<html>
<head>
<meta content="text/html; charset=utf-8" http-equiv="Content-Type">
</head>
<body bgcolor="#FFFFFF" text="#000000">
<p>Ja genau, mach mir mal Mut. :-)</p>
<p><br>
</p>
<p>Gruß, Matti<br>
</p>
<br>
<div class="moz-cite-prefix">Am 09.01.2017 um 14:36 schrieb Harald
Stürzebecher:<br>
</div>
<blockquote
cite="mid:CAFhJTv4_REW0s+9etWVZeRBqFsyTi5LKZAmDh_FuxzykupoQtQ@mail.gmail.com"
type="cite">
<div dir="auto">
<div><br>
<div class="gmail_extra"><br>
<div class="gmail_quote">Am 09.01.2017 9:29 vorm. schrieb
"Smilie" <<a moz-do-not-send="true"
href="mailto:smilie@posteo.de" target="_blank">smilie@posteo.de</a>>:<br
type="attribution">
<blockquote
class="m_-1650431495331353795m_4563156981340756036m_-1589500028854160261m_6386545936189903503quote"
style="margin:0 0 0 .8ex;border-left:1px #ccc
solid;padding-left:1ex">Vielen Dank,<br>
<br>
das hätte ich jetzt im Nachhinein intuitiv natürlich
auch gedacht.<br>
Ist die Frage, ob wir das im FAQ besser unterscheiden
könnten und<br>
damit auch auf die lokalen Dienste etwas stärker
eingehen könnten.<br>
</blockquote>
</div>
</div>
</div>
<div dir="auto"><br>
</div>
<div dir="auto">Man könnte es pessimistischer formulieren -
jedes Gerät, das "von außen" erreichbar ist, ist angreifbar.
Das würde IMHO aber potentielle Mitmacher unnötig
verunsichern. ;-)</div>
<div dir="auto"><br>
</div>
<div dir="auto">
<div class="gmail_extra">
<div class="gmail_quote">
<blockquote
class="m_-1650431495331353795m_4563156981340756036m_-1589500028854160261m_6386545936189903503quote"
style="margin:0 0 0 .8ex;border-left:1px #ccc
solid;padding-left:1ex">Will sagen:<br>
Für Rechner aus dem FF-Netz wirkt das Masquerading wie
eine FW gegen<br>
ein Lokales Netz.</blockquote>
</div>
</div>
</div>
<div dir="auto"><br>
</div>
<div dir="auto"><a moz-do-not-send="true"
href="https://web.archive.org/web/20110429131905/http://blog.koehntopp.de/archives/2982-NAT-ist-kein-Sicherheitsfeature.html"
target="_blank">https://web.archive.org/web/20<wbr>110429131905/http://blog.koehn<wbr>topp.de/archives/2982-NAT-ist-<wbr>kein-Sicherheitsfeature.html</a></div>
<div dir="auto"><br>
</div>
<div dir="auto">
<div dir="auto" style="font-family:sans-serif">Das
Policy-Routing der FF-Router schützt auch nur, wenn es
richtig konfiguriert ist. Das ist nicht immer gegeben: <a
moz-do-not-send="true"
href="https://github.com/freifunk-berlin/firmware/issues/402"
target="_blank"><a class="moz-txt-link-freetext" href="https://github.com/fr">https://github.com/fr</a><wbr>eifunk-berlin/firmware/issues/<wbr>402</a></div>
<div dir="auto" style="font-family:sans-serif"><br>
</div>
</div>
<div dir="auto">
<div class="gmail_extra">
<div class="gmail_quote">
<blockquote
class="m_-1650431495331353795m_4563156981340756036m_-1589500028854160261m_6386545936189903503quote"
style="margin:0 0 0 .8ex;border-left:1px #ccc
solid;padding-left:1ex">
Jedoch für lokale Dienste eben nicht.</blockquote>
</div>
</div>
</div>
<div dir="auto"><br>
</div>
<div dir="auto"><span style="font-family:sans-serif">> Diese
Dienste sind also ein mögliches Sicherheitsrisiko.</span></div>
<div dir="auto">
<div class="gmail_extra">
<div class="gmail_quote">
<blockquote
class="m_-1650431495331353795m_4563156981340756036m_-1589500028854160261m_6386545936189903503quote"
style="margin:0 0 0 .8ex;border-left:1px #ccc
solid;padding-left:1ex"> </blockquote>
</div>
</div>
</div>
<div dir="auto"><br>
</div>
<div dir="auto">Ein Angreifer, der "root" auf einem Rechner ist,
kann dort beliebige Dinge tun. Ist halt so. ;-)</div>
<div dir="auto">Dazu gehört auch der Zugriff auf alle
Netzwerkschnittstellen. Wirksamer Schutz muss außerhalb
sitzen, wo der Angreifer nicht herankommt.</div>
<div dir="auto"><br>
</div>
<div dir="auto">Wenn ein Zugriff auf das eigene Netzwerk schwere
Folgen hätte, z.B. bei einer Arztpraxis oder Anwaltskanzlei,
ist ein eigener Internetzugang nur für den Freifunkrouter die
sicherste Lösung.<br>
</div>
<div dir="auto"><a moz-do-not-send="true"
href="https://forum.freifunk.net/t/freifunk-in-arztpraxen-it-sicherheit/827/17"
target="_blank">https://forum.freifunk.net/t/<wbr>freifunk-in-arztpraxen-it-<wbr>sicherheit/827/17</a><br>
</div>
<div dir="auto"><br>
</div>
<div dir="auto">Wenn "ziemlich sicher" ausreicht, bietet sich
an, einen "Gastzugang" am vorhandenen Internetrouter
einzurichten. Und zu hoffen, dass der ausreichend vom Heimnetz
getrennt ist. Welche Ports dafür gebraucht werden, wurde schon
mal auf der Liste diskutiert.</div>
<div dir="auto"><br>
</div>
<div dir="auto">Den FF-Router direkt ins LAN zu hängen ist IMHO
"Restrisiko" - gibt selten genug Schäden, so dass man es
akzeptiert. Unbefugter Zugriff auf das LAN könnte schon
unangenehm werden, spätestens zusammen mit anderen
Sicherheitslücken, z.B. im DSL-Router[1]. So betrachtet müsste
aber auch jedes IoT-Gerät sein eigenes Netzwerk bekommen -
Fernseher[2], IP-Kameras[3], etc.</div>
<div dir="auto"><br>
</div>
<div dir="auto">
<div class="gmail_extra">
<div class="gmail_quote">
<blockquote
class="m_-1650431495331353795m_4563156981340756036m_-1589500028854160261m_6386545936189903503quote"
style="margin:0 0 0 .8ex;border-left:1px #ccc
solid;padding-left:1ex">Nur wegen einer geeigneten
Programmierung und mittels ihrer<br>
</blockquote>
<blockquote
class="m_-1650431495331353795m_4563156981340756036m_-1589500028854160261m_6386545936189903503quote"
style="margin:0 0 0 .8ex;border-left:1px #ccc
solid;padding-left:1ex">
Einfachheit im Aufbau sind die Dienste weitgehend
sicher.<br>
</blockquote>
</div>
</div>
</div>
<div dir="auto"><br>
</div>
<div dir="auto">;-)</div>
<div dir="auto"><br>
</div>
<div dir="auto"><br>
</div>
<div dir="auto">VG<br>
</div>
<div dir="auto">Harald</div>
<div dir="auto"><br>
</div>
<div dir="auto">[1] <a moz-do-not-send="true"
href="https://www.heise.de/security/meldung/AVM-Router-Fritzbox-Luecke-erlaubt-Telefonate-auf-fremde-Kosten-3065588.html"
target="_blank">https://www.heise.de/security/<wbr>meldung/AVM-Router-Fritzbox-<wbr>Luecke-erlaubt-Telefonate-auf-<wbr>fremde-Kosten-3065588.html</a><br>
</div>
<div dir="auto">[2]<a moz-do-not-send="true"
href="https://blog.fefe.de/?ts=a68f732d">https://blog.fefe.de/?ts=a68f732d</a></div>
<div dir="auto">[3]<a moz-do-not-send="true"
href="https://www.heise.de/security/meldung/98-Sekunden-bis-zur-Infektion-IoT-Botnetz-im-Selbstversuch-3494168.html">https://www.heise.de/security/meldung/98-Sekunden-bis-zur-Infektion-IoT-Botnetz-im-Selbstversuch-3494168.html</a></div>
</div>
<br>
<fieldset class="mimeAttachmentHeader"></fieldset>
<br>
<pre wrap="">_______________________________________________
Berlin mailing list
<a class="moz-txt-link-abbreviated" href="mailto:Berlin@berlin.freifunk.net">Berlin@berlin.freifunk.net</a>
<a class="moz-txt-link-freetext" href="http://lists.berlin.freifunk.net/cgi-bin/mailman/listinfo/berlin">http://lists.berlin.freifunk.net/cgi-bin/mailman/listinfo/berlin</a>
Diese Mailingliste besitzt ein �ffentlich einsehbares Archiv</pre>
</blockquote>
<br>
</body>
</html>