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz