[Berlin-wireless] Inbound-Filter vs. PPA

M K m_kg at hotmail.de
Mi Jul 28 15:09:31 CEST 2021 

Hallo zusammen,

ich habe jetzt an zwei Standorten nur die Nutzungserlaubnis von Dach/Balkon für Mesh-AP Freifunk mit der mündlichen Bestätigung bekommen,
dass es für die Nutzer selbst keine arg-fahrlässigen Bedenken zur Nutzung für private Zwecke entstehen.
(Da sind von deren Haushalt 2 Smartphones und 1 SmartTV dran und X-anderen Nachbar-Clients).
Ich kann deren Nachbarn jetzt nicht ermöglichen den SmartTV mit toller Sicherheitspolitik/Updates zu erreichen.
Wer weiß, ob dort jemand seinen Alexa/FileShare/Drucker anschließen wird...

Auch wenn wir die Störerhaftung über einen ISP gut abwenden können,
habe ich kein Interesse wegen mittelbarer Täterschaft von Personen, wo dann wirklich etwas aus dem Freifunk-Netz einhergehend erst ermöglicht wurde,
verschulden kommen zu lassen, weil ich mit Fahrlässigkeit alles öffentlich gestellt habe.

IANAL - Ich bin kein Jurist, kannte jedoch schonmal einen spendablen Hoster, der schlecht gearbeitet hatte, aber kostenfrei Services anbot.
Ende der Geschichte IT-Sicherheitsvorfall  durch schlechte "Sicherheitsvorsorge" und der musste trotzdem haften,
weil Fürsorgepflicht (Gefahrenabwehr, Risikovorsorge) nicht bedacht wurde.
Natürlich ist Freifunk ein tolles Projekt, aber wir dürfen die Verantwortung und Konsequenzen aus unseren Handeln nicht vergessen, die damit einhergehen.
With great power comes great responsibility.

Ein bisschen müssen wir die nicht technisch versierten Mitglieder/Personen,
die das Freifunkprojekt fördern und nutzen schützen.

Wenn du vom einem ISP ein Modem/Router erhältst, hat dieser auch gewisse Standardsicherheitseinstellungen, die ein "wissender" Nutzer gerne manuell deaktivieren kann.
Wir sollten uns auf ein Minimum an erforderlichen Sicherheitsrichtlinien einigen. Von Traffic aktiv blocken ist hier nicht die Rede, oder QoS Regeln usw. .

Jammingblub

-----Ursprüngliche Nachricht-----
Von: Berlin <berlin-bounces at berlin.freifunk.net> Im Auftrag von Nick
Gesendet: Mittwoch, 28. Juli 2021 11:26
An: berlin at berlin.freifunk.net
Betreff: Re: [Berlin-wireless] Inbound-Filter vs. PPA

Es geht bei der Diskussion vor allem um das Standard-Verhalten der SSID "berlin.freifunk.net", sprich die SSID mit der sich jeder Client verbindet. Man kann natürlich noch weiter Services anbieten, indem man diese halt einfach nicht im "berlin.freifunk.net" Netzwerk hostet, sondern ein seperates Interface ohne in-bound filtering hinzufügt mit einer statischen IP, wenn ma will. Man kann auch ein anderes WiFi Netzwerk öffnen z.b. "berlin.freifunk.net (inbound)" oder whatever, damit der User der das wirklich will und sich dessen bewusst ist, in das Netzwerk joined. Alle inbound gefilterten Client-Netze können dann auch diese Services nutzen. Es geht hier nur darum selber einen Service anzubieten. Zudem ist es auch einfach möglich selbst per 802.11s mesh am WiFi Netzwerk teilzunehmen und dann halt darüber Services anzubieten. Es gibt viele Möglichkeiten. Aber es wird "gefordert/diskutiert", standardmäßig für alle User das unsicherste zu machen (wenn ich das richtig verstanden habe).

Ich bin dafür die Netze möglichst sicher zu gestalten und zu tun was wir können um die User zu schützen. Wir geben ja keine Garantie. Ich glaube aber der Standard User macht es keinen Unterschied und wir erwecken auch kein falsches Sicherheitsgefühl, wenn wir etwas anmachen, was der User gar nicht mitbekommt.

Vielleicht können sich ja mal ein paar User melden?

VG,
Nick

On 7/28/21 10:35 AM, ff at xayax.de wrote:
> Guten Tag,
>
> der Spruch "Freiheit stirbt mit Sicherheit“ funktioniert in beide Richtungen.
>
> Wir wollen doch ein freies und unmanipuliertes Netz spannen und gleichzeitig die Enduser gegen Manipulation und Überwachung schützen.
> Könnten wir nicht „einfach“ alles, was mesht, was im bbb weiterleitet und redet komplett ungefiltert lassen und die jeweiligen DHCP-Schnittstellen, an denen sich die Clients tummeln, entsprechend filtern und absichern?
>
> Oder widerspricht sich das? Geht nur das eine oder andere? Ich finde es an öffentlichen Netzen schon sehr sinnvoll, die Client-Isolation einzuschalten. Dort, wo das vielleicht nicht gewollt ist, weil man eine WG ist oder so, kann man ja ein zweites WLAN aufspannen und die dann ausschalten. Aber in der Regel würde ich davon ausgehen, dass die Clients im Freifunknetz sich nicht gegenseitig sehen müssen. Was natürlich schön wäre, wenn die Freifunk-Dienste weiterhin erreichbar wären.
>
> lg
> kaya
>
>
>
>> Am 28.07.2021 um 09:34 schrieb Martin Hübner <martin.hubner at web.de>:
>>
>> Hallo Matthias,
>>
>> ich denke, das Pico Peering Agreement ist da recht eindeutig: Punkt 
>> 1.2
>> sagt:
>>
>> "Der Eigentümer bestätigt, die Daten, die seine freie 
>> Netzwerkinfrastruktur passieren, weder störend zu beeinträchtigen 
>> noch zu verändern."
>>
>> Ich halte es deshalb für schwierig eingehende Verbindungen zu filtern.
>> Das widerspricht meiner Ansicht nach auch dem Gedanken eines offenen 
>> Netzes etwas.
>>
>> Gleichwohl sollten wir auch die Umstände betrachten, die zu dieser 
>> Filterung geführt haben: Manche Hausprojekte sind durch politische 
>> Arbeit im Fokus von Behörden und würden von einem offenen Netz nicht 
>> nur profitieren, sondern könnten evtl leichter überwacht werden.
>>
>> Damit hängt auch der WISP-Gedanke zusammen. Auch wenn manche 
>> Community-Mitglieder das gerne so sehen, ist Freifunk auf keinen Fall 
>> ein WISP im herkömmlichen Sinne! Das PPA führt hierzu unter Punkt 3 
>> einen expliziten Garantie und Haftungsausschluss auf:
>>
>> - Es wird keinerlei garantierter Dienst (Betrieb, Service) vereinbart.
>> (Es gibt keine Garantie für die Verfügbarkeit / Qualität des 
>> Dienstes.)
>> - Der Dienst (Betrieb, Service) wird ohne Gewähr bereitgestellt, ohne 
>> Garantie oder Verpflichtung jedweder Art.
>> - Der Dienst (Betrieb, Service) kann jeder Zeit ohne weitere 
>> Erklärung beschränkt oder eingestellt werden.
>>
>> Menschen durch inbound-Filterung eine Sicherheit/Garantie zu geben, 
>> halte ich auf dieser Grundlage eher für fragwürdig.
>>
>>
>> Versteht mich bitte nicht falsch. Eingehende Filterung und Maßnahmen 
>> gegen Überwachung sind wichtig und sinnvoll. Aber die Filterung 
>> eingehender Verbindung im bbb-config stillschweigend pauschal zum 
>> Standard zu erheben, halte ich für falsch.
>>
>> Das verhindert/verkompliziert, dass die Leute ihre eigenen Dienste im 
>> Freifunknetz anbieten. Freifunk ist für mich *geben* und nehmen. Und 
>> ich finde, wir sollten das Geben möglichst einfach machen.
>>
>> Gleiches gilt für Client-Isolation. Wenn ich jeden Client in seinen 
>> eigenen Käfig sperre, muss ich wieder zusatzmaßnahmen unternehem, um 
>> meine Dienste anzubieten.
>>
>>
>> TL;DR:
>> =======
>> Eine gute Lösung wäre in meinen Augen, den bisherigen Standard
>> beizubehalten: Keine Client-Isolation, kein Inbound-Filtering auf 
>> Standorten innerhalb des Freifunknetzes. Hausprojekte, die dies 
>> wünschen, sollen inbound-filtering weiterhin bekommen können.
>>
>> Der Standard im bbb-configs-repo wäre keine-Isolation und kein 
>> filtering. Beides kann jedoch durch eine einfache Option aktiviert 
>> werden (opt-in statt opt-out).
>>
>>
>> Viele Grüße
>> Martin
>>
>> _______________________________________________
>> Berlin mailing list
>> Berlin at berlin.freifunk.net
>> http://lists.berlin.freifunk.net/cgi-bin/mailman/listinfo/berlin
>> Diese Mailingliste besitzt ein ffentlich einsehbares Archiv
> _______________________________________________
> Berlin mailing list
> Berlin at berlin.freifunk.net
> http://lists.berlin.freifunk.net/cgi-bin/mailman/listinfo/berlin
> Diese Mailingliste besitzt ein ffentlich einsehbares Archiv

_______________________________________________
Berlin mailing list
Berlin at berlin.freifunk.net
http://lists.berlin.freifunk.net/cgi-bin/mailman/listinfo/berlin
Diese Mailingliste besitzt ein ffentlich einsehbares Archiv

Mehr Informationen über die Mailingliste Berlin