WAN vor Gluon-Knoten einbruchssicher? (was: Netzwerk hinter FF sicher und nicht hackbar?)

Vergleiche folgende Threads:

Meine Meinung:
Setze einen Router zwischen Internetzugang und vorhandenen Router, dann kommt der FF Router parallel zum vorhandenen Router an den neuen, der den Zugang herstellt. Kannst ja im neuen Router den alten als „exposed Host“ einstellen, also alle Ports aus dem Internet auf dem alten Router auflaufen lassen, dann sollten auch vorhandene Portfreigaben oder VPN weiterlaufen.
Ich hab das bei mir so laufen (Apotheke, Schutz von Kundendaten).
Die kleine Lösung ist der Gastzugang einer Fritzbox, sofern vorhanden. Hab das bei meinen Eltern so geschaltet. Genauere Infos bei Bedarf gerne per PN oder ausführlich hier im Forum, wenn gewünscht.

3 „Gefällt mir“

Ergänzung: Schau Dir auch mal die Diskussion hier an:

Das könnte noch Fragen beantworten, die noch kommen…
Viel Erfolg und frohe Ostern!

Vielen Dank und ebenfalls frohe Ostern.

Das Hauptproblem sind nicht die Clients, die sind relativ gut abgeschirmt. Problematischer ist da schon das je nach Community ein Fernzugriff auf die Router besteht (SSH) bzw. es Auto-Update gibt. Darüber ist sehr wohl voller Zugriff auf das Netz möglich, sofern keine Vorkehrungen getroffen wurden. Deshalb würde ich persönlich immer darauf achten das die Freifunk-Router in einem demilitarisiertem Bereich (DMZ) des Netzwerks hängen. Bei einer Fritzbox ist das z.B. das „Gastnetzwerk“. Wenn man mit sowas arbeitet und zusätzlich noch erklärt das die Router ohnehin auch nochmal eine Sicherung haben, dürfte es passen. So Fragen sollte man IMHO mit Kompetenz begegnen, anstatt es zu übergehen. Ich würde ihm sagen. „Grundsätzlich ist das getrennt und technisch sind die WLAN-Nutzer nicht in der Lage hier ins Unternehmensnetz zu kommen. Wenn man sich darauf aber nicht ausschließlich verlassen möchte, kann man auch zusätzlich noch die eigenen Geräte so konfigurieren, das sie in Richtung des Freifunk-Routers ebenfalls keine Verbindung zulassen. Das müsste man in dem Falle einfach mal mit ihrer IT besprechen.“ Ihr merkt, doppelt und dreifach die Optionalität betont um den Standort nicht zu gefährden. Die IT mit ins Boot holen schafft Vertrauen auch wenn es ggf. 100,- oder so kostet. Frag vlt. mal bei deiner Community, wie da die Updates laufen. Das Verschweigen einer Fernwartungsmöglichkeit geht IMHO gar nicht, auch wenn man es sensibel kommunizieren muss.

Ich kenn das Problem mit Unternehmensdaten persönlich. Da geht es teilweise (neben Betriebsgeheimnissen, natürlich), auch um Datenschutz und da muss einfach dokumentiert sein, wie unberechtigter Zugriff vermieden wird. Ich weiß, das hat so gut wie Nullkommaniemand der Unternehmen, aber eigtl. ist es Pflicht für richtige Firmen. Ich hoffe ich konnte dir damit noch ein paar Einblicke verschaffen.

Deswegen ja die kaskadierten Router. Wenn man (Heim- oder Kleinbüro angenommen) einen Router vorschaltet, kann man argumentieren, dass man nicht in die Sicherheit eingreift, weil man sich auf der "Internet-"Seite befindet und da sowieso diverse Portscans und Einbruchsversuche laufen. Bleibt das Problem, dass man ein Stück Hardware in den Datenweg einschleust, das ausfallen kann und nicht der Wartung der IT-Abteilung bzw. des Systemhauses unterliegt, was zuhause kein Problem darstellt. Man brucht ggfs. nur ein DSL-Modem mit Router bzw. etwas, das man zwischen Providerkabel und vorhandenen Router setzen kann und was die „Einwahl“ herstellt.

Ein kaskadierter Router mit eventuell nie aktualisierter Firmware bringt da denke ich auch nicht so viel. Da macht eine FritzBox mit aktualisierter automatischer Aktualisierung schon mehr Sinn. Dort kann man den Gast-Port nutzen.

Wenn sein Firmenlaptop eh ein VPN aufbaut, ist das doch geschützt. Sogar im kompletten Internet bis in die Firma! Da braucht er sich keine Gedanken zu machen.

Grüße
Matthias

Wie verhält es sich hiermit:

https://wiki.freifunk.net/Sicherheit#Ist_mein_privates_LAN_sicher_abgeschirmt.3F

Wäre es nicht schön dazu eine ordentliche FAQ (oder Infografik) zu bauen, denn eine Seite kommt immer zu kurz,
entweder man sagt alles ist unsicher und hackbar oder bestechlich …
oder man sagt alles ist sicher weil alles seperat läuft - solange man keinen physischen zugriff hat

irgendwie weis ich auch nicht wie man Menschen informieren kann, sie dort abholen kann wo sie stehen und gleichzeitig nicht mit so hammerkeulen wie nix ist sicher um sich wirft. Also ich sehe das Menschen von solchen Aussagen schlicht auch überfordert sind

2 „Gefällt mir“

Ich sehe das Problem nicht. Die, die Sicherheit wollen, nutzen eine Fritzbox mit Gastnetzwerk oder kaufen sich einen 841er mit Originalfirmware und setzen den mit WAN an den LAN ihres vorhandenen Routers, stellen als Zugang DHCP ein und hängen an das LAN des 841 ihr bisheriges LAN. Dann ggfs. noch die WAN-IP des 841er im Zugangsnetz als Exposed Host, damit alles wie VPN eingehend, VoIP etc. funktioniert und den FF-Router mit WAN an einen weiteren LAN des Zugangsrouters und das Problem ist erledigt. Zumindest nach der Sicherheit, die 99,9% der Privatleute im Internetzugang haben.

Die anderen stecken einfach ein und vertrauen der Firmware und ihren Machern.

Das Problem sind nicht die Leute die Freifunk sowieso wollen. Das Problem sind Leute die wir für Freifunk gewinnen wollen aber erstmal berechtigte Bedenken haben.

Ich versuche gerade mir die Abschottung des „Host LAN“ vom Freifunkverkehr anzuschauen und finde ja noch nicht mal eine Erklärung wir so ein Router überhaupt funktioniert geschweige denn das man nachlesen kann wann beim booten einen FF Routers an welcher Stelle welche ebtables / iptables gesetzt werden.

Ich finde viele machen es sich zu einfach wenn es darum geht neue Menschen an das Thema Sicherheit der eigenen Netze heranzuführen.

1 „Gefällt mir“

Dann gibt man denen zwei 841er. Einen mit FF, einen mit Stock-Firmware. Wenn man Glück hat, ist das WLAN dann inhouse besser als mit (z.B.) FritzBox. Zumindest ich bin von 2,4GHz WLAN der Fritz recht enttäuscht. Jeder billige 841er ist bei mir besser.

Und aufnötigen sollte man FF sowieso keinem, für die Idee gewinnen ist besser, aber auch schwieriger.

1 „Gefällt mir“

Es gibt keine Universalanleitung, wie ein Freifunkrouter funktioniert. Bei uns kann man über das Webinterface z.B. die aktuellen Routen einsehen, aber natürlich auch per SSH. Als ITler hat man somit das notwendige Handwerkszeug, dass Netz zu verstehen. Bei anderen Communitys kommt man gar nicht mehr auf den Router, ala security by obscurity. i!Den Sinn eine Anleitung zu schreiben wie ein Kernel bootet, für Menschen die mit der Programmierung eines UKW Autoradios überfordert sind, sehe ich nicht!i

Die ganz panischen Administratoren übernehmen natürlich die Administration selbst und können ihre Router auch soweit verriegeln, das nur noch Turnschuhadministration möglich ist.

gibt mir einfach mal eine Anleitung wie ein Freifunktrouter funktioniert.

  • Was passiert beim zusammenstellen
  • was machen welche Pakete
  • wo werden wann die Routen und IP tables gesetzt?

Und bitte nicht enen allgemeinen Link auf die Gluon Doku. Da steht das nämlich nicht drin und wenn doch dann bitte einen Link auf das Dokument)

Ich mag ja „das Netz verstehen“ aber kann doch nicht verstehen wie das System Freifunk Router funktioniert in dem ich mir das Ergebnis alleine anschaue

gibt mir einfach mal eine Anleitung wie ein Freifunktrouter funktioniert.

Die Quellen sind doch vorhanden und wenn Du Langeweile hast, wird Dich sicher niemand daran hindern, die von Dir geforderte (!) Anleitung zu schreiben.

Ich bin ja immer noch auf der Suche.

Aber in mir wächst die Befürchtung das hier ausnahmslos alle davon reden das die Abschottung sicher ist und und keiner wirklich verstanden hat warum.

Ich möchte es ja verstehen und bin auch bereit an einer Doku mitzuschreiben aber es kann doch nicht sein das sich alle den Quellcode anschauen müssen.

Wie sollen wir denn auf diese Art und weise IT Abteilungen überzeugen wollen.

bmxd und bmx6 ist hier sehr gut beschrieben: Analysis of the BMX6 routing protocol - bmx6 - qMp (Quick Mesh Project) and BMX6/BMX7 development site

und hier gibt es sogar ein video

Das wird mir helfen das batman besser zu verstehen.

Nur wo steht wie ein Gluon basierende Router arbeitet?

http://gluon.readthedocs.org/en/v2016.1.2/index.html

Wie sollen wir denn auf diese Art und weise IT Abteilungen überzeugen wollen.

Ich weiss gar nicht, ob „wir“ IT-Abteilungen ueberzeugen wollen.

ebtables - L, iptables -L , iptables -t nat -L usw. usf. zeigen Dir die aktuellen Einstellungen an, die entsprechenden Konfigurationsdateien lassen sich mit jedem Editor veraendern - das ist eigentlich alles transparent, ebenfalls wie das in OpenWRT konfiguriert wird bzw. wo diese Dateien liegen.

Dass das niemand perfekt dokumentiert hat, liegt daran, das niemand Bock hat, Dokus zu schreiben, da in der dafuer notwendigen Zeit oftmals sinnvollere Dinge erledigt werden koennen, Prioritaeten halt.

1 „Gefällt mir“

Dazu kommt das die IT-Abteilung es sowieso selbst prüfen sollte :wink: Die haben hoffentlich mehr Expertise als jemand der nur einen Router aufstellt aber nicht selbst an der Firmware-Entwicklung beteiligt ist.