[Berlin-wireless] Sicherheit : MAC Filter und Ports sperren

Stefan Sperling stsp
Di Mär 28 13:57:09 CEST 2006


On Tue, Mar 28, 2006 at 12:57:33PM +0200, Marek Lindner wrote:
> >Nun möchte ich jedoch Internet anbieten und mindesten  " Ports sperren " 
> >oder MAC Filtern..

Was genau soll MAC Filtern denn bringen? Willst du, dass nur ausgewaehlte
Leute deinen Internet zugang mitnutzen? Freifunk ist nicht verschluesselt,
und mac addressen spoofen ist nicht schwer, wenn man einmal weiss, welche
in der whitelist stehen.

Zum Ports sperren:
Ich hatte vor ewigkeiten (und vorm freifunken) auch mal versucht, internet
nutzung per wlan durch destination port whitelist einzuschraenken, weil
mitbewohner angst hatten dass die nachbarn doofe sachen (sprich:
massives filesharing) machen.
Irgendwann hat man dann aber soviele ports offen (z.b. fuer http, ftp,
ssh, cvs pserver, irc, jabber - alles legitime dienste), dass jeder mit
ner IP im wlan netz mit wenig know how trotzdem durch tunneln oder
nicht-default ports nutzen sowieso alles machen kann.

Fuehl dich jetzt nicht bedroht. Ich wollte nur meinen Eindruck vermitteln,
dass sich gerade im freifunk sachen wie fair-use eher auf sozialer als
auf technischer ebene regeln lassen. Was eigentlich auch der richtige
und vernuenftigere weg ist, nur scheinen z.b. Routerhersteller und auch ISPs
gerne ein anderes bild zu verbreiten, damit sie ihre tollen "sicherheits"
features verkaufen koennen. Nichtsdestrotrotz koennen rein technische
sperren immer irgendwie umgangen werden. Es ist wie mit WEP - keeps
honest people honest. Man kanns auch fast gleich weglassen.

Z.b. deutet die tatsache, dass HNAs wie z.b. 104.202.19.1 eine
accounting page haben (http://104.202.19.1/cgi-bin-pmacct.html),
darauf hin dass den leuten der traffic den man zum internet hin erzeugt
nicht unbedingt egal ist. Was dann (jedenfalls bei mir) auch dazu fuehrt,
dass man sich als netter mensch mit dicken downloads zurueckhaelt.
(btw: durch welches paket kriegt man diese accounting page? oder
ist dass eine selbst gebastelte loesung?)

Aber ich bin auch ziemlich neu dabei (erst ein paar tage) und weiss
nicht wie andere HNAs das handhaben. Und ich bin selbst auch keine,
habe also gut reden :)

> >Das mit der Freifunk Firmware am Linksys.
> >
> >Was könnt ihr mir dazu empfehlen ???  
> >
> ipkg install freifunk-gateway-de

Oder einfach /etc/local.fw editieren, falls du iptables sprichst.

gruss,
-- 
stefan
http://stsp.in-berlin.de                                 PGP Key: 0xF59D25F0


_______________________________________________
Berlin mailing list
Berlin at olsrexperiment.de
https://www.olsrexperiment.de/cgi-bin/mailman/listinfo/berlin





Mehr Informationen über die Mailingliste Berlin