[Berlin-wireless] Verständnisfrage zum Kathleen PolicyRouting

Harald Stürzebecher haralds at metafly.info
Mo Jan 9 14:36:46 CET 2017 

Am 09.01.2017 9:29 vorm. schrieb "Smilie" <smilie at posteo.de>:

Vielen Dank,

das hätte ich jetzt im Nachhinein intuitiv natürlich auch gedacht.
Ist die Frage, ob wir das im FAQ besser unterscheiden könnten und
damit auch auf die lokalen Dienste etwas stärker eingehen könnten.


Man könnte es pessimistischer formulieren - jedes Gerät, das "von außen"
erreichbar ist, ist angreifbar. Das würde IMHO aber potentielle Mitmacher
unnötig verunsichern. ;-)

Will sagen:
Für Rechner aus dem FF-Netz wirkt das Masquerading wie eine FW gegen
ein Lokales Netz.


https://web.archive.org/web/20110429131905/http://blog.koehn
topp.de/archives/2982-NAT-ist-kein-Sicherheitsfeature.html

Das Policy-Routing der FF-Router schützt auch nur, wenn es richtig
konfiguriert ist. Das ist nicht immer gegeben: https://github.com/fr
eifunk-berlin/firmware/issues/402

Jedoch für lokale Dienste eben nicht.


> Diese Dienste sind also ein mögliches Sicherheitsrisiko.


Ein Angreifer, der "root" auf einem Rechner ist, kann dort beliebige Dinge
tun. Ist halt so. ;-)
Dazu gehört auch der Zugriff auf alle Netzwerkschnittstellen. Wirksamer
Schutz muss außerhalb sitzen, wo der Angreifer nicht herankommt.

Wenn ein Zugriff auf das eigene Netzwerk schwere Folgen hätte, z.B. bei
einer Arztpraxis oder Anwaltskanzlei, ist ein eigener Internetzugang nur
für den Freifunkrouter die sicherste Lösung.
https://forum.freifunk.net/t/freifunk-in-arztpraxen-it-sicherheit/827/17

Wenn "ziemlich sicher" ausreicht, bietet sich an, einen "Gastzugang" am
vorhandenen Internetrouter einzurichten. Und zu hoffen, dass der
ausreichend vom Heimnetz getrennt ist. Welche Ports dafür gebraucht werden,
wurde schon mal auf der Liste diskutiert.

Den FF-Router direkt ins LAN zu hängen ist IMHO "Restrisiko" - gibt selten
genug Schäden, so dass man es akzeptiert. Unbefugter Zugriff auf das LAN
könnte schon unangenehm werden, spätestens zusammen mit anderen
Sicherheitslücken, z.B. im DSL-Router[1]. So betrachtet müsste aber auch
jedes IoT-Gerät sein eigenes Netzwerk bekommen - Fernseher[2],
IP-Kameras[3], etc.

Nur wegen einer geeigneten Programmierung und mittels ihrer

Einfachheit im Aufbau sind die Dienste weitgehend sicher.


;-)


VG
Harald

[1] https://www.heise.de/security/meldung/AVM-Router-Fritzbox-
Luecke-erlaubt-Telefonate-auf-fremde-Kosten-3065588.html
[2]https://blog.fefe.de/?ts=a68f732d
[3]
https://www.heise.de/security/meldung/98-Sekunden-bis-zur-Infektion-IoT-Botnetz-im-Selbstversuch-3494168.html
-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <https://lists.berlin.freifunk.net/pipermail/berlin/attachments/20170109/c0e55b70/attachment.html>

Mehr Informationen über die Mailingliste Berlin