Passwortschutz für Windows WireGuard möglich?

[tdklaus]

Hallo,
der WireGuard-Client für Windows macht sich zwar die Mühe, die config-files zu verschlüsseln, aber bei offenem Windows ist der Verbindungsaufbau jederzeit ohne weitere Passwortabfrage möglich.
Was könnte man da dazwischenbauen? Kann man zB den Client bei der Installation in einen VeraCrypt-Container schicken? Oder sein Data-Verzeichnis in so einen Container umbiegen? In der Registry finde ich keinen expliziten Data-Pfad, der scheint unter dem Installationsverzeichnis hart verdrahtet zu sein.
Oder gibt's irgendwo ein kleines Utility, das einfach um den Aufruf von wireguard.exe eine Passwortabfrage legt?

 

[Tornhoof]

Und was willst du damit erreichen?
Wenn jemand an deinen Rechner kommt und der zu der Zeit läuft, dann ist es von einem Sicherheitsstandpunkt vorbei. Wenn er nicht gelockt ist, ist dann nur noch sekundär.

 

[Kleiner69]

Ich verstehe grad den Sinn nicht so ganz dahinter. Wenn du vermeiden willst, dass jemand Drittes an deinen Rechner geht, wenn du nicht davor sitzt, dann log dich einfach aus.

Wenn ich meinen Rechner ohne Aufsicht offen laufen lassen würde, dann wäre aber der VPN-Client das Allerletzte um das ich mir Sorgen mache.

 

[gaym0r]

Windows-Taste + L

 

[tdklaus]

Ja, herzlichen Dank für all die Antworten warum ich nicht brauche was ich will...
Also gut, die Rechtfertigung zuerst:
Ist ein Bürocomputer, der mehreren Mitarbeitern offensteht. Sachen, die nicht alle angehen, sind in Containern. Genau in so einem hätte ich gerne auch den WG-Client. Nur weil ich meine Haustür offen lasse, muss noch nicht jeder meinen Tresorschlüssel haben.
Das allgemeine Konto hat Admin-Rechte, weil sonst die $%&§$-Branchensoftware nicht läuft, weitere Windows-Konten sind also auch keine besonders gute Abschottung.

 

[airwave]

Soweit ich weiß, kann wireguard das nicht.
War auch sehr erstaunt, wie läppisch das umgesetzt ist.

Betreibe schon länger einen OpenVPN und einen Wireguard "Server" (lange bevor das mal "endlich" beim Consumer in der Fritte ankam.
Ganz ehrlich: Ich versteh den Hype nicht.

OpenVPN kann mehr in Sachen Security, ist jetzt nicht soooo kompliziert wie alle tun und von der Performance sind meine beiden VPNs gleich (also von wegen OpenVPN wäre ja so viel langsamer).

 

[Darkman.X]

Oder sein Data-Verzeichnis in so einen Container umbiegen?

Man kann viele Verzeichnisse ohne Probleme umbiegen. Windows hat dafür sein Konsolen-Programm "mklink". Mit Konsole meine ich die Eingabeaufforderung, keine Ahnung ob irgendwer auch eine schöne GUI dafür programmiert hat.

1. Den gewünschten Ordner zum neuen Ort verschieben (z.B. dorthin, was du als "Container" bezeichnest).
2. Die Eingabeaufforderung öffnen.
3. Befehl MKLINK /D "Alter Ort" "Neuer Ort" eingeben.
   Beispiel: MKLINK /D "C:\Users\tdklaus\Wireguard" "G:\Wireguard" (Namen sind ausgedacht)
4. Fertig.

Nach dieser Aktion wirst du unter "C:\Users\tdklaus" einen Order mit dem Namen "Wireguard" sehen, der links unten einen Verknüpfungspfeil hat. Und er leitet alle Lese-/Schreibaktionen zu "G:\Wireguard" weiter.

 

[tdklaus]

Danke, probier' ich mal. Wird man schon vor dem Import der configs machen müssen, denn danach hat nur noch SYSTEM Zugriff auf die verschlüsselten Versionen. Falls dann der Autostart von WG nicht mehr geht weil der Container noch nicht offen ist wär's für mich nicht schlimm.

Ein simples wireguard.exe --datadir= ... wäre auch zu schön gewesen.

 

[tdklaus]

Man kann viele Verzeichnisse ohne Probleme umbiegen.

Tja, dieses leider nicht. Wireguard setzt seine Vorgaben gnadenlos um. Mit "Data" als vorhandenem Link läuft es gar nicht. Nicht mal %programfiles% vor der Installation auf einen Veracrypt-Container umzubiegen hat geholfen - es landet wieder alles in C:\Program Files.

Trotzdem danke für die Mühe!

 

[Darkman.X]

(Ich habe meinen gesamten Text nochmal umgebaut, um es kompakter zu machen.)

Ich habe mal Wireguard installiert und getestet. "Data" lässt sich tatsächlich nicht umbiegen.

Was aber ging:
Das "Configurations"-Verzeichnis (z.B. MKLINK /D "C:\Program Files\WireGuard\Data\Configurations" "F:\Test") und das Log (z.B. MKLINK "C:\Program Files\WireGuard\Data\log.bin" "F:\Test\log.bin") umbiegen.

Damit hatte Wireguard bei mir funktioniert. Würde das dein Problem lösen?

Noch ein Hinweis:
Das ist übel, dass Wireguard die Konfiguration in seinem Installationsverzeichnis speichert. Soetwas macht man nicht. Die von mir genannten Umbiegungen haben den Nachteil, dass sie auch bei anderen Usern auf deinem PC angewendet werden, falls sie auch Wireguard nutzen. Bei denen wird Wireguard durch das Fehlen deines Veracrypt-Containers (des Ziel-Pfades) höchstwahrscheinlich nicht funktionieren / auf Fehler laufen.

 

[tdklaus]

Danke, @Darkman.X , das funktioniert so. Da muss man auch erst mal drauf kommen, Respekt...

Bei denen wird Wireguard durch das Fehlen deines Veracrypt-Containers (des Ziel-Pfades) höchstwahrscheinlich nicht funktionieren

Genau das war das Ziel des Spieles

 

[stone1978]

Und was willst du damit erreichen?
Wenn jemand an deinen Rechner kommt und der zu der Zeit läuft, dann ist es von einem Sicherheitsstandpunkt vorbei. Wenn er nicht gelockt ist, ist dann nur noch sekundär.

Die Frage ist ja eigentlich selbsterklärend.

Er möchte einen zusätzlichen PW Schutz haben wenn man auf Verbinden klickt. zB wie bei OpenVPN wenn du mit Securepoint VPN neben User und PW ein zusätzliches PW vor einem erfolgreichen Verbindungsversuch zur Abfrage bringst.

Kenne das leider beim Wireguard Client nicht out of the Box die Frage ist aber wie gesagt selbsterklärend

Ergänzung (6. Februar 2024)

Man kann viele Verzeichnisse ohne Probleme umbiegen. Windows hat dafür sein Konsolen-Programm "mklink". Mit Konsole meine ich die Eingabeaufforderung, keine Ahnung ob irgendwer auch eine schöne GUI dafür programmiert hat.

1. Den gewünschten Ordner zum neuen Ort verschieben (z.B. dorthin, was du als "Container" bezeichnest).
2. Die Eingabeaufforderung öffnen.
3. Befehl MKLINK /D "Alter Ort" "Neuer Ort" eingeben.
   Beispiel: MKLINK /D "C:\Users\tdklaus\Wireguard" "G:\Wireguard" (Namen sind ausgedacht)
4. Fertig.

Nach dieser Aktion wirst du unter "C:\Users\tdklaus" einen Order mit dem Namen "Wireguard" sehen, der links unten einen Verknüpfungspfeil hat. Und er leitet alle Lese-/Schreibaktionen zu "G:\Wireguard" weiter.

Das wäre eigentlich nur ein Symbolik Link. Der Schutzmechanismus wäre ?

-----

Update
OK jetzt hab ich dich. So was ähnliches habe ich im dem Cryptomator gemacht.
Verstehe

danke ist wohl der beste Ansatz

 

[dirsu]

Sicher nicht die Lösung, aber ein Ansatz...
https://www.procustodibus.com/blog/2023/02/wireguard-yubikey/

 

[blaiz]

Ja, herzlichen Dank für all die Antworten warum ich nicht brauche was ich will...
Also gut, die Rechtfertigung zuerst:
Ist ein Bürocomputer, der mehreren Mitarbeitern offensteht. Sachen, die nicht alle angehen, sind in Containern. Genau in so einem hätte ich gerne auch den WG-Client. Nur weil ich meine Haustür offen lasse, muss noch nicht jeder meinen Tresorschlüssel haben.
Das allgemeine Konto hat Admin-Rechte, weil sonst die $%&§$-Branchensoftware nicht läuft, weitere Windows-Konten sind also auch keine besonders gute Abschottung.

Das ist das Internet. Ich suche einen Hammer für ABC. Hä? Für ABC ist doch ein Baum viel besser geeignet. Warum willst du für ABC einen Hammer verwenden? Es ist doch viel einfacher und günstiger wenn du blablub. Spätestens Nach 23 Jahren wirst du merken, dass das schlecht ist. Anstatt das so wie du zu versuchen, ist es viel sinnvoller sich eine Stadt neu zuzulegen.