[Berlin-wireless] [Firmware] Falter 1.2.3 veröffentlicht - Wifi für den Wizard

[Martin Hübner]

Hallo Sven,

ich halte eine feindliche Übernahme eines unkonfigurierten Knotens für
unwahrscheinlich. Um einen unkonfigurierten Knoten zu erwischen, muss
man zur richtigen am richtigen Ort sein. Bei der Größe Berlins kein
einfaches Problem...

Sollte tatsächlich eine feindliche Übernahme in diesem kleinen
Zeitfenster passiert sein, hat man als Freifunker:in aber immer noch
physischen Zugriff auf den Knoten. Das macht das Rücksetzen für geübte
Personen eigentlich fast zum Selbstläufer.

Wie in der Mail angekündigt, hat jeder Router ein WLAN mit den letzten 3
bytes der MAC-Adresse. Das Workshop-Problem löst sich damit auch von selbst.

Weiterhin sind die Gründe von damals Andere, als sie es heute sind: Die
Leute haben kaum noch Ethernet-Ports an ihren Rechnern. WLAN-Einrichtung
ist deshalb keine Komfort-Funktion mehr, sondern ein zwingendes Feature.
Vorausgesetzt natürlich, dass wir weiterhin möchten, dass normale
(adapterlose) Menschen noch zu Freifunkenden werden.

Ich halte die Sache damit eigentlich für hinreichend genug begründet,
aber der Vollständigkeit halber kann ich noch auf die Argumente von
damals eingehen:

> Pro:
> * einmalig 15 Sekunden Zeit gespart, wenn überhaupt
Keine Komfortfunktion, weil Laptops keine Ethernet-Buchsen mehr haben
und wir nicht voraussetzen sollten, dass sich die Leute wegen
(womöglich) einem Mal einrichten einen Adapter kaufen. Also spart man
nicht mehr 15 Sekunden Zeit, sondern 3 Tage Versand und ca 40€.

> Con:
> * wir wissen bereits, dass Router häufiger längere Zeit initial
> unkonfiguriert bleiben (aus anderem Kontext, siehe
> https://github.com/freifunk-berlin/firmware-packages/pull/83  ).
> Demensprechend stünde der Router evtl. lange offen.
>
> * es gibt keine einfache Möglichkeit, dem Benutzer sicher zu
> signalisieren, dass der Router gerade in einem unsicheren Modus ist.
> Benutzer erwarten heutzutage, dass man Router initial anschalten kann,
> ohne dass die Uhr tickt.
Naja, man könnte ja auch dafür sorgen, dass es keine Route irgendwohin
gibt, der Router also "nicht funktioniert". Das ist derzeit zwar noch
nicht implementiert, war aber mal durchaus angedacht
(https://github.com/freifunk-berlin/falter-packages/issues/187). Wenn
sich jemand mit Zeit und Expertise da findet, das zu implementieren,
würde ich mich sehr freuen.
> * wenn jemand wirklich will, könnte er sich in der Nähe von größeren
> Standorten "auf Lauer" legen, um Router (ggf. per Skript) zu übernehmen,
> die ggf. irgendwann per firstboot neu konfiguriert werden.
Im Allgemeinen werden so gut wie alle bbb-Standorte inzwischen mit
bbb-configs verwaltet. Ein Wizard-Run, bei dem der Knoten übernommmen
werden könnte, kommt dort nicht vor. Dezentrale Knoten zu übernehmen,
lohnt wahrscheinlich den Aufwand nicht (siehe nicht-triviales Problem
mit der Verteilung über Berlin).
> * für Admins gäbe es keine Möglichkeit, sich gegen letzeres zu schützen.
>
> * es gab bereits häufiger Fälle von "Router war auf einmal einfach
> so komplett resettet". Nicht so toll, wenn das Gerät dann über kurz oder
> lang jemand anders gehört.
Der einzige mir bekannte Fall, wo ein Router seine Config "vergessen"
hatte war, weil ein Bewohni der Meinung war, dass 15 Sekunden
Reset-Knopf am Freifunkrouter zu drücken die Probleme des
DSL-Anschlusses lösen würde. Da es ein bbb-configs-Router war, hatte der
durch die selfcontained-Config weiter funktioniert, allerdings ohne
Root-Passwort. Bei den normalen Falter-Images kann das so nicht
unbemerkt bleiben, weil das Wizard-WiFi anders heißt, als das normale
Netz. Danach könnte man zwar rogue-konfigurieren, aber der Resettete
Zustand muss immerhin erstmal getriggert werden.

Insgesamt ist die Kabellösung natürlich am sichersten. Aber wie gesagt,
die Sachzwänge sind inzwischen ganz andere, als vor 6 Jahren. Und die
Sicherheitsimplikation halte ich für vertretbar

Viele Grüße
Martin

> On Samstag, 13. Mai 2023 22:13:29 CEST Martin Hübner wrote:
>> **Wifi für den Wizard**: Immer mehr Laptops werden ohne Ethernet-Buchse
>> ausgeliefert. Damit Freifunk dennoch möglichst einsteiger-freundlich
>> bleibt, spannen Knoten schon vor dem ersten Wizard-Run ein WLAN auf.
>> Dadurch kann man den Knoten nun auch kabellos einrichten. Das WLAN
>> heißt, je nach Gerät: /"freifunk-setup MAC-Adresse"/. So können auch
>> mehrere unkonfigurierte Geräte unterschieden werden.
> Da ich da grad drüber gestolpert bin: Dieses Feature wurde schon 2017
> diskutiert [1],[2] und insb. Malte hatte da einige relevant Einwände,
> warum da eine doofe Idee ist [3].
> Habt ihr etwas gegen die genannten Punkte, mit Potenzial zur
> "feindlichen Übernahme", vorgesehen oder einfach nach dem Motto "Was
> soll schon passieren?"
>
> GRuss Sven
>
>
> [1] -https://github.com/freifunk-berlin/firmware/issues/479
> [2] -https://lists.berlin.freifunk.net/pipermail/berlin/2017-October/
> 036443.html
> [3] -https://lists.berlin.freifunk.net/pipermail/berlin/2017-October/
> 036449.html
-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <https://lists.berlin.freifunk.net/pipermail/berlin/attachments/20230612/5722c597/attachment.html>