Erfahrungen mit Wireless Client Isolation

Gibt es signifikante Leistungseinbrüche mit vielen Nutzern oder sonstige Probleme, hat das schon mal jemand getestet?

Die Clients haben doch in manchen Städten sogar globale IPv6-Adressen. Was soll das bezwecken?

Widerspricht dem freien Netz und dem PPE, meiner Meinung nach.

2 Likes

Angesichts der Argumentation mit globaler ipv6 Adresse eine berechtigte Fragestellung…

Wir haben hier noch kein IPv6, hier wird noch geNATed.

Und was ist mit der freien Kommunikation der Clients untereinander? Freifunk ist ja nun mal kein Internet- / Hotspotanbieter sondern mehr.

1 Like

Das war doch jetzt eine relativ einfache Frage, warum wird es gleich wieder politisch?

Ein Freifunker hat den Wusch geäußert, da er all Clienten am Node sieht und umgekehrt und das als Sicherheitsrisiko betrachtet (mir gefiel das auch besser, aber das war nicht die Frage).

Die Option haben wir gesetzt und nun frage ich nach etwaigen Leistungseinbrüchen, also eine technische und keine philosophische Frage.

Hmmmm. Weil sich die Frage nach WCI im Freifunk eigentlich gar nicht stellt?

Aber um auf Deine Anfangsfrage zurückzukommen: Der signifikanteste Leistungseinbruch ist, daß keine Kommunikation mehr zwischen den Clients möglich ist. Freifunk ist also faktisch abgeschaltet.

2 Likes

Lass gut sein, ich stelle die Frage in meiner Community, hier kann ich offensichtlich keine konstruktive Antwort erwarten.

@Mod PLS CLOSE

Schade, daß Du es nicht als konstruktiv ansiehst, WCI abgeschaltet zu lassen. Ein Freifunker mit eingeschalteter WCI ist ein reiner Hotspotbetreiber; Freifunk ist etwas anderes. Das könntes Du Deinem Kollegen, der angefragt hat, mal erläutern (Nachzulesen auf freifunk.net/worum-es-geht).
Das obige ist absolut nicht böse / sarkastisch / provokativ oder so gemeint.

1 Like

Um es dir konstruktiv zu erklären: Das zu unterbinden bietet nur Pseudosicherheit. Generell kann sowieso der ganze Verkehr mitgeschnitten werden, da FF ungesichert ist und man kann jederzeit einen eigenen stärkeren Hotspot aufmachen und so direkt auf den Client zugreifen.

Statt dies zu versuchen also bitte die Clientpcs korrekt konfigurieren.

Dein Kollege ist nicht korrekt informiert, direkte Clientkommunikation ist keine Sicherheitslücke.

3 Likes

Es ist das Haupt-/Anfangs-Feature von Freifunk!

1 Like

Das ist nur halbe Pseudosicherheit in einem unverschlüsseltesn Netz.
Ich würde vorschlagen, das mit einem Macfilter zu kombinieren. (braucht dann natürlich eine lokale Register-Seite auf dem Node.)

Hi, für fast alle Nutzer des Netzes ist freifunk ein hotspot. Unfrei wird das Netz auch nicht, wenn die clients im wlan isoliert sind. jeder kann mit jedem kommunizieren (über server dienste).
für die kommunikation zwischen den klients müssten die klients sich erstmal kennen (also die leute müssten sich kennen). das ist ausser auf einer cryptoparty nie der fall. Ebenfalls werden die ip adressen per dhcp vergeben (ipv4 netz), so dass wenn der nutzer ausserreichweite ist, auch diese ip wieder verwendet wird. umstellung auf ipv6 ist nicht geplant für dresden, da es einfach nicht notwendig ist.
da aber 99,9% der nutzer normale nutzer sind, die keine ahnung von der technik haben, sollten diese auch in ihren wünschen unterstützt werden. klar ist eine isolation nicht sicher, aber es erschwert es für viele leute mit einfachen mitteln nutzer profile zu erstellen. genau dass soll ja auch die freiheit in einem freifunk netz sein, sich annonym zu bewegen. es wird nichts geloggt und auch an hand von ip adressen kann der nutzer nicht verfolgt werden. bei ipv6 ist das leichert möglich, wenn nicht zufällige ips vergeben werden und diese nicht constant bleiben. aber ob das in allen endgeräten so eingestellt ist, bezweifel ich. Es gibt einfach kein praktischen anwendungs fall, in dem die client isolation aufgehoben werden sollte. denn wenn die client das netz nur nutzen wollen, um an einem accesspoint mit einander zu kommunizieren, müssen sie in funkreichweite zu ihm sein. dann können sie auch wifi direkt/bluetooth oder extra accesspoints für solche zwecke aufstellen. oder nutzen chat/video/game vermittlungsdienste.
es macht aber keinen sinn freifunk für alles so frei zu machen, dass die 99% normalnutzer entweder nicht wissen, dass sie auspioniert werden (bewegungsprofil) oder es nicht nutzen wenn sie es wüssten, dass es so einfach ist.
Ein hauptziel von freifunk ist doch, dass es annonym ist und alles daran gelegen sein sollte, dass nichts ermittelbar oder geloggt wird.

1 Like

https://www.sharedrop.io/ ist, finde ich (neben WebRTC und anderen Diensten), ein gutes Beispiel warum Clients miteinander reden können sollten.

1 Like

Ich dachte bis jetzt das Freifunk ein dezentrales, zensurfreies, diskriminierungsfreies und unabhängiges Netzwerk sein soll. Anonymisierung, zur Ausschaltung der Störerhaftung im Internet, ist doch nur ein Service, mehr nicht.
Auch wenn die meisten „Nutzer“ Freifunk als einfachen Hotspot sehen, ändert es doch nix daran was unser Netzwerk ist. Oder sollten wir mal über eine Umbenennung nachdenken? Freiinternet oder so …

Die Anonymisierung betrifft nicht nur das Umgehen der Störerhaftung. Diese Anonymisierung wird von allen Freifunkern, die ich kenne (auch vom ccc) gefordert. Es dürfen keine Daten geloggt werden, noch soll der Nutzer direkt oder indirekt ermittelt werden. Wifi Isolation ist ein kleiner Baustein, um dieses zu unterstützen.
Was ich aber nicht verstehe ist, wie diese Isolation das Netzwerk nicht mehr dezentral, andere zensiert, diskrimitiert oder abhängiger macht? Jede kommunikation ist weiterhin möglich. Dienste zum Beispiel wie Chat-Server, SIP Gateways bieten genau diese freiheiten zur Kommunikation.
Welche Programme/Projekte verwenden denn ausserhalb diese Funktionalität, dass die clients sich sehen und gleichzeitig öffentlich ist. In privaten Heimnetzen kannst du sicherlich Gaming Anwendungen finden. Aber im öffentlich bereich, wo sich Leute treffen, die sich nicht kennen, sehen und keinen Kontakt wünschen, gibt es dieses garnicht. Kennst du da was, was ein Abschalten der Isolation unterstützen würde und den Wunsch nach Privatsphäre/Profilerstellungen von Nutzern aufwiegt?

OT, deswegen in einem anderen Thread: Freifunk ist kein Anonymisierer…

2 Likes

Nein, es erschwert es null Komma gar nicht. Du versetzt deine WLAN Karte in den Monitormode und kannst alles ganz genauso mitschneiden. Und wie gesagt, wenn du direkt auf den Rechner zugreifen willst, dann machst du einen Hotspot mit demselben Namen und derselben Mac auf kickst die Clients per Deauthentication-Befehl.

Dazu braucht man kein Profiwissen, das geht mit 2 min googlen.

Folgendes Beispiel: Dein Kollege da stellt jetzt Clientisolation an, und sagt den Leuten bei sich, dass sie sicher sind und keine Angst vor Spionage haben müssten. Dann ist das erstens schon aus oben genannten Gründen falsch und zweitens gefährlich, denn sobald Ihre Smartphones bei einem echten Freifunker vorbei kommen, ist das eben nicht mehr gegeben. Denn den Smartphones ist das scheiß egal, die verbinden sich mit allem, wo Freifunk drauf steht.

Bitte benenne das Netz dann um, z.B. in „offenesNetz“, um diese Gefahr zu unterbinden.

Ich denke sowieso, wo Freifunk drauf steht, sollte auch Freifunk drin sein.

Grüße
MPW

4 Likes