Sicherheit im Freifunk Netz

1. Häufige Fragen zur Sicherheit von Freifunk-Router-Firmware

Die Vertrauensfrage Freifunk-Firmware

Wir verwenden ein mehrstufiges Sicherheits-Konzept. Die Aktualisierung erfolgt mittels Autoupdaters. Dieses in die Firmware integrierte Programm arbeitet ähnlich wie die Update-Funktion am PC oder Smartphone.  Einmal pro Stunden schaut der Autoupdater auf unseren Servern nach, ob dort ein Update bereit steht. Ist dies der Fall, wird das Update installiert und dein Knoten ist auf einem aktuellen Stand. Der Autoupdater installiert jedoch nicht blindlings jedes Update das er vorfindet. Die Firmware wird von uns (Freifunk-Lippe) digital signiert. Das bedeutet bei uns konkret, dass mindestens 2 von 4 Personen ein Update “unterschreiben” bzw. freigeben müssen bevor ein Knoten es akzeptiert. So verhindern wir, dass ein einzelner Entwickler beliebige Änderungen durchführen kann.

Jeder Entwickler baut die Freifunk-Software auf dem Build-Server des Freifunk-Lippe zusammen und prüft, ob das Resultat des Erstellers mit den Versionen der anderen Entwickler übereinstimmt (MD5SUM). Zusätzlich liest jeder Unterschreiber die in der Software-Verwaltung verzeichneten Änderungen gegen.

Unsere Firmware ist Open Source

  • Die in Lippe verwendete Freifunk-Firmware nennt sich GLUON. Sie basiert auf dem speziell für WLAN-Router entwickelten Betriebssystem OpenWRT, ist jedoch an die Freifunk-Communities angepasst.
  • Die Funktionsweise und alle enthaltenen Programme sind im Quelltext öffentlich einsehbar. (https://github.com/freifunk-gluon/) Dadurch lässt sich von Jedem überprüfen, dass die Firmware keine (versteckten) Funktionen oder Hintertüren beinhaltet, die dem Knotenbetreiber, den Nutzern oder Dritten schaden können.
  • Ebenfalls werden zur Sicherstellung der Transparenz die aktuellen Konfigurationsdateien, die zur Kompilierung für die Freifunk Lippe benötigt werden, auch auf GitHub veröffentlicht. Sie befinden sich im Repository: https://github.com/FreifunkLippe

Grundsätzlich ist den typischen Freifunk-Firmwares zugute zu halten, dass sie Open Source sind, also von vielen Augen auf Sicherheit überprüft werden (können), anders als die normalerweise nicht einem solchen „Audit“ unterzogene normale Router-Firmware. Sämtliche offiziellen Patches des OpenWRT-Projektes fließen auch in Gluon ein, so dass Sicherheitslücken meist zeitnah geschlossen werden. Darauf achtet der Freifunk Lippe schon aus eigenem Interesse und Selbstschutz.

Ist mein privates LAN sicher abgeschirmt?

Die von vielen Freifunk-Communities benutzte Freifunk-Firmware Gluon ist eine OpenWrt-Variante. Damit dort alle anfallenden Sicherheitsupdates einfließen, erhält die Firmware regelmäßig automatisch Updates.

Gluon verwendet primär verschiedene Routing-Tabellen, um das Freifunk-Netz und das private LAN voneinander zu trennen. Der Datenverkehr von Freifunknetz und privatem LAN sind also getrennt, und es können aufgrund der Routing-Tabellen keine Verbindungen vom Freifunknetz ins private LAN aufgebaut werden.

Falls man aus dem Freifunk-Netz ins private LAN gelangen wollte, müsste man dies mit Absicht so konfigurieren (z.B. indem man einen der LAN-Ports des FF-Routers an den DSL-Router stöpselt). Solange man nur den WAN-Port des FF-Routers und die Standardeinstellungen benutzt, sind die Netze sicher getrennt.

Wem das keine Ruhe lässt, kann einen einfachen Test machen, nämlich versuchen, den DSL-/Kabel-Router vom FF-Netz aus zu erreichen. Also Notebook mit dem Freifunk-WLAN verbinden und versuchen, auf die Webseite des Haus-Routers zu kommen (typischerweise sowas wie http://fritz.box oder http://192.168.0.1, siehe Handbuch) oder die IP des Routers per ping zu erreichen. Beides sollte aus dem Freifunk-WLAN aus nicht klappen (falls das ping doch etwas liefert, bitte sicherstellen, dass da nicht der Freifunk-Router antwortet).

Gibt es eine Firewall?

Die oben erwähnten Routing-Tabellen funktionieren wie eine Firewall.

Gehen die Freifunk-Verbindungen auch wirklich über das VPN?

Sofern die Firmware nicht anders konfiguriert wurde, sollten die Freifunk-Daten über das VPN der jeweiligen Community gehen.

Testen lässt sich das, indem die Zugehörigkeit der IP-Adresse, unter der der eigene Rechner im Netz erscheint, überprüft wird.

  • Im privaten LAN werden Test-Webseiten wie utrace.de den Namen und Ort des jeweiligen eigenen Breitband-Providers anzeigen.
  • Im Freifunk-WLAN sollten diese Test-Webseiten etwas anderes anzeigen; für das VPN03 z.B. sollte „Förderverein Freie Netzwerke e.V., Berlin“ o.ä. angezeigt werden.

Wie kann man prüfen, ob ein lokaler Firmwarebereitsteller nicht unbeabsichtigt Löcher eingebaut hat?

Wenn Interessierte nachlesen wollen was genau wie geschützt wird, kann man nach jedem Firmware-Update prüfen, ob die Routingtabellen noch korrekt formuliert sind. Die Routingtabellen kann man mit iptables / ebtables einsehen.

Wie kann ich prüfen, ob die heruntergeladene Freifunk-Firmware auch wirklich die angebotene ist?

Interessierte können überprüfen, ob die Firmware, die sie herunterladen, auch wirklich von der jeweiligen Freifunk-Community ausgegeben ist.

Wir bieten entsprechend MD5/SHA-Werte der Firmwares bzw. GPG-Signaturen an, mit der die Authentizität der Firmware überprüft werden kann.

Welche firmware auf einem Router installiert ist, sieht man in den internen config files in `/lib/gluon/gluon-version`, `release` und `site.json`. In den ersten beiden steht z.b.

Gluon-Version: v2017.1.7
Release: 0.9.6-d2-lip-20180611

Oder mit dem Befehl

cat /lib/gluon/gluon-version
cat /lib/gluon/release

in der Shell.

 


2. Tipps und Ratschläge zum sicheren Umgang in öffentlichen Netzwerken

In öffentlichen/unverschlüsselten (W)LAN-Netzwerken – ganz gleich, ob es sich um Freifunk oder andere Netze handelt – empfiehlt es sich, einige Regeln zu beachten, um sicher und unbeobachtet das Netz nutzen zu können.

Wie schütze ich mich davor, dass jemand meinen Netzwerkverkehr belauscht?

Es ist grundsätzlich möglich, die über ein (W)LAN übertragenen Daten mitzuschneiden, abzuspeichern und später auszuwerten. Dies ist ein generelles Problem, sobald Daten unverschlüsselt über ein öffentliches Netz übertragen werden. Die Problematik gilt für das Internet im allgemeinen – alle Rechner/Router, die zwischen dem Benutzer und dem Ziel-Server die Daten weiterreichen, können prinzipiell den Datentransfer belauschen. Im offenen WLAN ist das Problem speziell ausgeprägt, da die Daten auch von allen Parteien, die sich in WLAN-Reichweite befinden, mitgeschnitten werden können.

Die Nicht-Verschlüsselung der Luftschnittstelle (SSID: lippe.freifunk.net) wird von vielen Menschen kritisch gesehen bzw. die Verwendung von Freifunk aus diesem Grund abgelehnt.
Dies geschieht in den meisten Fällen aufgrund von Halbwissen – schützen kann man sich auf vielfältige Arten.

HTTPS

Wann immer z.B. eine Webseite mit https:// statt mit http:// aufgerufen wird, ist diese Verbindung verschlüsselt und kann nicht mitgelesen werden. Viele Webseiten benutzen heutzutage ausschließlich HTTPS; die Daten, die zum Benutzer übermittelt werden (Texte/Bilder der Website etc.) sowie Daten, die der Benutzer an die Website sendet (Passwörter, übertragene Formulardaten etc.) sind also verschlüsselt und können nicht von anderen im Klartext mitgeschnitten werden. Die reine Tatsache allerdings, dass der Benutzer sich gerade auf Website XYZ aufhält, wird auch durch HTTPS nicht verschleiert.

Das Firefox-Addon „HTTPS Everywhere“ stellt sicher, dass immer dann, wenn eine Website HTTP und HTTPS anbietet, automatisch HTTPS benutzt wird. Facebook, Twitter, WordPress uvm. können so mit Verschlüsselung genutzt werden, ohne dass man dafür eine andere Adresse eingeben muss.

VPN

Durch den Einsatz von VPN (Virtual Private Network) wird der gesamte Netzwerkverkehr des PCs über einen VPN-Server umgeleitet und die Verbindung bis zum VPN-Server verschlüsselt.

Dafür wird ein Benutzerkonto auf einem VPN-Server benötigt. Universitäten bieten ihren Studenten meist kostenlose VPN-Zugänge an. Es gibt darüber hinaus auch zahlreiche kommerzielle Anbieter von VPN-Zugängen; eine Internet-Suche hilft weiter, einen passenden Anbieter zu finden.

Wem dies alles noch nicht sicher genug ist, dem bleibt natürlich überlassen, sich einen VPN-Tunnel von einem Drittanbieter anzuschaffen und seine Verbindung damit weiter zu anonymisieren. Wir als Betreiber der Gateways führen keine Zugriffsprotokolle und können somit auch keine ebensolchen auf Anfragen von wem auch immer herausgeben, weil es sie schlicht nicht gibt. Im Arbeitsspeicher der Gateway-Server sind aus technischen Gründen die MAC-Adressen der aktiv verbundenen Clients zu finden, da der DHCP-Server diese als Funktionsgrundlage benötigt. Diese Daten werden nicht gespeichert und sind nach einem Neustart der Servers gelöscht. Auch der Freifunk Rheinland e.V. führt keine Zugriffsprotokolle.

Wie schütze ich mich davor, dass jemand aus dem Netz meinen Rechner angreift?

Dieses Problem ist nicht (W)LAN- oder Freifunk-spezifisch; wann auch immer ein Rechner mit dem Netz verbunden wird, können Angriffe von außen grundsätzlich erfolgen.

Regelmäßige Updates

Regelmäßige Sicherheitsupdates sind unerlässlich, um den eigenen Rechner sicher zu halten.

Insbesondere der Web-Browser und ggf. das Flash-Plugin sollten aktuell gehalten werden, damit böswillige Webseiten oder auch in Webseiten von dritten eingebettete als Werbung getarnte Malware keine Sicherheitslücken ausnutzen kann.

Auch das Betriebssystem selbst sollte auf dem aktuellen Stand gehalten werden. Windows erledigt dies automatisch, wenn man die automatischen Updates einschaltet, ebenso wie die meisten Linux-Varianten.

Die gleichen Hinweise gelten für Smartphones. Der benutzte Browser sollte unbedingt auf dem aktuellen Stand gehalten bzw. Updates nicht deaktiviert werden.

Verantwortungsvoller Umgang mit dem Gerät

Die meisten Viren und andere Malware verbreiten sich immer noch über E-Mail, fragwürdige Download-Portale oder Trickbetrügereien z.B. über in Webseiten eingebettete Werbung.

  • Grundsätzlich sollten an E-Mails angehängte Dateien niemals ausgeführt werden, auch wenn sie von vermeintlich vertrauenswürdigen Personen kommen (E-Mail-Absenderadressen können leicht gefälscht werden).
    • Ein typisches Einfallstor für Malware sind auch z.B. an E-Mails angehängte Word-Dateien. Keine seriöse Firma wird jemals Rechnungen o.ä. per Word-Datei verschicken.
  • Trickbetrügerei über Werbung ist in letzter Zeit ein stärkeres Problem.
    • Webseiten bekommen Geld für Werbung, die von Dritten in einen kleinen reservierten Bereich der Webseite eingeblendet wird. Typischerweise hindert niemand den Werbetreibenden daran, statt klar erkennbarer Werbung an der Stelle der Werbung z.B. „ACHTUNG! SIE HABEN EINEN VIRUS!“ einzublenden. Der „Werbetreibende“ hofft dann typischerweise darauf, dass der Benutzer sich täuschen lässt, auf die „Werbung“ klickt und welche „Lösung“ auch immer ihm präsentiert wird in Panik annimmt (und sich so z.B. einen Virus installiert oder ein teures unnützes Abo abschließt). Besonders gemein ist dabei, dass dieser Trickbetrug auch auf Webseiten erfolgen kann, die grundsätzlich vertrauenswürdig sind, da die Webseiten meist keine direkte Kontrolle über die eingeblendete Werbung haben. Manche Werbe-Netzwerke machen sich erheblichen Aufwand, um betrügerische Werbung auszuschließen, siehe z.B. hier.
    • Werbung kann auch als direktes Einfallstor für Malware dienen, z.B. kann die „Werbung“ Sicherheitslücken im Browser ausnutzen, um Kontrolle über den Rechner des Benutzers zu erhalten.
    • Entsprechend ist es ratenswert, sich einen sogenannten Adblocker zu installieren, der Werbung schon aus sicherheitstechnischen Gründen unterbindet, wie z.B. uBlock Origin für Firefox und für Chrome
  • Bei Mobilgeräten sollte man bei den Apps, die man installiert, auf die angeforderten Rechte achten. Wenn die Taschenlampen-App X Zugriffsrechte auf das Adressbuch oder den Speicher will, sollte man vielleicht besser die andere Taschenlampen-App Y benutzen (z.B. ist ein weiteres Kriterium, ob die Software als Open Source verfügbar ist, siehe F-Droid-Repository). Selbst, wenn die App heute keinen Unsinn mit den Daten anstellt: Wer weiß, was passiert, wenn nach dem Aufkauf des App-Herstellers durch Social Network XYZ das nächste Update der App kommt.

Antiviren-Software

Antiviren-Software soll verhindern, dass der Benutzer überhaupt erst böswillige Software zu Gesicht bekommt (via E-Mail) oder sie gar erst ausführt. Antiviren-Software führt allerdings ihrerseits Analysen von eingehenden Daten aus und vergrößert dadurch massiv die Angriffsoberfläche für Viren. So kann es passieren, dass ein Virus z.B. eine Sicherheitslücke im PDF-Analyse-Modul eines Virenscanners ausnutzt und so den Rechner übernehmen kann, selbst wenn eigentlich gar kein PDF-Reader installiert ist. Entsprechende Sicherheitslücken kommen erstaunlich häufig vor (siehe z.B. hier oder hier oder hier oder besonders eindrucksvoll hier). Gleichzeitig sind die meisten Antiviren-Softwares bzw. -Hersteller bekannt für aggressives bis irreführendes Marketing.

Auf z.B. Smartphones bietet Antiviren-Software keinen Nutzen, da das Betriebssystem bereits ein Rechtemanagement bietet und sowieso nur Software aus bekannten/vertrauenswürdigen Quellen installiert werden kann, sofern der Benutzer nicht spezielle Schritte unternimmt, das zu umgehen. Wie auch auf PCs ist Antiviren-Software auf Smartphones häufig fehlerhaft und kann somit Einfallstore für Viren etc. öffnen, die es ohne sie nicht gegeben hätte (siehe z.B. diese Meldung).

Firewalls

In einer Firewall werden Regeln festgelegt, welche Art von Daten über das Netzwerk von/zum eigenen Rechner fließen dürfen („Mein Rechner darf Verbindungen überhallhin aufbauen, aber niemand aus dem Netz darf eine Verbindung zu meinem Rechner initiieren“).
Bei einer Personal Firewall können diese Regeln noch auf einzelne Programme eingeschränkt werden („Der Browser darf Verbindungen nach außen aufbauchen, der Taschenrechner nicht“).

Früher haben Betriebssysteme häufig unnötig viele Dienste per Voreinstellung im Netzwerk nach Außen angeboten, woraus sich diverse Sicherheitslücken ergaben. Bei aktuellen Betriebssystemen bringt eine gesonderte Firewall auf einem typischen Arbeitsrechner heutzutage nichts mehr, da sowieso nur die unbedingt nötigen Netzwerkdienste von außen zu erreichen sind. Bestenfalls kann eine Personal Firewall unterbinden, dass ein böswilliges Programm vom Rechner nach außen Kontakt aufnimmt und z.B. persönliche Daten verschickt. In der Praxis muss man aber sowieso den Programmen, die man auf einem Rechner ausführt, vertrauen (sie also am besten nur aus vertrauenswürdigen Quellen installieren), da eine Personal Firewall z.B. ein böswilliges Programm zwar abhalten mag, Kontakt nach außen aufzunehmen, das Programm aber immer noch die Festplatte formatieren könnte.

Bei Windows gibt es eine eingebaute Firewall. Bei aktuellen Linux-Distributionen ist im allgemeinen keine Firewall nötig (Quelle); falls doch eine Firewall benötigt wird, können IPTables bzw. ebtables benutzt werden.

Quelle:https://wiki.freifunk.net/Sicherheit

Interessante Links zu diesem Thema:

https://wiki.freifunk.net/Sicherheit
https://forum.freifunk.net/t/sicherheit-fur-dummies-mit-sicherheitsbedenken-im-offenem-netzwerk/1296

http://www.stadtmarketing-freifunk.de/freifunk-sicher/
https://forum.ffrn.de/t/wie-ist-das-mit-der-sicherheit-im-freifunk-netz/301