System ausreichend absichern

Hallo zusammen,

beim Betreiben meines FF-Routers stellt sich mir die Frage ob ich neben dem Aktivieren der autom. Firmwareupdate, dem regelmäßigen Kontrollieren der Hardware weitere Maßnahmen zum Absichern des Systems treffen kann bzw. unternehmen muss.

es geht um vertrauen das du in die Leute hast, die euer lokales Freifunk vor allem in Bezug auf Firmware and Infrastruktur betreiben , das auch direkt die richtige Adresse für Fragen, weis nicht ob die hier mitlesen
siehe auch hier : Code Review auf Sicherheit
„hacking“-Angriffe mal ganz aussen vor. Hilfreich könnte sein, den Freifunk Router „nur“ am Gastnetz zu betreiben. Damit schützte schonmal ein wenig mehr dein Heimnetz

  1. Du solltest den Router nur an einem Gastanschluss / in einer eigenen DMZ / hinter einer Firewall betreiben (einfach mal suchen, wurde schon oft durchgekaut)
  2. Die Firmware der Freifunk-Router würde ich als deutlich sicherer als die der meißten kommerziellen DSL-Router bezeichnen. Mit dem Unterschied dass die DSL-Router offen im Internet hängen. 100%-ige Sicherheit gibt es nicht, aber die Freifunk-Router sind schon sehr, sehr sicher. Einen Angriff aus dem Freifunk-Netz, der eine Lücke in der Firmware ausnutzt halte ich für nahezu ausgeschlossen.
  3. Setze kein Passwort in den Einstellungen und achte darauf, dass nur SSH-Keys eingetragen sind, die du eingetragen hast
  4. Stelle die physikalische Sicherheit des Routers sicher
  5. Wenn du die automatischen Firmwareupdates aktivierst, kann von Außen nach Zustimmung bestimmer Personen Software in deinen Router eingespielt werden. Du musst zwischen dem Vertrauen zu den Personen und der Möglichkeit von Sicherheitslücken in der Firmware (die durch ein Update gepatched werden) abwägen.
2 Likes

Die guten Tipps in alle Ehren, in der Dresdner Firmware bringt Punkt 3. im Detail wenig, das jene nicht auf Gluon basiert, das Feature gibt es schlicht nicht.

Das wichtigste ist, erstmal ein sicheres Passwort zu verwenden.
Die Autoupdates habe ich persönlich aus, zumindest bei den Routern die direkt am privaten Netzwerk hängen. Die Autoupdates sind per Crowjob realisiert, wo ich persönlich noch Angriffspotential sehe.

Logins auf die Verwaltung sollten nur per Freifunk oder WLAN erfolgen, denn nur dann ist die Verbindung auch SSL verschlüsselt.

Unter Expert->System kann man seinen Router noch weiter abschotten, so das man im Prinzip nur noch per LAN Kabel Zugriff auf die Verwaltung hat. Das ist in meinen Augen allerdings nicht notwendig.

Ansonsten kommt man wirklich nur mit Kenntnis des Passwortes auf den Router und natürlich physikalisch, wenn man per LAN im Failsavemode das Passwort zurück setzt.

Auf die Testing Version 4.2.2 könntest du auch aktualisieren, die ist um einiges schneller.

Diesen Punkt halte ich nicht für zwingend erforderlich. Ich mache das in meinem Heimnetz auch nicht, zur Trennung von Firmennetzen jedoch schon. In der Gastronomie halte ich es auch für überflüssig.

Der Sicherheitsstandart eines Freifunk Knotens liegt meiner Meinung nach deutlich über dem der typischen Router die am DSL Anschluss hängen.

Autoupdate ist natürlich sehr zu empfehlen.

1 Like

Richtig. Der TS hat aber nach Möglichkeiten gefragt, das Setup noch weiter abzusichern.

Richtig. Ich habe zwar gesehen, dass es kein Gluon ist, bin aber trotzdem von Gluon ausgegangen (ist das logisch?).

Okay. Danke erstmal. Ich hab die Firmware auf 4.2 gepatcht und bin beeindruckt.
Ich werd demnächst mal beim Stammtisch vorbeischauen und dort ein paar Fragen stellen.

In diesem Sinne - LG aus Pieschen :wink:

2 Likes