[Berlin-wireless] Inbound-Filter vs. PPA

Nick nick at systemli.org
Mi Jul 28 11:26:00 CEST 2021 

Es geht bei der Diskussion vor allem um das Standard-Verhalten der SSID 
"berlin.freifunk.net", sprich die SSID mit der sich jeder Client 
verbindet. Man kann natürlich noch weiter Services anbieten, indem man 
diese halt einfach nicht im "berlin.freifunk.net" Netzwerk hostet, 
sondern ein seperates Interface ohne in-bound filtering hinzufügt mit 
einer statischen IP, wenn ma will. Man kann auch ein anderes WiFi 
Netzwerk öffnen z.b. "berlin.freifunk.net (inbound)" oder whatever, 
damit der User der das wirklich will und sich dessen bewusst ist, in das 
Netzwerk joined. Alle inbound gefilterten Client-Netze können dann auch 
diese Services nutzen. Es geht hier nur darum selber einen Service 
anzubieten. Zudem ist es auch einfach möglich selbst per 802.11s mesh am 
WiFi Netzwerk teilzunehmen und dann halt darüber Services anzubieten. Es 
gibt viele Möglichkeiten. Aber es wird "gefordert/diskutiert", 
standardmäßig für alle User das unsicherste zu machen (wenn ich das 
richtig verstanden habe).

Ich bin dafür die Netze möglichst sicher zu gestalten und zu tun was wir 
können um die User zu schützen. Wir geben ja keine Garantie. Ich glaube 
aber der Standard User macht es keinen Unterschied und wir erwecken auch 
kein falsches Sicherheitsgefühl, wenn wir etwas anmachen, was der User 
gar nicht mitbekommt.

Vielleicht können sich ja mal ein paar User melden?

VG,
Nick

On 7/28/21 10:35 AM, ff at xayax.de wrote:
> Guten Tag,
>
> der Spruch "Freiheit stirbt mit Sicherheit“ funktioniert in beide Richtungen.
>
> Wir wollen doch ein freies und unmanipuliertes Netz spannen und gleichzeitig die Enduser gegen Manipulation und Überwachung schützen.
> Könnten wir nicht „einfach“ alles, was mesht, was im bbb weiterleitet und redet komplett ungefiltert lassen und die jeweiligen DHCP-Schnittstellen, an denen sich die Clients tummeln, entsprechend filtern und absichern?
>
> Oder widerspricht sich das? Geht nur das eine oder andere? Ich finde es an öffentlichen Netzen schon sehr sinnvoll, die Client-Isolation einzuschalten. Dort, wo das vielleicht nicht gewollt ist, weil man eine WG ist oder so, kann man ja ein zweites WLAN aufspannen und die dann ausschalten. Aber in der Regel würde ich davon ausgehen, dass die Clients im Freifunknetz sich nicht gegenseitig sehen müssen. Was natürlich schön wäre, wenn die Freifunk-Dienste weiterhin erreichbar wären.
>
> lg
> kaya
>
>
>
>> Am 28.07.2021 um 09:34 schrieb Martin Hübner <martin.hubner at web.de>:
>>
>> Hallo Matthias,
>>
>> ich denke, das Pico Peering Agreement ist da recht eindeutig: Punkt 1.2
>> sagt:
>>
>> "Der Eigentümer bestätigt, die Daten, die seine freie
>> Netzwerkinfrastruktur passieren, weder störend zu beeinträchtigen noch
>> zu verändern."
>>
>> Ich halte es deshalb für schwierig eingehende Verbindungen zu filtern.
>> Das widerspricht meiner Ansicht nach auch dem Gedanken eines offenen
>> Netzes etwas.
>>
>> Gleichwohl sollten wir auch die Umstände betrachten, die zu dieser
>> Filterung geführt haben: Manche Hausprojekte sind durch politische
>> Arbeit im Fokus von Behörden und würden von einem offenen Netz nicht nur
>> profitieren, sondern könnten evtl leichter überwacht werden.
>>
>> Damit hängt auch der WISP-Gedanke zusammen. Auch wenn manche
>> Community-Mitglieder das gerne so sehen, ist Freifunk auf keinen Fall
>> ein WISP im herkömmlichen Sinne! Das PPA führt hierzu unter Punkt 3
>> einen expliziten Garantie und Haftungsausschluss auf:
>>
>> - Es wird keinerlei garantierter Dienst (Betrieb, Service) vereinbart.
>> (Es gibt keine Garantie für die Verfügbarkeit / Qualität des Dienstes.)
>> - Der Dienst (Betrieb, Service) wird ohne Gewähr bereitgestellt, ohne
>> Garantie oder Verpflichtung jedweder Art.
>> - Der Dienst (Betrieb, Service) kann jeder Zeit ohne weitere Erklärung
>> beschränkt oder eingestellt werden.
>>
>> Menschen durch inbound-Filterung eine Sicherheit/Garantie zu geben,
>> halte ich auf dieser Grundlage eher für fragwürdig.
>>
>>
>> Versteht mich bitte nicht falsch. Eingehende Filterung und Maßnahmen
>> gegen Überwachung sind wichtig und sinnvoll. Aber die Filterung
>> eingehender Verbindung im bbb-config stillschweigend pauschal zum
>> Standard zu erheben, halte ich für falsch.
>>
>> Das verhindert/verkompliziert, dass die Leute ihre eigenen Dienste im
>> Freifunknetz anbieten. Freifunk ist für mich *geben* und nehmen. Und ich
>> finde, wir sollten das Geben möglichst einfach machen.
>>
>> Gleiches gilt für Client-Isolation. Wenn ich jeden Client in seinen
>> eigenen Käfig sperre, muss ich wieder zusatzmaßnahmen unternehem, um
>> meine Dienste anzubieten.
>>
>>
>> TL;DR:
>> =======
>> Eine gute Lösung wäre in meinen Augen, den bisherigen Standard
>> beizubehalten: Keine Client-Isolation, kein Inbound-Filtering auf
>> Standorten innerhalb des Freifunknetzes. Hausprojekte, die dies
>> wünschen, sollen inbound-filtering weiterhin bekommen können.
>>
>> Der Standard im bbb-configs-repo wäre keine-Isolation und kein
>> filtering. Beides kann jedoch durch eine einfache Option aktiviert
>> werden (opt-in statt opt-out).
>>
>>
>> Viele Grüße
>> Martin
>>
>> _______________________________________________
>> Berlin mailing list
>> Berlin at berlin.freifunk.net
>> http://lists.berlin.freifunk.net/cgi-bin/mailman/listinfo/berlin
>> Diese Mailingliste besitzt ein ffentlich einsehbares Archiv
> _______________________________________________
> Berlin mailing list
> Berlin at berlin.freifunk.net
> http://lists.berlin.freifunk.net/cgi-bin/mailman/listinfo/berlin
> Diese Mailingliste besitzt ein ffentlich einsehbares Archiv

Mehr Informationen über die Mailingliste Berlin