Sicherheit des Heim-LANs bei Anschluss von FF-Router

Hallo zusammen,

in Aachen sind wir aktuell dabei so ziemlich alle Gastronomen die nicht bei drei auf den Bäumen sind mit Freifunk auszustatten. Dabei kam heute ein Interessante Frage auf, auf die ich so nicht vorbereitet war:

Das Restaurant betreibt aktuell ein eigenes WLAN / Netz für sein Kassensystem. Hieran würde auch der Freifunk Router angeschlossen werden. Der Betreiber hat nun sorge, da das Gerät ja physikalisch im gleichen Netz hängt, das durch den Freifunk Router potentiell auf das Kassensystem zugegriffen werden kann. Bzw. der Freifunk Router auch den Traffic des Kassensystem im Netz sieht.

Wie sieht es hier technisch aus? Wie ist Freifunk von seinem Netz abgekoppelt? Hat @MrMM damit vielleicht schon Erfahrung und gute Argumente für mich?

Danke und fröhliches funken
Tim

Wenn der Feifunkrouter die Datenpakete vom Kassensystem bekommt, dann hat das Kassensystem ein großes Softwareproblem.

Als Betreiber würde ich dann das Kassensystem hinter einen extra Router stellen der nur für das Kassensystem zuständig ist.

Der hat dann in Laden 3 Router

  1. Internetrouter
    Daran wird dann angeschlossen:
  2. Kassensystem Router
  3. Freifunkrouter

Macht die Instalation halt 20 Euro teurer.

2 „Gefällt mir“

Potentiell kann jedes Gerät was man im Lan hat in diesem auch Schaden anrichten. Und sei es DenialOfService durch Flood, Arpspoofing etc.

Per default passiert es nicht. Das Gluon verhindert den Zugriff von Wifi-Usern auf das lokale Netz.
Und Admin-Backdoors gibt es nicht.

Prinzipiell könnte aber ein Amok laufender Freifunk-Admin backdoors über den Autoupdater einschleusen. Dagegen gibt es keine Versicherung, ausser dass je nach Domain unterschiedlich viele Leute die Firmwarefiles signieren müssen. Aber ein garantierter Schutz ist es natürlich nicht.

Wenn man dem Freifunk-Router nicht traut, dann gehört das Ding in eine DMZ.
Entweder z.B. ins „Gastlan“ einer Fritzbox.
Oder in eine Routerkaskade. (siehe auch voriges Posting von @DSchmidtberg

P.S. Wenn Kassenysteme Daten unverschlüsselt im Lan übertragen sollten, dann wären sie broken by design. Was natürlich nicht heisst, dass es so etwas nicht vielleicht doch gibt. Und der Kunde davon gar nichts mitbekommt. Spätestens wenn im Lan gedruckt wird auf normale Postscript-Drucker, gehen ja dann doch unverschlüsselte Daten durchs Netz, die man lokal leicht abfangen könnte.

1 „Gefällt mir“

Meine primäre Antwort darauf ist, dass wir im Verein ein Sicherheitskonzept haben wie es auch bei kommerziellen Anbietern üblich ist (bzw entwickeln) das ist eine Bedingung fürs Provider sein.

Wer sich auskennt erfährt von mir das nur signierte Updates möglich sind, diese Updates machen den Freifunk Router sicherer als den üblichen Heimrouter der keine Updates erhält.

Bei Geräten die es können biete ich an den FF Router ins Gastnetz zu packen, tatsächlich verlangt wurde es dann nie.

Ich vermute man muss primär Vertrauen ausstrahlen :wink:

Plan B wäre die angesprochene Installation mit Routern in Reihe, da aber ec System und ähnliches über eine eigene robuste Verschlüsselung verfügen gibt es dafür in der Gastronomie in aller Regel keinen Grund.

3 „Gefällt mir“

Freifunk-Router per LAN an GAST-LAN des ISP-Routers (bei FirtzBox ist das der 4. Port).
Dabei
kann auch Priorität eingestellt werden und Freifunk ist dann völlig
abgekoppelt von dem internen Netz des Gastwirts, Würde ich so sowieso
immer empfehlen, weil damit eine unbeabsichtigte Verquickung von eigenen
Anschlüssen und Freifunk vermieden wird und die eigenen geräte nicht im
Freifunknetz sichtbar sind.