[Freifunk Franken] Fragen von Knotenaufstellern

[Christian Dresel]

Hi

nachdem sich schon geäußert wurde, möchte ich auch mal meine Meinung
kurz darstellen. Wie schon gesagt wurde, hat da jeder bisschen andere
Meinungen daher finde ich es schwer, das in ein Wiki zu packen.

On 16.10.2017 12:43, fff at mm.franken.de wrote:
> Liebe Freifunker,
> 
> in den letzten Wochen haben wir in Schnaittach viele Bürger und Firmen
> eingeladen, einen Knoten zu betreiben.
> 
> Dabei sind wir immer auf die gleichen Fragen gestossen:
> 
> Wie sicher ist das?
> (was ist mit meinem Warenwirtschaftssystem? mit meinen Patientendaten?
> meiner Telefonanlage? ich bin darauf angewiesen...!)

Es geht darum, wenn ein FF Router ans priv. Netzwerk angeschlossen wird,
wie sicher dann die Daten im priv. Netz sind richtig?
Grundsätzlich so sicher wie der Freifunkrouter. Was heißt das?
Direkt aus dem Freifunknetz ist es (nahezu) unmöglich in das private
Netz zu kommen (sofern er richtig angeschlossen ist, das wäre z.b. schon
die erste Falle wo es dann recht leicht wird ins priv. Netz zu kommen).
Anders sieht es aus, wenn dritte Zugriff auf den Freifunkrouter
bekommen. Sobald ich auf einen Freifunkrouter root bin, bin ich auch in
dem priv. Netz das an dem WAN Port angeschlossen ist (jetzt wäre eine
Firewall im priv. Netz schön wenn da so wichtige Daten sind...). Wie ich
root werden kann:
- Sicherheitslücke in der Firmware (mir ist bisher keine bekannt, das
dnsmasq Poblem betrifft Standart-Freifunk-Router zum Glück nicht)
- root Passwort zu einfach/erratbar/steht außen am Gebäude/wurde
rumerzählt/unverschlüsselt verschickt/etc.
- unsichere Firmwarequelle, vielleicht hat dir ein "Kumpel" die Firmware
zugeschickt und gemeint "nehm mal die, die ist besser" das dein "Kumpel"
dort aber seinen SSH Key mit hinterlegt hat und somit direkt root ist,
hat er nicht erzählt. Kann auch per Man-in-the-middle o.ä. Situationen
untergeschoben werden, wird dann aber recht Aluhutträchtig ;)
- direkter physikalischer Zugang zum Router, ich kann ihn reseten und
komm mit ffol wieder drauf. Oder einfacher, ich komm auch dann direkt
ans Netzwerkkabel ran das im priv. Netz liegt...
- [...] mehr fällt mir gerade nicht ein, aber vielleicht gibt es noch
weitere Situationen.

> 
> Wofür hafte ich?
> (wenn jemand einen Panzer bestellt? Drogen verkauft? Musik klaut?)

Es geht darum, wenn im Freifunknetz Unfug getrieben wird?
Im Prinzip muss man sagen, die Gatewaybetreiber der Hood haben erstmal
die IP Adressen aller Knotenaufsteller die am WAN Port Internet dran
klemmen (wird oft vernachlässigt das zu sagen, man sollte es aber
klarstellen um ehrlich zu sein!). Standartmäßig werden diese Daten
allerdings nicht geloggt und sind auch nicht mit einer Freifunk IP/ in
zusammenhang zu bringen. Als GW Betreiber kann man erstmal nur sagen
Routername "Lischen Müller" hat die IP 123.45.43.11 an ihren priv. Netz.
Wieviele Clients da drauf sind, was dort übertragen wird, ob noch
Meshrouter hinten dran sind, usw. usw. ist dann (wenn überhaupt) erst im
Monitoring öffentlich ersichtlich und müsste damit zusammen gefügt
werden (macht hoffentlich keiner). Allgemein kann man so grob sagen,
"man geht in der Masse unter".
Für außenstehende (Polizei/BKA/etc.) taucht der priv. Anschluss erstmal
gar nicht auf. Da tauchen z.b. Vereine, Firmen oder VPN Anbieter auf.
Da ich per VPN oder F3 Netze e.V. Daten abkippe und der Fall bisher noch
nicht eingetreten ist, kann ich nicht sagen wie auf eine direkte Anfrage
seitens BKA/Polizei/etc. reagiert wird. Wenn ich raten müsste, würde man
zwar verursachen da zusammen zu arbeiten aber da man keine Logs hat,
wird es am Ende bei einen: "Sorry wir haben nix was euch helfen
könnte... §8 TMG und §irgendwas Datenschutz keine Logs blabla" bleiben.
Ich kann aktuell nur erzählen das Torrentkram einfach mit §8 TMG
abgeblockt wird und das bisher keine Probleme macht.

Ich denke diese Frage ist aber an privaten Leuten eher falsch gestellt,
wie schon gesagt hab ich hier bisschen technischen Kram und meine
Meinung(! keine Rechtsberatung!) zusammen getippselt, vermutlich ist es
aber besser diese Frage einen Anwalt zu stellen wenn man eine klare
Antwort haben möchte.

> 
> Hängen dann alle an meinem Internet?
> (mein Nachbar? die "Aslanten"? herumlungernde Kids vor meiner Haustüre?

ja tun sie, das ist doch genau das Ziel dahinter?

Wobei ich immer noch kein "verfechter" von "stell mal in die Strasse ein
dutzend 841er in jedes Schaufenster, wird schon gehen" bin (es gab hier
in der Gegend eine Stadt wo man leider gesehen hat was dabei raus kommt
:().
Ich würde sowas nach wie vor etwa so "konstruieren":
- Ein hoher Punkt als "Verteiler" z.b. Kirche oder Rathaus oder oder...
- Auf diesen hohen Punkt wird 1x schnelles Internet hochgeschossen,
gerne ein dafür dedizierter Anschluss am besten mit RF PtP. Der Tunnel
vom schnellen Internet sollte auch was schnelles sein, GRE o.ä. damit
das auch nutzbar ist.
- Auf diesen Punkt kommen paar Sektorantennen/weitere RF Antennen (je
nachdem was nötig ist) hoch.
- Unten wird an den Läden außen jeweils eine kleine Sektor/RF Antenne
befistigt die das Netz vom hohen Punkt runter holt und eine gute
Außenantenne mit Originalfirmware so das 2,4/5GHz gleichzeitig betrieben
werden können. In den Laden kann noch ein 1043er oder so stehen der den
Laden abdeckt und bisschen die VLAN managed.

Mittlerweile ist auch die Firmware (fast) soweit, das sie mit
dezentralen Hoods problemlos umgehen kann und man auch einfach weitere
"Mesh"router aufstellen kann. Kostet am Ende halt wieder etwas Airtime
und mal sollte schon genau überlegen wo man es tut und wo nicht!

Kostet paar Euro mehr aber man hat die Vorteile das die Läden ihren
Internetanschluss nicht mehr teilen müssen, man einen schönen RF
Standort hat, gute Router außen hängen und gute Abdeckung aufweisen, man
eine eigene kleine Layer 2 Hood hat,... etc. Einziger Nachteil ist
vermutlich paar € teurer als mal eben ein dutzend 841er zu verteilen.

Ich würde das gerne mal aufbauen, bekam bisher aber leider nirgens
irgendwo die Chance dazu :(


> bleibt mit dann überhaupt noch genügend Traffic? wie kann ich den Router
> konfigurieren, dass er automatisch nur das freigibt, was ich gerade
> /nicht/ brauche? mein INet ist sowieso schon immer so langsam...)

kann man, gibt es im WebUI Einstellungen aber meistens ist der DSL
Anschluss eh nicht das Problem sondern Airtime, große Hood, etc.

> 
> Was habe ich überhaupt davon?

gute Frage, ich lerne dabei was. Was der Laden dabei hat muss er wissen ;)

> 
> Warum soll /ich/ das tun?
> (können das nicht die Politiker machen?!)

siehe oben

> 
> Ich schlage vor, dass wir zu jeder Frage eine Wiki-Seite machen, in der
> wir umfassend und verständlich informieren (in Alltagssprache).
> Natürlich sachlich und positiv.
> 
> https://wiki.freifunk-franken.de/w/Sicherheit für Knotenbetreiber
> https://wiki.freifunk-franken.de/w/Haftung für Knotenbetreiber
> https://wiki.freifunk-franken.de/w/Bandbreite für Knotenbetreiber
> https://wiki.freifunk-franken.de/w/Vorteile für Knotenbetreiber

du darfst gerne meinen Kram reinkopieren wenn du da anfangen möchtest.
Ich werde nach besten wissen&gewissen dran mitarbeiten.

> 
> Und damit wir selber im Wiki möglichst immer die gleichen Begriffe für
> gleiche Inhalte verwwenden, und da ich im alten Glossar keine Erklärung
> zu den im Wiki verwendeten Begriffen gefunden habe, habe ich das Glossar
> um einige Begriffe erweitert.

das Problem an den Glossar ist ein bisschen, das meiste sind Begriffe
die nur indirekt was mit Freifunk zu tun haben. Ich hab deshalb zu
vielen Begriffen gestern einfach Wikipedia Links hineinkopiert die
erklären das am besten. Man könnte das jetzt einfach aus Wikipedia
kopieren/zusammenfassen aber irgendwie ist das auch nicht das gelbe vom
Ei. Bin mir da aktuell auch unsicher wie man am besten mit umgeht.

mfg

Christian

> Das Glossar wünsche ich mir ebenso in Alltagssprache, damit auch Dritte
> es nutzen können:
> https://wiki.freifunk-franken.de/w/Glossar
> 
> Mit herzlichem Gruss,
> Markus
> 
> Weitere Fragen/Bedenken waren:
> - die Jugendlichen hängen sowieso schon viel zu viel im Internet!
> - wie ist das mit Sex- und Gewalt-Seiten? (moralische Bedenken)
> - mein IT'ler hat mir abgeraten...
> - ich kann doch nicht ein Kabel quer durch meinen Laden/Kneipe hängen...
> - Sucht, Haltungsschäden, Kontaktarmut, Sprachverkümmerung, ...
> _______________________________________________
> franken mailing list
> franken at freifunk.net
> http://lists.freifunk.net/mailman/listinfo/franken-freifunk.net
> 

-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : signature.asc
Dateityp    : application/pgp-signature
Dateigröße  : 833 bytes
Beschreibung: OpenPGP digital signature
URL         : <http://lists.freifunk.net/mailman/private/franken-freifunk.net/attachments/20171017/47e1f80a/attachment.sig>