Ich fände eine „privates AP-Netz“ mit NAT als Option nicht schlecht.
Also ein vernageltes NAT-Netz hinter dem Freifunk.
Ich weiss, kein sinnvolles(!) IPv6, wenn man es firewalled…
Aber vielen Leuten würde es helfen, Netzinterne Freifunk-Dienste zu nutzen.
Denn bislang haben die wenigsten ihre Heim-PCs im Freifunk-Netz. Warum? Weil man sinnvollerweise keine Drucker- und andere Embedded-GEräte (Wetterstationen, IP-Radios) ins Freifunk-Netz hängen kann. Es wäre töricht das zu tun.
Klar, man kann sich noch ein OpenWRT als Routerkaskade hinhängen ins FF-Netz. Aber wenn Gluon das von Hause aus böte, dann wäre es schön und würde die Netzinternen Dienste voranbringen.
IP scan, ich sage mal mit Fing, sagt nichts darüber aus, ob die Ports auch erreichbar sind. Ausgeschlossene Netzwerke über Controller Software sind nur sichtbar, jedoch nicht zu erreichen.
Ein Schutz halte ich jedoch für sehr wichtig. Offen kann es schnell missbraucht werden und wie ein Wurm auf andere Geräte übergreifen. Könnte man nicht die Netzmask für Endgeräte auf /32 benutzen, schon mal jemand mit FF getestet wie es arbeitet?
Stimmt, das ist die günstigste Lösung um Clients im Freifunk-Netz vor Angriffen zu schützen.
Und wer dabei auch noch seine WLAN-Gäste vor sich selbst schützen will, schaltet auf dem Freifunk-Router das Client-WLAN aus und macht mit dem „Firewall“-TL-WR841N dann ein neues offenes Client WLAN (kann man ja eine ähnliche SSID wie in der Freifunk Community wählen – aber natürlich nicht die selbe, das würde nicht roamen)
Ich habe das mal als artikel für unser Blog aufbearbeitet:
Also ich würde das so niemandem empfehlen. Denn dadurch verkleinert man nur den Angriffsradius, dadurch, dass man ein zusätzliche NAT einbaut, dann aber doch das WLAN öffentlich schaltet.
Wenn Freifunk drauf steht, sollte auch Freifunk Drin sein. Ich würde Gäste dann doch eher über das offizielle Freifunk-WLAN schicken und die eigenen Geräte hinter den WR841N setzen. Stattdessen dort dann einfach wenn überhaupt notwendig ein verschlüsseltes WLAN senden. Denn so hab ich meine privaten Geräte wirklich geschützt und Freifunk ist für alle anderen komplett wie gewohnt.
Ich finde es zwar auch verlockend, alle Clients direkt im Freifunk-Netz zu haben und alle sehen sich fröhlich und können sich in beiden Richtungen erreichen, aber es gibt leider doch zu viele alte Hardware, oder Gadgets, die man einfach nicht richtig absichern kann gegen Angriffe, weil keine Updates verfügbar (z.B. alte Android Handys). Außerdem gibt es immer wieder Zero-Day-Exploits und ich schätze, dass da so ein riesiges Freifunk-Netz ein gefundenes Fressen für Angreifer ist.
Dagegen hilft dann NAT dann doch schon, oder? (allerdings nur richtig, wenn der auch IPv6 NATtet).
Bitte einmal genau erklären, warum optionales natten gegen die Grundsätze verstößt.
USB nutze ich da nicht.
Und das wenige das ich drucke oder scanne ist so relevant, dass ich es wirklich nicht im Netz bei anderen als ungefragte Duplikate wissen möchte.
(Wetterstation, Heizungssteuerung und IP-Radio mag jetzt nicht so relevant sein, die sind bestimmt gut abgesichert und gut verschlüsselt, ausserdem ist ja nicht wirklich geheim wann ich heiße oder wann mein Wecker mich mit welchem Programm weckt. Und verdächtige Playlist im DNLA-smarttv habe ich Mangel Fernseher auch nicht.)
Aufgrund der Größe des ipv6 Adressraums ist das Angriffsrisiko sehr klein.
Wir machen übrigens natting für ipv4, wenn es Richtung Internet geht. Ipv6 kann man ja auch deaktivieren.
Ich finde die Vergleiche zwischen Freifunk und (home-) WLAN auch sehr unpassend. Ich vergleiche das lieber mit Internet über Mobilfunk, wo jedes Endgerät direkt im Internet hängt. Da ist die Endgeräte Sicherheit auch Aufgabe des Benutzers.
Wo kann man es zum Schutz der Clients am Knoten deaktivieren? In den Netzwerkeinstelungen von jedem Client, Oder nur global in der Community wäre keine praktikable Lösung.
Und geht dies auch in Kiel? Bei uns haben die Knoten keine IPv4, sondern nur die clients bekommen eine ipv4 und eine ipv6.
Wir (Freifunk Düsseldorf, Domäne Rheinufer, FFRL) natten beim Exit in das Internet, nicht innerhalb des Freifunk Meshs (wie die meisten Communities). Innerhalb eurer Freifunk Community kann aber immernoch auf den Client dann zugegriffen werden.
Ja, dass kannst du am Client deaktivieren.
Vielleicht solltet ihr das Thema mal in eurer Community in Ruhe diskutieren.
Man wird aber niemals ein sicheres Netzwerk hinbekommen. Meiner Erfahrung nach, fangen sich die meisten Endgeräte Schadsoftware beim Surfen ein, weil dann Lücken des Betriebssystem und von Fremdsoftware ausgenutzt werden und hier spielt dann die Endgeräte Sicherheit eine Rolle.
Der Angriff auf einzelne Rechner sieht in meinen Firewall Logs eher so aus, dass per Bruteforce ssh Logins durchgeführt werden.
Wenn du dich für das Thema interessierste, dann schau dir mal folgendes unterhaltsame Video an und lass dich von dem Titel nicht in die Irre führen.
