Unverschlüsselte VPN-Tunnel

Ich finde es erschreckend, dass Ihr tatsächlich nicht mehr verschlüsseln wollt. Dadurch ermöglicht ihr den Internetprovidern ein Flächendeckendes Mitschneiden des unverschlüsselten Internetverkehrs, der ja leider immer noch der grossteil der meissten unbedarften Usern ist. Ausserdem sind die Aufsteller der Freifunk Router so nicht mehr vor nervigen Abmahnungen wegen ev. Urheberrechtsverletzungen der Freifunkuser geschützt.

Das wirft fast die Vermutung auf, dass Eure Comunity von BND- oder Musikindustrie-Mitarbeitern unterwandert sein könnte.

Ich denke dass man überall da, wo man verschlüsseln kann, es auch tun sollte. Ja, auch auf kosten der Geschwindigkeit.

Nachtrag: Ich betone: ermöglicht ihr den Internetprovidern ein Flächendeckendes Mitschneiden. Ich rede hier nicht von der durchgeführten oder geplanten Vorratsdatenspeicherung

Ich finde es erschreckend, dass Ihr tatsächlich nicht mehr verschlüsseln wollt. Dadurch ermöglicht ihr den Internetprovidern ein Flächendeckendes Mitschneiden des unverschlüsselten Internetverkehrs, der ja leider immer noch der grossteil der meissten unbedarften Usern ist. Ausserdem sind die Aufsteller der Freifunk Router so nicht mehr vor nervigen Abmahnungen wegen ev. Urheberrechtsverletzungen der Freifunkuser geschützt.

Nein tut es nicht, bitte lies das FAQ. Ich habe früher selbst für einen großen Provider gearbeitet als VDS 1.0 entschieden wurde und ich musste die Kisten dafür aufstellen sowie konfigurieren. Da werden DNS Requests geloggt und Destination Header im IP Paket ermittelt, mehr ist überhaupt nicht machbar ohne das die kosten erheblich steigern.
Die enkapsulierten Daten im L2TP Paket werden nicht dekapsuliert und analysiert.
Und hier so nen unsinn von wegen Unterwanderung zu schreiben finde ich mehr als nur unpassend.

Die Störerhaftung ist auch nach wie vor auf der Seite des FFRL weil diese nicht durch Verschlüsselung erreicht wird sondern durch die vorher genannte Enkapsulierung. Bitte informiere dich bevor du etwas zu einem Thema schreibst.

6 Likes

Äh, wie kommst du auf diese Idee? Auf die Erklärung bin ich ja mal gespannt.

2 Likes

Ich nehme an es ist genau dieser Fall, wo vermittelt wurde das Verschlüsselung die Störerhaftung aushebelt. :frowning:

2 Likes

Das siehst du vollkommen richtig und zwar End-2-End. Nicht nur auf einem Bruchteil des Weges und nichts anderes macht der fastd Tunnel. Es wird nur ein kleiner Weg verschlüsselt. Das WLAN ist ja immer noch abhörbar…

3 Likes

Dazu kommt das man Clients von überall im Mesh abhören kann weil man in einem offenen Netzwerk einfach Mac-Spoofing betreiben kann.

3 Likes

[quote=„CyrusFox, post:12, topic:10140“]
Da werden DNS Requests geloggt und Destination Header im IP Paket ermittelt, mehr ist überhaupt nicht machbar ohne das die kosten erheblich steigern.Die enkapsulierten Daten im L2TP Paket werden nicht dekapsuliert und analysiert.
[/quote] Das wusste ich nicht. Wenn dem so wäre, dann wäre eine Verschlüsselung ja tatsächlich total überflüssig.

Tut mir leid, kam mir so vor, unter der Vorraussetzung, die ich annahm villeicht verständlich. Inzwischen habe ich auch noch erfahren, dass man ja sowieso schon die unverschlüsselten Pakete vom FF Gateway ins internet abfangen und mit den zugehörigen Paketen im (verschlüsselten) VPN Tunnel korrelieren könnte um so den Verkehr mitzuschneiden.

Ich glaube aber schon, dass eine potentielle Überwachungs-instanz wie „die NSA“ dann einfach eine Dekapsulierung und Analyse einer unverschlüsselten VPN Verbindung in großem Masstab einbauen könnte, auch wenn das aufwändig ist. Erscheint mir machbar und weniger aufwändig als in großem Masstab alles nachträglich zu korrellieren.

Insofern wäre Verschlüsselung dann die Version, wie man eine Globale überwachung erschwert.

4 Likes

Es ist schwierig, über der Erschwerung eines Angriffs zu sprechen, ohne diesen genauer zu definieren. Wir können als Community, die Infrastruktur zur Kommunikation baut (und erforscht), keinerlei Sicherheiten für unsere User realisieren. Jeder User muss seine eigenen Maßnahmen zur Sicherung seiner Identität ergreifen. Gerade wenn sein Wohlergehen direkt daran hängt und die Sache umso dringlicher ist, können wir diese Verantwortung nicht annehmen.

Wer heute noch einen Dienst im Web ohne HTTPS anbietet, setzt das einfachste Mittel für Datenschutz bereits nicht ein. Das können wir den Betreibern nicht abnehmen. Die Pakete auf einer Teilstrecke zu verschlüsseln ist wirkungslos, wie bereits gesagt wurde.

Weitergehend schützt der Einsatz des Anonymisierungs-Proxys Tor bereits erheblich die Privatsphäre eines Users. Daher sind wir als Community gut darin beraten, dieses und dazugehörige Tools (Tor Browser, Tails) zu bewerben.

Unser einziges Mittel besteht darin, niemals personenbezogene Daten zu sammeln oder gar zu speichern. Dagegen müssen wir uns für alle Zeit erwehren. Namen und Adressen kommen nicht in unsere Logs. Dazu sollten wir uns selbst verpflichten.

6 Likes

3 posts were merged into an existing topic: Tor über Freifunk

Tut mir leid, kam mir so vor, unter der Vorraussetzung, die ich annahm villeicht verständlich. Inzwischen habe ich auch noch erfahren, dass man ja sowieso schon die unverschlüsselten Pakete vom FF Gateway ins internet abfangen und mit den zugehörigen Paketen im (verschlüsselten) VPN Tunnel korrelieren könnte um so den Verkehr mitzuschneiden.

Kein Problem ;), es ist nur so das teilweise sehr vereinfacht vermittelt wird das die Verschlüsselung viele Probleme löst und die Störerhaftung aushebelt. Damit möchten wir gerne aufräumen, man kann den Leuten z.b. stattdessen vermitteln dass das VPN der Schutz ist. Verschlüsselung würde ich da gar nicht mal mit nennen :).

Was die NSA angeht so denke ich auch nicht das die relativ schwache Krypto von Fastd so viel ausmacht. Da wird der Traffic einfach gesammelt bis er entschlüsselt werden kann :frowning:

2 Likes

Tut mir leid, aber ich kann euch nicht zustimmen.

Eine Verschlüsselung eines Teil des Weges ist auf jeden Fall eine Verbesserung, auch wenn dadurch nicht die Sicherheit der user erreicht wird, so sperrt man dadurch doch die Provider selbst aus den potentiellen Lauschern aus.

Mehr Verschlüsselung ist immer gut, da sie das „Grundrauschen“ erhöht und allein dadurch schon die wirklich „interressanten entschlüsselungswürdigen“ Daten von den unwichtigen ununterscheidbar macht.

Außerdem ist es unsinnig zu behaupten man solle nicht verschlüsseln, da es den usern eine falsche Sicherheit vorgaukele. Wenn man den usern nichts falsches erzählt fangen sie auch nicht an so etwas zu glauben.

Also Lösung: weiter verschlüsseln und den Benutzern aber korrekt erklären, dass sie durch die Enkapsulierung in einem Tunnel geschützt sind. Die Verschlüsselung braucht man in der Erklärung gar nicht erwähnen, da sie irrelevant ist (deshalb braucht man sie aber noch lange nicht abschalten)

hä?
wenn nur eine Teilstrecke verschlüsselt ist bringt sie nichts.

Das einzige was sicher ist ist ende zu ende

2 Likes
  1. Verschlüsselung initial unverschlüsselten Datenverkehrs ist grober Unfug.
  2. Einblick in die übermittelten Daten ist Transporteuren eher nachhaltig verboten.
  3. Wer 2016 nicht Ende-zu-Ende verschlüsselt, hat auch nichts zu verbergen.
4 Likes

Klar. Ich verschlüssele vom FF-Knoten bis zu meinem Internet-Uplink, und das hilft dann wem wie?! ISP dürfen in den Traffic nicht reingucken, Punkt. Natürlich kann ich über 42 Verschlüsselungs-Layer versuchen, ihnen dies auch nachhaltig zu verunspaßen — nur, da sie es a) eh nicht dürfen und b) mit der Information „da läuft L2TP-Freifunk-Traffic drüber“ nichts anfangen könnten (Vertragskündigung aufgrund illegal ermittelter Daten? DAS wird ein Fest!), qui bono, wenn ich es täte?

Ja, aber diese Kenntnis muß raus an die Enduser; nutzt SSL und präfieriert lokal kontrollierte/kontinentaleuropäisch ausgestellte Zertifikate! Never ever trust anyone in the US, the UK, Canada, New Zealand or Australia. (Spätestens hier, so wahr die Aussage auch ist, wird die Umsetzung schwierig.)

1 Like

Hoffentlich wird es zukünftig mehr Möglichkeiten abseits von Fastd geben um ins VPN zu kommen. Persönlich liebäugelt der ein oder andere ja mit professionellerer HW wie Mikrotik und die ohne Offloader einsetzen zu können wäre geil.

Ich finde der Nodeaufsteller kann die beste Entscheidung treffen, ob Sicherheit oder Durchsatz wichtiger ist. Wenn beides parallel verfügbar wäre, gäbe es keinen Grund zu streiten. Ich sehe es aber auch so, das ein offenes WLAN per se schonmal unsicher ist und leichter belauscht werden kann als das komplette Mitschneiden des Traffics bei Providern auf Vorrat.

Für mich zählt das Verfügbar machen mehr, insofern finde ich das hier einen großen Schritt. Wo wird man das denn einsetzen können? Nur in DD?

Entschuldige bitte, aber das ist fachlich grober Unfug.

Die Verschlüsselung des Wlans ist ein Zugriffsschutz mit dem der Betreiber ungewollte Teilnehmer fern hält. Es ist keine Sicherung für den Anwender. Freifunk hat keine ungewollten Teilnehmer, daher braucht man auch kein WPA2.

Nur Ende-zu-Ende-Verschlüsselung macht Sinn, alles andere ist Homöopathie. Um den Knotenbetreiber vor der Störerhaftung zu schützen, genügt eine Enkapsulierung der Pakete, dazu bedarf es keiner Verschlüsselung.

Grüße
Matthias

5 Likes

Lerne gerne immer wieder etwas neues. Hier muss ich aber noch mal nachfragen. Wie willst du WPA2-verschlüsseltes ohne Aufwand per Funk mitschneiden bzw. siehst du es vollkommen unkritisch das ohne Verschlüsselung jeder Mitnutzer den zumeist unverschlüsselten Traffic der anderen mitschneiden kann? Gerade in Innenstadtlagen sehe ich da schon Begehrlichkeiten, wenn sich tausende Clients einloggen um ungeschützten Datenverkehr mit was für Gegenstellen auch immer zu haben.

Es ist selbstreden das dies kein Ersatz für Ende-zu-Ende ist, aber seien wir mal ehrlich: das ist noch sehr weit weg von der Realität. HTTPS ist z.B. immer noch nicht ausreichend verbreitet als das niemand mal Passwörter etc. auf ungeschützten Seiten eingeben muss. Im Szenario „böser Nachbar“ macht aus meiner Sicht eine Verschlüsselung mit WPA2 einen enormen Unterschied. Und wenn es nur den möglichen Kreis von Angreifern um 99% minimiert. Man kann da IMHO nicht einfach die Annahme treffen, alles sei Ende-zu-Ende verschlüsselt.

Aber darum gehts ja nur am Rande. Ich bleibe dabei das die Abwägung wenigstens Teilstrecke verschlüsselt vs. Performanz am sinnvollsten von lokalen Admins getroffen wird. Das war meine Kernaussage.

Grüße aus der Eifel,
Arwed

Wie MPW schon schrieb:

Klar, wenn ich den WPA-Schlüssel nicht kenne, wird das Lesen der Klartextdaten aufwendig. Bin ich aber im WPA-Kneipen-WLAN »Kneipe«, mit dem – monatlich wechselnden – Kennwort »Kneipe0216«, kann ich natürlich anderen Traffic erst einmal wieder mitschneiden. Im WPA-WLAN ist der Datenvekehr i. d. R. wieder für alle Geräte sichtbar, und wer heute ein WLAN für seine Gäste betreibt – und nicht Freifunk macht –, wird dieses verschlüsseln, mit einem periodisch wechselnden Schlüssel, den seine Gäste sich wiederum merken können => Kneipenname-Monat-Jahr. Damit ist das aber ein shared secret, und auch Dritte können den Datenverkehr wieder mitschneiden.

Jeder sollte sich verdeutlichen, daß am Ethernet des WLAN-APs, also Richtung Internet, WPA keine Rolle spielt. Jeder nicht Ende-zu-Ende verschlüsselte Datenverkehr fällt dort im Klartext ins Internet. Und den DE-CIX abzuhören ist für die NSA viel einfacher, als 40 Millionen von WLAN-APs zu modifizieren …

Seriöslich: Wer über ungeschütze/nicht selbst kontrollierte Infrastrukturen Credentials faktisch im Klartext überträgt, gehört einstweilig erschossen. Bevor ich meinen VDR, der aus lauter Faulheit auf Port 80 statt 443 lauscht, konfiguriere, starte ich das VPN nach Hause – eben damit niemand den Nutzer „geilescheisze“ und das Passwort „Hamurabi16“ mitschneiden kann.

1 Like

Klar, wenn ich den WPA-Schlüssel nicht kenne, wird das Lesen der Klartextdaten aufwendig. Bin ich aber im WPA-Kneipen-WLAN »Kneipe«, mit dem – monatlich wechselnden – Kennwort »Kneipe0216«, kann ich natürlich anderen Traffic erst einmal wieder mitschneiden.

Ok, dann kein Gewinn durch WPA2. Muss gestehen kenne WPA nicht so genau. Dachte da werden individuelle Sitzungssschlüssel erzeugt die nicht im ‚Klartext für Mitsurfer‘ über den Äther gehen. Ist jetzt aber offtopic.

Unabhängig von Euren Eingebungen, die Gefahr des Mitschneidens ist für einen Häcker auch unwirtschaftlich. Ein Häcker wird eher versuchen auf eine fake Paypal, …Bank Seite zu locken um Passwörter, Tan über eine http Clone Seite zu fischen. Das könnte er erreichen mit super schnellen DHCP Server der falsche DNS, also fake Namens Auflösungen macht, wo die Clienten unwissentlich sich nicht auf der richtigen Seite befinden. Gibt mehrere Varianten, Man in der Mitte … oder einschleusen eines DHCP …