<div dir="auto"><div><br><div class="gmail_extra"><br><div class="gmail_quote">Am 09.01.2017 9:29 vorm. schrieb "Smilie" <<a href="mailto:smilie@posteo.de" target="_blank">smilie@posteo.de</a>>:<br type="attribution"><blockquote class="m_-1650431495331353795m_4563156981340756036m_-1589500028854160261m_6386545936189903503quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Vielen Dank,<br>
<br>
das hätte ich jetzt im Nachhinein intuitiv natürlich auch gedacht.<br>
Ist die Frage, ob wir das im FAQ besser unterscheiden könnten und<br>
damit auch auf die lokalen Dienste etwas stärker eingehen könnten.<br></blockquote></div></div></div><div dir="auto"><br></div><div dir="auto">Man könnte es pessimistischer formulieren - jedes Gerät, das "von außen" erreichbar ist, ist angreifbar. Das würde IMHO aber potentielle Mitmacher unnötig verunsichern. ;-)</div><div dir="auto"><br></div><div dir="auto"><div class="gmail_extra"><div class="gmail_quote"><blockquote class="m_-1650431495331353795m_4563156981340756036m_-1589500028854160261m_6386545936189903503quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Will sagen:<br>
Für Rechner aus dem FF-Netz wirkt das Masquerading wie eine FW gegen<br>
ein Lokales Netz.</blockquote></div></div></div><div dir="auto"></div><div dir="auto"><br></div><div dir="auto"><a href="https://web.archive.org/web/20110429131905/http://blog.koehntopp.de/archives/2982-NAT-ist-kein-Sicherheitsfeature.html" target="_blank">https://web.archive.org/web/20<wbr>110429131905/http://blog.koehn<wbr>topp.de/archives/2982-NAT-ist-<wbr>kein-Sicherheitsfeature.html</a></div><div dir="auto"><br></div><div dir="auto"><div dir="auto" style="font-family:sans-serif">Das Policy-Routing der FF-Router schützt auch nur, wenn es richtig konfiguriert ist. Das ist nicht immer gegeben: <a href="https://github.com/freifunk-berlin/firmware/issues/402" target="_blank">https://github.com/fr<wbr>eifunk-berlin/firmware/issues/<wbr>402</a></div><div dir="auto" style="font-family:sans-serif"><br></div></div><div dir="auto"><div class="gmail_extra"><div class="gmail_quote"><blockquote class="m_-1650431495331353795m_4563156981340756036m_-1589500028854160261m_6386545936189903503quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
Jedoch für lokale Dienste eben nicht.</blockquote></div></div></div><div dir="auto"></div><div dir="auto"><br></div><div dir="auto"></div><div dir="auto"><span style="font-family:sans-serif">> Diese Dienste sind also ein mögliches Sicherheitsrisiko.</span></div><div dir="auto"><div class="gmail_extra"><div class="gmail_quote"><blockquote class="m_-1650431495331353795m_4563156981340756036m_-1589500028854160261m_6386545936189903503quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"> </blockquote></div></div></div><div dir="auto"><br></div><div dir="auto">Ein Angreifer, der "root" auf einem Rechner ist, kann dort beliebige Dinge tun. Ist halt so. ;-)</div><div dir="auto">Dazu gehört auch der Zugriff auf alle Netzwerkschnittstellen. Wirksamer Schutz muss außerhalb sitzen, wo der Angreifer nicht herankommt.</div><div dir="auto"><br></div><div dir="auto">Wenn ein Zugriff auf das eigene Netzwerk schwere Folgen hätte, z.B. bei einer Arztpraxis oder Anwaltskanzlei, ist ein eigener Internetzugang nur für den Freifunkrouter die sicherste Lösung.<br></div><div dir="auto"><a href="https://forum.freifunk.net/t/freifunk-in-arztpraxen-it-sicherheit/827/17" target="_blank">https://forum.freifunk.net/t/<wbr>freifunk-in-arztpraxen-it-<wbr>sicherheit/827/17</a><br></div><div dir="auto"><br></div><div dir="auto">Wenn "ziemlich sicher" ausreicht, bietet sich an, einen "Gastzugang" am vorhandenen Internetrouter einzurichten. Und zu hoffen, dass der ausreichend vom Heimnetz getrennt ist. Welche Ports dafür gebraucht werden, wurde schon mal auf der Liste diskutiert.</div><div dir="auto"><br></div><div dir="auto">Den FF-Router direkt ins LAN zu hängen ist IMHO "Restrisiko" - gibt selten genug Schäden, so dass man es akzeptiert. Unbefugter Zugriff auf das LAN könnte schon unangenehm werden, spätestens zusammen mit anderen Sicherheitslücken, z.B. im DSL-Router[1]. So betrachtet müsste aber auch jedes IoT-Gerät sein eigenes Netzwerk bekommen - Fernseher[2], IP-Kameras[3], etc.</div><div dir="auto"><br></div><div dir="auto"><div class="gmail_extra"><div class="gmail_quote"><blockquote class="m_-1650431495331353795m_4563156981340756036m_-1589500028854160261m_6386545936189903503quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Nur wegen einer geeigneten Programmierung und mittels ihrer<br></blockquote><blockquote class="m_-1650431495331353795m_4563156981340756036m_-1589500028854160261m_6386545936189903503quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
Einfachheit im Aufbau sind die Dienste weitgehend sicher.<br></blockquote></div></div></div><div dir="auto"><br></div><div dir="auto">;-)</div><div dir="auto"><br></div><div dir="auto"><br></div><div dir="auto">VG<br></div><div dir="auto">Harald</div><div dir="auto"><br></div><div dir="auto">[1] <a href="https://www.heise.de/security/meldung/AVM-Router-Fritzbox-Luecke-erlaubt-Telefonate-auf-fremde-Kosten-3065588.html" target="_blank">https://www.heise.de/security/<wbr>meldung/AVM-Router-Fritzbox-<wbr>Luecke-erlaubt-Telefonate-auf-<wbr>fremde-Kosten-3065588.html</a><br></div><div dir="auto">[2]<a href="https://blog.fefe.de/?ts=a68f732d">https://blog.fefe.de/?ts=a68f732d</a></div><div dir="auto">[3]<a href="https://www.heise.de/security/meldung/98-Sekunden-bis-zur-Infektion-IoT-Botnetz-im-Selbstversuch-3494168.html">https://www.heise.de/security/meldung/98-Sekunden-bis-zur-Infektion-IoT-Botnetz-im-Selbstversuch-3494168.html</a></div></div>