[SOLVED: Filterndes MITM-Setup (SaveDNS)] Schwierigkeiten mit https

Hallo Freifunk!

Ich gehe mit einem WLAN-Stick in den benachbarten Freifunk über ein als
öffentlich gekennzeichnetes Netzwerk. Jetzt weigert sich mein Firefox
bei mehreren Seiten, sie entweder komplett zu laden oder Teile davon
(wie z.B. bei reddit die Media Inhalte oder Antworbeiträge).

Bei den Seiten, die ganz nicht geladen werden, bekomme ich die
„Did Not Connect: Potential Security Issue“
Fehlermeldung von Firefox. Darunter wird dann erklärt, dass die Domain,
die ich ansurfen möchte, ein HSTS Protokoll laufen lässt und somit die
Seite nur mittels https angesteuert werden kann.

Kann ich keine sichere Verbindung zu solchen Seiten aufbauen im
Freifunk, liegt es daran? Oder übersehe ich einfach eine offensichtliche
Konfiguration meines Netzwerks/meiner Verbindung?

Vielen Dank!

Das klingt nicht gut.

Hast du mal geschaut ob deine Systemzeit stimmt und du die aktuellen root Zertifikate installiert hast?

bzw. ob das auch bei anderen Netzwerken auftritt?

Also die Systemzeit stimmt. Ich habe Windows 7 am Laufen. Im Netzwerk- und Freigabecenter ist die bestehende Verbindung als ein öffentliches Netzwerk und als eine Drahtlosnetzverbindung angegeben.

Es gibt andere Netzwerke in meiner Umgebung, aber ich kann mich bei denen nicht aufschalten, da sie entweder einen Sicherheitsschlüssel anfragen oder man ein Ticket bei denen kaufen muss (Vodafone Hotspot). Deswegen kann ich dir deine zweite Frage nicht beantworten.

Uff, root Zertifikate? Sind die Zertifikate nicht ein Ding, welches mit den Webseiten selbst verbunden ist und um die sich die Hoster kümmern müssen? Oder reden wir jetzt aneinander vorbei? :smiley:

Hier nochmal der Absatz unter der Fehlermeldung im Überblick:
"old.reddit.com has a security policy called HTTP Strict Transport Security (HSTS), which means that Firefox can only connect to it securely. You can’t add an exception to visit this site.

The issue is most likely with the website, and there is nothing you can do to resolve it.

If you are on a corporate network or using anti-virus software, you can reach out to the support teams for assistance. You can also notify the website’s administrator about the problem."

(Es laufen übrigens keine Anti-Viren-Programme, das kann ich ausschließen. Das Netz, dem ich beitrete, befindet sich allerdings im gegenüberliegenden Krankenhaus, man könnte das wohl ein „corporate network“ nennen? Ist aber Freifunk.)
Und unter ‚Advanced‘ wird dann dieser Fehlercode ausgegeben:
"SEC_ERROR_UNKNOWN_ISSUER"

Die Verbindung ist auch shaky, das muss ich sagen. Ich lese ein Empfangssignal von ca. -70 dBm. Manchmal muss ich auch eine Seite mehrmals ansteuern, bevor sich etwas tut.

Andere Internetanwendungen, wie etwa Downloads auf Steam, laufen hingegen problemlos. Ich nehme an, das liegt daran, dass kurze Verbindungsschwächen/-ausfälle dabei kompensiert werden.

Danke jedenfalls schon mal für deine Reaktion.

Nachtrag: Ich habe mir den ‚Issuer‘ aus der Fehlermeldung oben einmal angesehen: es ist SafeDNS.

In einem Artikel in pcmag aus dem Januar '22 heißt es:
"For $19.95 per year, SafeDNS filters out nasty or dangerous websites for any device connected to your home router.
SafeDNS offers small-business plans for 10, 25, or 50 users; businesses with more users than that need to negotiate an enterprise-level plan. Installing a content filter for business could be a good idea. If one employee is offended by another’s porn-surfing,[…]"

Darauf hab ich dann mal eine Porno-Seite angesteuert und siehe da, anstatt der Ansehnlichkeiten gab es eine komplett blaue Seite mit großer weißer Schrift „SafeDNS Access denied!“ Dazu stand da noch „Our public resolver might get unavailable soon! get you free license now: register“

Hmm. Lässt das benachbarte Krankenhaus etwa so eine Art Kindersicherung laufen für den Freifunk? Und filtert somit meine Memes auf reddit?

Also HTTPS Interception hat in einem öffentlichen Netzwerk absolut nichts zu suchen. Ich kann nur dringendstens von der weiteren Nutzung dieses Netzwerkes abraten.

Das ist auch mit Sicherheit kein „Freifunk“ da hier üblicherweise das Pico Peering Agreement gilt und in diesem gleich zu Anfang eine solche Praxis ausgeschlossen ist:

1. Freier Transit

  • Der Eigentümer bestätigt, freien Transit über seine freie Netzwerkinfrastruktur anzubieten
  • Der Eigentümer bestätigt, die Daten, die seine freie Netzwerkinfrastruktur passieren, weder störend zu beeinträchtigen noch zu verändern.

Quelle: https://www.picopeer.net/PPA-de.shtml

Dann stell’ doch bei der Verbindung zu dem Netz fest einen eigenen, öffentlichen, Nameserver ein, z. B. 1.1.1.1 (Cloudflare), 85.214.20.141 (Digitalcourage) oder 5.1.66.255 / 185.150.99.255 (FFMUC; letztere auch per DoH/DoT nutzbar) und guck’, ob das Problem dann weg ist.

 
 


FTR, aber off-topic: PPA Absatz 1 gilt nicht für »zusätzliche Dienste«, zu denen z. B. ein Internetzugang zählt. Zudem ist auch ein filternder DNS-Server ein zusäzlicher Dienst im Sinne des PPA, für den eigene Regeln gelten dürfen; schlußendlich sind »komische Antworten« dieses DNS-Dienstes keine Beeinträchtigung des freien Transits aus Absatz 1.

Allerdings mag derlei gegen Wunsch oder Nutzungsbedingungen der jeweiligen Community verstoßen.

1 Like

Wäre es ja schon ganz spanned zu erfahren, um was für einen Freifunk-Knoten es dabei geht.
(auch auf die Gefahr hin, dass dabei dann evtl. herauskommt, dass da jemand sein Homegateway-Gastnetz einfach mit der SSID „Freifunk“ versehen hat.)

1 Like

Ist Windows 7 nicht schon lange EOL ?
Das klingt für mich eher so, als wäre dein Zertifikats Storage in Windows out of date.

Lass dir doch mal das Zertifikat anzeigen im Browser wozu die Meldung „SEC_ERROR_UNKNOWN_ISSUER“ kommt.

Nein. Das PPA bezieht sich nur auf Netzknoten, nicht auf AP-Clients.

Ich behaupte nicht, dass so eine Interception, wie wir sie hier vermuten(!) sinnvoll/legal etc ist. Nur das PPA gibt in der Richtung nichts her, ähnlich wie die 10 Gebote Moses.

BTW: Wer im Forum etwas zurückblättert findet Communities, die früher diskutierten, per DHCP/RA einen DNS a la PiHole (oder ähnlichem „Reklamefilter“) anzubieten und die Nutzung von 8.8.8.8/9.9.9.9 etc natürlich nicht zu unterbinden, aber eben nicht als default.

Mit Verweis auf meine obiges Posting: Mir ist mangels Standort, mangels BSSID-Mac, mangels Exit-IP/IP-Range nicht klar, über was für ein Freifunk wir hier überhaupt diskutieren. Ich tippe mal auf ein irgendwie „sehr speziell gebasteltes Setup“.

Im Firefox habe ich in den Settings die Möglichkeit , die installierten Zertifikate einzusehen. Außerdem ist eine Funktion aktiviert, die mittels ‚QCSP responder‘ deren Gültigkeit bestätigt. In der Liste gibt es z.B. auch das genaue Zertifikat zu DigiCert, aus deinem Bild. Jenes und die des zugehörigen Root Servers - beide gültig bis 2031.

Habe ich ja oben schon geschrieben. Der ‚issuer in question‘ ist SafeDNS oder genauer SafeDNS Server CA. Erstes Zertifikat ist gültig von diesem Montag bis diesen Mittwoch, das vom Server bis 2023.

Ich habe alle angegebenen Nameserver einmal ausprobiert. Stets lande ich wieder beim ‚unknown issuer‘ SafeDNS. Mache ich es auch richtig? Ich habe die Ip Adressen im Status meines WLAN Sticks unter ‚Eigenschaften von Internetprotokoll Version 4 (TCP/IPv4)‘, abermals unter ‚Folgende DNS-Serveradressen verwenden‘ in das ‚Bevorzugter DNS-Server‘-Feld eingetragen.

Ich denke inzwischen, dass ich euch fälschlicherweis hochgescheucht habe. Das fragliche Netzwerk ist mit hoher Wahrscheinlichkeit kein Freifunk. Der Ausdruck kommt auch nicht in der SSID vor.

Mein einziger Anhaltspunkt anzunehmen, dass es sich um Freifunk handelt, ist dass ich mich ohne Sicherheitsschlüssel einwählen kann.
Und dass die Hotspots-Karte in dem Gebäude fünf Einwahlknoten anzeigt.
Ich bekomme über die Gegenstelle auch nichts anderes als die Ip4-Adresse als Standard-Gateway. Kann sie somit auch nicht mit den Ip6 Adressen auf der Karte vergleichen. Sind die Namen der Knoten auf der Karte die SSIDs?

Die Formatierung der vorliegenden SSID ist halt „-WiFi-LAN1“.
Ich vermute, ich befinde mich einfach im krankenhausinternen LAN anstatt im Freifunk. Was mich nur wundert ist, warum haben die anscheinend zwei seperate, öffentlich zugängliche Netzwerke am laufen? Und warum sehe ich die Freifunkknoten auf meiner Liste nicht (die es laut Hotspots-Karte geben müsste)? Kann natürlich sein, dass die zu weit weg sind, aber das LAN Dingens kommt relativ gut rein.

Jedenfalls danke für all eure Beiträge!

Sorry, meine letzte und einzige Zertifizierung auf MS-Produkte datiert auf’s letzte Jahrtausend und bezog sich auf NT 3.51 auf Alpha AXP. (Disclaimer: Ich war jung, brauchte das Geld — und konnte zum Ausgleich mich auf SGIs austoben :smile:)

Seufz

Immerhin danke für die Aufklärung.

Bitte an die Moderation: bitte hier schließen, zuvor noch von »Community/Aachen« nach »Technik« verschieben, danke. Und Subject um » [SOLVED: Filterndes MITM-Setup (SaveDNS)]« erweitern?

2 Likes