das Problem ist nicht der FF Router in Bestimmungsgemäß Einsatz sondern … was passiert z.B wenn durch einen
Config/Update was auch immer Fehler (evt. sogar mit Absicht) auf einmal das LAN
mit dem WLAN oder VPN gebürgt wird.
Darum halte ich es in vielen Bereichen einfach Unverantwortlich den FF Router mit Nackten ARSCH in ein
Spender Netz zu stellen. Das wird meistens gut gehen …. Aber was ist wenn nicht
… UPS oder wie? Man muss da schon mal den Zeitungsladen vom Rechtsanwalt/Arzt trennen.
Und wenn immer es geht macht es bitte auch. Fast jede FB hat den Gast Port. Und der ist besser als NIX.
PS: das ist meine Persönliche Meinung!
tja, das ist das, was mich viele Einsteiger hier in der Umgebung fragen. Ich mag auch nicht mehr sagen, dass das technisch nicht möglich ist, sondern möchte eher eine konkrete Antwort auf diese Frage geben. Aber das kann ich nicht, da meines Wissens bei Freifunk, keine Gewährleistung für eine sichere Heimnetzabkopplung in schriftlicher Form existieren kann. Bisher müsste man eine Antwort geben, die das KO Kriterium für Arzt oder Anwalt mit sensiblen Daten beinhaltet…
Wir stehen hier im Ort gerade mit einem Fuß in der Tür der Gemeinde und haben bisher gelbes Licht. Genau die obige Frage versuchen wir gerade aus der Welt zu schaffen…schaffen es aber nich, einfach weil keine offizielle Gewährleistung existiert und man sich nicht mündlich verlassen möchte. Gerade bei öffentlichen Verwaltungsgebäuden etc. wird das immer wieder gefordert…immer wieder…
In wie fern muss man den Zeitungsladen vom Arzt trennen? Auch der Zeitungsladen dürfte ein EC-Terminal besitzen und damit für jeden Angreifer interessant sein.
Wenn zig verschiedene Banken um (vermutet) 1 Milliarde USD gebracht werden, dann dürfte Freifunk das einfachste Ziel sein. Besonders wenn die Router alle schön meshen und man von einem Punkt zugriff auf alle Einzelhändler in der Stadt hat (die keine sauber getrennten Netze haben).
Das prinzipielle Problem ist ja meiner Ansicht nach, dass ich einen „Rechner“ in eine bestehende Netzwerkstruktur integriere. Also den FF-Router in das LAN des „Kunden“ bringe.
Der FF-Router ist, wie auch immer gehärtet usw., immer eine mögliches Einfallstor und kann theoretisch übernommen werden. Auch wenn das vermutlich sehr schwierig ist.
Mit dieser Annahme, muss also die Netzinfrastruktur des „Kunden“ dieses mögliche Einfallstor absichern. Dazu ist z.B. bei einem Privatanwender der Gast-LAN Port am Router (Fritzbox) hervorragend geeignet. Er bekommt seinen eigenen Adress- und IP-Bereich und darf nicht auf die anderen Geräte zugreifen (das ist doch dann ein VLAN oder?!?)
Man müsste also dann erst den FF-Router knacken und danach noch die Fritzbox. Und zwar so, dass alles läuft damit keiner was merkt und trotzdem Zugriff haben.
Zudem hab ich noch die Firewallregeln der Fritzbox für das Gastlan auf das Minimum reduziert, so wie im Forum bereits beschrieben.
Für meine (private) Welt reicht mir das vollkommen, oder gibt es etwas was ich nicht bedenke?!
In einer Praxis, in der ich einen Freifunk-Knoten eingerichtet habe, hat man sich für den Freifunk einen zusätzlichen Internet-Zugang angeschafft, der nur für den Freifunk bestimmt war. So hat man sich den Unfug mit Firewalls und Wartung und Sicherheit gespart.
Das ist sicherlich der eleganteste Weg. Selbst wenn der Freifunk-Knoten mit 1000 Sicherheitssystemen von allem abgekoppelt ist, fällt der Verdacht trotzdem erst auf ihn. An den Praxis-Rechnern mit Windows XP kann das natürlich überhaupt nicht liegen…
Wenn ich mir angucke auf was für Systemen Ärzte und Krankenhäuser teilweise arbeiten, gruselt es mich.
@Florian weißt du wie das im Briloner Krankenhaus geregelt ist? Für Krankenhäuser gilt prinzipiell die selbe Problematik, allerdings haben die dann jemanden, der sich wirklich auskennt und es macht nicht der Sohn vom Landarzt.
Und die Leute, die sich aus Spaß mal an die LAN-Buchsen dort gehangen haben und dort veraltete unsichere, teilweise medizinsiche, Geräte gefunden haben, gibt es alle nicht
Da fällt dann Theorie und Praxis zusammen. Zumindest theoretisch ist die Wahrscheinlichkeit höher, dass das jemand macht, der es zumindest gelernt hat und sich mit den Vorschriften auskennt.
Ich kann mir nicht vorstellen das Jemand bei dem verschachteltem Open Source Projekten (open Wrt, gluon, open SSH) überhaupt den gesamten Quellcode kennt somit kann auch keiner wirklich mit Sicherheit sagen ob es Hintertüren gibt und garantieren das nicht aus versehen oder mit Absicht im nächstem Update keine einfließen. Ich betreibe meinen FF Router am Gastzugang obwohl ich keine sensiblen Daten in meinem Netzwerk zu hause habe.
Ich weiß leider nicht, wie das im Krankenhaus geregelt ist. Ich war im Prinzip nur der Ideengeber. Aber da die auf den Zimmern Internet für die Patienten anbieten, nehme ich an, dass die zwei (oder mehr) Leitungen haben.
Wärme das Thema noch mal auf. Meine Wohnung liegt direkt über einer Hausarztpraxis. Bevor ich mit dem Arzt (mein Mieter) rede, kann jemand bestätigen das die rechtliche Situation unproblematisch wäre wenn ich als Privatperson einen Router über oder in der Praxis aufstelle der über meinen Anschluss läuft? Ich kann z.B. konkret einen Versorgungsschacht nutzen wo ein Router hängt der via PoE von mir gespeißt wird.
Es ist klar, das keine Praxisgeräte damit verbunden werden. Meine Frage ist aber, ob der konkrete Aufstellort (im Stockwerk oder eben dadrüber) rechtlich einen Unterschied macht. Es sind ja auch Geräte im Einsatz, die auf 2.4 GHz funken (Bluetooth!) und seien es nur die billigen Funkmäuse.
Das ist klar. Dennoch wäre es besser, wenn ein Kleber an der Wand prangen würde, oder? Auch würde ich ungern nur eine Betonwand/Decke funken wollen, wenn nicht nötig. Auch kann ich aufgrund meiner Zweitrolle als Vermieter nicht einfach machen was ich will. Ich will es also als kostenfreies Angebot rüberbringen. Wäre gut wenn jemand der sich mit der Thematik auskennt etwas dazu sagen könnte.
Es ist z.B. datenschutzrechtlich als Privatperson problematisch Kameras aufzustellen die den Eingangsbereich auch abdecken (alles Privatgrundstück). Ähnliches dürfte zutreffen, wenn ggf. ein Dritter (Freifunk) Kenntnis über die dort verkehrenden Personen bekommt was anhand von Mac-Adressen sich teils automatisch einwählender Smartphones wohl eindeutig der Fall wäre.
An dem ganzen Thema hängt viel Sprengstoff, ohne Fachmann für Medizin IT zu sein würde ich mir daher nicht anmaßen wollen da irgendwelche Einschätzungen zu treffen.
Du wirst hier leider keine rechtliche Einschätzung erhalten. Die wenigsten von uns sind Anwalt und selbst dann dürfte hier in einem öffentlichen Forum keine Rechtsberatung durchgeführt werden.
Technisch wäre das speichern von MAC Adressen, ich nenne es einfach mal Verkehrsdaren zwar möglich, die dafür nötige Technik steckt aber nicht grundsätzlich in einem Freifunk Router.
Wenn du Freifunk dort anbieten möchtest, hast du nur zwei Möglichkeiten. Du machst es einfach frei nach dem Motto wer macht hat recht, oder du suchst das Gespräch mit deinem Mieter.
Vielleicht findet er FF toll und stellt es selbst auf. Dann könnt ihr noch meshen und die kleine Wolke ist perfekt.
Ich glaube mehr Ratschläge wirst du inhaltlich nicht bekommen.
2,4 GHz ist ein ISM-Band: ISM-Band – Wikipedia
Das kannst Du ohne Anmeldung o.ä. nutzen und meines Wissens auch keinen Nachbarn dessen Nutzung ohne weiteres verbieten. Dennoch gibt es diverse Arztpraxen mit Handyverbotsschildern, welche ständig ignoriert werden, (Frequenzbänder liegen dazwischen 0,8 GHz und 2,6 GHz), möglicherweise um die anderenden Wartenden nicht mit Gesprächen zu nerven, möglicherweise weil dort empfindliche Geräte stehen, deren Messungen durch Funkquellen in der Nähe gestört werden könnten (wobei auf Mobilfunkfrequenzen mit höheren Leistungen gesendet werden darf als bei WLAN, Anmerkung: Ich weiß nicht, inwiefern solche Sorgen jemals berechtigt waren, bei Flugzeugen gab es ja einige Zeit ähnliche Verbote).
Zur der IT deines Mieters sollte der Router auf keinen Fall eine Verbindung bekommen, da würde ich mit Klebenband o,ä. nachhelfen, falls dort ein Router aufgestellt wird. Nicht das irgendwer mal sachen auseinanderbaut (Handwerker, IT-Dienstleister etc.) und danach versehentlich Kabel in den falschen Port steckt.
P.S.: Bin Informatiker, kann dir leider auch keine juristische Einschätzung liefern.
ich denke das ist ausreichen behandelt.
in der Nachbarschaft darf es laufen solange es im sendeleistungs erlauben Rahmen ist.
Falls jemand in den Nahbereich von Medizintechnik kommt ist die EN 60601-1-2 noetig sowie bei moeglich des physikalischen Kontakts zu Personen die EN 60950 (das haben eigentlich fast alle mit CE) erfuellen.
Es gibts ein paar Hersteller die dazu die passende EMV Zulassung haben.
(Die EN 60601-1-2 definiert die Anforderungen und Prüfungen, die speziell für die EMV von Geräten beim Einsatz im medizinischen Umfeld zutrifft)
Da es keinen Forenbereich Security gibt, poste ich das mal hier.
Die Fragestellung kommt bei Rechtsanwälten, Arztpraxen, Apotheken etc. immer wieder auf: ‚Ist das auch sicher‘ ?
Um das Aufstellen eines Freifunkrouters auch in sicherheitskritischen Netzwerken zu ermöglichen, habe ich ein mögliches Setup dafür unter http://www.netsecdb.de/node/3490 dokumentiert:
In dieser Umgebung braucht man 0 Vertrauen zum Aufsteller des Freifunkrouters, dessen Admins oder Firmware-Image-Erstellern zu haben, wenn nur der Admin des lokalen Netzes Zugriff auf den Kontrollrouter hat.
Den eingesetzten 3com switch mit portmirror kann man dabei weglassen - ist nur der Vollständigkeit halber eingeflossen.
Statt dem Netgear kann man prinzipiell jedes openwrt-fähige Gerät nehmen, bei dem sich die ports splitten lassen. Die Hardware stand hier noch ungenutzt und so habe ich den Komfort, die Funknetze ebenfalls komfortabel zu überblicken.
pfsense auf soekris board ist nicht gerade billig und einer Fritzbox-Portsplit Lösung mit Gast-Lan an einem Punkt traue ich nicht. Im Kernel werden die Ports bei bootup erst spät gesplittet (siehe WIKI) und ein einziges Firmwareupdate auf der fritzbox und die Isolation ist vielleicht nicht mehr sichergestellt.