[Berlin-wireless] Verständnisfrage zum Kathleen PolicyRouting
Papamatti
matti_lx at mailbox.org
Mo Jan 9 22:27:29 CET 2017
Ja genau, mach mir mal Mut. :-)
Gruß, Matti
Am 09.01.2017 um 14:36 schrieb Harald Stürzebecher:
>
>
> Am 09.01.2017 9:29 vorm. schrieb "Smilie" <smilie at posteo.de
> <mailto:smilie at posteo.de>>:
>
> Vielen Dank,
>
> das hätte ich jetzt im Nachhinein intuitiv natürlich auch gedacht.
> Ist die Frage, ob wir das im FAQ besser unterscheiden könnten und
> damit auch auf die lokalen Dienste etwas stärker eingehen könnten.
>
>
> Man könnte es pessimistischer formulieren - jedes Gerät, das "von
> außen" erreichbar ist, ist angreifbar. Das würde IMHO aber potentielle
> Mitmacher unnötig verunsichern. ;-)
>
> Will sagen:
> Für Rechner aus dem FF-Netz wirkt das Masquerading wie eine FW gegen
> ein Lokales Netz.
>
>
> https://web.archive.org/web/20110429131905/http://blog.koehntopp.de/archives/2982-NAT-ist-kein-Sicherheitsfeature.html
> <https://web.archive.org/web/20110429131905/http://blog.koehntopp.de/archives/2982-NAT-ist-kein-Sicherheitsfeature.html>
>
> Das Policy-Routing der FF-Router schützt auch nur, wenn es richtig
> konfiguriert ist. Das ist nicht immer gegeben:
> https://github.com/freifunk-berlin/firmware/issues/402
> <https://github.com/freifunk-berlin/firmware/issues/402>
>
> Jedoch für lokale Dienste eben nicht.
>
>
> > Diese Dienste sind also ein mögliches Sicherheitsrisiko.
>
>
> Ein Angreifer, der "root" auf einem Rechner ist, kann dort beliebige
> Dinge tun. Ist halt so. ;-)
> Dazu gehört auch der Zugriff auf alle Netzwerkschnittstellen.
> Wirksamer Schutz muss außerhalb sitzen, wo der Angreifer nicht herankommt.
>
> Wenn ein Zugriff auf das eigene Netzwerk schwere Folgen hätte, z.B.
> bei einer Arztpraxis oder Anwaltskanzlei, ist ein eigener
> Internetzugang nur für den Freifunkrouter die sicherste Lösung.
> https://forum.freifunk.net/t/freifunk-in-arztpraxen-it-sicherheit/827/17
> <https://forum.freifunk.net/t/freifunk-in-arztpraxen-it-sicherheit/827/17>
>
> Wenn "ziemlich sicher" ausreicht, bietet sich an, einen "Gastzugang"
> am vorhandenen Internetrouter einzurichten. Und zu hoffen, dass der
> ausreichend vom Heimnetz getrennt ist. Welche Ports dafür gebraucht
> werden, wurde schon mal auf der Liste diskutiert.
>
> Den FF-Router direkt ins LAN zu hängen ist IMHO "Restrisiko" - gibt
> selten genug Schäden, so dass man es akzeptiert. Unbefugter Zugriff
> auf das LAN könnte schon unangenehm werden, spätestens zusammen mit
> anderen Sicherheitslücken, z.B. im DSL-Router[1]. So betrachtet müsste
> aber auch jedes IoT-Gerät sein eigenes Netzwerk bekommen -
> Fernseher[2], IP-Kameras[3], etc.
>
> Nur wegen einer geeigneten Programmierung und mittels ihrer
>
> Einfachheit im Aufbau sind die Dienste weitgehend sicher.
>
>
> ;-)
>
>
> VG
> Harald
>
> [1]
> https://www.heise.de/security/meldung/AVM-Router-Fritzbox-Luecke-erlaubt-Telefonate-auf-fremde-Kosten-3065588.html
> <https://www.heise.de/security/meldung/AVM-Router-Fritzbox-Luecke-erlaubt-Telefonate-auf-fremde-Kosten-3065588.html>
> [2]https://blog.fefe.de/?ts=a68f732d
> [3]https://www.heise.de/security/meldung/98-Sekunden-bis-zur-Infektion-IoT-Botnetz-im-Selbstversuch-3494168.html
>
>
> _______________________________________________
> Berlin mailing list
> Berlin at berlin.freifunk.net
> http://lists.berlin.freifunk.net/cgi-bin/mailman/listinfo/berlin
> Diese Mailingliste besitzt ein �ffentlich einsehbares Archiv
-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <https://lists.berlin.freifunk.net/pipermail/berlin/attachments/20170109/8fade73b/attachment.html>
Mehr Informationen über die Mailingliste Berlin