Freifunk-Zugang absichern?

Frei nach dem Motto: „Better be safe, than sorry“ erkläre ich in diesem Beitrag, wie man seine Freifunk Umgebung im Heimnetz mittels einer Fritzbox absichern kann.

Zwar wird der Traffic, der von Wlan-Gästen aus dem Freifunk Netz kommt, direkt über die Server der Freifunk Gemeinde weitergeleitet (siehe Video), jedoch ist es besser Vorsichtsmaßnahmen zu treffen.

Zunächst bieten aktuelle Fritzboxen einen Gastmodus an. Dieser Gastmodus ist in einem anderen VLAN als alle anderen Geräte unterwegs und die Benutzer im Gastnetz sehen die anderen Geräte im „normalen“ Heimnetz nicht und vice versa.
Das Gastnetz ist zwar in erster Linie für ein eigenes WLAN gedacht, das VLAN lässt sich jedoch auch auf die vierte LAN-Buchse der Fritzbox legen (siehe Bild Freifunk-AP auf Lan 4 und Gastzugang).

FRITZ!Box 2016-01-15 19-44-23
Freifunk-AP auf Lan 4
FRITZ!Box 2016-01-15 19-43-46
Gastzugang

Nun ist sichergestellt, dass es auch im Falle eines Sicherheitslochs im Freifunk-Router ein weiteres Vorkommen erschwert wird. Nun gibt es die Möglichkeit Filterlisten in der Fritzbox anzulegen. Zum einen Blacklists und Whitelists.
Blacklists sind Negativlisten, die den Zugang zu solchen IPs / Domains sperren, die dort eingetragen wurden. Whitelist tun genau das Gegenteil. Sie erlauben generell nichts, sondern nur die Einträge, die sich in ihr befinden.

Solch eine Whitelist habe ich angelegt und nach Rücksprache mit den örtlichen Freifunkern eingetragen (siehe Bild Whitelist 2)

FRITZ!Box 2016-01-15 19-45-40
Whitelist 1
FRITZ!Box 2016-01-15 19-46-16
Whitelist 2

Nun kann auch der Freifunk-Router nur Verbindungen zu den Freifunk-Routern aufbauen.

Fazit

  1. Freifunk-Router hat sein eigenes LAN => bei Sicherheitsproblemen in der Freifunk-Firmware kann der Angreifer höchstens im Netz Unfug treiben.
  2. Freifunk-Router darf nur Whitelist-Eintrag ‚darmstadt.freifunk.net‘ nutzen => selbst bei Sicherheitsproblem in der Freifunk-Firmware kann er den Internetzugang nicht als Spam oder Betrugspunkt nutzen.

Freifunk – ich mach nach langem hin und her auch mit

Seit ca. 14 Jahren, als ich meinen ersten DSL-Anschluss hatte und WLAN mit 802.11b mit gerade einmal theoretischen 11Mbit verfügbar war, wollte ich mich mit meinen Freunden über Wlan direkt vernetzen. Es gab keine schnellen Handy-Datenverbindungen, bzw. waren diese minütlich getaktet und richtig teuer.

Ich bastelte die berühmte Pringles-Dose, eine Bi-Quad Antenne, doch sonst konnte sich kaum jemand für die Idee begeistern, bzw. waren die Distanzen einfach zu groß.

Mittlerweile wohne ich in einer Stadt, in der es auch ein Freifunk-Netz gibt und das meinem damaligen Traum sehr nahe kommt.

Obwohl es nun in den meisten Städten in Deutschland gute Breitbandverbindungen gibt und somit ein solches Netz nicht unbedingt notwendig ist, finde ich die Idee eines Bürgernetzes sehr interessant.

Da es nicht immer möglich ist, eine Richtfunkverbindung aufzubauen, behilft sich Freifunk zunächst damit, alle Verbindungen mittels eines VPNs ins Internet zu tunneln.

Zunächst war ich etwas zurückhaltend aufgrund der Störerhaftung, jedoch wird dies bei Freifunk mit Hilfe des VPNs minimiert.

In vielen deutschen Städten wird es  Flüchtlingen mithilfe von Freifunk ermöglicht, mit der Heimat im Kontakt zu bleiben.

Spätestens seit dem Vortrag eines Verantwortlichen von Freifunk auf dem aktuellen CCC-Congress (32c3), bin ich überzeugt.

 

Wie kann man mitmachen?

Zunächst benötigt man einen günstigen Plasterouter. Er kostet circa 30 €. Danach muss einen Custom Firmware geflasht werden. Diese ist auf der lokalen Freifunk-Webseite downloadbar. Nun muss der gewünschte Knotenname, die Geokoordinaten, sowie die bereitzustellende Geschwindigkeit für Freifunk eingetragen werden.

Zuletzt erhält man den öffentlichen Schlüssel des eigenen Geräts, welchen man den Freifunk-Verantwortlichen schicken muss.

Nun ist der Router Teil des Freifunknetzes.

Auch interessant

Freifunk tunnelt den Traffic seit dem 01.01.2016 nicht mehr über kommerzielle VPN-Anbieter, sondern sind sogar Mitglied der RIPE und besitzen eigene Server über die Traffic ins Internet (in Deutschland) getunnelt wird.