WAN vor Gluon-Knoten einbruchssicher? (was: Netzwerk hinter FF sicher und nicht hackbar?)

Ist halt alles eine Kosten/Nutzen-Abwägung. Sind die erlangbaren Daten wertvoll, sollte auf einen sinnvollen Schutz des Netzes, beispielsweise durch eine Firewall mit FF in der DMZ, wert gelegt werden.

Eine solche Firewall kann man auch kostengünstig auf billiger x86-Hardware mit pfSense oder ähnlichem realisieren. Man braucht nur entsprechende Anzahl NICs oder einen Switch mit Port based VLANs um es aufzutrennen. Nutze ich selber seit Jahren.

                                                          ,-> Prüfnetz
Unitymedia <--> Fritzbox (mit Exposed Host) <--> pfSense <--> LAN
                                                          '-> FF-Router

Ok, ich hab mich mal eingelesen. Eine DMZ scheint ja nix wildes zu sein. Bin da auf diesen Artikel gestoßen: http://www.heise.de/netze/artikel/DMZ-selbst-gebaut-221656.html -so was ist doch hier gemeint, oder?

übrigens hatte ich bei der Firmware-Umstellung hier im Ort 2! Leute/Firmen/Geschäfte, die selbst mal den FF Router abgeklemmt und dann statt WAN auf LAN angeklemmt haben. Nachdem ich ihnen dann gesagt habe, dass das extrem übel ist wurden sie ganz bleich. könnte man nicht irgendwie einen Aufkleber/Sticker/was weiß ich machen, den man oben auf den FF Router klebt und der einen dicken Pfeil Richtung WAN hat? bei den anderen Kreuze und vielleicht eine kurze Bemerkung drunter, dass das nur für Profis ist (oder sowas)? @gomaaz @sirexeris ?

@Lustikus https://dl.dropboxusercontent.com/u/3058631/hinweis-lan-ports.pdf

1 „Gefällt mir“

Man stellt eine Blackbox ins Firmennetz.
Hat jemand auf diese Zugriff, wie auch immer er den bekommt, kann er sich in aller Ruhe anschauen, was Sache ist, weil er im internen Netz ist.
Das ist einfach so.

Mehr möchte ich dazu auch nicht sagen, um keine Vorlagen zu liefern.

Aus dem Grunde machen wir (hier) das so auch nicht.

Entweder gibts nen eigenen Anschluss, oder eine DMZ, ein Vlan, was auch immer.
DAS würde ich mir aber unterschreiben lassen und vorher genauso kommunizieren.

Denn, fällt nach der Freifunk RouterInstallation ein Bild von der Wand, war das Freifunk … 100%ig :slight_smile:

2 „Gefällt mir“

Die Diskussion gab’s schon mal

1 „Gefällt mir“

hallo ihr,

bei Freifunk Nordwest haben wir dazu angefangen im wiki anleitungen zusammeln.
https://wiki.nordwest.freifunk.net/Freifunk%20in%20sicherheitsbedürftigen%20Netzen

Ich betreibe eine pfsense und habe die ff_node im eigenen Gastnetz laufen (rechts im bild).
damit mein LAN ganz klar getrennt ist und ich eine Feuerwand zum WAN und Freifunk habe. (WAN und Freifunk ist für mich beides böse :wink:)

nach dieser anleitung kann man eine hw firewall für ab 200€ bauen :grinning:

1 „Gefällt mir“

Und wem das zuviel ist der kauft einfach 2 Plasik Router mit NAT und haegt einen vor das LAN und einen vor den Freifunk Router … und beide in den Provider Router … Fertig fuer 11 Euro.

(Sicher keine Loesung fuer EP oder so aber einfach und gut)
Merke → Zwischen einen NAT-Router hinter einen Nat-Router und vor einen NAT-Router passt immer noch ein NAT-Router

4 „Gefällt mir“

kann man sich das nicht ersparen mit F!B gastzugang oder bei anderen Router OS wie z.b OpenWRT port VLAN?

Das Problem ist, dass es so viele verschiedene Lösungwege gibt, die alle funktionieren. Nur halt für sich Vor- und Nachteile haben (Kosten, Performance, Einrichtungsaufwand, Wartungsaufwand später), dass es für Laien sehr schnell, sehr unübersichtlich wird.
Und dann kommen eben Folgerungen daraus „also besser keine Freifunk-Router in Arztpraxen, richtig?“

Das ist so als ob der angehende Hobbykoch in die Runde fragt „Meine Frikadellen werden immer so hart“.
Da gibt’s dann auch so viele Lösungen und Meinungen, dass schließlich der TS die Frikadellen streicht und Fischsstäbchen macht…

Schöne Grafik,

darf ich die verwenden und weiterentwickeln für unsere Dokus und Flyer für Freifunk usw.?

Glück Auf
Thomas

Meine Grafik ist es nicht.
Die kommt aus der Anleitung aus dem link weiter oben!

Ich habe es mir abgewöhnt ungefragt technische Grafiken zu zeigen. Da kriegen die Leute nur Angst. :wink:

3 „Gefällt mir“

Hallo zusammen,

ich möchte nur kurz zum Thema FRITZ!Box und FF was beitragen.
Der Betrieb eines FF-Routers am Gastzugang der FB (standardmäßig LAN4) läuft vollkommen komplikationslos. Und wer es schafft, entweder direkt auf der FB oder auf einem weiteren Gerät im LAN (z.B. Raspi) eine zeitgemäßte Firewall (z.B. iptables/netfilter/xtables) zum Laufen zu bringen und für eine Testphase mit geeigneten LOG-Targets zu versehen, kann den Kontakt zwischen FF-Router und LAN des (Haupt-)Routers, der zweifelsohne vorhanden ist (bspw. UDP 53), auf ein Minimum reduzieren. Insbesondere kann man dafür sorgen, daß vom FF-Router kein Zugriff auf die Admin-Seite(n) der FB zustande kommt.
Als Erweiterung in der Frage Arztpraxis: Generell würde ich das WLAN des (Haupt-)Routers abstellen, „EbenMalSchnell-“ Surfen der Mitarbeiter geht spielend über FF. UPnP kann man im Hauptrouter ebenso abschalten wie WPS.
Und anhand der LOGs der Firewall kann man die Regeln für FF- und Hauptrouter sehr fein austarieren, sodaß ein Einbruch ins lokale LAN durch Scriptkiddies, MITM-Attacken usw. eigentlich nicht mehr möglich sein sollten. Allerdings liegt wie immer hier der Teufel oft im Detail.
Grüße,

JD.

2 „Gefällt mir“

Nicht ganz.
Geräte am FB-Gastnetz kann man leider nicht mehr als Hintergrund"anwendung" definieren. (Am normalen LAN geht das für einzelne IPs.)

Du kannst aber den Fasts Traffic als Hintergrund Anwendung definieren. Dann ist auch egal, zieht sich der Knoten auch nicht versehentlich eine andere IP.

1 „Gefällt mir“

Sicherheit ist eine Illusion habe ich mal gehört im Deutschlandfunk, da ging es eine Sendung lang über Einbrecher. Also 1 Klapprechner nur für Freifunk und keine Daten auf der Festplatte speichern! Das gleiche gilt auch beim Freifunk. Der Freifunk ist bestimmt noch nicht ausgereift.

Hier geht es nicht um Angriffe auf Clients, sondern um Angriffe auf das LAN des Kontenbetreibers.

Aber was Arztpraxen angeht, so haben die entweder gar keinen Zugang vom Internet auf die Praxisdaten, oder sollten eine Firewall betreiben.
Häufig ist die Implizit dadurch vorhanden, dass der Internetzugang über das so genannte KV-Safenet erfolgt. Dies ist nichts anderes als ein privates Netz, das über eine VPN angebunden ist. Den Zugang dazu erhält man nur über extra zugelassene Provider, die dazu einen VPN Router (z.b. eine ZYWALL) in der Praxis installieren über die dann der gesamte Traffic geht.
Schließt man bei so einem Setup den FF-Router parallel zur Firwall am DSL Modem an, hat man den FF-Router im roten Netz der Firewall und damit so gut abgeschottet wie den Rest des Internets.
Das Risiko ist also genau so hoch, als hätte der Nachbar einen FF-Router aufgebaut.

Und ich habe mal gehört (im Fernsehen!), unsere Sicherheit würde am Hindukusch verteidigt.
Daher würde ich jetzt vorschlagen, die Freifunkrouter sicherheitshalber in Kabul aufzustellen.

Nein, im Ernst: Was hat Dein Beitrag mit der Fragestellung zu tun?
Es geht doch darum, ob/wie sicher das Heimnetz „von Bundelrouter des Providers XY“ ist gegenüber unberechtigten Zugriffen seitens von Personen, die als Freifunk-AP-Client am lokalen Freifunk-Knoten hängen.
Oder die gar „aus dem Internet“ aus Zugriff auf den Freifunk-Knoten nehmen und dann Zugriffe ins lokale Netz der jeweilgen Routeraufstellenden vornehmen.

Und ja, da gab es durchaus mal Szenarien. Für alle mir bekannten Gluon-Releases trifft das jedoch nicht zu.

1 „Gefällt mir“

Ich habe letztens einen Bekannten angesprochen, ob er seinen Anschluss für Freifunk freigibt. Er ist grundsätzlich dafür offen, allerdings arbeitet er viel von zuhause aus und will nicht, dass seine geheimen Unternehmensdaten ins Freifunknetz geraten.
Habt ihr eine Info für mich, die ich an ihn weiterleiten kann, um seine Bedenken auszuräumen?
Ich gehe davon aus, dass er sich via VPN direkt mit dem Unternehmensnetz verbindet, aber ich hätte trotzdem gerne Infos.
Vielen Dank im Voraus.