Problematischer finde ich es da eher das sich die Clients alle sehen können.
Jemand der an der Routerkonfig rumspielt sollte wissen was er tut.
Von den Freifunk usern darf man das nicht erwarten.
Ich hatte vorhin dutzende netbios anfragen aus den freifunk intranet.
Ist zwar schön das jeder Seeverdienste anbieten kann wie er lustig ist aber der normal User der nur surfen will merkt wahrscheinlich nichtmal das er Dateifreigaben offen hat.
Das ist ein Feature. Klar könnte man jetzt sagen, das Dateifreigaben etc. ein Sicherheitsrisiko für die Benutzer des Freifunk Netzes darstellt. Sind es schließlich ja auch. Wir versuche dann immer unser möglichstes die Leute über die Gefahren aufzuklären die es mit sich bringt sich in irgend einem Netzwerk zu bewegen. Das ist ja kein Freifunk Problem. für die Sicherheit eigener Geräte ist aber immer der Betreiber und Benutzer verantwortlich, da sich diese uns in gänze entziehen. Eine Client Isolation wäre hier zwar eventuell hilfreich das Risiko einzuschränken, aber das würde den freien Informationsfluss und die Offenheit des Netzes einschränken, denn Client Isolation gibts entweder für alle oder gar nicht. Serverdienste wäre so dann nicht mehr möglich.
Davon kannst du aber absolut nicht ausgehen. Unsere Firmware ist explizit offen gestaltet, so das jeder der es sich zutraut oder eine Anleitung Schritt für Schritt befolgen kann, die Möglichkeit erhält Anpassungen an seinem Gerät vorzunehmen auch ohne das er Informatik Studiert hat.
Von Benutzern darf man in der Regel nichts erwarten. Das ist keine Beleidigung sondern einfach eine Tatsache basierend auf Beobachtungen und das hat nichts mit Freifunk zu tun. Leider ist die Materie heute aber auch so komplex geworden, dass jemand der sich damit nicht beruflich oder zumindest stark in seiner Freizeit beschäftigt kaum eine Chance hat sich der Tragweite des Ganzen bewusst zu sein. Das ist aber ein gesellschaftliches und bildungstechnisches Problem und kein „das kann man nicht erwarten“.
Joah leider ist es so. Viele Leute sind extrem unvorsichtig und unbesonnen, wenn sie sich in Netzwerken bewegen. Da hilft aber meines Erachtens keine technische Lösung, sondern nur Aufklärung der Nutzer. Den nur ein Aufgeklärter Nutzer kann dieses Wissen auf alle Netze anwenden und muss nicht darauf vertrauen, dass das Netz schon alles nötige macht damit er oder sie sicher sind. Das würde auch einen falschen Eindruck von Sicherheit erwecken die nicht existiert
Ja, das ist dein Meinung. Meinen Standpunkt hab ich für den einen Teil schon mal oben erläutert. Die andere Seite ist die der Knotenbetreiber. Wie soll ich einer Firma, einem Caffee oder einer Privatperson erklären, dass sie ein Gerät bei sich aufstellen sollen, das möglicherweise die Gefahr birgt, dass jemand mit relativ einfachen Mitteln in mein privates Netzwerk einbricht in dem möglicherweise auch noch Kassenterminals stehen. Nein hier kann ich nicht darauf setzen, dass das Netzwerk hintendran abgesichert ist, denn hier bringen wir als Freifunker Soft- bzw. Hardware in fremde Netze ein, nicht umgekehrt. Deshalb ist die Absicherung durch uns, die wissen sollten wie man Netze absichert hier nicht nur gewünscht, nein sogar explizit notwendig. Es dreht den Spieß einfach um. Derjenige der Geräte in anderer Personen Netzwerk einbringt ist für die Sicherheit desselben verantwortlich solange bis jemand daran Veränderung vornimmt, die außerhalb der Reichweite der Netzbetreiber sind. Du beschwerst dich ja auch nicht bei deinem ISP, wenn du an der Fritzbox einen Host als Exposed (ungefiltert) Host konfigurierst und dir dann etwas einfängst.
Daher kann ich nur sagen, das wir Knotenbetreiber immer versuchen zu schützen. Leute die unser Netz jedoch benutzen tuen dies immer auf eigene Gefahr wie immer wenn man sich im Netz bewegt. Wir können dabei nur versuchen die Leute zu sensibilisierten, aufzuklären und Hilfestellungen zu leisten, um sie zu mündigen und vorausschauend handelnden Netznutzern zu machen.
Die Knotenbetreiber zu schützen und die User ins offene Lan laufen lassen?
Wer garantiert das ein User nicht auch sensible Daten auf seinem Gerät haben kann?
Die Leute aufzuklären macht natürlich so oder so Sinn.
Aber dadurch ist das Problem noch nicht behoben da sie noch nicht wissen wie sie die “Ports” schließen.
Und die meisten Leute wollen gar nicht aufgeklärt oder anders ausgedrückt sich mit der Thematik auseinander setzten.
Sie wollen einfach nur Nutzen, ohne sich Gedanken machen zu müssen.
Und so muss es auch sein, es muss einfach zu benutzen sein und sicher.
Ich zähle das zur Benutzerfreundlichkeit.
“Freifunk” bringt die Knoten genauso in die Cafes wie es User zum Surfen einläd, das ist ein Spieß mit zwei Spitzen, den kann man zwar umdrehen, kommt aber aufs Selbe raus :)
1 „Gefällt mir“
Das zähle ich zu Aufklärung.
Wer nicht will, hat ganz einfach Pech gehabt. Also Leuen helfen die nicht wollen das man ihnen hilft, ist wie ein Kampf gegen Windmühlen.
Wir bieten hier nur die Plattform und ein offenes und uneingeschränktes Netz. Mit der Freiheit der Nutzer kommt immer auch Verantwortung.
Es geht mir hierbei nicht um Leute denen es egal ist ob ihre Daten offen liegen sondern um die die es A erstmal nicht wissen und B wenn sie was dagegen tun wollen erstmal einen Informatiker aufsuchen müssen der dann das System absichert.
Also das Argument das der User das Fachwissen anzueignen hat finde ich nicht gut.
Aufklärung ist Pflicht aber an erster Stelle sollten die „Geräte“ von sich aus das tun was ein unbedarfter Benutzer erwartet.
Aber ok das freifunk wlan ist ja auch unverschlüsselt und die Daten können von jedem in Reichweite gesnifft werden. Hier siegt wiederum die Benutzerfreundlichkeit über der Sicherheit.
Ok anders Beispiel. Dedizierte root Server.
Fürher konnte man dort tcpdump anschmeißen und lustig Daten sammeln, von den anderen Servern.
Oder noch mehr Spass mit ARP-Spoofing haben.
Heutzutage hat (sollte) jeder sein eigenes VLAN haben sodas keine fremden Daten gesnifft werden können.
Also da haben die Provider auch Maßnahmen getroffen.
Edit: Selbst als „Fachmann“ kann man heutzutage nicht 100% wissen was man sicher in öffentlichen ungesicherten Netzen sicher nutzbar ist.
Beispiel WhatsApp, da wurde lange umverschlüsselt gesendet.
Ich hab auf meinem Macbook littlesnitch installiert und für „unterwegs“ ein separates Profil angelegt damit ich jede Kommunikation, ausgehend und eingehend explizit autorisieren kann.
Auf dem iPhone hat man die Möglichkeit einer PersonalFirewall nicht.
Und es gibt immer noch viele Internetseiten die kein SSL unterstützen, zb Foren.
Zum Glück funktioniert, in meinem Fall der VPN Tunnel zu meiner Fritzbox.
Also ich würde ja jedem Freifunk Nutzer raten nur über einen eigenen VPN Tunnel zu surfen aber das können haben die Verbraucher leider auch nicht einfach mal so.
Ich bin auch der Meinung, dass wir auf keinen Fall zu Gunsten der Sicherheit, irgendwelche Funktionen in unserem Netz abschalten, oder sperren sollten. Das passt nun mal einfach nicht zu einem offenen Netz.
Ein VPN Tunnel hilft da ja auch nur bedingt. Dann ist die Kommunikation bis zu deiner Fritzbox verschlüsselt. Toll. Und was passiert danach mit dem Traffic? Vielleicht bist du ja bei einem der großen Kabel Netz Betreiber, dann landet der Traffic auch wieder auf einem shared Medium. Jeder mit vernünftiger Kabel Hardware kann dann den Traffic der anderen mitschneiden. Der einzige Weg, sicher im Internet zu kommunizieren ist eine Ende-zu-Ende Verschlüsselung.
Beim Einwählen in ein WLAN fragte Windows doch immer, was es für ein Netz ist, wenn der Benutzer nun den Transfer leisten kann, und auf „öffentliches Netz“ klickt, lässt Windows den ganze quatsch sein, den es im Privaten Netz macht.
Der richtige Weg ist definitiv die Leute aufzuklären. Wir könnten zwar das Netz absichern, aber das führt auch nur immer mehr dazu dass die Leute sich überall vermeintlich sicher fühlen.
Geanu das ist der Weg, den man als Netzbetreiber, der wir ja sind, gehen sollte. Wir können die Leute auch nicht daran hindern mit irgend so einer abgelutschten Android Version (4.4 oder noch älter), oder nem Windows XP zu surfen. Wir können nur sagen, dass es keine gute Idee ist. Aber jetzt alle mögliche dafür zu tun, dass die Leute sich nicht selbst „verletzen“ finde ich absurd.
Das endet sonst wie in nem behinderten Hotel WLAN wo nur Port 80 und mit Glück auch 443 offen sind.
1 „Gefällt mir“
guck mal was ich vorher gesagt habe:
Wie ich weiter oben gesagt habe, betreiben wir ein freies Netz. Da es da vielleicht etwas gefährlicher drin ist als in einem total verbarrikadierten Firmen Netz mit DPI, Firewall, Websperren, Portsperren etc. ist möglich. Aber bedenke bitte das die meisten Leute sich ihr Zeug einfangen weil sie unforsichtig auf irgend welche Links in Mails klicken, sofort jede Software auf ihrem Windows XP installieren oder sonst wo im Web surfen. Da können wir dann auch nix gegen machen. Daher würde es effektiv nur minimal etwas bringen wenn wir hier rumfingern. Ich bin da der Meinung ein freies, offenes und ungefiltertes Netz hat mehr Priorität. Das ist übrigens auch die Idee hinter Freifunk und dem Pico Peering Agreement!
Das ist dann aber erstens nicht unsere Schuld wenn diese Daten unverschlüsselt übertragen werden. Zweitens nichts ist 100% sicher!
Wieder eine Einschränkung deines Herstellers, das hat nichts mit uns zu tun. Beschwer dich bei Apple das die das nicht hinbekommen.
Beschwer dich bei den Betreibern dieser Seiten. Das ist wieder weit außerhalb unseres Einflusses. Es gibt heute keinen Grund die eigene Seite nicht per SSL zu sichern. Wenn man es nicht tut und dort Login Daten oder Daten fremder Nutzer hat, ist das eh grob fahrlässig.
Hier auch nochmal mein Tweet der das kurz zusammenfasst: https://twitter.com/_nazco_/status/617089778639572992
1 „Gefällt mir“
Das wäre ja mal übelster Mist. Hast du dazu Beleg für mich? Was ich darüber gefunden habe war nur Gefasel in Foren.
…Aufklärung…
Habt ihr vor die Splash-Page wieder einzubauen?
…Absichern…
Ich fände es nach wie vor besser wenn die Clients erstmal keine Netzwerkanfragen erhalten und man das explizit freischalten muss wenn man das möchte. Leute die nur surfen wollen haben so automatisch ein Sicherheitsplus.
Aber gut jetzt, ich möchte an der Stelle jetzt keine zeitaufwendige Grundsatzdiskussion führen.
1 „Gefällt mir“
Nein, da Splashpages ultra übelste Scheiße sind. Die machen in einem Netzwerk soviel kaputt das glaubste gar nicht
Du bist doch selber ITler und weißt daher sicherlich, das dieser Mehraufwand in keinem Verhältnis zu dem Nutzen des selbigen steht. Und wie Lukas sagte, bei Windows sollte das eigentlich kein Problem sein da:
Zumal filtern und freischalten in einem Layer 2 Netz nicht gerade einfach ist, frage ist schon wo du da ansetzen willst.
.
Über die technische Implementation habe ich mir natürlich noch keine Gedanken gemacht.
Wie auch, ich muss dazu sowieso erstmal wissen was auf den Freifunk-Routern Netzwerkmäßig so läuft.
Das man seine IP nicht vom Konten direkt sondern vom Gateway bekommt hat mich ja schon beeindruckt.
Also ich bin gespannt wie das alles funktioniert und bin schon am einlesen.
Zum Filtern auf layer 2, so mit einer Unwissenheit würde ich spontan auf iptables setzen.
lukasbisdorf hast du dazu bitte Quellen die das belegen?
Naja belege braucht es dafür nicht, man muss nur wissen wie die Technik dahinter funktioniert.
Zum Einlesen empfehle ich dir:
http://www.elektronik-kompendium.de/sites/kom/0310051.htm
http://www.elektronik-kompendium.de/sites/kom/1510071.htm
http://www.itwissen.info/definition/lexikon/Shared-Media-Verfahren-shared-media.html
1 „Gefällt mir“
Die Links hatte ich auch schon zusammengesucht, war der @leah mal wieder schneller. 😄
Alles in allem kannste dir das Kabel Netzwerk wie WLAN vorstellen, nur halt über nen Antennekabel, mit ner schwachen Verschlüsselung.
1 „Gefällt mir“
Danke für die Links.
Bei mir wird auf der Leitung EuroDOCSIS 3.0 gesprochen.
Und eigentlich sollte da laut Spezifikation auf dem data link layer mit AES 128 verschlüsselt werden.