Blogs Blogs

WiFi-Mesh mit Nachbarknoten sperren

Hier mal eine kurze Einführung, wie man das Mesh über WLAN zu bestimmten Knoten unterbinden kann.

Das ist zum Beispiel dann sinnvoll, wenn man die betreffenden Knoten über Kabel miteinander meshen läßt und so keine Airtime für das zusätzliche WiFi-Mesh verschwenden möchte. Außerdem lassen sich damit instabile Links ausblenden, deren Aufrechterhaltung unter Umständen nur unnötig Ressourcen benötigen würde. Die Mesh-Funktion ansich bleibt hierbei erhalten, so daß zum Beispiel der Nachbar einen Knoten aufstellen und dieser dann meshen kann. Außerdem gibt es schlicht keinen Grund, 2 Knoten die per Kabel miteinander meshen, zusätzlich über WiFi miteinander meshen zu lassen, das wäre Ressourcenverschwendung.

Zum jetzigen Zeitpunkt ist es leider noch nicht möglich, die notwendige Änderung dauerhaft, also reboot- und updatefest in die Konfiguration der Knoten zu übernehmen, das wird sich hoffentlich mal ändern. Die notwendigen Befehle werden auf der ssh-Konsole ausgeführt.

Um einen Mesh-Link zu deaktivieren, muß man bei beiden beteiligten Knoten die MAC-Adresse des mesh-Interface des jeweils anderen Knotens sperren. Zunächst muß also diese MAC-Adresse ermittelt werden, dies macht man zum Beispiel mit dem Befehl:

ifconfig mesh0 | grep HWaddr

Die MAC-Adresse erscheint dann hinter HWaddr in der Form XX:XX:XX:XX:XX:XX. Hat man einen Dualband-Router, muß man entsprechend das richtige Interface (mesh0, mesh1) abrufen, die haben nämlich unterschiedliche MAC-Adressen!

Nun haben wir die MAC-Adresse, welche wir am anderen Knoten sperren müssen. Dies bewerkstelligt man mit dem Befehl:

iw dev mesh0 station set xx:xx:xx:xx:xx:xx plink_action block

An Stelle der XX muß natürlich die entsprechende MAC-Adresse angegeben werden.

Die Anweisung ist sofort aktiv, es sind keine weiteren Schritte notwendig, also auch kein commit und kein wifi oder sonstiges. Damit der Link zuverlässig deaktiviert wird, muß man nun noch analog den zweiten beteiligten Knoten anpassen.

Die Anpassung bleibt in dieser Form jedoch nur bis zum nächsten Neustart bestehen.

 

VG

Sven

Erster Knoten in Gera Milbitz in Betrieb

Nach einem mehrtägigen Probebetrieb ging vor wenigen Tagen der erste Freifunk-Knoten in Milbitz in Betrieb.

Der Betreiber ist der "Reitverein Gera/Thüringen e.V.", auf dessen Gelände sich der Outdoor-Router in einer Höhe von rund 7 Metern über Grund befindet. Der Router ist mit einer Rundstrahlantenne mit einem Gewinn von 12dBi ausgerüstet, so daß auch umliegende Anwohner bzw. Kleingärtner den Zugang nutzen und den Einzugsbereich gegebenenfalls auch mit einem eigenen Knoten erweitern können.

Derzeit ist der dahinterliegende DSL-Anschluß mit einer Bandbreite von 2MBit zwar noch äußerst knapp bemessen, jedoch sind die Baumaßnahmen der Telekom so gut wie abgeschlossen, so daß einer Aufstockung des Anschlusses auf bis zu 100MBit, mit etwas Glück noch in diesem Jahr, nichts mehr im Wege steht. Die Leistungsfähigkeit des Freifunk-Knotens dürfte sich dadurch enorm erhöhen.

Die ersten Nutzer haben den Knoten bereits für sich entdeckt, wir hoffen natürlich auf weiteren Zuwachs. :-)

Anleitung - Einrichtung einer VPN-Verbindung

In dieser Anleitung möchte ich an einem Beispiel die Einrichtung und Nutzung einer VPN-Verbindung erklären, da die Einrichtung nicht ganz ohne Fallstricke ist. Eine solche VPN-Verbindung ist zum Beispiel hilfreich, wenn Sie von unterwegs aus einem fremden Netzwerk, wie zum Beispiel einem Hotel-WLAN oder über einen Freifunk-Knoten, auf Ihr privates Heimnetzwerk zugreifen möchten, so als befänden Sie sich tatsächlich über Ihr eigenes WLAN in Ihrem Netzwerk. In diesem Beispiel richten wir den Zugang auf einem Android-Smartphone "Samsung Galaxy S duos" mit originalem Android 4.0.4 als VPN-Client und einer Fritzbox 7490 mit Fritz-OS 06.30 als VPN-Server ein.

Die vollständige Anleitung findet sich in unserem Wiki.

Angst vor der bösen "Handystrahlung"?

Bezüglich der Belastung durch elektromagnetische Aussendungen, landläufig auch als "Funkstrahlung" bekannt, ist zu beachten, daß das Ausmaß der jeweiligen Belastung und einer Wechselwirkung mit organischem Gewebe grundsätzlich von mehreren Faktoren abhängt. Für das bessere Verständnis der Materie sind vorab einige Informationen zu verinnerlichen.

Die geläufigste Kenngröße hierbei ist die Leistung, mit der das jeweilige Signal abgegeben wird. Hierbei gilt, daß die Belastung mit steigender Sendeleistung zunimmt. Eine Reduktion der Sendeleistung funktechnischer Einrichtungen auf das tatsächlich benötigte Minimum ist sehr gut geeignet, mögliche Belastungen auf ein ungefährliches Niveau zu reduzieren. Ein angenehmer Nebeneffekt dieser Maßnahme ist ein geringerer Energiebedarf des jeweiligen Senders.

Die maßgebliche Kenngröße für das Auftreten von Wechselwirkungen mit organischem Gewebe ist die Frequenz, mit welcher eine elektromagnetische Aussendung erfolgt. Je niedriger diese Frequenz ist, desto größer ist die Wellenlänge und umso geringer fällt eine Wechselwirkung mit organischem Gewebe aus. Die maximal mögliche Intensität einer Wechselwirkung wird vereinfacht dargestellt erreicht, sobald eine einzelne (Sinus-) Welle kurz genug ist, um vollständig vom "Ziel" aufgenommen zu werden.

Das Ausmaß einer "Strahlenbelastung" hängt ferner stark vom Abstand zum Sender ab. Je weiter weg man sich vom Sender befindet, desto geringer ist die elektromagnetische Feldstärke, welcher man ausgesetzt ist.

Außerdem hat zu einem nicht unerheblichen Teil auch die Bandbreite (Frequenzbereich, den eine Aussendung gleichzeitig überstreicht) einer Aussendung Einfluß auf die Intensität einer Belastung. Je mehr Bandbreite ein Signal belegt, desto mehr Energie wird übertragen.

Aus diesen Grundlagen ergibt sich nun folgendes Bild:

- hohe Sendeleistungen sind schädlicher, als niedrige
- hohe Frequenzen sind schädlicher, als niedrige
- hohe Bandbreite ist schädlicher, als niedrige
- geringer Abstand ist schädlicher, als hoher

Ferner folgt daraus, daß die selbe Sendeleistung, die zum Beispiel auf einer Frequenz um 5 Megahertz noch völlig unbedenklich ist, auf 5 Gigahertz durchaus zu einer gefährlich hohen Dosis elektromagnetischer Emmissionen führen kann. Das ist zum Beispiel der Grund, warum für WLAN (2,4 und 5 GHz-Bereich) nur vergleichsweise geringe Sendeleistungen im Milliwattbereich zulässig sind, während ein aufwendig elektromagnetisch abgeschirmter Mikrowellenherd aufgrund der gewünschten und zum funktionieren notwendigen Wechselwirkung auf 2,55 GHz eine hohe Leistung von 500 Watt und mehr auf das eingegebene organische Material abgibt. Würde ein WLAN-Router statt 100 Milliwatt satte 100 Watt auf seine Antennen geben, würde einem das aus naheliegenden Gründen ziemlich den Tag versauen, wogegen zum Beispiel im Amateurfunkbereich auf Kurzwelle (3 - 30 MHz) Sendeleistungen von bis zu 750 Watt zulässig und unbedenklich sind. Kommerzielle Anbieter fahren noch weitaus höhere Leistungen.

Außerdem ergibt sich, daß der notwendige sogenannte Personenschutzabstand umso geringer ausfallen darf, je hoher die verwendeten Frequenzen und je niedriger die Sendeleistungen sind. Der genauen Berechnungen der jeweiligen Grenzwerte für Abstände und Leistungen in Verbindung mit der Frequenz liegen recht komplexe Algorithmen und weitere Kenngrößen zugrunde, die hier für die vereinfachte Erklärung jedoch ausnahmsweise außer Acht gelassen werden. Diese Grenzwerte, die Verfahren zur Ermittlung und weitere Richtlinien zur sogenannten "Elektromagnetischen Verträglichkeit (EMV)" sind hier in Deutschland im EMVG (Gesetz über die elektromagnetische Verträglichkeit von Betriebsmitteln) geregelt.

Letztlich ist die Intensität einer Wechselwirkung umso höher, je geringer die Körpermasse des Probanden ist. Deswegen ist es zum Beipiel keine gute Idee, Kleinkinder mit einem Handy oder ähnlichem spielen zu lassen, während es eingeschaltet ist. Schon aus Sicherheitsgründen sollte man in dieser Hinsicht schon allein die bloße Möglichkeit von Entwicklungsstörungen bedenken.

Ausführliche Informationen rund um das Thema stellt die BNetzA (Bundesnetzagentur, früher RegTP) zur Verfügung.

Um das Belastungspotential unterschiedlicher Funkdienste und -anwendungen einschätzen zu können, hier nun ein kurzer beispielhafter Überblick über verwendete Sendeleistungen:

- Radaranlagen: bis zu 100 Megawatt, gepulst

- MDR Thüringen auf 92,5 MHz, Standort Inselsberg: 100 kW
- Antenne Thüringen auf 102,5 MHz, Standort Ronneburg: 30 kW
- Landeswelle Thüringen auf 105,8 MHz, Standort Gera/Stadtwald: 1 kW

- DAB Sendeanlage in Gera-Langenberg (Hain): 10 kW für alle Sender
- DVB-T Sendeanlage auf 482 - 522 MHz in Gera-Langenberg (Hain): 50 kW für alle Sender

- DECT Basisstation auf 1,88 - 1,9 GHz: 250 mW ungeregelt (Mobilteil ~10 mW), bedingt durch Zeitmultiplexverfahren und GFSK-Modulation erhöhte Spitzenbelastung (gepulst)
- GSM 900 MHz (D-Netz): Handy 2 Watt regelbar, gepulst, Basis bis zu 50 Watt
- GSM 1800 MHz (E-Netz): 1 Watt regelbar, gepulst, Basis 10 Watt
- UMTS 2 GHz: Handy 250 mW, Basis bis zu 80 Watt, nicht gepulst
- LTE  700 - 2700 MHz: Handy 200 mW, Basis bis zu 80 Watt

- SRD (Short Range Device) auf 433 MHz wie zB Funkkopfhörer: 10 mW
- PMR 446,0 - 446,1 MHz: 500 mW
- Freenet 149,02 - 149,12 MHz: 500 mW
- CB-Funk bis zu 12 Watt, abhänging von der Betriebsart
- Amateurfunk: bis zu 750 Watt, abhänging von Frequenz und Betriebsart

- Bluetooth Klasse 1: 100 mW, Klasse 2: 2,5 mW, Klasse 3: 1 mW (in diese Klasse fallen zB. auch BT Headsets)

- WLAN 2,4 GHz: bis zu 100 mW, 5 GHz: bis zu 200 mW, mit Auflagen bis zu 4 Watt (Meldepflicht > 1 Watt)

Ob und in welchen Ausmaß elektromagnetische Signale nun die Gesundheit beeinträchtigen, ist ein immer wieder kontrovers dikutiertes Thema. Meist werden in derartigen Diskussionen wichtige Aspekte außer Acht gelassen, um das Ergebnis wunschgemäß in die eine oder andere Richtung zu lenken. Unzweifelhaft fest steht jedoch, daß es definitiv zu Wechselwirkungen bei entsprechender Exposition kommt. Ob diese Wechselwirkungen schädlich sind, hängt in erster Linie von den oben genannten Größen (Frequenz, Sendeleistung, Sicherheitsabstand etc.) ab. Gäbe es diese Wechselwirkungen nicht, könnte man sie sich auch nicht zunutze machen (Mikrowelle, Sonnenbad (ja, Licht ist auch "nur" ein EM-Signal), Infrarotbestrahlung, Röntgen, MRT, CT usw.). Der Grat zwischen Nutzen und Schaden hängt nach meiner Einschätzung lediglich von der Dosierung (Dauer und Intensität der Exposition) ab. So sind zum Beispiel 5 Minuten Sonnenbad gut für den Teint, 50 Minuten können Jahrzehnte später Hautkrebs auslösen. Ähnlich ist es bei Handynutzern. Wer sehr viel mit dem Handy am Kopf telefoniert, hat ein inzwischen erwiesenes erhöhtes Tumorrisiko, als ein Wenigtelefonierer, der obendrein ein Headset benutzt.

Imissionen durch jegliche elektromagnetische Nutzsignale lassen sich mittels geeigneter Abschirmungen wirksam reduzieren, sofern eine adäquate Standortwahl allein noch nicht zum gewünschten Ergebnis führt.

Hier nicht mit aufgeführt sind Emissionen und Imissionen, welche im Zusammenhang mit Funkstörungen stehen, da Funkstörungen unter anderem dadurch gekennzeichnet sind, daß sie unkontrolliert auf unterschiedlichsten Frequenzen mit nicht definierter Leistung und meist sehr breitbandig auftreten. Eine ausreichend präzise Einschätzung des Gefahrenpotentials ist daher pauschal nicht möglich. Aus diesem Grund werden in der Regel im Zuge der jeweiligen Störungsbearbeitung entsprechende Messungen vorgenommen.

Fakt ist jedoch, daß Funkstörungen eben wegen dieser Eigenarten nicht nur als äußerst lästig, sondern tatsächlich auch als potentiell gefährlich einzustufen sind! Eine undichte Mikrowelle oder ein defekter Induktionsherd im Haushalt eines Herzschrittmachträgers kann für diesen durchaus tödliche Folgen haben. Die Gefährlichkeit unsachgemäßer Installationen oder mangelhaft ausgeführter Reparaturen kann gar nicht oft genug betont werden! Störungen durch PLC-Anlagen (zB. Power-LAN, Stromkabel sind nunmal KEINE Datenkabel!) haben zum Beispiel durch ihre unkontrollierbaren breitbandigen Störungen durchaus das Potential, mehrere Funkdienste gleichzeitig lahmzulegen. Hierzu gehören auch Einrichtungen des sogenannten BOS-Funk (Polizei, Feuerwehr, Rettungsdienste), deren Beeinträchtigung im schlimmsten Fall ebenfalls Menschleben in Gefahr bringen kann, wenn Einsatzkräfte unter Umständen nicht mehr koordiniert werden können.

Ein kurzer Abriß zum Thema IT-Sicherheit

Frage:

Der Zugang zum Freifunk ist nicht verschlüsselt, das ist mir zu unsicher. Ist es für mich nicht viel sicherer, wenn ich mein eigenes WLAN benutze?


Antwort:

Nicht unbedingt. Um das zu erläutern, müssen wir jedoch einen kleinen Ausflug in die Welt der Verschlüsselungen machen. Für den Privatanwender sind in erster Linie 2 Arten von Verschlüsselung interessant.

Die hier angesprochene WLAN-Verschlüsselung dient NICHT dem Schutz der Daten oder der Identität des Nutzers. Eine WLAN-Verschlüsselung ist lediglich eine Zugangskontrolle zum Netzwerk. Das ist der Grund, warum Freifunk ausdrücklich darauf verzichtet: JEDER soll das Freifunk Netzwerk ohne Hürde nutzen können, eine WLAN-Verschlüsselung wäre jedoch das genaue Gegenteil davon.

Eine WLAN-Verschlüsselung im Heimnetzwerk ist dagegen sinnvoll wenn man zum Beispiel nicht möchte, daß der Nachbar oder andere unbefugte Personen das eigene Netzwerk mitnutzen und dort möglicherweise Zugriff auf persönliche Daten erlangen, oder über Ihren Internetzugang gar Straftaten begehen. Daher ist auch die Verschlüsselung im privaten WLAN, bedingt durch die sogenannte Störerhaftung, unumgänglich.

Diese Störerhaftung entfällt jedoch bei der Nutzung von Freifunk und dem Betrieb der Router, da die Freifunk-Router allen Verkehr über sogennannte VPN-Gateways leiten, welche bei Betreibern stehen für die auf Grund ihres Providerprivilegs die Störerhaftung nicht anwendbar ist.

Eine erhöhte Sicherheit für die ins Internet übertragenen Daten bedeutet eine WLAN-Verschlüsselung hingegen absolut nicht! Man wähnt sich unter Umständen in falscher Sicherheit, wenn man zum Beispiel Onlinebanking ohne entsprechende Vorkehrungen betreibt. Eine WLAN-Verschlüsselung hat darauf absolut keinen Einfluß. Die WLAN-Verschlüsselung arbeitet lediglich auf der Strecke zwischen Ihrem WLAN-Router und dem Endgerät, also zum Beispiel Ihrem Notebook oder Smartphone. Sobald Ihre Daten Ihren Router ins Internet verlassen, sind sie unabhängig jeglicher WLAN-Verschlüsselung in jedem Fall unverschlüsselt, wenn Sie keine entsprechenden Vorkehrungen getroffen haben!

Und damit kommen wir zur zweiten wichtigen Verschlüsselungsart, der sogenannten Ende-zu-Ende Verschlüsselung. Das bedeutet, daß eine Verbindung zwischen 2 Rechnern verschlüsselt wird. Zum Beispiel zwischen Ihrem Notebook und dem Server der Bank, um mal beim Onlinebanking zu bleiben. Diese Art der Verschlüsselung kommt auch bei einigen Instant Messengern zum Einsatz, leider nicht bei allen.

Wenn eine solche Ende-zu-Ende Verschlüsselung genutzt wird, werden die Daten zwischen den beteiligten Rechnern verschlüsselt übertragen und sind somit nur für die beteiligten Rechner lesbar, auch wenn noch weitere Rechner für den Transfer der Daten zwischengeschaltet sind. Die entsprechende Verbindung ist dann sicher, unabhängig davon ob das WLAN verschlüsselt ist, oder nicht.

Um eine solche Ende-zu-Ende Verschlüsselung zu erreichen gibt es mehrere Möglichkeiten. Sie können eine entsprechende Software für den Transfer nutzen, welche Sie für die Verschlüsselung konfigurieren. Sie können aber auch den Internetbrowser Ihrer Wahl nutzen und achten darauf, daß bei Internetseiten auf denen Sie sich anmelden müssen, die Adresszeile des Browsers mit "https" beginnt, statt nur mit "http".

Auch beim Emailverkehr läßt sich die Sicherheit und Vertraulichkeit der Korrespondenz mit einer solchen Ende-zu-Ende Verschlüsselung enorm erhöhen. Für Emails im privaten Bereich ist die Verwendung von PGP eine gute Wahl. Verlassen Sie sich nicht ausschließlich auf die Verschlüsselung Ihres Providers. Damit ist in der Regel nur eine Verschlüsselung des Anmeldevorganges gemeint, die Emails selbst sind dadurch nicht automatisch auch verschlüsselt! Um das zu erreichen, kann man sich zum Beispiel eine Emailsoftware installieren und in dieser die entsprechenden Einstellungen für die Verschlüsselung von Emails vornehmen. Für einige Programme ist dazu unter Umständen noch eine Erweiterung notwendig, welche in aller Regel kostenlos ist (OpenPGP).

Der Verfasser dieser Zeilen verwendet zum Beispiel "Mozilla Thunderbird" in Verbindung mit "Enigmail" unter Windows, welches auch für Linux verfügbar ist, falls man keine der zahlreichen Alternativen nutzen möchte. Für andere Betriebssysteme existieren ähnliche Lösungen, auch für Smartphones. Ein beliebter Emailclient für Android ist zum Beispiel "K-9 Mail", welches in Verbindung mit "APG" bzw. "OpenKeychain" ebenfalls um PGP erweitert werden kann.

Auch für die Verschlüsselung von Emails gilt, daß eine WLAN-Verschlüsselung hierauf keinen Einfluß hat.

Eine weitere Art der Ende-zu-Ende Verschlüsselung welche es Ihnen zum Beispiel ermöglicht, mit Ihrem WLAN-Client über das Freifunknetz (oder ein anderes Netzwerk) auf Daten in Ihrem Heimnetzwerk zuzugreifen, wäre ein sogenannter VPN-Tunnel. Damit erreichen Sie eine Verschlüsselte Direktverbindung zwischen Ihrem Client im Freifunknetz und Ihrem Router daheim. Einmal eingerichtet, läßt sich diese VPN-Verbindung jederzeit ein- und ausschalten.

Bitte vergessen Sie nicht, daß auch die Wahl eines sicheren Passwortes entscheidend ist! Da sich kein normaler Mensch die vielen Zugangsdaten für alle seine Dienste und Portale merken kann, gibt es Software die einem sowas abnimmt. Der Verfasser dieser Zeilen verwendet zum Beispiel "KeePass". Auch hiervon gibt es Alternativen und Versionen für unterschiedlichen Plattformen. Sie müssen sich dann nur das eine Passwort für die Datenbank dieser Software merken.

Ferner sollten Sie eine Vollverschlüsselung Ihrer mobilen Endgeräte in Erwägung ziehen, um darauf enthaltene Daten bei eventuellem Verlust des Gerätes vor unberechtigtem Zugriff zu schützen. Für Laptops bietet sich zum Beispiel TrueCrypt in der Version 7.1a (7.2 gilt nicht als unsicher!) an, Android und iOS Geräte bringen in der Regel eigene Möglichkeiten mit.

Ich möchte das Thema mit einem bildhaften Vergleich beenden:

Stellen Sie sich Ihr Netzwerk wie Ihre Wohnung vor. Wer einen Schlüssel zu Ihrer Wohnung hat, kann diese betreten und sich mehr oder weniger ungehindert darin umsehen. Persönliche Unterlagen auf dem Schreibtisch wären ungeschützt den Blicken Ihrer Besucher ausgeliefert. So funktioniert eine WLAN-Verschlüsselung.

Wenn Sie die Unterlagen nun so wie sie sind einem Boten in die Hand geben, um Sie an jemand anderen zu senden, kann der Bote den Inhalt lesen. Auch, wenn Ihre Wohnung abgeschlossen ist. Ebenso kann jeder den Inhalt lesen, an dem der Bote vorübergeht, denn er trägt die Unterlagen offen in der Hand. Auf diese Weise übertragen Sie normalerweise alle Ihre Daten im Internet.

Wenn Sie nun aber diese Unterlagen in eine sichere Transportbox einschließen, kann man zwar immer noch mit dem Wohnungsschlüssel in die Wohnung, um die Unterlagen einsehen zu können benötigt man jedoch noch zusätzlich den Schlüssel für die Box. Selbst dann, wenn Sie Ihre Wohnung gar nicht abschließen und die Tür weit offen lassen, schützt die Box Ihre Unterlagen. Diese Box können Sie nun zum Beispiel per Kurier an jemand anderen senden. Der Kurier kennt nun zwar die Box, aber nicht deren Inhalt. Erst der berechtigte Empfänger hat wieder einen Schlüssel für die Box und kann so Zugriff auf den Inhalt erlangen. So funktioniert eine Ende-zu-Ende Verschlüsselung.

Sie sehen also, nur weil der Zugang zum Freifunk nicht verschlüsselt ist, müssen Sie sich um die Sicherheit Ihrer Daten keine Sorgen machen, wenn Sie einige wichtige Grundregeln beherzigen, welche für Ihr heimisches WLAN übrigens ebenso zutreffen.

Sie halten die Verschlüsselung privater Kommunikation nicht für wichtig, weil Sie ja nichts zu verbergen haben? Nun, dann müssen Sie künftig auch Ihre Wohnung oder Ihr Auto nicht mehr abschließen, all Ihre private Korrespondenz kann auf offenen Postkarten abgewickelt werden und die PIN's und TAN's für Ihr Girokonto müssen Sie auch nicht länger geheim halten, oder haben Sie doch etwas zu verbergen? ;-)