[Berlin-wireless] Inbound-Filter vs. PPA

Harald Stürzebecher haralds-freifunk at quantentunnel.de
Do Jul 29 13:48:59 CEST 2021 

Hallo kaya!

Am 28.07.2021 um 10:35 schrieb ff at xayax.de:
> Guten Tag,
>
> der Spruch "Freiheit stirbt mit Sicherheit“ funktioniert in beide
> Richtungen.
>
> Wir wollen doch ein freies und unmanipuliertes Netz spannen und
> gleichzeitig die Enduser gegen Manipulation und Überwachung
> schützen.

Wäre es nicht wichtig, zusätzlich die Geräte der Nutzer sicher zu
konfigurieren? Die verwenden vielleicht auch mal ein ungefiltertes Netz
und wären dann Angriffen schutzlos ausgeliefert. Im LAN hat man AFAICT
meistens auch keine Client-Isolation.

Die Möglichkeit, dass jemand extra einen AP aufstellt, um unsichere
Geräte "einzufangen", sollte man bei erhöhtem Schutzbedürfnis vielleicht
auch betrachten. [1][2][3]

> Könnten wir nicht „einfach“ alles, was mesht, was im bbb weiterleitet
> und redet komplett ungefiltert lassen und die jeweiligen
> DHCP-Schnittstellen, an denen sich die Clients tummeln, entsprechend
> filtern und absichern?

Möchtest Du wirklich für alle Router im Freifunk vorschreiben, dass die
für alle Clients den Traffic filtern müssen? Ich glaube nicht, dass ein
allgemeines Verbot ungefilterter Freifunk-Zugänge durchsetzbar wäre.

> Oder widerspricht sich das? Geht nur das eine oder andere? Ich finde
>  es an öffentlichen Netzen schon sehr sinnvoll, die Client-Isolation
>  einzuschalten. Dort, wo das vielleicht nicht gewollt ist, weil man
> eine WG ist oder so, kann man ja ein zweites WLAN aufspannen und die
>  dann ausschalten. Aber in der Regel würde ich davon ausgehen, dass
> die Clients im Freifunknetz sich nicht gegenseitig sehen müssen. Was
>  natürlich schön wäre, wenn die Freifunk-Dienste weiterhin erreichbar
>  wären.
>

IMHO sollte das ungefilterte Netz der Standard sein. Wenn jemand für
seine Zwecke ein eingeschränktes Netz haben möchte, kann das IMHO über
ein zusätzliches WLAN laufen.

Für eine WG würde ich eher ein zusätzliches WLAN mit Passwort und
Verschlüsselung einrichten und darüber dann gemeinsam genutzte Geräte
wie z.B. Drucker oder NAS erreichbar machen.

AFAIK kann man die Freifunk-Dienste bisher nicht von allen
Freifunkroutern erreichen, weil an einigen über Tunnel angebundenen
Standorten der BBB-Tunnel nicht eingerichtet wurde.


Viele Grüße
Harald

[1] https://cs.emis.de/LNI/Proceedings/Proceedings257/107.pdf
[2]
https://www.khanacademy.org/computing/computers-and-internet/xcae6f4a7ff015e7d:online-data-security/xcae6f4a7ff015e7d:cyber-attacks/a/rogue-access-points-mitm-attacks
[3] https://www.akduell.de/home/mehr/archiv/betruegerisches-eduroam

Mehr Informationen über die Mailingliste Berlin