Ich möchte heute auf eine Artikelserie hinweisen die sich mit der Einbindung von Freifunk in eine Enterprise WLAN Infrastruktur beschäftigt. Auch hier im Kreis laufen zur Zeit ähnliche Projekte, so dar wir voneinander lernen können.
Teil 1 Motivation und Problemstellung
Teil 2 Freifunk Grundlagen & Ist-Aufnahme
Ich werde diesen Artikel erweitern, sobald die weiteren Teile erscheinen.
Seit einigen Wochen läuft nun unser erstes Gateway problemlos vor sich hin, eine rudimentäre Firmware ist erstellt und die ersten Router testen das Netz auf seine Funktion.
Nun geht es an den nächsten Schritt, das 2. Gateway wird nun zusammen gebaut um dann möglichst kurzfristig von Gateway 3 unterstützt zu werden. Diese beiden Gateways werden relativ schnell online gehen können da wir nun eine passende Anleitung zusammen gestellt haben die unsere Bedürfnisse entspricht.
Um endgültig in Betrieb zu gehen muss an unserer Firmware noch etwas geschraubt werden, dort fehlt zur Zeit noch die Auswahl ob man als Node Betreiber einen verschlüsselten FastD Tunnel oder einen etwas schnelleren unverschlüsselten L2TP Tunnel zum Gateway nutzen möchte. Die Hood Auswahl ist noch nicht realisiert und die USB Unterstützung fehlt auch noch.
Fertig ist dafür aber die Statistik via Grafana und Prometheus und die Anzeige der Karte mittels Hopglass.
Wir wollen den IPAM Server noch auf das Gateway 1 umziehen um so auch noch den Scan Agent nutzen zu können.
Stehen die Gateways werde sie mittels GRE Tunnel verbunden und mit Babel versorgt.
Fazit es geht voran
Mar 17 19:45:53 SL-FL-GW1 ffslflhood1[6409]: connection with {2fd2d1c12488165f} established
Die Geburtsstunde unseres Freifunk Netzes im Kreis Schleswig-Flensburg.
Der Erste Router mit eigener Firmware hat sich zum ersten eigenen Gateway verbunden.
Da immer wieder mal die Frage zur Sicherheit in Freifunknetzen aufkommt hier mal meine Antwort zum Thema.
Sollte ich mit dem folgenden falsch liegen bitte ich zur Steinigung in den Kommentaren 😉
1. das Internet ist von Prinzip her unverschlüsselt
2. das interne Netz ist vom Prinzip her erst einmal Unverschlüsselt
3. Freifunk teilt sich im groben in 4 Bereiche auf
3a das WLAN dies ist unverschlüsselt
3b der VPN Tunnel zum Freifunk Gateway, dieser ist verschlüsselt
3c das Freifunk Netz ist ein unverschlüsseltes Netz aller dort angeschlossener Geräte
3d der VPN Exit in das Internet, dieser ist auch verschlüsselt um dann am Ende des Tunnels in das freie offene Internet zu enden.
Sicherheit 1
Freifunk trennt strikt das Freifunk Netz vom privaten Netz, es gibt kein Übergang. Wer Zuhause oder im Betrieb also Geräte betreibt die private Daten beinhalten wird diese nicht in das Freifunk Netz bereit stellen. Es ist ein vollkommen getrenntes Netz.
Übertragungen die vom Freifunk Gerät z.B. dem Laptop zu einem Dienst im Internet z.B. Banking oder Mails aufbaut muss wie in allen freien Netzen selber darauf achten das diese Verbindungen via SSL verschlüsselt erfolgen und so die Anmeldedaten nicht mitgelesen werden können.
Sicherheit 2 „Störerhaftung“
Durch das Vertunneln der Verbindung vom Freifunk Router über das Freifunk Gateway über den VPN Exit ist der Spendende Teilnehmer über dessen Anschluss der Freifunk Router betrieben wird für einen Teilnehmer im Internet erst einmal nicht erkennbar. Das bedeutet das eine möglicherweise begangene Uhrheberrechtsverletzung nicht auf den Anschlussinhaber zurück zu verfolgen ist. Wir machen aber darauf aufmerksam das dies kein Freibrief darstellt dieses auch zu tun.
Spezialthema IPv6
Noch haben wir kein öffentliches IPv6 darum sind die Themen noch nicht relevant aber ja wenn wir das bekommen werden ist eine direkte Verbindung zwischen Endgerät und offenem Internet machbar, das birgt dann auch noch einige Gefahren die es für solche Verbindungen auch heute schon im Internet gibt. Dieses muss zur gegebenen Zeit noch einmal gesondert betrachtet werden.
Fazit
Ein Einbruch durch Freifunk in das eigene Netz ist recht gut abgesichert. Störerhaftung ist recht gut abgesichert.
Es ist also nicht unsicherer als das offene Internet. Jeder muss sich natürlich auch im Freifunk Netz entsprechend verhalten. Freigaben eines Rechners sind im Netz sichtbar wie auch im Internet.
Empfehlung
Wir brauchen mal eine Crypto Party um das leidige Thema von 99,5% Unverschlüsselter Kommunikation endlich vom Tisch zu bekommen, Wir wissen das jede Kommunikation die nicht Ende zu Ende verschlüsselt wird mitgelesen wird. Hier noch mal ein Dankeschön an Edward Snowden für die Bestätigung unsere Vermutungen
Moin. 🙂
Der nächste Schritt ist geschafft!
Auch das Flensburger Tageblatt berichtet über den Freifunk. In dem Artikel vom 10. März 2017, berichtet das Blatt folgendes:
Bundesrat sieht Freifunk als gemeinnützig
Dann hoffen wir mal und drücken die Daumen, daß der Gesetzesentwurf auch die letzten Hürden schafft.
Gruß
