<html>
  <head>
    <meta content="text/html; charset=utf-8" http-equiv="Content-Type">
  </head>
  <body bgcolor="#FFFFFF" text="#000000">
    <p>Ja genau, mach mir mal Mut. :-)</p>
    <p><br>
    </p>
    <p>Gruß, Matti<br>
    </p>
    <br>
    <div class="moz-cite-prefix">Am 09.01.2017 um 14:36 schrieb Harald
      Stürzebecher:<br>
    </div>
    <blockquote
cite="mid:CAFhJTv4_REW0s+9etWVZeRBqFsyTi5LKZAmDh_FuxzykupoQtQ@mail.gmail.com"
      type="cite">
      <div dir="auto">
        <div><br>
          <div class="gmail_extra"><br>
            <div class="gmail_quote">Am 09.01.2017 9:29 vorm. schrieb
              "Smilie" <<a moz-do-not-send="true"
                href="mailto:smilie@posteo.de" target="_blank">smilie@posteo.de</a>>:<br
                type="attribution">
              <blockquote
class="m_-1650431495331353795m_4563156981340756036m_-1589500028854160261m_6386545936189903503quote"
                style="margin:0 0 0 .8ex;border-left:1px #ccc
                solid;padding-left:1ex">Vielen Dank,<br>
                <br>
                das hätte ich jetzt im Nachhinein intuitiv natürlich
                auch gedacht.<br>
                Ist die Frage, ob wir das im FAQ besser unterscheiden
                könnten und<br>
                damit auch auf die lokalen Dienste etwas stärker
                eingehen könnten.<br>
              </blockquote>
            </div>
          </div>
        </div>
        <div dir="auto"><br>
        </div>
        <div dir="auto">Man könnte es pessimistischer formulieren -
          jedes Gerät, das "von außen" erreichbar ist, ist angreifbar.
          Das würde IMHO aber potentielle Mitmacher unnötig
          verunsichern. ;-)</div>
        <div dir="auto"><br>
        </div>
        <div dir="auto">
          <div class="gmail_extra">
            <div class="gmail_quote">
              <blockquote
class="m_-1650431495331353795m_4563156981340756036m_-1589500028854160261m_6386545936189903503quote"
                style="margin:0 0 0 .8ex;border-left:1px #ccc
                solid;padding-left:1ex">Will sagen:<br>
                Für Rechner aus dem FF-Netz wirkt das Masquerading wie
                eine FW gegen<br>
                ein Lokales Netz.</blockquote>
            </div>
          </div>
        </div>
        <div dir="auto"><br>
        </div>
        <div dir="auto"><a moz-do-not-send="true"
href="https://web.archive.org/web/20110429131905/http://blog.koehntopp.de/archives/2982-NAT-ist-kein-Sicherheitsfeature.html"
            target="_blank">https://web.archive.org/web/20<wbr>110429131905/http://blog.koehn<wbr>topp.de/archives/2982-NAT-ist-<wbr>kein-Sicherheitsfeature.html</a></div>
        <div dir="auto"><br>
        </div>
        <div dir="auto">
          <div dir="auto" style="font-family:sans-serif">Das
            Policy-Routing der FF-Router schützt auch nur, wenn es
            richtig konfiguriert ist. Das ist nicht immer gegeben: <a
              moz-do-not-send="true"
              href="https://github.com/freifunk-berlin/firmware/issues/402"
              target="_blank"><a class="moz-txt-link-freetext" href="https://github.com/fr">https://github.com/fr</a><wbr>eifunk-berlin/firmware/issues/<wbr>402</a></div>
          <div dir="auto" style="font-family:sans-serif"><br>
          </div>
        </div>
        <div dir="auto">
          <div class="gmail_extra">
            <div class="gmail_quote">
              <blockquote
class="m_-1650431495331353795m_4563156981340756036m_-1589500028854160261m_6386545936189903503quote"
                style="margin:0 0 0 .8ex;border-left:1px #ccc
                solid;padding-left:1ex">
                Jedoch für lokale Dienste eben nicht.</blockquote>
            </div>
          </div>
        </div>
        <div dir="auto"><br>
        </div>
        <div dir="auto"><span style="font-family:sans-serif">> Diese
            Dienste sind also ein mögliches Sicherheitsrisiko.</span></div>
        <div dir="auto">
          <div class="gmail_extra">
            <div class="gmail_quote">
              <blockquote
class="m_-1650431495331353795m_4563156981340756036m_-1589500028854160261m_6386545936189903503quote"
                style="margin:0 0 0 .8ex;border-left:1px #ccc
                solid;padding-left:1ex"> </blockquote>
            </div>
          </div>
        </div>
        <div dir="auto"><br>
        </div>
        <div dir="auto">Ein Angreifer, der "root" auf einem Rechner ist,
          kann dort beliebige Dinge tun. Ist halt so. ;-)</div>
        <div dir="auto">Dazu gehört auch der Zugriff auf alle
          Netzwerkschnittstellen. Wirksamer Schutz muss außerhalb
          sitzen, wo der Angreifer nicht herankommt.</div>
        <div dir="auto"><br>
        </div>
        <div dir="auto">Wenn ein Zugriff auf das eigene Netzwerk schwere
          Folgen hätte, z.B. bei einer Arztpraxis oder Anwaltskanzlei,
          ist ein eigener Internetzugang nur für den Freifunkrouter die
          sicherste Lösung.<br>
        </div>
        <div dir="auto"><a moz-do-not-send="true"
href="https://forum.freifunk.net/t/freifunk-in-arztpraxen-it-sicherheit/827/17"
            target="_blank">https://forum.freifunk.net/t/<wbr>freifunk-in-arztpraxen-it-<wbr>sicherheit/827/17</a><br>
        </div>
        <div dir="auto"><br>
        </div>
        <div dir="auto">Wenn "ziemlich sicher" ausreicht, bietet sich
          an, einen "Gastzugang" am vorhandenen Internetrouter
          einzurichten. Und zu hoffen, dass der ausreichend vom Heimnetz
          getrennt ist. Welche Ports dafür gebraucht werden, wurde schon
          mal auf der Liste diskutiert.</div>
        <div dir="auto"><br>
        </div>
        <div dir="auto">Den FF-Router direkt ins LAN zu hängen ist IMHO
          "Restrisiko" - gibt selten genug Schäden, so dass man es
          akzeptiert. Unbefugter Zugriff auf das LAN könnte schon
          unangenehm werden, spätestens zusammen mit anderen
          Sicherheitslücken, z.B. im DSL-Router[1]. So betrachtet müsste
          aber auch jedes IoT-Gerät sein eigenes Netzwerk bekommen -
          Fernseher[2], IP-Kameras[3], etc.</div>
        <div dir="auto"><br>
        </div>
        <div dir="auto">
          <div class="gmail_extra">
            <div class="gmail_quote">
              <blockquote
class="m_-1650431495331353795m_4563156981340756036m_-1589500028854160261m_6386545936189903503quote"
                style="margin:0 0 0 .8ex;border-left:1px #ccc
                solid;padding-left:1ex">Nur wegen einer geeigneten
                Programmierung und mittels ihrer<br>
              </blockquote>
              <blockquote
class="m_-1650431495331353795m_4563156981340756036m_-1589500028854160261m_6386545936189903503quote"
                style="margin:0 0 0 .8ex;border-left:1px #ccc
                solid;padding-left:1ex">
                Einfachheit im Aufbau sind die Dienste weitgehend
                sicher.<br>
              </blockquote>
            </div>
          </div>
        </div>
        <div dir="auto"><br>
        </div>
        <div dir="auto">;-)</div>
        <div dir="auto"><br>
        </div>
        <div dir="auto"><br>
        </div>
        <div dir="auto">VG<br>
        </div>
        <div dir="auto">Harald</div>
        <div dir="auto"><br>
        </div>
        <div dir="auto">[1] <a moz-do-not-send="true"
href="https://www.heise.de/security/meldung/AVM-Router-Fritzbox-Luecke-erlaubt-Telefonate-auf-fremde-Kosten-3065588.html"
            target="_blank">https://www.heise.de/security/<wbr>meldung/AVM-Router-Fritzbox-<wbr>Luecke-erlaubt-Telefonate-auf-<wbr>fremde-Kosten-3065588.html</a><br>
        </div>
        <div dir="auto">[2]<a moz-do-not-send="true"
            href="https://blog.fefe.de/?ts=a68f732d">https://blog.fefe.de/?ts=a68f732d</a></div>
        <div dir="auto">[3]<a moz-do-not-send="true"
href="https://www.heise.de/security/meldung/98-Sekunden-bis-zur-Infektion-IoT-Botnetz-im-Selbstversuch-3494168.html">https://www.heise.de/security/meldung/98-Sekunden-bis-zur-Infektion-IoT-Botnetz-im-Selbstversuch-3494168.html</a></div>
      </div>
      <br>
      <fieldset class="mimeAttachmentHeader"></fieldset>
      <br>
      <pre wrap="">_______________________________________________
Berlin mailing list
<a class="moz-txt-link-abbreviated" href="mailto:Berlin@berlin.freifunk.net">Berlin@berlin.freifunk.net</a>
<a class="moz-txt-link-freetext" href="http://lists.berlin.freifunk.net/cgi-bin/mailman/listinfo/berlin">http://lists.berlin.freifunk.net/cgi-bin/mailman/listinfo/berlin</a>
Diese Mailingliste besitzt ein �ffentlich einsehbares Archiv</pre>
    </blockquote>
    <br>
  </body>
</html>