[Berlin-wireless] Loch in der Firewall

Robert Schuster theBohemian
Fr Dez 30 21:38:24 CET 2005 

Hi,
ich habe gerade für eine Bekannte unseren Internetzugang via Freifunk
freigegeben. Da wir in unserer (Informatiker-)WG eine etwas kompliziertere
Netzwerktopologie haben, haben wir uns vorher intensiv mit der Absicherung
unseres lokalen Netzes vor dem Freifunk Netz gemacht. Bei den Untersuchungen
sind wir auf ein Sicherheitsproblem gestoßen, dass vielleicht auch für andere
Freifunker wichtig ist.

Es geht darum, dass wir auf unserem Gateway Server bestimmte Dienste nur für das
interne LAN anbieten und die sollen von aussen (= böses Internet + noch viel
böseres FF Netz) nicht sichtbar sein. Klemmt man jetzt einen WRT via WAN Port in
unser LAN und verlässt sich auf die Firewall der Freifunk Firmware, ist
folgendes möglich:

Jemand aus dem Freifunk Netz ruft den Gateway Rechner mit der externen IP auf
(zB 85.178.221.194). Das Gateway bekommt die Anfrage und ordnet es erstmal als
eine normale für das Internet gedachte Anfrage ein (ethX nach ppp0). Bei der
Bearbeitung des Paketes stellt der Kernel aber fest, dass die Anfrage lokal
beantwortet werden kann und tut dieses dann auch.

Bei uns bestand die Lösung darin, Anfragen an die externe Adresse immer zu
verwerfen, wenn sie vom WLAN Router kommen (Wir sind auf außerdem auf Nummer
sicher gegangen und benutzen eine separate Netzwerkkarte für den WRT.). Leider
braucht es dazu eine dynamische Firewall-Regel, die bei Herstellung der PPPoE
Verbindung aktiviert wird.

Ich hoffe ihr konntet meiner Ausführung folgen und eventuelle eure Gateways
sicherer machen. :) Vielleicht kommt ja jemand auf eine noch bessere Idee als
wir und kann uns die mitteilen.

Auf jeden Fall freue ich mich, dass das aufstellen der beiden Knoten mit den
WRTs und der FFF so hervorragend geklappt hat: Vielen Dank an alle Beteiligten. :)

Guten Rutsch
und bis demnächst in der c-base

Robert

-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : signature.asc
Dateityp    : application/pgp-signature
Dateigröße  : 252 bytes
Beschreibung: OpenPGP digital signature
URL         : http://lists.olsrexperiment.de/cgi-bin/mailman/private/berlin/attachments/20051230/f66b2bed/attachment.pgp 
-------------- nächster Teil --------------
_______________________________________________
Berlin mailing list
Berlin at olsrexperiment.de
https://olsrexperiment.de/cgi-bin/mailman/listinfo/berlin

Mehr Informationen über die Mailingliste Berlin