Sicherheit von Endgeräten im Freifunk Netz

Sind die Clients sicher z.B. vor Zero-Day-Exploits, Viren und Trojandern im Freifunk-Netz?

Im Freifunk sind ja alle Clients in einer Community untereinander direkt im selben Netz und alle können sich gegenseitig direkt mit der IP erreichen.

Hierbei ist es da nicht eine große Gefahr für unerfahrene Benutzer, die z.B. Windows-Ordner als Samba-Share mit Schreibrechten ohne Passwort freigegeben haben (ja, das sollte man nicht tun)

Hierbei könnten sich ja Viren und Trojaner super ausbreiten, da diese bestimmt immer irgendwelche ungeschützten Opfer finden in so einem Großen Netzwerk.

Dies sieht mir nach einem Problem aus, das zwar eigentlich nicht unseres ist, sondern auf das Fehlende Wissen bei unerfahrenen Anwendern zurückzuführen, aber es fällt doch negativ auf uns zurück wenn solche Leute dadurch unangenehmes im Freifunk-Netz erfahren.

Wie sieht es z.B. mir dem weiterleiten von Samba Shares im Freifunk aus? Ist das bei jeder Community unterschiedlich in den Gateways eingestellt?

Gibt es eine Netzweite Firewall im Freifunk, die z.B. nicht gepatchte Windows-95 Clients vor Angriffen schützt?

Jetzt bitte keine Diskussion starten über:

  • Windows oder Linux, etc.
  • und auch nicht über die Gefahr wenn man seinen Rechner nicht bedienen kann und nicht updatet

Freifunk ist nicht sicherer oder unsicherer als jeder normale Hotspot ohne client-isolation.

2 Likes

Nun ja, die Freifunk Idee ist ja unzensiert zu sein. Ein Sperren von Ports (9/10 Firewallen machen nichts anderes) um z.B. SMB zu verhindern, wäre allerdings eine Zensur für jene, die bewusst SMB nutzen wollen. Außerdem kommt hinzu, dass es sich in vielen communities um Layer 2 Netze handelt die, je nachdem wie man vernetzt ist, ihre Wege auch ohne ein Gateway finden.

Eine zentrale Firewall wäre mir also eher neu. Wir haben dafür die Arbeit an einem kleinen Schriftstück begonnen, welches sich mit dem Thema Sicherheit im Freifunk-Netz beschäftigt. Eben als Infozettel für Enduser. Es ist zwar bei weitem nicht ausgereift, aber wer daran mitarbeiten will, hier mal den Link: https://github.com/Sheogorath-SI/orga/tree/master+SecurtiyInfoDraft
(Ja, richtig, das ist mein Repo, aber ich bin nicht der alleine Bastler :wink: Verwenden darf ihn natürlich wer will, aber eine Info an mich, dass man ihn verwendet würde ich persönlich als nett empfinden, da es eine Wertschätzung der Arbeit darstellt)

Sollte eines Jahrhunderts dann mal der vollständige Umstieg auf IPv6 geschafft sein, wird die Frage der Firewalls so oder so spannend. Wir sind also diesbezüglich sowas wie Vorreiter. Der vor, aber auch der Nachteile.

Schon jetzt findet man viel zu viele Dinge übers Netz verfügbar, die nicht verfügbar sein sollten, aber ich schweife ab.

Ich bin in jedem Fall kein Freund einer „Zentralfirewall“ im Freifunknetz. Dann lieber einen Handzettel drucken mit 5 Dingen die man beachten sollte.

4 Likes

Wer mit Windows in ein neues Netzwerk einloggt, bekommt
immer ein popup Fenster wo nach dem Netzwerk gefragt wird.
Wer da nicht öffentlich wählt sondern Heimnetz,
dem nutzen auch andere Sicherheits Tipps nichts.
Alles was du sonst angesprochen hast ist mit der Einstellung öffentliches Netzwerk hinfällig :smile:

LG

1 Like

Man muss sich halt im Klaren sein, dass man sich (zumindest aktuell noch) in einem Netzwerk auf Layer2 befindet. Da kann man sich echt die Karten legen, wenn man nicht aufpasst.

Sieht man ja schon daran, wenn man mal das vom Freifunk zugewiesene v4-Subnetz „verlässt“ und nen IP-Scan auf die üblichen Verdächtigen macht (192.168.0.0/24 un Co.) Ich bin immer wieder geschockt, was sich da so zeigt.

Nehmen wir an, jemand nutzt seinen Freifunk-Router ohne Internet-Uplink (mesh-only) und klemmt seinen Rechner direkt ins Client-Netz. So, wie wir das ja auch vorschlagen. Der Laie sieht so ne Routerkiste, von der er erfahrungsgemäß eine gewisse Sicherheit erwartet. (NAT, Firewall etc.)

Da ist dann m.E. die Gefahr. Den Freifunk-Router müsste man eher auf der gleichen Stufe, wie z.B. ein Kabelmodem ansiedeln, was einen ungefiltert und unmittelbar in das Netz lässt. Wer würde das denn zuhause machen? Und Layer2 erwartet man schon mal gar nicht!

Strenggenommen müsste man hinter den Freifunk-Router noch mal einen weiteren Router hängen, der den ganzen Sicherheitskram für mich individuell macht, damit ich eine ähnliche Sicherheit bekomme, wie ich es vom heimischen LAN her kenne.

Lange Rede, kurzer Sinn: Weils eben ein freies, offenes Netz ist, muss man sich schon selbst darum kümmern, dass die Endgeräte geschützt sind. Und dass es bei diesem Thema noch allgemein Nachholbedarf in der Freifunk-Nutzerschaft gibt, sieht man ja mit jedem IP-Scan.

1 Like

hab das mal hier requested:

Lässt sich eine Firewall - egal wie realisiert - mit dem PPA vereinbaren?

Ja, denn du manpulierst keine Daten von anderen, maximal eigene, und es ist schaltbar

Es werden ja schon auf den Gateways die Samba UDP? announcementd nicht durchgelassen (weis jetzt nicht wo das configuriert ist) Dadurch ist ja schon mal nicht jeder offene Rechner im gesamten Netz direkt sichtbar.

Gibt aber bestimmt scanner, die das trotzdem super detecten.

Denke das ist schwierig mit dem PPA zu vereinen alles.

Bleibt uns nur ordentliche HTTPS-Schulungs- und „öffentliches Netz einstellen“-Flyer zu verteieln

Wenn auf den Nodes irgendetwas geblockt wird, ist es kein freier Transit mehr. Und natürlich sind die Verbindungen der Nutzer des Nodes „Daten anderer“.

Nein ich werde keine Linux/Win Diskussion führen. Allerdings wer heute noch mit einem Windows kleiner Win98 unterwegs ist und dann auch noch ungeupdatet dem ist echt nicht zu helfen. (Ausnahme sind die, die Ihren Rechner anderweitig total isoliert haben, da ist das OS dann auch schnuppe).
Und zudem sollte doch jeder eine einigermaßen anständige Firewall und Virenscanner-Suite installiert haben. Die braucht Ihr eh im Internet. Ob nun über Freifunk, einen anderen Hotspot oder dem eigenen DSL-Anschluss.

Der Schutz (auch Jugendschutz) passiert mit den richtigen Einstellungen des Endgeräts und nicht im Netz in das es sich einklinkt.

Also mir wäre keine Firewall Regel bekannt die irgendwas Filtert auf einer Supernode im FFRG,
und solche Firewall Rules würde ich dem Gluon auch direkt wieder austreiben.
(Wobei ich eh nicht glaube das es jemand commited)
Frage mich was der Filter anders machen soll als die Windows Firewall (wenn sie denn benutzt wird)?

LG

Edit: Windows95 PC´s gehören auf den Schrott und nicht ins Internet! Basta! :stuck_out_tongue:

3 Likes

Um die Nutzer, die wissen was das ist, geht es hier wohl nicht. :wink:

Ich halte nichts von Firewall Regeln. Moderne Betriebssysteme machen das automatisch.

2 Likes

Na dann schalte doch mal die Filter für UDP Port 67 und 68 aus auf den Supernodes und Plasteroutern.

Ich weiß ja nicht was Du bei Dir so gefrickelt hast, aber bei uns gibt´s da nix auf den Supernodes :wink:
Man kann mehrere DHCP-Server auch sinnvoll betreiben ohne zu Filtern.

LG

PS: Sollte mich das nun Provozieren? :stuck_out_tongue:

Abgesehen davon dass mir noch nicht bekannt war, dass ihr Eure Supernodes unter Gluon betreibt, aber ich gehe davon aus, Du hast da mehr Durchblick, Du firmierst hier ja als „Admin Team Ruhrgebiet (EN-Kreis)“. Ich mag mich da aber irren.

Was das von Dir angesprochene Gluon betrifft, dann gehe ich mal davon aus, dass ihr folgende site.mk nutzt für den Build:
https://github.com/ffruhr/site-ffen/blob/master/site.mk

Dann ist da z.B. drin:

rule 'FORWARD -p IPv4 --ip-protocol udp --ip-destination-port 67 -j OUT_ONLY'
rule 'OUTPUT -p IPv4 --ip-protocol udp --ip-destination-port 67 -j OUT_ONLY'
rule 'FORWARD -p IPv4 --ip-protocol udp --ip-destination-port 68 -j IN_ONLY'
rule 'INPUT -p IPv4 --ip-protocol udp --ip-destination-port 68 -j IN_ONLY'

Nicht, dass das nicht sinnvoll wäre für den Netzbetrieb.
Aber wie passt es zu Deiner Aussage, Du würdest soetwas nicht zulassen?
Oder ist das Git schlicht outdated?

Dann ließ mal genau was da steht „Supernodes“ nicht Router!^^

Edit: Vlt. ist der Satz etwas schlecht ausgedrückt von mir, aber es ging um Filter auf der Supernode,
die mir nicht bekannt wären, und das ich einen SMB Filter in Gluon wieder entfernen würde.

LG

Ich denke das bezieht sich auf die Samba Shares aus dem ursprünglichen Posting

Daher meine Frage nach Eurem Einsatz von Gluon. Denn da ist eine solche Firewall-Regel zumindest nach dem was ihr nach PPA dokumentiert eben drin.

Sorry, ich hatte „irgendwas“ so verstanden als ob da gar nichts gefiltert würde.

1 Like

Ich glaube, wir meinten was Ähnliches und haben aneinander vorbei kommuniziert :wink:

Gluon mit DHCP Filter, auf den Supernodes kein Filter.
Gluon mit SMB Filter = No go