[Berlin-wireless] Inbound-Filter vs. PPA

Simon Polack simonpolack at googlemail.com
Mi Jul 28 11:20:39 CEST 2021 

Hallo zusammen,


ich versuche mal unabhängig von der abweichenden Auslegung des PPA zu
argumentieren, hoffe damit Deraile ich nicht das Thema :)

Unzensiert und Unmanipuliert widerspricht sich nicht mit "User bestimmen
selbst", welche Daten sie erreichen.

> Könnten wir nicht „einfach“ alles, was mesht, was im bbb weiterleitet
und redet komplett ungefiltert lassen und die jeweiligen
DHCP-Schnittstellen, an denen sich die Clients tummeln, entsprechend
filtern und absichern?

Das ist der Status quo des gros aller in bbb-configs gehandelten Standorte.

> Der Standard im bbb-configs-repo wäre keine-Isolation und kein
> filtering. Beides kann jedoch durch eine einfache Option aktiviert
> werden (opt-in statt opt-out).

Der Standard ist keine Isolation und keine Filterung auf allen
Interfaces. Das wurde im Ermessen von Nick und mir explizit auf dem DHCP
network aktiviert.


Für mich stellt sie die Frage, was bedeuet Freifunk für den Großteil
User*innen. Ich würde behaupten, 95% haben noch nie irgendeine Inbound
Connection benötigt/gewollt und ich kann nicht nachvollziehen, warum wir
User einem unverhältnismäßigen Risiko aussetzen, ohne dass es für Sie
einen Mehrwert oder sie davon erfhahren. Das ist auch Teil der
Verantwortung die wir tragen.


Ich möchte bspw. nicht wissen, wieviele ungepatchte Devices in unseren
Netzen rumspringen. - Awareness zu schaffen schön und gut. Allerdings
haben viele Leute eben auch garnicht das Interesse oder
Hintergrundwissen um entsprechend vorzusorgen. Das für alle schwierig,
die sich nicht explizit mit diesem Thema auseinandersetzen.


Nur weil man versucht alles Verhältnismäßige zu tun um User im eigenen
Ermessen bestmöglich zu schützen wird das Netz dadurch nicht unfreier. -
Gleichzeitig heißt das nicht, dass wir losrennen und Freifunk als Sicher
verkaufen.

 Mögliche Maßnahmen
* Verschlüsseln auf BBB Links (gern mit well known PSK) und optional
auch zum User mit OWE , damit passives Abschnorcheln erschwert wird ist
* Client Isolation
* Inbound Filtering


Weiterhin möchte ich nicht unerwähnt lassen, das eine konsequente
Umsetzung o.g. Freiheitsargumentation bedeuten würde, dass IPv6 an der
ohlauer und saarbruecker nicht mehr inbound gefiltert wird. Das heißt
alle Devices in unserem Netz mit einer IPv6 Adresse werden Public im
Internet exposed. Das betrifft auch ungepatchtes Wifi Equipment, was in
der Vergangenheit bereits mehrfach targetted wurden.

Spätestens hier wäre der Zeitpunkt, an dem ich Leute aktiv von Freifunk
als freien (im Sinne von unzensiert, unmanipuliert, kostenfrei)
Netzzugang abraten würde.


lg
Simon
On 28.07.21 10:35, ff at xayax.de wrote:
> Guten Tag,
> 
> der Spruch "Freiheit stirbt mit Sicherheit“ funktioniert in beide Richtungen.  
> 
> Wir wollen doch ein freies und unmanipuliertes Netz spannen und gleichzeitig die Enduser gegen Manipulation und Überwachung schützen. 
> Könnten wir nicht „einfach“ alles, was mesht, was im bbb weiterleitet und redet komplett ungefiltert lassen und die jeweiligen DHCP-Schnittstellen, an denen sich die Clients tummeln, entsprechend filtern und absichern? 
> 
> Oder widerspricht sich das? Geht nur das eine oder andere? Ich finde es an öffentlichen Netzen schon sehr sinnvoll, die Client-Isolation einzuschalten. Dort, wo das vielleicht nicht gewollt ist, weil man eine WG ist oder so, kann man ja ein zweites WLAN aufspannen und die dann ausschalten. Aber in der Regel würde ich davon ausgehen, dass die Clients im Freifunknetz sich nicht gegenseitig sehen müssen. Was natürlich schön wäre, wenn die Freifunk-Dienste weiterhin erreichbar wären. 
> 
> lg
> kaya
> 
> 
> 
>> Am 28.07.2021 um 09:34 schrieb Martin Hübner <martin.hubner at web.de>:
>>
>> Hallo Matthias,
>>
>> ich denke, das Pico Peering Agreement ist da recht eindeutig: Punkt 1.2
>> sagt:
>>
>> "Der Eigentümer bestätigt, die Daten, die seine freie
>> Netzwerkinfrastruktur passieren, weder störend zu beeinträchtigen noch
>> zu verändern."
>>
>> Ich halte es deshalb für schwierig eingehende Verbindungen zu filtern.
>> Das widerspricht meiner Ansicht nach auch dem Gedanken eines offenen
>> Netzes etwas.
>>
>> Gleichwohl sollten wir auch die Umstände betrachten, die zu dieser
>> Filterung geführt haben: Manche Hausprojekte sind durch politische
>> Arbeit im Fokus von Behörden und würden von einem offenen Netz nicht nur
>> profitieren, sondern könnten evtl leichter überwacht werden.
>>
>> Damit hängt auch der WISP-Gedanke zusammen. Auch wenn manche
>> Community-Mitglieder das gerne so sehen, ist Freifunk auf keinen Fall
>> ein WISP im herkömmlichen Sinne! Das PPA führt hierzu unter Punkt 3
>> einen expliziten Garantie und Haftungsausschluss auf:
>>
>> - Es wird keinerlei garantierter Dienst (Betrieb, Service) vereinbart.
>> (Es gibt keine Garantie für die Verfügbarkeit / Qualität des Dienstes.)
>> - Der Dienst (Betrieb, Service) wird ohne Gewähr bereitgestellt, ohne
>> Garantie oder Verpflichtung jedweder Art.
>> - Der Dienst (Betrieb, Service) kann jeder Zeit ohne weitere Erklärung
>> beschränkt oder eingestellt werden.
>>
>> Menschen durch inbound-Filterung eine Sicherheit/Garantie zu geben,
>> halte ich auf dieser Grundlage eher für fragwürdig.
>>
>>
>> Versteht mich bitte nicht falsch. Eingehende Filterung und Maßnahmen
>> gegen Überwachung sind wichtig und sinnvoll. Aber die Filterung
>> eingehender Verbindung im bbb-config stillschweigend pauschal zum
>> Standard zu erheben, halte ich für falsch.
>>
>> Das verhindert/verkompliziert, dass die Leute ihre eigenen Dienste im
>> Freifunknetz anbieten. Freifunk ist für mich *geben* und nehmen. Und ich
>> finde, wir sollten das Geben möglichst einfach machen.
>>
>> Gleiches gilt für Client-Isolation. Wenn ich jeden Client in seinen
>> eigenen Käfig sperre, muss ich wieder zusatzmaßnahmen unternehem, um
>> meine Dienste anzubieten.
>>
>>
>> TL;DR:
>> =======
>> Eine gute Lösung wäre in meinen Augen, den bisherigen Standard
>> beizubehalten: Keine Client-Isolation, kein Inbound-Filtering auf
>> Standorten innerhalb des Freifunknetzes. Hausprojekte, die dies
>> wünschen, sollen inbound-filtering weiterhin bekommen können.
>>
>> Der Standard im bbb-configs-repo wäre keine-Isolation und kein
>> filtering. Beides kann jedoch durch eine einfache Option aktiviert
>> werden (opt-in statt opt-out).
>>
>>
>> Viele Grüße
>> Martin
>>
>> _______________________________________________
>> Berlin mailing list
>> Berlin at berlin.freifunk.net
>> http://lists.berlin.freifunk.net/cgi-bin/mailman/listinfo/berlin
>> Diese Mailingliste besitzt ein ffentlich einsehbares Archiv
> 
> _______________________________________________
> Berlin mailing list
> Berlin at berlin.freifunk.net
> http://lists.berlin.freifunk.net/cgi-bin/mailman/listinfo/berlin
> Diese Mailingliste besitzt ein ffentlich einsehbares Archiv
>

Mehr Informationen über die Mailingliste Berlin