Sicherheit ist eine Illusion habe ich mal gehört im Deutschlandfunk, da ging es eine Sendung lang über Einbrecher. Also 1 Klapprechner nur für Freifunk und keine Daten auf der Festplatte speichern! Das gleiche gilt auch beim Freifunk. Der Freifunk ist bestimmt noch nicht ausgereift.
Hier geht es nicht um Angriffe auf Clients, sondern um Angriffe auf das LAN des Kontenbetreibers.
Aber was Arztpraxen angeht, so haben die entweder gar keinen Zugang vom Internet auf die Praxisdaten, oder sollten eine Firewall betreiben.
Häufig ist die Implizit dadurch vorhanden, dass der Internetzugang über das so genannte KV-Safenet erfolgt. Dies ist nichts anderes als ein privates Netz, das über eine VPN angebunden ist. Den Zugang dazu erhält man nur über extra zugelassene Provider, die dazu einen VPN Router (z.b. eine ZYWALL) in der Praxis installieren über die dann der gesamte Traffic geht.
Schließt man bei so einem Setup den FF-Router parallel zur Firwall am DSL Modem an, hat man den FF-Router im roten Netz der Firewall und damit so gut abgeschottet wie den Rest des Internets.
Das Risiko ist also genau so hoch, als hätte der Nachbar einen FF-Router aufgebaut.
Und ich habe mal gehört (im Fernsehen!), unsere Sicherheit würde am Hindukusch verteidigt.
Daher würde ich jetzt vorschlagen, die Freifunkrouter sicherheitshalber in Kabul aufzustellen.
Nein, im Ernst: Was hat Dein Beitrag mit der Fragestellung zu tun?
Es geht doch darum, ob/wie sicher das Heimnetz „von Bundelrouter des Providers XY“ ist gegenüber unberechtigten Zugriffen seitens von Personen, die als Freifunk-AP-Client am lokalen Freifunk-Knoten hängen.
Oder die gar „aus dem Internet“ aus Zugriff auf den Freifunk-Knoten nehmen und dann Zugriffe ins lokale Netz der jeweilgen Routeraufstellenden vornehmen.
Und ja, da gab es durchaus mal Szenarien. Für alle mir bekannten Gluon-Releases trifft das jedoch nicht zu.
1 „Gefällt mir“
Ich habe letztens einen Bekannten angesprochen, ob er seinen Anschluss für Freifunk freigibt. Er ist grundsätzlich dafür offen, allerdings arbeitet er viel von zuhause aus und will nicht, dass seine geheimen Unternehmensdaten ins Freifunknetz geraten.
Habt ihr eine Info für mich, die ich an ihn weiterleiten kann, um seine Bedenken auszuräumen?
Ich gehe davon aus, dass er sich via VPN direkt mit dem Unternehmensnetz verbindet, aber ich hätte trotzdem gerne Infos.
Vielen Dank im Voraus.
Vergleiche folgende Threads:
Meine Meinung:
Setze einen Router zwischen Internetzugang und vorhandenen Router, dann kommt der FF Router parallel zum vorhandenen Router an den neuen, der den Zugang herstellt. Kannst ja im neuen Router den alten als „exposed Host“ einstellen, also alle Ports aus dem Internet auf dem alten Router auflaufen lassen, dann sollten auch vorhandene Portfreigaben oder VPN weiterlaufen.
Ich hab das bei mir so laufen (Apotheke, Schutz von Kundendaten).
Die kleine Lösung ist der Gastzugang einer Fritzbox, sofern vorhanden. Hab das bei meinen Eltern so geschaltet. Genauere Infos bei Bedarf gerne per PN oder ausführlich hier im Forum, wenn gewünscht.
3 „Gefällt mir“
Ergänzung: Schau Dir auch mal die Diskussion hier an:
Das könnte noch Fragen beantworten, die noch kommen…
Viel Erfolg und frohe Ostern!
Vielen Dank und ebenfalls frohe Ostern.
Das Hauptproblem sind nicht die Clients, die sind relativ gut abgeschirmt. Problematischer ist da schon das je nach Community ein Fernzugriff auf die Router besteht (SSH) bzw. es Auto-Update gibt. Darüber ist sehr wohl voller Zugriff auf das Netz möglich, sofern keine Vorkehrungen getroffen wurden. Deshalb würde ich persönlich immer darauf achten das die Freifunk-Router in einem demilitarisiertem Bereich (DMZ) des Netzwerks hängen. Bei einer Fritzbox ist das z.B. das „Gastnetzwerk“. Wenn man mit sowas arbeitet und zusätzlich noch erklärt das die Router ohnehin auch nochmal eine Sicherung haben, dürfte es passen. So Fragen sollte man IMHO mit Kompetenz begegnen, anstatt es zu übergehen. Ich würde ihm sagen. „Grundsätzlich ist das getrennt und technisch sind die WLAN-Nutzer nicht in der Lage hier ins Unternehmensnetz zu kommen. Wenn man sich darauf aber nicht ausschließlich verlassen möchte, kann man auch zusätzlich noch die eigenen Geräte so konfigurieren, das sie in Richtung des Freifunk-Routers ebenfalls keine Verbindung zulassen. Das müsste man in dem Falle einfach mal mit ihrer IT besprechen.“ Ihr merkt, doppelt und dreifach die Optionalität betont um den Standort nicht zu gefährden. Die IT mit ins Boot holen schafft Vertrauen auch wenn es ggf. 100,- oder so kostet. Frag vlt. mal bei deiner Community, wie da die Updates laufen. Das Verschweigen einer Fernwartungsmöglichkeit geht IMHO gar nicht, auch wenn man es sensibel kommunizieren muss.
Ich kenn das Problem mit Unternehmensdaten persönlich. Da geht es teilweise (neben Betriebsgeheimnissen, natürlich), auch um Datenschutz und da muss einfach dokumentiert sein, wie unberechtigter Zugriff vermieden wird. Ich weiß, das hat so gut wie Nullkommaniemand der Unternehmen, aber eigtl. ist es Pflicht für richtige Firmen. Ich hoffe ich konnte dir damit noch ein paar Einblicke verschaffen.
Deswegen ja die kaskadierten Router. Wenn man (Heim- oder Kleinbüro angenommen) einen Router vorschaltet, kann man argumentieren, dass man nicht in die Sicherheit eingreift, weil man sich auf der "Internet-"Seite befindet und da sowieso diverse Portscans und Einbruchsversuche laufen. Bleibt das Problem, dass man ein Stück Hardware in den Datenweg einschleust, das ausfallen kann und nicht der Wartung der IT-Abteilung bzw. des Systemhauses unterliegt, was zuhause kein Problem darstellt. Man brucht ggfs. nur ein DSL-Modem mit Router bzw. etwas, das man zwischen Providerkabel und vorhandenen Router setzen kann und was die „Einwahl“ herstellt.
Ein kaskadierter Router mit eventuell nie aktualisierter Firmware bringt da denke ich auch nicht so viel. Da macht eine FritzBox mit aktualisierter automatischer Aktualisierung schon mehr Sinn. Dort kann man den Gast-Port nutzen.
Wenn sein Firmenlaptop eh ein VPN aufbaut, ist das doch geschützt. Sogar im kompletten Internet bis in die Firma! Da braucht er sich keine Gedanken zu machen.
Grüße
Matthias
Wie verhält es sich hiermit:
https://wiki.freifunk.net/Sicherheit#Ist_mein_privates_LAN_sicher_abgeschirmt.3F
Wäre es nicht schön dazu eine ordentliche FAQ (oder Infografik) zu bauen, denn eine Seite kommt immer zu kurz,
entweder man sagt alles ist unsicher und hackbar oder bestechlich …
oder man sagt alles ist sicher weil alles seperat läuft - solange man keinen physischen zugriff hat
irgendwie weis ich auch nicht wie man Menschen informieren kann, sie dort abholen kann wo sie stehen und gleichzeitig nicht mit so hammerkeulen wie nix ist sicher um sich wirft. Also ich sehe das Menschen von solchen Aussagen schlicht auch überfordert sind
2 „Gefällt mir“
Ich sehe das Problem nicht. Die, die Sicherheit wollen, nutzen eine Fritzbox mit Gastnetzwerk oder kaufen sich einen 841er mit Originalfirmware und setzen den mit WAN an den LAN ihres vorhandenen Routers, stellen als Zugang DHCP ein und hängen an das LAN des 841 ihr bisheriges LAN. Dann ggfs. noch die WAN-IP des 841er im Zugangsnetz als Exposed Host, damit alles wie VPN eingehend, VoIP etc. funktioniert und den FF-Router mit WAN an einen weiteren LAN des Zugangsrouters und das Problem ist erledigt. Zumindest nach der Sicherheit, die 99,9% der Privatleute im Internetzugang haben.
Die anderen stecken einfach ein und vertrauen der Firmware und ihren Machern.
Das Problem sind nicht die Leute die Freifunk sowieso wollen. Das Problem sind Leute die wir für Freifunk gewinnen wollen aber erstmal berechtigte Bedenken haben.
Ich versuche gerade mir die Abschottung des „Host LAN“ vom Freifunkverkehr anzuschauen und finde ja noch nicht mal eine Erklärung wir so ein Router überhaupt funktioniert geschweige denn das man nachlesen kann wann beim booten einen FF Routers an welcher Stelle welche ebtables / iptables gesetzt werden.
Ich finde viele machen es sich zu einfach wenn es darum geht neue Menschen an das Thema Sicherheit der eigenen Netze heranzuführen.
1 „Gefällt mir“
Dann gibt man denen zwei 841er. Einen mit FF, einen mit Stock-Firmware. Wenn man Glück hat, ist das WLAN dann inhouse besser als mit (z.B.) FritzBox. Zumindest ich bin von 2,4GHz WLAN der Fritz recht enttäuscht. Jeder billige 841er ist bei mir besser.
Und aufnötigen sollte man FF sowieso keinem, für die Idee gewinnen ist besser, aber auch schwieriger.
1 „Gefällt mir“
Es gibt keine Universalanleitung, wie ein Freifunkrouter funktioniert. Bei uns kann man über das Webinterface z.B. die aktuellen Routen einsehen, aber natürlich auch per SSH. Als ITler hat man somit das notwendige Handwerkszeug, dass Netz zu verstehen. Bei anderen Communitys kommt man gar nicht mehr auf den Router, ala security by obscurity. i!Den Sinn eine Anleitung zu schreiben wie ein Kernel bootet, für Menschen die mit der Programmierung eines UKW Autoradios überfordert sind, sehe ich nicht!i
Die ganz panischen Administratoren übernehmen natürlich die Administration selbst und können ihre Router auch soweit verriegeln, das nur noch Turnschuhadministration möglich ist.
gibt mir einfach mal eine Anleitung wie ein Freifunktrouter funktioniert.
- Was passiert beim zusammenstellen
- was machen welche Pakete
- wo werden wann die Routen und IP tables gesetzt?
Und bitte nicht enen allgemeinen Link auf die Gluon Doku. Da steht das nämlich nicht drin und wenn doch dann bitte einen Link auf das Dokument)
Ich mag ja „das Netz verstehen“ aber kann doch nicht verstehen wie das System Freifunk Router funktioniert in dem ich mir das Ergebnis alleine anschaue
gibt mir einfach mal eine Anleitung wie ein Freifunktrouter funktioniert.
Die Quellen sind doch vorhanden und wenn Du Langeweile hast, wird Dich sicher niemand daran hindern, die von Dir geforderte (!) Anleitung zu schreiben.
Ich bin ja immer noch auf der Suche.
Aber in mir wächst die Befürchtung das hier ausnahmslos alle davon reden das die Abschottung sicher ist und und keiner wirklich verstanden hat warum.
Ich möchte es ja verstehen und bin auch bereit an einer Doku mitzuschreiben aber es kann doch nicht sein das sich alle den Quellcode anschauen müssen.
Wie sollen wir denn auf diese Art und weise IT Abteilungen überzeugen wollen.
bmxd und bmx6 ist hier sehr gut beschrieben: Analysis of the BMX6 routing protocol - bmx6 - qMp (Quick Mesh Project) and BMX6/BMX7 development site
und hier gibt es sogar ein video