Sonstiges

IPv6: Filtern oder nicht?

Umschalten
IPv6: Filtern oder nicht?
Antwort
31.01.16 10:00
Seit einigen Tagen können wir nun den Backbone nutzen, welcher vom Freifunk Rheinland e.V. zur Anbindung ans Internet zur Verfügung gestellt wird. Neben 4 eigenen IPv4-Adressen, über welche der Internet-Übergang wie üblich mittels NAT realisiert wird, haben wir damit auch einen eigenen öffentlichen IPv6-Bereich (2a03:2260:100b::/48). Damit kann jedes in unser Freifunk-Netz eingebuchte Gerät eine weltweit eindeutige Adresse bekommen. Das hat eine Menge Vorteile, so kann man ohne technische Krücken jedes Gerät von überall im Internet erreichen und so die verschiedensten Dienste anbieten. Es gibt aber auch Nachteile, u.a.:
  • Da alle Geräte eine eindeutige Adresse bekommen, sind sie sehr einfach nachverfolgbar.
  • Durch die direkte Erreichbarkeit aus dem Internet gibt es viel mehr Angriffsmöglichkeiten.
Es gibt aber zum Glück Möglichkeiten, die Probleme zu umschiffen:
  1. Die Nutzer werden selbst aktiv. Gegen die einfache Nachverfolgbarkeit helfen die IPv6 Privacy Extensions, als Schutz vor Angriffen aus dem Internet eine eigene Firewall.
  2. Wir filtern auf den Gateways eingehende Verbindungen.
  3. Wir nutzen wie bei IPv4 NAT.
Ich selbst bevorzuge eindeutig die Variante 1. Damit wird niemand eingeschränkt. Wir sollten dann natürlich alle unsere Nutzer auf die möglichen Gefahren hinweisen und die Gegenmaßnahmen erläutern (F.A.Q., Wiki usw.).

Variante 2 hat den Vorteil, daß technisch weniger versierte Nutzer ohne eigenes Zutun halbwegs abgesichert sind. Gegen die Nachverfolgbarkeit hilft das aber nicht. Für diejenigen, die externe Dienste anbieten wollen, könnten wir einen speziellen ungefilterten Adreßbereich schaffen. Größter Nachteil dieser Variante: Wir filtern. Und das wollen wir als Freifunker ja nicht (Pico Peering Agreement).

Bleibt noch die Variante 3. damit erreicht man letztendlich das gleiche wie beim Filtern, filtert aber nicht wirklich emoticon . Und man würde die Nachverfolgbarkeit einschränken, da alle Nutzer nach außen die gleiche IP-Adresse verwenden.

Was haltet ihr davon?

RE: IPv6: Filtern oder nicht?
Antwort
31.01.16 12:20 als Antwort auf Jörg.
NAT wäre imho das kleinste Übel. ;)

RE: IPv6: Filtern oder nicht?
Antwort
31.01.16 12:42 als Antwort auf Jörg.
Lässt sich das NAT mit dem speziellen v6 Bereich für externe Dienste kombinieren?

Wenn ja, wäre das vermutlich mein Favorit.

RE: IPv6: Filtern oder nicht?
Antwort
31.01.16 12:46 als Antwort auf Eric.
Wahrscheinlich ja. Einfach wird das aber nicht. NAT mit IPv6 gibts z.B. noch nicht so lange im Linux-Kernel.

RE: IPv6: Filtern oder nicht?
Antwort
31.01.16 13:36 als Antwort auf Jörg.
Ein Mischbetrieb wie von Eric vorgeschlagen, sagt mir auch am meisten zu.
  • Die Router gehören IMHO hinter eni NAT, da sie unsere Infrastruktur stellen und wir bei einem Firmwareproblem ansonsten schlagartig ein ziemliches Problem hätten.
  • Die Clients gehören auch hinter ein NAT, eben weil wir zwar nicht für "deren" Sicherheit zuständig sind, die Sache uns aber trotzdem auf die Füße fallen dürfte.
  • Die Services sollten im Zweifelsfall auch von außen erreichbar sein, also kein NAT.
Kann man bei den Diensten einfach eine zweite IPv6 per DHCP (zusätzlich) zuweisen, die dann aus unserem Nummernkreis ist und damit extern geht?

RE: IPv6: Filtern oder nicht?
Antwort
31.01.16 13:49 als Antwort auf Matthias Drobny.
Die Gründe sehe ich ähnlich wie Matthias.

Die Idee mit der zusätzlichen v6 Adresse finde ich gut, lässt sich vermutlich auch einfacher umsetzen..

RE: IPv6: Filtern oder nicht?
Antwort
31.01.16 14:34 als Antwort auf Matthias Drobny.
Das ist doch schon genau die Diskussion, die ich wollte emoticon Noch ein paar meiner Meinungen dazu:
  • Wir machen IPv6, da gehört eigentlich gar nichts hinter NAT.
  • Das Verstecken hinter NAT macht etwaige sicherheitskritische Lücken in den Freifunk-Routern und auf Client-Betriebssystemen auch nicht besser. Z.B. ein Notebook mit Sicherheitslücken wäre im Freifunk-Netz dann "nur" aus dem Freifunk-Netz angreifbar. Bei Verbindung mit anderen Netzen weiß man aber sowieso meist nicht, was diese wirklich durchlassen und was nicht. Man sollte sich also besser seinen eigenen Geräten vertrauen können und selbst für deren Sicherheit sorgen. Kann man einem Gerät nicht  vertrauen, sollte man damit nichts Sicherheitsrelevantes tun. Und sicherheitsrelevant ist fast alles.
  • Das Freifunk-Netz soll offenes Netz sein. Das hat Vor- und Nachteile. Die Router im "richtigen" Internet können auch nicht irgendwo versteckt werden. Die müssen einfach sicher sein. Das gilt auch für unsere Freifunk-Router. Natürlich gibts keine 100%ige Sicherheit. Dessen sollte man sich bewußt sein. Wir sollten deswegen aber nicht das Freifunk-Netz abdichten, sondern die Netze, die wirklich Schutz benötigen. Also eher das Netz, an welches der Freifunk-Router angeschlossen wird. Wer da ein erhöhtes Sicherheitsbedürfnis hat (sollte eigentlich jeder), muß den Freifunk-Router vom restilchen Netz mittels Firewall trennen.

RE: IPv6: Filtern oder nicht?
Antwort
31.01.16 15:03 als Antwort auf Jörg.
  • Ja, wir machen IPv6. Aber wenn ich durch ein NAT meine Angriffsfläche für die normalen Bots und Portscanner deutlich verringern kann, finde ich das sinnvoll. Wenn ich mir hier anschaue, was auf dem normalen DSL täglich an Scannern vorbeikommt, dann wird mir bange.
  • Die Lücken in der Firmware werden dadurch wirklich nicht ausgeräumt und ich denke, dass wir durch die große Verbreitung von OpenWRT relativ gut und aktuell auf Bugs reagieren können bzw. von oben genug durchtröpfelt. Unsere Updatestrategie bzw. die normale für Gluon sieht allerdings Hotfixes usw. gar nicht vor (ich lasse mich da gern korrigieren!) und die Knoten werden (wie in anderen Communities) gern auch mal deutlich länger als geplant mit alter Firmware laufen. Wir HABEN hier ein Einfallstor.
  • Router im "richtigen Internet" sind keine Consumer-Endgeräte. Ob und was das über deren Absicherung aussagt, kann ich nicht beurteilen, aber ich fühle mich hinter eine Cisco ASA oder einen professionellen Firmen-Firewall grundsätzlich erstmal besser geschützt als hinter einem Router von TP-Link. (Wie gesagt, ich "fühle".)
  • Für Leute mit erhöhtem Sicherheitsbedarf gebe ich dir recht. Die werden sich selbst absichern. Was ist aber mit den 90%-Nasen, die per Nokia 4711 ins Internet gehen und Android 0815 nehmen, von dem schon seit Jahren bekannt ist, dass es eine root-Lücke gibt? Mit NAT (und eingehender Sperre) dürfen die raus und sich verseuchen, werden aber zumindest nicht aktiv angegriffen.
  • IMHO sollten wir (als Freifunk) nicht die ersten sein, die ihre Clients gerade und dauerhaft mit gleicher IP ins Netz durchreichen. Schicken wir doch bitte andere als Kanonenfutter vor und lernen aus deren Fehlern.

RE: IPv6: Filtern oder nicht?
Antwort
31.01.16 15:59 als Antwort auf Matthias Drobny.
Danke an Jörg und Marcus,

jetzt klappt es auch bei Rheinland. ;-) Ich wollte meinen Beitrag eigendlich schon am Vormittag einstellen, musste aber noch mal weg. War aber auch bei der Diskussion besser, noch ein wenig zu warten.
Ich persönlich würde Variante 2 bevorzugen. Wir lassen nichts von Außen zu, außer in einem bestimmten Adressbereich für Services. Der weit aus größte Benutzerkreis benötigt keine direkte Verbindung aus dem Internet. So wie hinter einem DSL Router ist ein Nutzer per NAT (prinzipiell eine Firewall) oder mit Firewall für IPv6 geschützt. Es wäre nicht schön wenn wir von außen angegriffen werden und dieses zu Sicherheitsproblemen bei unseren Nutzern führt. Und wir stehen dann in der Presse. Hier würde es dann heißen, unsere Netz ist nicht sicher, auch wenn dieses nicht der Realität entspricht. Dieses interessiert aber die Öffentlichkeit nicht. Eine offene Freifunk Philosophie halten wir ja trotzdem ein.
Dem Roman von Matthias kann ich nur zustimmen. ;-)

RE: IPv6: Filtern oder nicht?
Antwort
31.01.16 20:02 als Antwort auf Jörg.
Die meisten (DSL, Kabel, ...)-Router nutzen kein NAT bei IPv6 sondern machen es genau so wie in Variante 2, daran würde ich auch gerne anknüpfen.

Daher bin ich für Variante 2 da es die Vorteile von IPv6 mitbringt ohne auf Sicherheit zu verzichten.


  • Der einfache Benutzer möchte nur Freifunk nutzen und sich nicht mit technischen Eigenheiten auseinandersetzen
  • alle anderen Benutzer mit dem Wunsch für eingehende Verbindungen darf sich dann damit gezielt auseinandersetzen
  • die Privacy-Extensions sollte mittlerweile jeder Client mitbringen der im Endkundenbereich genutzt wird (je mehr IPv6 eine Rolle spielt um so mehr Clients werden auch dieses Feature nutzen)
  • NAT alleine ist gegenüber einer richtigen Filterregel unterlegen ... mit geringem Aufwand ist das NAT auch umgangen

Um zu "Variante 1" eine Brücke zu schlagen wäre auch denkbar dass der Benutzer für sich selbst entscheiden kann ob er eingehende Verbindungen wünscht. Der Benutzer könnte eine interne Seite aufrufen die dann einen zusätzlichen Eintrag in der Firewall hinterlegt. Das Vorgehen wäre dann ähnlich wie bei einem einfachen Router mit nativen IPv6.

Um das Problem der eindeutigen IPv6 zu umgehen wäre auch DHCPv6 denkbar, damit wären wir auch in der Lage den Traffic - wie bei IPv4 - gezielt zu den jeweiligen Gateway zu leiten was eine verbesserte Latenz, Durchsatz und Lastverteilung bringt. Darüber könnte man auch feste IPv6-Adressen (für Dienste) verteilen die nicht den Filterregeln unterliegen. (um Kurz auf die technischen Details einzugehen: batman-adv filtert keine RAs, daher geht der Traffic eher ungeordnet über die Gateways, dagegen wird DHCPv(4|6) von batman-adv gezielt gefiltert)

Lg, Marcus

RE: IPv6: Filtern oder nicht?
Antwort
01.02.16 12:08 als Antwort auf Marcus.
Auf einige der inzwischen angesprochenen Punkte möchte ich nochmal genauer eingehen:

Matthias:
Ja, wir machen IPv6. Aber wenn ich durch ein NAT meine Angriffsfläche für die normalen Bots und Portscanner deutlich verringern kann, finde ich das sinnvoll.
Wenn aber dann durch NAT einige Dinge nicht funktionieren (geht z.B. SIP über IPv6 mit NAT?), dann ist das nicht sinnvoll.


Matthias:
Wenn ich mir hier anschaue, was auf dem normalen DSL täglich an Scannern vorbeikommt, dann wird mir bange.
Klemmst Du deswegen Deinen normalen DSL-Router vom Internet ab?


Matthias:
Unsere Updatestrategie bzw. die normale für Gluon sieht allerdings Hotfixes usw. gar nicht vor (ich lasse mich da gern korrigieren!) und die Knoten werden (wie in anderen Communities) gern auch mal deutlich länger als geplant mit alter Firmware laufen. Wir HABEN hier ein Einfallstor.
Ein Einfallstor haben wir erst, wenn es einen ausnutzbaren Bug gibt (bzw. dieser bekannt wird). Einen Hotfix wird es dann wohl nicht geben, aber eine neue Firmware. Die muß natürlich schnell erstellt und eingespielt werden. Das hinauszuzögern wegen "unsere Router sind ja hinter NAT vorm Internet geschützt" wäre sicher nicht richtig.


Matthias:
Router im "richtigen Internet" sind keine Consumer-Endgeräte. Ob und was das über deren Absicherung aussagt, kann ich nicht beurteilen, aber ich fühle mich hinter eine Cisco ASA oder einen professionellen Firmen-Firewall grundsätzlich erstmal besser geschützt als hinter einem Router von TP-Link.
Hinter einem Freifunk-Router kannst Du dich nicht sicherer fühlen, weil dahinter ein per Definition offenes, unverschlüsseltes Netz rauskommt emoticon
Nicht abzustreiten ist eine mögliche Gefahr für das meist schützenswerte Netz, an welches der Freifunk-Router angeschlossen ist. Da hatte ich schon geschrieben, daß man sich dann evtl. zusätzlich mittels Firewall-Abtrennung schützen muß. Abgesehen davon ist der Freifunk-Router sicherheitstechnisch ja kein typisches Consumer-Gerät mehr. Da läuft nicht die TP-Link-Firmware, sondern Open Source Gluon/OpenWRT. Und dem vertraue ich wirklich mehr wie z.B. einer Cisco ASA. Nicht weil letztere von der NSA kommt, sondern eher weil im Freifunk-Router nur exakt die (wenigen) Funktionen implementiert sicht, die wir brauchen. Da sind die Fehlermöglichkeiten wesentlich geringer als in einem mit Funktionen vollgepackten Gerät.


Matthias:
Was ist aber mit den 90%-Nasen, die per Nokia 4711 ins Internet gehen und Android 0815 nehmen, von dem schon seit Jahren bekannt ist, dass es eine root-Lücke gibt?
Denen ist erstmal nicht zu helfen. Wirklich nicht. Ob Die nun angegriffen werden, wenn die mal im Freifunk-Netz sind oder das nächste Mal z.B. hinter einem offenen Hotspot, ist eigentlich egal. Anstatt durch NAT oder Filter eine trügerische Sicherheit zu suggerieren, sollten wir besser für ein offenen Netz plädieren, auf die Gefahren hinweisen und entsprechendes Wissen vermitteln.


Matthias:
IMHO sollten wir (als Freifunk) nicht die ersten sein, die ihre Clients gerade und dauerhaft mit gleicher IP ins Netz durchreichen. Schicken wir doch bitte andere als Kanonenfutter vor und lernen aus deren Fehlern.
Wenn ich richtig informiert bin, sind wären nicht die ersten. DSL-Provider, welche IPv6 anbieten, schieben das zumindest teilweise (je nach Modem/Router) völlig ungefiltert durch. Und das finde ich nicht mal schlecht. Schlecht ist nur, daß das viele nicht wissen, weil die Provider nicht informieren.


Lutz:
Ich persönlich würde Variante 2 bevorzugen. Wir lassen nichts von Außen zu, außer in einem bestimmten Adressbereich für Services.
Richtiger Freifunk ist das dann aber nicht. Sondern ein Internet-Zugang mit ein klein wenig Sicherheit.


Lutz:
Der weit aus größte Benutzerkreis benötigt keine direkte Verbindung aus dem Internet.
Der weitaus größte Benutzerkreis benötigt überhaupt kein Internet, dem genügt z.B. Facebook. Da kann ich mich nur wiederholen: Wir sind Freifunker und wollen ein offenes Netz bauen. Das ist sicher nichts, was jeder braucht. Aber es wird ja keiner gezwungen, das Freifunk-Netz zu nutzen.


Lutz:
So wie hinter einem DSL Router ist ein Nutzer per NAT (prinzipiell eine Firewall) oder mit Firewall für IPv6 geschützt. Es wäre nicht schön wenn wir von außen angegriffen werden und dieses zu Sicherheitsproblemen bei unseren Nutzern führt. Und wir stehen dann in der Presse. Hier würde es dann heißen, unsere Netz ist nicht sicher, auch wenn dieses nicht der Realität entspricht. Dieses interessiert aber die Öffentlichkeit nicht. Eine offene Freifunk Philosophie halten wir ja trotzdem ein.
Unser Netz ist nicht sicher und will das auch gar nicht sein. Wir wollen offen und frei sein. Das sollten wir der Öffentlichkeit auch bewußt machen - als eine der wesentlichen Aufgaben unseres Vereins.


Marcus:
Die meisten (DSL, Kabel, ...)-Router nutzen kein NAT bei IPv6 sondern machen es genau so wie in Variante 2, daran würde ich auch gerne anknüpfen.
Ja klar, eigentlich macht niemand bei IPv6 NAT. Ist aber zumindest eine Variante, die ich zur Diskussion stellen wollte.


Marcus:
Der einfache Benutzer möchte nur Freifunk nutzen und sich nicht mit technischen Eigenheiten auseinandersetzen
Genau das ist ja das Grundübel. Ich finde es aber grundsätzlich falsch, aus unserem offenen Netz ein geschlossenes zu machen, weil "der einfache Benutzer" sich nicht mit dem Thema auch nur ansatzweise auseinandersetzen möchte. Gerade wir sollten dem einfachen Benutzer leicht verständlich alle Informationen liefern, damit er sich selbst ein Bild über die vorhandenen Gefahren machen kann. Dann kann er selbst entscheiden, ob ihm das egal ist, ob er sich besser absichert oder ob er Freifunk gar nicht nutzt. Wer diese (bei uns noch nicht vorhandenen) Informationsmöglichkeiten dann nicht nutzt, ist selbst schuld. Denn wenn ihm dann in einem sicheren Freifunknetz nichts passieren würde, passiert es eben bei nächster Gelegenheit auf anderem Weg.


Marcus:
NAT alleine ist gegenüber einer richtigen Filterregel unterlegen ... mit geringem Aufwand ist das NAT auch umgangen
Stimmt. Aber was nützen denn Filterregeln? Ich halte es für recht unwahrscheinlich, daß z.B. ein Smartphone eines Freifunk-Nutzers in unserem Netz von außen (aus dem Internet) gezielt gehackt wird. Die meisten Lücken können doch ausgenutzt werden, ohne daß man eine eingehende Verbindung braucht. Egal ob NAT oder Filter: wir würden ein falsches Gefühl von Sicherheit erzeugen, aber die Kommunikation in unserem Netz einschränken.


Marcus:
Um zu "Variante 1" eine Brücke zu schlagen wäre auch denkbar dass der Benutzer für sich selbst entscheiden kann ob er eingehende Verbindungen wünscht. Der Benutzer könnte eine interne Seite aufrufen die dann einen zusätzlichen Eintrag in der Firewall hinterlegt. Das Vorgehen wäre dann ähnlich wie bei einem einfachen Router mit nativen IPv6.
Die Firewall möchte ich dann aber nicht verwalten müssen. Mit der Zeit sind da sicher jede Menge Leichen drin.
Und auch sonst ist die Einrichtung einer (IPv6-) Firewall für alles, was ein einfacher Benutzer so machen will, schon nahezu aussichtslos. Beispiel: Auf gw2 hast Du ja derzeit Filter in Betrieb: Könnte ich darüber über IPv6 per SIP telefonieren? Oder könnte ich x-beliebige RTP-Streams hören bzw. sehen? Kann ich alle möglichen Peer-to-Peer-Netze nutzen? Klar, kann man alles konfigurieren. Aber am Ende ist die Firewall so komplex, daß niemand mehr durchsieht, alle kritischen Ports sind sowieso offen und irgendwas, was ein einfacher Benutzer gerade machen will geht trotzdem nicht.


Marcus:
Um das Problem der eindeutigen IPv6 zu umgehen wäre auch DHCPv6 denkbar, damit wären wir auch in der Lage den Traffic - wie bei IPv4 - gezielt zu den jeweiligen Gateway zu leiten was eine verbesserte Latenz, Durchsatz und Lastverteilung bringt. Darüber könnte man auch feste IPv6-Adressen (für Dienste) verteilen die nicht den Filterregeln unterliegen. (um Kurz auf die technischen Details einzugehen: batman-adv filtert keine RAs, daher geht der Traffic eher ungeordnet über die Gateways, dagegen wird DHCPv(4|6) von batman-adv gezielt gefiltert)
Ja, die RAs sind wirklich ein Problem, DHCPv6 wäre sicher von Vorteil. Aber war das nicht so, daß nicht alle Clients mit DHCPv6 klarkommen? Ansonsten würde ich gern sehr schnell auf DHCPv6 umstellen.


Zusammenfassung: Ich habe das absichtlich etwas provokativ geschrieben. Ihr solltet euch jetzt bitte nicht auf die Füße getreten fühlen, alle von euch aufgeführten Punkte haben definitiv ihre Berechtigung. Wichtig ist m.E. aber, was wir eigentlich wollen: ein sicheres, aber abgeschottetes oder ein offenes Netz. Im Namen irgendeiner Sicherheit werden wir schon in so vielen Dingen eingeschränkt. Unser Ziel ist es doch gerade, gegen solche Einschränkungen anzukämpfen. Am Donnerstag ist ja zum Glück unser nächstes Treffen, da können wir uns ja auch noch dazu unterhalten.

RE: IPv6: Filtern oder nicht?
Antwort
01.02.16 12:24 als Antwort auf Jörg.
Und ich soll Romane schreiben...

Aber mal Klartext, so wie ich es verstehe:
Wir haben hier eine Kreuzung zwischen der "reinen Lehre" mit offenen Netzen/schlauen Nutzern und dem Wunsch, das Netz möglichst zügig in der Öffentlichkeit zu platzieren. (Du nicht Jörg, ich weiß.)
Vermutlich ist es eine Philosophiefrage.
Wollen wir organisch wachsen (dem steht das Stadtprojekt gegenüber) oder wollen wir möglichst schnell/breit da stehen (dem steht gegenüber, dass die Nutzer mit jedem Nachrichtenschreck weg laufen/verunsichert sind).

Ich sage hiermit voraus, dass wir die (Grund-) Frage nicht abschließend beantworten werden.
Vielleicht können wir aber am Donnerstag zumindest für IPv6 eine halbwegs klare Meinung finden.

RE: IPv6: Filtern oder nicht?
Antwort
01.02.16 12:36 als Antwort auf Jörg.
Wenn aber dann durch NAT einige Dinge nicht funktionieren (geht z.B. SIP über IPv6 mit NAT?), dann ist das nicht sinnvoll.
Ja, das ist ein Problem, dass ich nicht bedacht habe.
Klemmst Du deswegen Deinen normalen DSL-Router vom Internet ab?
Nein, aber da bin ich zumindest dynamisch unterwegs durch meinen IPv4-Anschluss.

Ein Einfallstor haben wir erst, wenn es einen ausnutzbaren Bug gibt (bzw. dieser bekannt wird). Einen Hotfix wird es dann wohl nicht geben, aber eine neue Firmware. Die muß natürlich schnell erstellt und eingespielt werden. Das hinauszuzögern wegen "unsere Router sind ja hinter NAT vorm Internet geschützt" wäre sicher nicht richtig.
Das habe ich auch nicht behauptet. Ich habe nur noch die Schlagzeilen von letztem Jahr über das Botnetz aus Routern im Kopf.

Hinter einem Freifunk-Router kannst Du dich nicht sicherer fühlen, weil dahinter ein per Definition offenes, unverschlüsseltes Netz rauskommt emoticon
OK, dein Punkt.
Nicht abzustreiten ist eine mögliche Gefahr für das meist schützenswerte Netz, an welches der Freifunk-Router angeschlossen ist. Da hatte ich schon geschrieben, daß man sich dann evtl. zusätzlich mittels Firewall-Abtrennung schützen muß. Abgesehen davon ist der Freifunk-Router sicherheitstechnisch ja kein typisches Consumer-Gerät mehr. Da läuft nicht die TP-Link-Firmware, sondern Open Source Gluon/OpenWRT. Und dem vertraue ich wirklich mehr wie z.B. einer Cisco ASA. Nicht weil letztere von der NSA kommt, sondern eher weil im Freifunk-Router nur exakt die (wenigen) Funktionen implementiert sicht, die wir brauchen. Da sind die Fehlermöglichkeiten wesentlich geringer als in einem mit Funktionen vollgepackten Gerät.
Zielen wir auf die breite Masse, bauen die keine zusätzliche Firewall hin, sondern nutzen (wenn überhaupt) den Gast-LAN der Fritzbox.
Über den Punkt des offenes Systems bei OpenWRT sind wir uns einig. Den Cisco ASA-Punkt muss ich vermutlich auch abgeben.

Denen ist erstmal nicht zu helfen. Wirklich nicht. Ob Die nun angegriffen werden, wenn die mal im Freifunk-Netz sind oder das nächste Mal z.B. hinter einem offenen Hotspot, ist eigentlich egal.
Lieber wo anders.
Wenn bei heise steht, dass Kunden an Telekom-Hotspots (irgendeiner) Gefahr ausgesetzt sind, dann geht die Aktie in den Keller. Wenn die hinter einem FF-AP sitzen, verlieren wir die Lobby und ggf. Rückhalt in der Bevölkerung.

Wenn ich richtig informiert bin, sind wären nicht die ersten. ... Und das finde ich nicht mal schlecht. Schlecht ist nur, daß das viele nicht wissen, weil die Provider nicht informieren.
Und wie lösen wir das?

Marcus:
Der einfache Benutzer möchte nur Freifunk nutzen und sich nicht mit technischen Eigenheiten auseinandersetzen
Genau das ist ja das Grundübel.
Da steht dann wohl eine Richtungsentscheidung am Donnerstag an.

RE: IPv6: Filtern oder nicht?
Antwort
01.02.16 19:49 als Antwort auf Matthias Drobny.
Matthias:

Wenn ich richtig informiert bin, sind wären nicht die ersten. ... Und das finde ich nicht mal schlecht. Schlecht ist nur, daß das viele nicht wissen, weil die Provider nicht informieren.
Und wie lösen wir das?
Indem wir informieren. Dazu müssen wir also leicht verständlich, ohne unnötige Angst zu erzeugen, über alles aufklären. Das ist sicher nicht einfach und wird etwas dauern. Bis dahin und bis wir eine gemeinsame Meinung haben habe ich auch kein Problem damit, den eingehenden Verkehr einzuschränken.

Zu den technischen Rahmenbedingungen: So wie es jetzt aussieht, können wir praktisch alle im ersten Beitrag genannten Varianten auf unseren Gateways umsetzen. Variante 1 ist ja kein Problem, da greifen wir gar nicht ein. Variante 2 (Filter/Firewall) geht auch, das hatte Marcus bis vorhin auf GW2 laufen. Und gerade haben wir (Marcus und ich) testweise mal alle Gateways auf NAT umgestellt. Das scheint auch zu funktionieren, falls doch komische Verbindungsprobleme auftreten: bitte Bescheid sagen.

NAT bei IPv6 funktioniert bei uns momentan so: "Normale" Clients mit aktiviertem IPv6 erhalten mittels Autokonfiguration und stateless DHCP die nötigen Konfigurationsdaten (IP-Adresse, Gateway, DNS-Server...). Als Adresse wird eine aus unserem im IC-VPN reservierten ULA-Bereich genommen. Das sind private Adressen ähnlich denen bei IPv4, werden also im öffentlichen Internet nicht geroutet. Auf den Gateways erfolgt dann die Übersetzung (NAT) auf öffentliche IPv6-Adressen. Damit kann man nahezu uneingeschränkt Verbindungen ins Internet aufbauen. Verbindungen in umgekehrter Richtung funktionieren ohne zusätzliche Maßnahmen nicht.

Wer eine öffentliche IPv6-Adresse nutzen möchte (um irgendeines seiner Geräte einfach aus dem Internet erreichbar zu machen), muß seinem Gerät eine Adresse aus dem uns zugeordneten Bereich (2a03:2260:100b::/48, momentan nutzen wir aber "nur " 2a03:2260:100b::/64) manuell vergeben.

RE: IPv6: Filtern oder nicht?
Antwort
01.02.16 20:36 als Antwort auf Jörg.
Muss gestehen dass ich mittlerweile recht unsicher in meiner Meinung bin.
Ich weiß dass "Variante 1" die Zukunft ist und wäre mir sogar am liebsten aber die User lassen sich leider kaum belehren oder aufklären. Die Gefahr dass Clients/Nodes dadurch gehackt werden können besteht ganz klar, wenn die Presse schreibt dass wir nichts zur Absicherung getan haben wirds richtig kompliziert. In den Fall ist der Presse auch egal ob der Endbenutzer dafür verantwortlich ist oder Freifunk selbst?

Nur mal so ein dummer Gedanke: Wir könnten uns das auch sehr einfach machen indem wir ein Voting auf dem Portal aufsetzen wo jeder Benutzer zwischen "Frei" und "Sicherheit" wählen können. Wobei fraglich ist ob der unaufgeklärte Benutzer sich wirklich optimal entscheiden kann.

Im Moment ist mir "Variante 2" mit DHCPv6 am liebsten; Mit dem Zusatz dass der Benutzer sich selbst entscheiden kann ob seine IPv6-Adresse von außen erreichbar ist oder nicht (per default nicht erreichbar). Wäre auch bereit die Software dazu zu schreiben - auf die Umsetzung/Komplexität wollte ich noch nicht eingehen aber ich denke dass es ordentlich umsetzbar ist.

Falls wir uns für "Variante 1" entscheiden ist vll. doch ein DHCP-Splash eine Variante um den Benutzer direkter aufzuklären (über die Umsetzung und Probleme kann ja später diskutiert werden, habe da auch schon Ideen wie man es umsetzt ohne den User einzuschränken).

Die Freifunk-Nodes waren - in meinen Versuchen zu "Variante 1" - nicht von außen erreichbar. Entweder nutzen die nur eine IPv6 (dann rein Zufällig) oder es werden nur Verbindungen von lokalen Adresse erlaubt.

Lg, Marcus

RE: IPv6: Filtern oder nicht?
Antwort
01.02.16 23:30 als Antwort auf Matthias Drobny.
Matthias:
  • Router im "richtigen Internet" sind keine Consumer-Endgeräte. Ob und was das über deren Absicherung aussagt, kann ich nicht beurteilen, aber ich fühle mich hinter eine Cisco ASA oder einen professionellen Firmen-Firewall grundsätzlich erstmal besser geschützt als hinter einem Router von TP-Link. (Wie gesagt, ich "fühle".)


An dieser Stelle erinnerte ich mich spontan an diverse Berichte über kritische Sicherheitslücken u.a. in Cisco-Geräten. Ein großer Name allein erhöht also die Sicherheit keineswegs. Siehe unter anderem auch hier und hier. Wenn ich jetzt bedenke, in wievielen bankbone nodes Cisco-Hardware tickt, wird mir schon etwas flau (o'zapft is).

Das mag auf das Konto von NSA und Konsorten gehen oder auch nicht, daß diese Hintertüren überhaupt existieren. Aber wer sagt denn, daß diese nur von der NSA & Co. genutzt werden? Schlaue Köpfe die wissen wie sowas geht, sitzen ja nicht nur bei denen. Da mache ich mir wegen eines simplen Scanners eher wenig Sorgen, stellt das bloße scannen ja noch keinen Angriff dar.


@Sicherheit vs Komfort:

Was die Sache mit der Information der Nutzer bezüglich der potentiellen Riskiken und entsprechenden Gegenmaßnahmen hatte ich ja bereits in einem anderen Thread einen kleinen Aufsatz gestrickt, welcher sich als Blogeintrag in meinem Profil wiederfindet. Ich weiß nur noch nicht genau, wo und wie wir den einbauen können, damit er auch enstsprechend wahrgenommen werden kann.


@FF-Router am Gastzugang:

Da bin ich mir nicht sicher, ob das die Lösung ist. Soweit mir bekannt ist, schränkt die Fritzbox zum Beispiel den Gastzugang auf wenige nutzbare Protokolle ein, ich lasse mich diesbezüglich aber gern eines besseren belehren, falls dem nicht so ist. Wenn das jedoch zutrifft, würden wir dann nicht gegen das PPA verstoßen?


VG
Sven

RE: IPv6: Filtern oder nicht?
Antwort
02.02.16 09:28 als Antwort auf Sven.
Marcus:
Muss gestehen dass ich mittlerweile recht unsicher in meiner Meinung bin.
Das ist schön emoticon
Das Ganze soll ja in erster Linie auch zum Nachdenken anregen.


Marcus:
Ich weiß dass "Variante 1" die Zukunft ist und wäre mir sogar am liebsten aber die User lassen sich leider kaum belehren oder aufklären. Die Gefahr dass Clients/Nodes dadurch gehackt werden können besteht ganz klar, wenn die Presse schreibt dass wir nichts zur Absicherung getan haben wirds richtig kompliziert. In den Fall ist der Presse auch egal ob der Endbenutzer dafür verantwortlich ist oder Freifunk selbst?
Da gebe ich Dir recht, die Gefahren sind da. Sowohl daß jemand gehackt wird, während er im Freifunk-Netz unterwegs ist, also auch, daß die Presse dann negativ berichtet. Nur wird sich daran in absehbarer Zeit nichts ändern. Was wollen wir dagegen tun?
Ist ja im Prinzip die gleiche Diskussion wie der Ruf nach mehr Überwachung und Einschränkung von Freiheiten nach jedem Terroranschlag und ähnlichen Ereignissen. Es wird halt eine diffuse Angst erzeugt und je weniger jemand darüber weiß, umso mehr glaubt er alles. Mit etwas Nachdenken schätze ich die Gefahr, selbst Opfer eines Hackers zu werden, als relativ gering ein. Und selbst wenn, was passiert dann wirklich Schlimmes?
  • Sollte jemand eines der Freifunk-Gateways hacken, könnte er den Traffic mitlesen. Das können und machen andere im Internet auch. Macht er das Gateway kaputt, wird es eben neu aufgesetzt. Das macht maximal unnötig Arbeit.
  • Hackt jemand mein Smartphone, kennt er maximal alles, was da drin steht. Das ist unangenehm, aber man muß sowieso davon ausgehen, daß gerade wichtige Informationen vom Smartphone-Betriebssystem oder irgendwelchen Apps nach sonstwohin geschickt werden. Der Schaden wäre also auch nicht größer. Deswegen reduziere ich die Smartphone-Nutzung und die darauf vorhandenen Daten derzeit immer weiter auf das absolut Notwendige...
  • Hackt jemand meinen Freifunk-Router zuhause, ist er in meinem internen Netz. Da passiert eigentlich nicht viel, der Hacker könnte sehen, wenn ich mit dem PC ins Internet gehe. Trotzdem habe ich den Freifunk-Router an einem extra Anschluß meines Internet-Routers hängen, über den man nicht ins lokale Netz kommt.
  • Unangenehmer wäre es, wenn jemand Zugriff aufs Firmennetz, meinen PC zuhause oder mein Notebook bekommt. Nicht dramatisch, aber unangenehm. Deswegen werden diese Dinge auch besonders geschützt. Wesentlich dabei ist die Nutzung von Dingen, die ich selbst halbwegs beeinflussen kann. Also z.B. möglichst Open-Source-Produkte einsetzen. Das kann natürlich nicht jeder. Aber jeder könnte Dinge nutzen, zu denen er mehr Vertrauen hat. Z.B. Ubuntu statt Windows. Oder nichts anstelle von Facebook emoticon
Zusammengefaßt hätte ich also weniger Angst vor irgendwelchen ominösen Hackern wie vorm kompletten Ausspionieren der gesamten Bevölkerung durch Staaten und/oder Industrie. Und deswegen halte ich eine Absicherung des Freifunk-Netzes für weniger wichtig (was nicht heißt, daß wir z.B. die Gateways und Router nicht so sicher wie möglich aufbauen). Darüber muß man natürlich aufklären.


Marcus:
Nur mal so ein dummer Gedanke: Wir könnten uns das auch sehr einfach machen indem wir ein Voting auf dem Portal aufsetzen wo jeder Benutzer zwischen "Frei" und "Sicherheit" wählen können. Wobei fraglich ist ob der unaufgeklärte Benutzer sich wirklich optimal entscheiden kann.
Die Wahl hat ein Benutzer doch schon: Er kann Freifunk nutzen oder stattdessen andere, nicht offene Netze. Und wenn er Freifunk nutzt, kann er sich trotzdem absichern. Dazu muß er nur selbst ein wenig tun und sich vor allem informieren.


Marcus:
Im Moment ist mir "Variante 2" mit DHCPv6 am liebsten; Mit dem Zusatz dass der Benutzer sich selbst entscheiden kann ob seine IPv6-Adresse von außen erreichbar ist oder nicht (per default nicht erreichbar). Wäre auch bereit die Software dazu zu schreiben - auf die Umsetzung/Komplexität wollte ich noch nicht eingehen aber ich denke dass es ordentlich umsetzbar ist.
Wie schonmal angedeutet: heutzutage werden doch die wenigsten Angriffe durch den aktiven Aufbau einer Verbindung von außen durchgeführt. Und nur davor würde ein Filter auf den Gateways schützen. Ich glaube (oder hoffe) nicht, daß auf einem Smartphone, Tablet oder Notebook Ports offen sind, über die ein Angriff möglich wäre.

Marcus:
Falls wir uns für "Variante 1" entscheiden ist vll. doch ein DHCP-Splash eine Variante um den Benutzer direkter aufzuklären (über die Umsetzung und Probleme kann ja später diskutiert werden, habe da auch schon Ideen wie man es umsetzt ohne den User einzuschränken).
Wenn Du das ohne Einschränkung und ohne Speicherung zusätzlicher Benutzerdaten schaffst, kann man drüber nachdenken. Stelle ich mir aber schwer vor...


Sven:
@FF-Router am Gastzugang:
Da bin ich mir nicht sicher, ob das die Lösung ist. Soweit mir bekannt ist, schränkt die Fritzbox zum Beispiel den Gastzugang auf wenige nutzbare Protokolle ein, ich lasse mich diesbezüglich aber gern eines besseren belehren, falls dem nicht so ist. Wenn das jedoch zutrifft, würden wir dann nicht gegen das PPA verstoßen?
Das hast Du falsch verstanden. Der Freifunk-Router soll mit seinem Bein Richtung Internet an den Gastzugang der Fritzbox angeschlossen werden. In Richtung Internet müßte die Fritzbox nur Port 10181 durchlassen. Das schützt dann das lokale Netz der Fritzbox, falls jemand den Freifunkrouter hackt. Und schränkt die Kommunikation ansonsten nicht ein.


Sven:
@Sicherheit vs Komfort:
Was die Sache mit der Information der Nutzer bezüglich der potentiellen Riskiken und entsprechenden Gegenmaßnahmen hatte ich ja bereits in einem anderen Thread einen kleinen Aufsatz gestrickt, welcher sich als Blogeintrag in meinem Profil wiederfindet. Ich weiß nur noch nicht genau, wo und wie wir den einbauen können, damit er auch enstsprechend wahrgenommen werden kann.
https://www.freifunk-gera-greiz.de/wiki/-/wiki/Allgemein/Blog
Ich kann Dich also gern wie da beschrieben freischalten, dann landen Deine Beiträge sowohl auf unserer Startseite als auch auf freifunk.net. Ich finde aber, so ein informativer Beitrag wäre im Wiki besser aufgehoben...

RE: IPv6: Filtern oder nicht?
Antwort
02.02.16 09:41 als Antwort auf Jörg.
Ich falle langsam um.
Das PPA als unsere Bibel erzwingt eigentlich genau das, was wir wollen.  "Freiheit". Und damit auch die Freiheit, Opfer eines Angriffs zu werden, wenn man sich dämlich anstellt/Pech hat.

Wir können nicht "die anderen" im Hinblick auf 2-Klasseninternet, IP-Sperren, Regelwerke usw. verteufeln und machen den Kram dann selbst, weil wir unsere Nutzer schützen wollen.
Die Sätze "Wir tun das Richtige." bzw. "Wir sind die Guten." stellen uns vor ziemliche Anforderungen und führen uns eigentlich genau wieder zurück in die (demokratisch) anarchistischen Ausgänge des Internets.

Ich möchte zum Philosophiebeauftragten des Vereins ernannt werden.
Das ist einfacher als die Technik dahinter!

RE: IPv6: Filtern oder nicht?
Antwort
02.02.16 21:12 als Antwort auf Matthias Drobny.
Okay, ich revediere meine vorherigen Meinung und bin jetzt auch für "Variante 1". Das Totschlag-Argument von Matthias und Jörg hat mich gerade überzeugt emoticon

Zu den Hacks:

Nicht der Hack an sich ist ein Problem sondern die Folgen daraus: Wenn private Daten dadurch im Umlauf kommen oder das gehackte System für illegale Sachen missbraucht wird (E-Mail-SPAM, Kredikartenbetrug, verteilung von illegaler Pornographie, DDoS, ...) siehts u.U. für einen nicht mehr gut aus. Soweit ich weiß fanden sich schon Leute vor Gericht wieder die als Opfer eines Hacks eine Mitschuld bekommen haben weil es dem Hacker zu leicht gemacht wurde.
Dazu kommt auch die moralische Verantwortung wenn man sein System fahrlässig betreibt und dadurch andere geschädigt werden können.

Lg, Marcus

RE: IPv6: Filtern oder nicht?
Antwort
05.02.16 21:28 als Antwort auf Marcus.
Konnte das Thema zum Treffen entgülltig geklärt werden?

RE: IPv6: Filtern oder nicht?
Antwort
05.02.16 22:28 als Antwort auf Marcus.
Wir haben es auf das Technik-Treffen nächsten Dienstag vertagt.
Ohne dich und Eric als Technik-Gurus machte es wenig Sinn.
Lutz' Vortrag ist auch entfallen...

RE: IPv6: Filtern oder nicht?
Antwort
05.02.16 22:37 als Antwort auf Matthias Drobny.
Schön, dass wir unverzichtbar sind. emoticon

Gibt es schon genauere Infos zu diesem Technik-Treffen (also wann und wo)?

Wird der Vortrag dann auch am Dienstag stattfinden?

RE: IPv6: Filtern oder nicht?
Antwort
05.02.16 22:39 als Antwort auf Eric.
Naja, soweit würde ich zwar nicht gehen, aber da ihr tief in der Technik mit drin hängt, ist eure Meinung wichtig.
Ich bin nur der Paranoia-Onkel.
Dienstag: 09.02.2016 18:00 Uhr Fleischergasse 1, Gera

Ich weiß nicht, ob wir Lutz motivieren können. Außerdem soll es diesmal wirklich um Technik gehen...