WAN vor Gluon-Knoten einbruchssicher? (was: Netzwerk hinter FF sicher und nicht hackbar?)

Hallo liebe Freifunker-Technik-Experten,

nach einer erfolglosen Suche im Forum möchte ich folgende Frage stellen:
Ist ein (Unternehmens-)Netzwerk, an das ein FF-Knoten mit Uplink angeschlossen wird noch sicher bzw. ausreichend geschützt? Ich stelle mir vor, dass durch den VPN-Tunnel kein Nutzer in das intere LAN inkl. Dömane und damit an sensible (freigegebene) Daten kommen kann.

Hintergrund ist, dass ich dieses Szenario einrichten wollte, vom eigenen externen Dienstleister aber die Aussage bekam

Wenn da einmal einer im Netzwerk ist, der da dran will (für mich: Profi-Hacker?!), und sich dafür z.B. die ganze Nacht Zeit nehmen kann kommt der auch an alle Daten im lokalen Netzwerk.

Sollte man also sichergehen und einen zweiten, phsysisch komplett abgeschirmten DSL-Anschluss einrichten? Oder können hier Experten Entwarnung geben?

Sicher ist nur, das nix sicher ist. Ein Profi würde den Freifunk Knoten zusätzlich in ein eigenes VLAN verbannen, oder aber wie du schon schreibst, einen gesonderten Anschluss dafür legen lassen. Wenn man nicht fahrlässig ein SSH Passwort auf dem Knoten setzt ist die Angriffsfläche auf den Knoten selber aber schon recht gering. Was natürlich nicht vor noch nicht entdeckten Sicherheitslücken in der eigentlichen Freifunk Firmware bzw. dessen Komponenten schützt.

1 Like

Überschrift hat mich verwirrt, deswegen habe ich etwas geantwortet

Ich kann mich nur anschiessen, die Präposition schaut in die falsche Richtung.

Wenn ein Sicherheitsbeauftragter frägt: Nein, das ein Freifunk-Knoten ist nicht sicher.
Firmware wird von Menschen gebaut und auch von Menschen signiert.
Und selbst wenn da 3+ Signaturen erforderlich sind: Ein jeder Mensch hat seinen Preis, und wenn es über Erpressung (Nachteile für Angehörige) ist…
Sprich: Wenn es einen „Dienst“ gibt, der Freifunkknoten übernehmen möchte, dann gibt es diese Möglichkeiten.

Aber ich denke mal, dass ich niemanden vor den Kopf stoße, wenn ich behaupte, dass man selbst ohne körperliche Gewalt in die meisten Communities Hintertüren in die Firmware geschmuggelt bekommt, wenn man ein Budget von 500k€ aufwärts investiert.

die Frage ist, ob es mit Freifunk UNsicherer wird als ohne - wer rein WILL kommt auch rein (siehe Bundestag o.ä.).
Ob da allerdings Freifunk etwas zur Unsicherheit beiträgt? Mit Sicherheit zumindest ein kleiner Prozentsatz (eben die Bugs etc., die unentdeckt sind).

1 Like

Wenn diese Frage aufkommt, dann sperrt man Freifunk in eine DMZ oder wie immer man das heute neumodisch nennt.
Oder baut eine Routerkaskade, wenn der Geldbeutel schmal ist.

Wenn man aber auch die 15€ nicht hat oder das Prinzip nicht versteht (als EDV-Dienstleister), oder so einen Zoo nicht will: Ja, dann geht’s halt nicht.

Die Frage bleibt: Gegen welche Gefahren möchte ich mich absicher und wie lecker ist das potentielle Ziel?
Und was ist mein Budget.
Ansonsten kann man sich auch fragen „Ist ein Döner gesund“?
Denn das hängt nicht nur vom Döner-Lieferanten ab, sondern schlicht davon, wie man „gesund“ definiert und was man für Ansprüche hat.

5 Likes

Ein Freifunk Knoten benötigt normalerweise nicht viele Dienste. Wenn man ihn an einen eigenen Port der Firewall anschließt und nur DNS und Port 10000 für den Fastd Tunnel freigibt, sollte man schon recht sicher sein. Alternativ kann man ihn auch vor der Firewall am Internet Router anschließen. Das Client Netz, sofern im Unternehmens LAN benötigt , kann man wie oben schon gesagt entweder in einem separaten Vlan verkapseln , oder physikalisch getrennte Verbindungen nutzen.

Sofern es nur ein Mini Unternehmen mit ner Fritz Box ist, eignet sich bei den neueren Fritzboxen glaube ich der Gastzugang für eine Abschottung des LANs vom Freifunk Knoten.

Ohne oben genannte Maßnahmen würde ich ihn in einem Unternehmen nicht ins LAN hängen.

1 Like

Ich denke man kann es also dahingehen bündeln, zu sagen, dass der Knoten durchaus ein Sicherheitsrisiko darstellt, dadurch, dass er nun mal eine Angriffsfläche bietet. Bei richtiger Installation (sprich VLAN und Positionierung VOR der Firewall) sollte sich das Risiko aber verschwindend gering sein. Wenn es nun jemand schafft das VLAN zu durchbrechen oder die Firewall, dann ist es also weiterhin möglich, aber naja, wenn er das schafft, dann ist der Freifunkknoten wohl das geringere Problem.

Größtes Sicherheitsrisiko in einer Firma sind immer noch unwissende Mitarbeiter. Da schützt Freifunk dann eher noch, weil der Mitarbeiter nicht doch irgendwie noch mit dem Smartphone oder Laptop über das Firmnetz (Wie auch immer das manche trotz IPSec und Co schaffen) die Mails-checken muss, sondern über Freifunk gehen kann.

Die von dir beschriebene Methode mit dem FritzBox Gastzugang würde Out-Of-The-Box so nicht funktionieren, da dort auch Port 10000 standardmäßig meines Wissens nach nicht zugelassen ist.

Ich hab es selbst noch nicht probiert mit Fritz Gastzugang und nur gehört das es gehen soll. Man möge mich also korrigieren.

Also sind freifunk Knoten in Arztpraxen ne schlechte Idee? Ich denke hier an die Patientendaten welche zu schützen sind und das nicht vorhanden sein von einer eigenen EDV „Abteilung“. Solche Knoten sollten also nur von versierten Freifunkern eingerichtet werden welche oben genannte Maßnahmen umsetzten können, und nicht von den mit viel Enthusiasmus und weniger technischem wissen ausgestatteten Knotenverteilern (aka klinkenputzern)?

Joa, dem würde ich so zustimmen.

In Arztpraxen und Co sollte man vorsichtig sein. Man will ja nicht, dass man was falsch verdrahtet und am Ende jeder in der Stadt nachlesen kann, dass her Müller am 3.3. gar nicht beim Arzt war.

Das kann einem beim falsch verdrahten wirklich schnell passieren unabhänig von den restlichen Sicherheitsgeschichten. Einmal LAN statt WAN und schon ist es passiert.

Also bitte hier von erfahreneren Leuten schauen lassen und nach dem 4-Augen-Prinzip arbeiten.

Sofern die Arztpraxis niemanden hat, der sich professionell um die IT Infrastruktur kümmert, fielen mir da aber auch noch leichtere Angriffsmöglichkeiten ein als über den Freifunk. Einfach eine preparierten USB Stick an den Rechner stecken, während man im Behandlungszimmer noch auf den Artz wartet.

2 Likes

Danke für die Antwort! Ich habe da nicht ganz ohne Grund so direkt nachgefragt :slight_smile: ein freund von mir ist Arzt, seine Praxis ist abgebrannt aber wenn er ne neue bezogen hat wollte ich ihn mal auf Freifunk ansprechen. Wenn er Interesse hat nehme ich dann Kontakt zu den örtlichen Freifunkern auf und bitte um Hilfe :wink:

1 Like

@Tobias schon klar, ist aber in dem Fall nicht der Fehler eines Freifunkers. So was muss ja nicht sein das ein Freifunk Knoten als Einfallstor dient und sich herumspricht das Freifunk unsicher sei oder sowas nur weil da ein einzelner leichtfertig einen Knoten falsch aufgestellt hat.

Bitte lese und verstehe was ich geschrieben habe.
Ich stimme Deiner Aussage nicht zu, denn Du hast es nicht erfasst, was Deine Vorschreibenden sagten.

Sehe ich auch so. Wer es schafft, auf den Freifunk-Router zu kommen mit Telnet, ssh oder ähnlich, der ist „im Netz drin“. Dann zählt also die Sicherheit an dieser Stelle.

In Kleinstnetzen hilft z. B. der Anschluss des Freifunk-Routers am Gastzugang (Fritzbox). Das ist dann die nächste Hürde.

Glück Auf
Thomas

Das konnten die alten Fritz 7050 auch schon mal.

Glück Auf
Thomas

Nicht zu vergessen - was macht die Fritz!Box sicherer als die Freifunk-Box? Der AVM-Aufkleber. :wink:

3 Likes

So sieht es aus.
Wenn ich in das Netz der Praxis möchte ist mein erstes Ziel der Router der Praxis und nicht der FF Router. Die FF Router bieten im Gegensatz zu den Routern mit Stock FW viel zu wenig Angriffsfläche.

Da wären:

  • bei vielen Geräten die Möglichkeit den WPS PIN anhand der SSID zu errechnen.
  • WPS Attack, oft möglich und schnell
  • Honeypot / MITM Attack
  • GPU Cracking

um nur ein paar Möglichkeiten zu nennen, bei denen man sofort im Zielnetz ist.
Da bemühe ich mich nicht der Suche nach einer evtl vorhandenen Sicherheitslücke in einem FF Router.

Oder?

Gruß

Chrisno

1 Like