Fragen zur Firmware und zu Sicherheit

#1

Hallo,

ich bin neu beim Thema Freifunk und daher bitte ich um Entschuldigung wenn meine Fragen vielleicht etwas simpel erscheinen mögen.

Ich habe mir einen WDR-4300 mit der FF Firnware meiner Region geflashed. Soweit klappt auch alles.
Was mich etwas gewundert hat:

Zum einen ist die Firmware schon von 2016, muss ich da die aus meiner Region nehmen? In einer Nachbarregion gibt es eine deutlich neuere Firmware.

Zum anderen dachte ich, dass die Teilnehmer im VPN Tunnel zwar Internet haben, aber untereinander isoliert wären (das war meine Annahme). Mich hat gewundert, dass ein einfacher IP Scan über den Bereich 172.18.0.0/16 hunderte von aktive Geräte zeigt und diese sehr oft ungeschützt erreichbar sind (Drucker, Feinstaubmesstellen, Audiogeräte, Webserver, usw.).

Ist das der Normalzustand? Natürlich ist FF ein öffentliches Netz und ich sollte meine Geräte mit einer Firewall schützen, dennoch hatte ich erwartet, dass die Geräte nicht einfach alle in einem Netz unterwegs und frei erreichbar sind. Beim Gast WLAN der FritzBox ist das z.B. so gelöst, dass man (sofern man das nicht bewusst ändert) zwar Internet hat, aber die Teilnehmer des Gast WLAN untereinander nicht kommunuzieren dürfen.

Vielleicht kann mir das jemand etwas detaillierter (gerne auch mit technischen Details) erklären, danke!

Markus

0 Likes

#2

Schön, dass du bei Freifunk mit machst. - Willkommen hier im Forum :slight_smile:

Ja, du solltest die Firmware aus deiner Region (Meinerzhasgen?) nehmen. Das Alter der Firmware oder das Stadium (beta, stable) ist für die Sicherheit eher nachrangig. Wobei ich hier auch eine neuere Firmware gesehen habe. Zumindest, wenn es um Meinerzhagen geht.

Da war deine Annahme nicht richtig ;-). Die meisten Freifunk Anbieter schalten alle auf Schicht 2 (OSI Modell) zusammen. Das ist, als wären alle Teilnehmer mittels großem Switch über Kabel miteinander verbunden. Daher sollte auch jeder Nutzer selbst für seine Sicherheit sorgen und das nicht dem “Internetlieferanten” überlassen. Das hast du richtig erkannt.

0 Likes

#3

Kommt drauf an, wir man seine Aussage interpretiert. Alles was am Freifunk-Router hängt ist auch im Netz sichtbar. Seine Geräte im privaten Heimnetz sollten in einem solchen Scan jedoch nicht auftauchen.

0 Likes

#4

Danke, dann ist ja alles OK, aber leider scheint nicht jeder Teilnehmer das so ganz mitzubekommen und daher sind manche doch sehr arglos unterwegs.

Es handelt sicher hier um FF Siegen/Hilchenbach. Laut deren HP arbeiten sie wohl mit FF Märkischer Kreis zusammen, aber beim MK gibt es deutlich neuere Firmwareversionen.

Aber wenn Ihr sagt die 2016er Firmware ist kein Problem, dann ist das ja auch OK.

0 Likes

#5

Das ist schon OK, ich sehe nur die Geräte im FF Netz und da ist natürlich auch mein Rechner (nur der eine der im FF eingebucht ist) dabei und der FF Router ist unter einer IP ganz am oberen ende (ich meine 254.254) mit einer Statusseite zu sehen. Dort kann dann wohl auch jeder der in meinem WLAN ist einen Kontakt mit mir durch die angegeben email Adresse herstellen, ich nehme an da ist so gewollt.

0 Likes

#6

Wie Du aus zahlreichen Nachbarthreads erkennen kannst braucht es neue Firmware hauptsächlich zur Unterstützung neuerer Routermodelle oder wenn die Domain auf “sehr neumodische Standardards” gewechselt ist (Babel, Wireguard…)
Wenn die alte Platform unterstützt wird: Da ist eine späte 2016.2 kaum zu schlagen was Performance und Stabilität anbelangt.

Broadcast-Scans auf einem /16 sind zwar ziemlich assozial, aber sei’s drum… YMMV.

Ja, so soll es sein. Ansonsten wären keine interenen Dienste möglich.

Siehe “Frei” in “Freifunk”

Du hast DEINE Geräte im Freifunk-Netz gefunden, obwohl sie im Heimnetz angeschlossen sind?

Du hast noch nicht verstanden, dass Freifunk kein reines Hotspot-Projekt ist.

1 Like

#7

Hallo,

danke für deine Ergänzungen, das meiste war ja bereits beantwortet und wie eingangs erwähnt entschuldige ich mich für meine Unerfahrenheit auf dem Gebiet. Nein, meine LAN Geräte sind nicht im FF Netz, das hatte ich ja schon weiter oben gesagt, nur der Rechner der im FF Netz sein soll und solche Rechner sollten ggf. eine Firewall haben.

Ja, ich hatte noch nicht alles verstanden aber jetzt ist einiges klarer geworden, dafür ist so ein Forum ja da :slight_smile:

1 Like

#8

Moin,

und willkommen bei Freifunk!

Dieses inzwischen überholte und völlig wirkungslose Sichheitskonzept ist etwas in die Jahre gekommen.

Bei Freifunk soll gerade die Kommunikation untereinander ermöglicht werden. Auch lokal vor Ort.

Für sensible Verbindungen wird heute HTTPS verwendet, sodass das keiner mitlesen kann.

Eine Isolierung von Clients in einem öffentlichen WLAN ist nutzlos, weil das jeder einfach mitschneiden kann.

Grüße
Matthias

0 Likes