[Freifunk-Bonn] Mehrere WLAN's im Infrastructure mode möglich auf einem Router? & welche Router verkauft ihr?

Nunatak nunatak at mailbox.org
Sa Dez 6 22:26:59 CET 2014 

Hi,

On Saturday 06 December 2014 22:08:45 Jan Lühr wrote:
> Am 12/06/2014 09:35 PM, schrieb Nunatak:
> > On Saturday 06 December 2014 21:14:37 hede wrote:
> >> Am Sa, 6.12.2014, 13:48 schrieb Jan Lühr:
> >>
> >>> Auch Sicherheitsgründen ist dein Setup schlecht, da bei einer
> >>> Kompromittierung des Freifunk-Routers weite Teile deines Netzes offen
> >>> sind. Du solltest so ein Setup nur fahren, wenn Du Dir deswegen keine
> >>> Sorgen macht.
> >>
> >> Das gilt dann genau so auch für jeden, der den ff-Router hinter seinem
> >> Heimrouter betreibt. Die wan-Schnittstelle des ff-Routers hat dort
> >> ebenfalls direkten Zugriff auf das gesamte Heimnetz und den direkten
> >> Internetzugang.
> > 
> > Deshalb schließt man den FF-Router auch möglichst an ein "Gästenetz" an,
> > das übliche Router wie die Fritzbox auf einen Port legen können. Dieses ist
> > insbesondere deshalb ratsam, weil wir AFAIK keine Paketupdates über
> > das normale Paketmanagement zur Verfügung stellen. Ich wünschte bei
> > letzterem korrigiert zu werden.
> 
> Hui - jetzt geht's hier aber drunter und drüber - gehen wir mal Schritt
> für Schritt vor:
> -> Wenn Du auf dem Router Software für Services (o.ä.) installierst,
> verwendest Du idR die OpenWRT-Feeds, für die es auch Updates gibt.
> -> OpenWRT-Router sind (u.a. wg. dem Security-Support) seitens OpenWRT
> nicht wirklich dafür gedacht Server-Dienste anzubieten, die zeitnah mit
> Updates versorgt werden.
> -> Im Auslieferungszustand ist kein Dienst auf den Freifunk-Routern
> aktiv, der exploited werden könnte. Maximal ist SSH aktiv, wenn ein
> Kennwort gesetzt ist.
> Sollte es wirklich einmal remote-ausnutzbare exploits im Kernel oder dem
> Dropbear SSH-Deamon geben, werden wir auch Patches releasen (in welcher
> Form das passiert hängt auch von OpenWRT ab).
> -> Die Netzwerktechnische Positinierung eines Freifunk-Routers in der
> DMZ / eines Servers muss sein um ein best. Sicherheitsniveau zu
> erreichen - unabh. davon, welcher Mechanismus für Binär-Updates auf dem
> Node verwendet wird.
> -> Meines Wissens nach, sind in der KBU-Firmware keine Probleme mit
> Binärpaketen offen, die ein Update sinnvoll machen würden.

Danke für die Ausführungen, die klasse Vorlagen für die FAQs im Wiki bieten. ;-)
Zumindest zwei Konfigurationsänderungen sind derzeit sinnvoll, um neuen
Freifunkern erste Frusterlebnisse zu ersparen. 

> Mir ist aktuell leider unklar, was das Updates via opkg und
> DMZ-Einrichtungen zu tun haben.

Das Stichwort "Kompromitierung" als Basis für's thread hijacking kam von Dir! ;-)

Gruß,
Nunatak

Mehr Informationen über die Mailingliste Freifunk-Bonn