[Freifunk-Bonn] Mehrere WLAN's im Infrastructure mode möglich auf einem Router? & welche Router verkauft ihr?

Jan Lühr ff at jluehr.de
Sa Dez 6 22:08:45 CET 2014 

Hallo,


Am 12/06/2014 09:35 PM, schrieb Nunatak:
> N'abend,
> 
> On Saturday 06 December 2014 21:14:37 hede wrote:
>> Am Sa, 6.12.2014, 13:48 schrieb Jan Lühr:
>>
>>> Auch Sicherheitsgründen ist dein Setup schlecht, da bei einer
>>> Kompromittierung des Freifunk-Routers weite Teile deines Netzes offen
>>> sind. Du solltest so ein Setup nur fahren, wenn Du Dir deswegen keine
>>> Sorgen macht.
>>
>> Das gilt dann genau so auch für jeden, der den ff-Router hinter seinem
>> Heimrouter betreibt. Die wan-Schnittstelle des ff-Routers hat dort
>> ebenfalls direkten Zugriff auf das gesamte Heimnetz und den direkten
>> Internetzugang.
> 
> Deshalb schließt man den FF-Router auch möglichst an ein "Gästenetz" an,
> das übliche Router wie die Fritzbox auf einen Port legen können. Dieses ist
> insbesondere deshalb ratsam, weil wir AFAIK keine Paketupdates über
> das normale Paketmanagement zur Verfügung stellen. Ich wünschte bei
> letzterem korrigiert zu werden.

Hui - jetzt geht's hier aber drunter und drüber - gehen wir mal Schritt
für Schritt vor:
-> Wenn Du auf dem Router Software für Services (o.ä.) installierst,
verwendest Du idR die OpenWRT-Feeds, für die es auch Updates gibt.
-> OpenWRT-Router sind (u.a. wg. dem Security-Support) seitens OpenWRT
nicht wirklich dafür gedacht Server-Dienste anzubieten, die zeitnah mit
Updates versorgt werden.
-> Im Auslieferungszustand ist kein Dienst auf den Freifunk-Routern
aktiv, der exploited werden könnte. Maximal ist SSH aktiv, wenn ein
Kennwort gesetzt ist.
Sollte es wirklich einmal remote-ausnutzbare exploits im Kernel oder dem
Dropbear SSH-Deamon geben, werden wir auch Patches releasen (in welcher
Form das passiert hängt auch von OpenWRT ab).
-> Die Netzwerktechnische Positinierung eines Freifunk-Routers in der
DMZ / eines Servers muss sein um ein best. Sicherheitsniveau zu
erreichen - unabh. davon, welcher Mechanismus für Binär-Updates auf dem
Node verwendet wird.
-> Meines Wissens nach, sind in der KBU-Firmware keine Probleme mit
Binärpaketen offen, die ein Update sinnvoll machen würden.

Mir ist aktuell leider unklar, was das Updates via opkg und
DMZ-Einrichtungen zu tun haben.

Gruß, Jan

Mehr Informationen über die Mailingliste Freifunk-Bonn