Wiki Freifunk-3Ländereck - Benutzerbeiträge [de]

Server:node2

2015-06-23T20:25:48Z

Langweiler:

= Node 2 =

== Server Info==

Node 2

* Hostname: node2
* IPv4: 185.89.197.13
* IPv6: 2a03:8460:1:2:2:13::
* Standort: [http://www.masterssystems.de masterssystems (Offenbach, DE)]
* Kommentar: Applikationsserver Freifunk Dreiländereck e.V.

== Server Log ==
* Dokumentation von eingriffen in das System (Neustarten von Diensten, Updates, Konfigurationsänderungen, etc...)
** Bitte Namen, Datum und die Uhrzeit mit angeben (Letzter Eingriff immer Oben reinschreiben).

=== 2015-06-23 22:24, Langweiler, Eingriff #2 ===
Apache2-Serverkonfiguration in /etc/apache2/sites-available/01_intern.conf angepasst, um Probleme mit Round-Robin-DNS zu vermeiden. Die Aufrufe "https://intern.freifunk-3laendereck.net" und "http://intern.freifunk-3laendereck.net" leiten weiter auf den virtuellen Host "https://node2.ff3l.net". Die Deklaration des virtuellen Hosts node2.ff3l.net enthält die bisherige Konfiguration.

=== 2015-05-26 11:00, Stefan, Eingriff #1 ===
MySQL Master-to-Master Replikation eingerichtet.

Server:node2

2015-06-23T20:25:15Z

Langweiler: /* Eingriff #1 */

= Node 2 =

== Server Info==

Node 2

* Hostname: node2
* IPv4: 185.89.197.13
* IPv6: 2a03:8460:1:2:2:13::
* Standort: [http://www.masterssystems.de masterssystems (Offenbach, DE)]
* Kommentar: Applikationsserver Freifunk Dreiländereck e.V.

== Server Log ==
* Dokumentation von eingriffen in das System (Neustarten von Diensten, Updates, Konfigurationsänderungen, etc...)
** Bitte Namen, Datum und die Uhrzeit mit angeben (Letzter Eingriff immer Oben reinschreiben).

=== 2015-06-23 22:24, Langweiler, Eingriff #2 ===
Apache2-Serverkonfiguration in /etc/apache2/sites-available/01_intern.conf angepasst, um Probleme mit Round-Robin-DNS zu vermeiden. Die Aufrufe "https://intern.freifunk-3laendereck.net" und "http://intern.freifunk-3laendereck.net" leiten weiter auf den virtuellen Host "https://node2.ff3l.net". Die Deklaration des virtuellen Hosts node2.ff3l.net enthält die bisherige Konfiguration.

=== Eingriff #1 ===
MySQL Master-to-Master Replikation eingerichtet, Stefan, 26.05.2015 11:00

Server:node1

2015-06-23T20:17:36Z

Langweiler: /* Server Log */

= Node 1 =

== Server Info==

Node 1

* Hostname: node1
* IPv4: 185.89.196.13
* IPv6: 2a03:8460:1:2:1:13::
* Standort: [http://www.masterssystems.de masterssystems (Offenbach, DE)]
* Kommentar: Applikationsserver Freifunk Dreiländereck e.V.

== Server Log ==
* Dokumentation von eingriffen in das System (Neustarten von Diensten, Updates, Konfigurationsänderungen, etc...)
** Bitte Namen, Datum und die Uhrzeit mit angeben (Letzter Eingriff immer Oben reinschreiben).

=== 2015-06-23 16:00, Langweiler, Eingriff #3 ===
Apache2-Serverkonfiguration in ''/etc/apache2/sites-available/01_intern.conf'' angepasst, um Probleme mit Round-Robin-DNS zu vermeiden. Die Aufrufe "https://intern.freifunk-3laendereck.net" und "http://intern.freifunk-3laendereck.net" leiten weiter auf den virtuellen Host "https://node1.ff3l.net". Die Deklaration des virtuellen Hosts node1.ff3l.net enthält die bisherige Konfiguration.

=== 2015-05-27 16:00, Stefan, Eingriff #2 ===
Monitoring installiert (check-mk).

=== 2015-05-26 11:00, Stefan, Eingriff #1 ===
MySQL Master-to-Master Replikation eingerichtet.

Sicherheitskonzept

2015-06-22T18:58:55Z

Langweiler:

Registernummer bei der Bundesnetzagentur: XX/XXX
Freifunk Dreiländereck e.V.

=Geltungsbereich=
# Dieses IT-Sicherheitskonzept gilt strukturell für Systemkomponenten des Freifunknetzes, welche vom Förderverein Freifunk Halle e.V. selbst betrieben oder verwaltet werden.
# Und für den Vorstand und vom Vorstand mit der Verwaltung von Systemkomponenten des Freifunknetzes Beauftragten.

=Sicherheitsziele=
# Ziel ist ein möglichst störungsfreier Betrieb aller Systemkomponenten des Freifunknetzes.
# Maßnahmen zur Datensicherheit (Integrität und Vertraulichkeit) erfolgt entsprechend den gesetzlichen Erfordernissen.

=Betriebsführung=
1.
Die Betriebsführung obliegt dem Vorstand und mit der Verwaltung Beauftragten.
4.
Zuverlässigkeit von Verantwortlichen
1.
Der Vorstand ist dafür verantwortlich, dass mit der Verwaltung nur Personen
beauftragt werden, die über die notwendige Zuverlässigkeit verfügen.
2.
Endet die Beauftragung einer Person als Verwalter sind die Befugnisse wieder zu
entziehen.
5.
Sicherheit von Systemkomponenten
1.
Unautorisierter physischer Zugang zu Systemkomponenten ist durch Maßnahmen
zu verhindern, die für das bestehende Risiko angemessen sind.
2.
Kritische oder sensible Systemkomponenten sind in entsprechend gesicherten
Bereichen unterzubringen.
3.
Es ist sicherzustellen, dass sicherheitskritische Daten wie Passwörter, private
kyptographische Schlüssel Unbefugten nicht zugänglich gemacht
werden.
4.
Systemkomponenten sind möglichst auf dem Stand der Technik zu halten.
5.
Die notwendigen Informationen zu Systemkomponenten sind vorzuhalten.
6.
Systemkomponenten im Außenbereich sind durch geeignete und dem Wert der
Anlage entsprechende Maßnahmen gegen Umwelteinflüsse zu schützen.
Förderverein Freifunk Halle e.V.
Freifunk Halle
6.
Sicherheit der Betriebsstoffe
1.
Für Systemkomponenten kann eine unterbrechungsfrei Energieversorgung nicht
gewährleistet werden.
2.
Der Datenverkehr wird zum Teil über VPN-Tunnel durch das Internet übertragen.
Fällt das Internet in Teilen oder ganz aus, so wirkt sich dieses auf die
Verfügbarkeit aus.
3.
Der Datenverkehr wird zum Teil über Funk (WLAN) übertragen. Die Übertragung
über Funk ist störanfällig, was sich auf die Verfügbarkeit auswirken kann.
7.
Teilnehmer (Nutzer)
1.
Teilnehmer des Freifunknetzes verbinden sich mit dem jeweiligen Freifunk-
Hotspot (Wlan). Der Teilnehmer muss sich dafür weder anmelden noch
identifizieren.
2.
Der Teilnehmer muss folgende Nutzungsbestimmungen akzeptieren:
1.
Der Teilnehmer verpflichtet sich, keine Handlungen vorzunehmen bzw.
Handlungen zu unterlassen, welche gesetzliche Bestimmungen oder die
Rechte Dritter verletzen.
2.
Der Teilnehmer verpflichtet sich, keine Inhalte über das Netzwerk zu
übertragen, welche gegen geltendes Recht verstoßen.
3.
Der Teilnehmer verpflichtet sich, das Netzwerk nicht in einer Weise zu
beanspruchen, welche die Infrastruktur, das Netzwerk selbst, dessen
Betreiber oder andere Teilnehmer beeinträchtigt.
4.
Das Netzwerk ist, wie das Internet auch, unverschlüsselt und offen. Jeder
Teilnehmer ist selbst für die Sicherheit seiner Verbindungen und seiner
Endgeräte verantwortlich.
5.
Die Betreiber lehnen jede Haftung für Datenverlust, unbefugten Zugriff
auf Endgeräte, Schäden an Endgeräten oder finanzielle Verluste, die ein
Teilnehmer durch die Nutzung des Netzwerks erleidet ab.
8.
Anlagen:
1.
Begriffsbestimmung
2.
Grundsätzliche Struktur des Freifunknetzes
3.
Beispiel Topologie
4.
Beispiel FF-Router
Förderverein Freifunk Halle e.V.

Sicherheitskonzept

2015-06-22T18:58:11Z

Langweiler: /* Geltungsbereich */

Registernummer bei der Bundesnetzagentur: XX/XXX
Freifunk Dreiländereck e.V.

=Geltungsbereich=
# Dieses IT-Sicherheitskonzept gilt strukturell für Systemkomponenten des Freifunknetzes, welche vom Förderverein Freifunk Halle e.V. selbst betrieben oder verwaltet werden.
# Und für den Vorstand und vom Vorstand mit der Verwaltung von Systemkomponenten des Freifunknetzes Beauftragten.

=Sicherheitsziele=
1.
Ziel ist ein möglichst störungsfreier Betrieb aller Systemkomponenten des
Freifunknetzes.
2.
Maßnahmen zur Datensicherheit (Integrität und Vertraulichkeit) erfolgt
entsprechend den gesetzlichen Erfordernissen.
3.
Betriebsführung
1.
Die Betriebsführung obliegt dem Vorstand und mit der Verwaltung Beauftragten.
4.
Zuverlässigkeit von Verantwortlichen
1.
Der Vorstand ist dafür verantwortlich, dass mit der Verwaltung nur Personen
beauftragt werden, die über die notwendige Zuverlässigkeit verfügen.
2.
Endet die Beauftragung einer Person als Verwalter sind die Befugnisse wieder zu
entziehen.
5.
Sicherheit von Systemkomponenten
1.
Unautorisierter physischer Zugang zu Systemkomponenten ist durch Maßnahmen
zu verhindern, die für das bestehende Risiko angemessen sind.
2.
Kritische oder sensible Systemkomponenten sind in entsprechend gesicherten
Bereichen unterzubringen.
3.
Es ist sicherzustellen, dass sicherheitskritische Daten wie Passwörter, private
kyptographische Schlüssel Unbefugten nicht zugänglich gemacht
werden.
4.
Systemkomponenten sind möglichst auf dem Stand der Technik zu halten.
5.
Die notwendigen Informationen zu Systemkomponenten sind vorzuhalten.
6.
Systemkomponenten im Außenbereich sind durch geeignete und dem Wert der
Anlage entsprechende Maßnahmen gegen Umwelteinflüsse zu schützen.
Förderverein Freifunk Halle e.V.
Freifunk Halle
6.
Sicherheit der Betriebsstoffe
1.
Für Systemkomponenten kann eine unterbrechungsfrei Energieversorgung nicht
gewährleistet werden.
2.
Der Datenverkehr wird zum Teil über VPN-Tunnel durch das Internet übertragen.
Fällt das Internet in Teilen oder ganz aus, so wirkt sich dieses auf die
Verfügbarkeit aus.
3.
Der Datenverkehr wird zum Teil über Funk (WLAN) übertragen. Die Übertragung
über Funk ist störanfällig, was sich auf die Verfügbarkeit auswirken kann.
7.
Teilnehmer (Nutzer)
1.
Teilnehmer des Freifunknetzes verbinden sich mit dem jeweiligen Freifunk-
Hotspot (Wlan). Der Teilnehmer muss sich dafür weder anmelden noch
identifizieren.
2.
Der Teilnehmer muss folgende Nutzungsbestimmungen akzeptieren:
1.
Der Teilnehmer verpflichtet sich, keine Handlungen vorzunehmen bzw.
Handlungen zu unterlassen, welche gesetzliche Bestimmungen oder die
Rechte Dritter verletzen.
2.
Der Teilnehmer verpflichtet sich, keine Inhalte über das Netzwerk zu
übertragen, welche gegen geltendes Recht verstoßen.
3.
Der Teilnehmer verpflichtet sich, das Netzwerk nicht in einer Weise zu
beanspruchen, welche die Infrastruktur, das Netzwerk selbst, dessen
Betreiber oder andere Teilnehmer beeinträchtigt.
4.
Das Netzwerk ist, wie das Internet auch, unverschlüsselt und offen. Jeder
Teilnehmer ist selbst für die Sicherheit seiner Verbindungen und seiner
Endgeräte verantwortlich.
5.
Die Betreiber lehnen jede Haftung für Datenverlust, unbefugten Zugriff
auf Endgeräte, Schäden an Endgeräten oder finanzielle Verluste, die ein
Teilnehmer durch die Nutzung des Netzwerks erleidet ab.
8.
Anlagen:
1.
Begriffsbestimmung
2.
Grundsätzliche Struktur des Freifunknetzes
3.
Beispiel Topologie
4.
Beispiel FF-Router
Förderverein Freifunk Halle e.V.

Sicherheitskonzept

2015-06-22T18:56:12Z

Langweiler: Die Seite wurde neu angelegt: „Registernummer bei der Bundesnetzagentur: XX/XXX Freifunk Dreiländereck e.V. =Geltungsbereich= 1. Dieses IT-Sicherheitskonzept gilt strukturell für Systemk…“

Registernummer bei der Bundesnetzagentur: XX/XXX
Freifunk Dreiländereck e.V.

=Geltungsbereich=
1.
Dieses IT-Sicherheitskonzept gilt strukturell für Systemkomponenten des
Freifunknetzes, welche vom Förderverein Freifunk Halle e.V. selbst betrieben
oder verwaltet werden.
2.
Und für den Vorstand und vom Vorstand mit der Verwaltung von
Systemkomponenten des Freifunknetzes Beauftragten.
2.
Sicherheitsziele
1.
Ziel ist ein möglichst störungsfreier Betrieb aller Systemkomponenten des
Freifunknetzes.
2.
Maßnahmen zur Datensicherheit (Integrität und Vertraulichkeit) erfolgt
entsprechend den gesetzlichen Erfordernissen.
3.
Betriebsführung
1.
Die Betriebsführung obliegt dem Vorstand und mit der Verwaltung Beauftragten.
4.
Zuverlässigkeit von Verantwortlichen
1.
Der Vorstand ist dafür verantwortlich, dass mit der Verwaltung nur Personen
beauftragt werden, die über die notwendige Zuverlässigkeit verfügen.
2.
Endet die Beauftragung einer Person als Verwalter sind die Befugnisse wieder zu
entziehen.
5.
Sicherheit von Systemkomponenten
1.
Unautorisierter physischer Zugang zu Systemkomponenten ist durch Maßnahmen
zu verhindern, die für das bestehende Risiko angemessen sind.
2.
Kritische oder sensible Systemkomponenten sind in entsprechend gesicherten
Bereichen unterzubringen.
3.
Es ist sicherzustellen, dass sicherheitskritische Daten wie Passwörter, private
kyptographische Schlüssel Unbefugten nicht zugänglich gemacht
werden.
4.
Systemkomponenten sind möglichst auf dem Stand der Technik zu halten.
5.
Die notwendigen Informationen zu Systemkomponenten sind vorzuhalten.
6.
Systemkomponenten im Außenbereich sind durch geeignete und dem Wert der
Anlage entsprechende Maßnahmen gegen Umwelteinflüsse zu schützen.
Förderverein Freifunk Halle e.V.
Freifunk Halle
6.
Sicherheit der Betriebsstoffe
1.
Für Systemkomponenten kann eine unterbrechungsfrei Energieversorgung nicht
gewährleistet werden.
2.
Der Datenverkehr wird zum Teil über VPN-Tunnel durch das Internet übertragen.
Fällt das Internet in Teilen oder ganz aus, so wirkt sich dieses auf die
Verfügbarkeit aus.
3.
Der Datenverkehr wird zum Teil über Funk (WLAN) übertragen. Die Übertragung
über Funk ist störanfällig, was sich auf die Verfügbarkeit auswirken kann.
7.
Teilnehmer (Nutzer)
1.
Teilnehmer des Freifunknetzes verbinden sich mit dem jeweiligen Freifunk-
Hotspot (Wlan). Der Teilnehmer muss sich dafür weder anmelden noch
identifizieren.
2.
Der Teilnehmer muss folgende Nutzungsbestimmungen akzeptieren:
1.
Der Teilnehmer verpflichtet sich, keine Handlungen vorzunehmen bzw.
Handlungen zu unterlassen, welche gesetzliche Bestimmungen oder die
Rechte Dritter verletzen.
2.
Der Teilnehmer verpflichtet sich, keine Inhalte über das Netzwerk zu
übertragen, welche gegen geltendes Recht verstoßen.
3.
Der Teilnehmer verpflichtet sich, das Netzwerk nicht in einer Weise zu
beanspruchen, welche die Infrastruktur, das Netzwerk selbst, dessen
Betreiber oder andere Teilnehmer beeinträchtigt.
4.
Das Netzwerk ist, wie das Internet auch, unverschlüsselt und offen. Jeder
Teilnehmer ist selbst für die Sicherheit seiner Verbindungen und seiner
Endgeräte verantwortlich.
5.
Die Betreiber lehnen jede Haftung für Datenverlust, unbefugten Zugriff
auf Endgeräte, Schäden an Endgeräten oder finanzielle Verluste, die ein
Teilnehmer durch die Nutzung des Netzwerks erleidet ab.
8.
Anlagen:
1.
Begriffsbestimmung
2.
Grundsätzliche Struktur des Freifunknetzes
3.
Beispiel Topologie
4.
Beispiel FF-Router
Förderverein Freifunk Halle e.V.

Sicherheitskonzept (intern)

2015-06-22T18:53:39Z

Langweiler: Langweiler verschob die Seite Sicherheitskonzept nach Sicherheitskonzept (intern), ohne dabei eine Weiterleitung anzulegen

{{Tip|Dieses Dokument befindet sich noch in der Entstehung.}}

=Präambel=
Freifunk Dreiländereck ("FF3L") ist ein parteipolitischer, unabhängiger, eingetragener Verein, der sich als Teil der weltweiten Open Wireless-Bewegung versteht, welche in Deutschland durch die Freifunk-Initiative repärsentiert wird.

Zur Umsetzung des Vereinszwecks unterhält der FF3L eine Netzwerkinfrastruktur, welche in Kombination mit den Freifunk-WLAN-Routern das Freifunk-Netz bildet. Weiterhin stellt er eine Firmware für Freifunk-Router zur Verfügung. Er ist bei der Bundesnetzagentur seit dem xx.xx.xxxx. als Telekommunikationsdienstleister (Access Provider) registriert.

Mit dem vorliegenden Sicherheitskonzept werden die folgenden Absichten verfolgt:
* Erfüllung der Verpflichtung zur Erstellung und Umsetzung eines Sicherheitskonzeptes nach § 109 TKG.
* Transparente Dokumentation des Status Quo bezüglich Informationssicherheit als Grundlage für die kontinuierliche Verbesserung.
* Aufzeigen von inherenten Limitierungen, die sich auf Grund der Funktionsweise des Freifunk-Netzes ergeben.
* Darstellung der Pflichten von Freifunk-Nutzern hinsichtlich Gewährleistung ihrer eigene Sicherheit.

=Umfang=
Der Umfang des Sicherheitskonzepts beschränkt sich ausschließlich auf die vom FF3L (also dem Verein, und nicht von Freifunkern als Privatpersonen) betriebene Netzwerkinfrastruktur. Explizit beinhaltet dies die vom FF3L betriebenen Bündel-Server, Internet und IC-VPN Gateways. Aspekte der Freifunk-Router werden insofern abgehandelt, wie sie mit der vom Verein herausgegebenen Freifunk-Firmware in Verbindung stehen. Nicht im Umfang enthalten sind Server und Engeräte, welche von Freifunk-Nutzern betrieben werden.

Der Begriff Freifunk-Netz in diesem Dokument bezieht sich auschließlich auf das Freifunk-Netz im Dreiländereck (CH-DE-FR), dessen Aufbau und Betrieb durch den FF3L gefördert wird. Gleiches gilt für die Begriffe Freifunk-Router, Freifunk-Firmware und Freifunk-Server. Eine Übertragung auf Freifunk-Netze anderer Commnunities ist nicht zulässig.

=Kontinuierliche Verbesserung=
Das vorliegende Sicherheitskonzept ist als lebendes Dokument konzipiert. Es dient als Grundlage für die Arbeit des Sicherheitsbeauftragten. Dieser analysiert und aktualisiert gemeinsam mit dem Administratoren-Team des FF3L sowie allen interessierten Freifunkern in regelmäßigen Abständen die Anforderungen an die vom FF3L betriebenen Teilsysteme, die Zulänglichkeit der umgesetzten Maßnahmen sowie die Planung zukünftiger Maßnahmen zur weiteren Verbesserung der Sicherheit.

=Gesetzlicher Hintergrund=
Auszug aus dem "Katalog von Sicherheitsanforderungen für das Betreiben von Telekommunikations- und Datenverarbeitungssystemen sowie für die Verarbeitung personenbezogener Daten nach § 109 Telekommunikationsgesetz (TKG):

Für das Betreiben öffentlicher Telekkommunikatiosnetze sowie das Erbringen öffentlich zugänglicher Telekommunikationsdiense schreibt § 109 TKG Vorkehrungen und sonstige Maßnahmen

* zum Schutz des Fernmeldegehimnisses,
* gegen die Verletzung des Schutzes personenbezogener Daten,
* gegen Störungen, die zu erheblichen Beeinträchtigungen von Telekommunikationsnetzen und -diensten führen, auch soweit sie durch äußere Angriffe und Einwirkungen von Katastrophen bedingt sein könnten,
als Mindestanforderungen vor.

Ziel und Zweck der zu treffenden Maßnahmen sind insbesondere

* die Sicherheit vor unerlaubtem Zugriffen auf Telekommunikations- und Datenverarbeitungssysteme
* die Reduzierung / Minimierung der Auswirkungen von Sicherheitsverletzungen auf Nutzer oder auf zusammengeschaltete Netze
* die Gewährleistung eines ordnungsgemäßen Betriebes der Netze und dadurch die Sicherstellung der fortlaufenden Verfügbarkeit der über die Netze erbrachten Dienste.

=Netzstruktur=
Das Freifunknetz ist ein offenes, sich spontan ausbildendes und selbstheilendes Maschennetzwerk. Die Grundbausteine ("Knoten") des Freifunk-Netzes sind die Freifunk-Router. Der Begriff Maschennetzwerk
bedeutet, dass die einzelnen Knoten mit einem oder mehreren Knoten auf nicht hierarschische Weise verbunden sind.

Die Freifunk-Router sinde handelsübliche WLAN-Router, ausgestattet mit einer speziellen Software ("Firmware"). Die spezielle Firmware gestattet es den Freifunk-Routern spontan Verbindung mit anderen Freifunk-Routern in Reichweite aufzunehmen. Hierbei kommt der offizielle, zugelassene WLAN-Standard 802.11n zum Einsatz. Gleichzeitig agieren die Router als WLAN-Zugangspunkt und ermöglichen damit Klienten (z.B. Smartphones) den direkten Zugang zum Freifunknetz.

Damit die Daten in dieser chaotischen Struktur ihren Weg finden, kommt ein spezielles Routing-Protokoll zum Einsatz. Im Fall des FF3L handelt es sich um das Protokoll [http://www.open-mesh.org/projects/batman-adv/wiki B.A.T.M.A.N. Advanced]. Dieses arbeitet auf der Netzzugangsschicht (Layer 2 nach dem OSI-Netzwerkschichtmodell). Das Freifunk-Netz verhält sich damit effektiv so, als wären alle Knoten über einen einzigen Netzwerk-Switch miteinander verbunden.

Neben der direkten Verbindung von Freifunk-Routern via WLAN gibt es die Option, isolierte Funkwolken über Tunnelverbindungen zu zentralen Servern ("Bündel-Servern") miteinander zu verbinden. Die Tunnelverbindungen laufen über das Internet und sind verschlüsselt (d.h. der Inhalt ist für Dritte nicht einsehbar). Der Internetanschluss wird hierbei auf freiwilliger Basis von den Knotenbetreibern zur Vefügung gestellt.

Weiterhin bietet das Freifunknetz über zentrale Gateways eine Verbindung ins Internet ("Internet Gateways") sowie den Verbund aller Freifunk-Netze ("IC-VPN Gateways"). Der Verein Freifunk Dreiländreck e.V. agiert damit als Zugangsanbieter ("Access Provider"). Die indirekte Weiterleitung ins Internet schützt die Knotenbetreiber vor ewaigen Haftungsansprüchen ("Störherhaftung") im Fall eines Missbrauchs durch Dritte.

Zusätzlich können Applikations-Server in das Freifunk-Netz integriert werden. Diese agieren als reguläre Netzwerkknoten und sind den Freifunk-Routern gleichgestellt.

[[Datei:Netzstrukturplan.png]]

=Sicherheitsteilsysteme=
In den folgenden Abschnitten werden die sicherheitskritischen Teilsysteme des Freifunk-Netzes definiert und diskutiert. Konkret werden als Teilsysteme die Freifunk-Router und Freifunk-Server im allgmeienen sowie Bündel-Server, Internet und IC-VPN Gateways im speziellen behandelt. Jeder Abschnitt besteht aus einer einleitenden Beschreibung inkl. der Aufgaben des jeweiligen Teilsystems, einer Auflistung von Schutzzielen und Gefährdungen, abgeleiteten Sicherheitsanforderungen, bereits umgesetzten sowie zukünftigen, geplanten Sicherheitsmaßnahmen. Zuletzt erfolgt eine abschließende Beurteilung des Gesamtsystems.

==Freifunk-Router==
Freifunk-WLAN-Router bilden die Grundelemente des Freifunk-Netzes. Sie werden auch als Netzwerkknoten bezeichnet. Bei Freifunk-Routern handelt sich um handelsübliche WLAN-Router, welche durch das Einspielen eines speziellen Betriebssystems ("Freifunk-Firmware") modifiziert werden. Freifunk-Router erfüllen die folgenden Aufgaben:
* Spontane Bildung des Freifunk-Maschennetzwerks via WLAN mit allen in Reichweite befindlichen Freifunk-Routern (lokale Funkwolke).
* Optional die Errichtung von Tunnelverbindungen zu Bündel-Servern über das Internet für den Datenaustausch mit entfernten Funkwolken.
* Austausch von Routen-Informationen, um die zielgerichtete Zustellung von Daten zu ermöglichen.
* Zugangspunkt zum Freifunk-Netzwerk für WLAN-Klienten (z.B. Smartphones, Tablets, Notebooks).
* Optional die Anbindung von Servern und/oder lokalen Klienten mittels einer direkten Kabelverbindung.

===Schutzziele und Gefährdungen===
# Freifunk-Router sind vor dem Zugriff unbefugter Dritter geschützt.
# Freifunk-Router ermöglichen Dritten den Zugang zum Freifunk-Netz, nicht jedoch den Zugang zum privaten Netz des Router-Betreibers.
# Fehler und Sicherheitslücken in der Freifunk-Firmware werden behoben.
# Übertragene Daten sind vor dem Zugriff Dritter geschützt.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.

===Abgeleitete Sicherheitsanforderungen===
# Freifunk-Router sind vor dem Zugriff unbefugter Dritter geschützt.
#* Die Einstellungen des Freifunk-Routers lassen sich lediglich in einem gesonderten Konfigurationsmodus verändern.
#* In der Standardkonfiguration des Freifunk-Routers ist kein Zugang auf der Ebene des Betriebssystems ("Shell Login") möglich.
#* Optional kann durch den Router-Betreiber ein verschlüsselter Zugang (z.B. via SSH) aktiviert werden, um die Wartung aus der Ferne zu ermöglichen.
# Freifunk-Router ermöglichen Dritten den Zugang zum Freifunk-Netz, nicht jedoch den Zugang zum privaten Netz des Router-Betreibers.
#* Eine Firewall auf dem Freifunk-Router (Layer 2 und/oder Layer 3) verhindert den Zugriff auf das private Netz des Betreibers.
#* Ausgenommen ist der Aufbau einer Tunnelverbindung zu den Bündelservern, sofern der Betreiber dies in der Konfiguration ausdrücklich gestattet ("opt in").
# Fehler und Sicherheitslücken in der Freifunk-Firmware werden behoben.
#* Die Firmware der Freifunk-Router wird in angemessenen Intervallen automatisch über das Freifunk-Netzt aktualisiert ("Autoupdater").
#* Die Authentizität der Firmware wird durch ein elektronisches Signaturverfahren sichergestellt.
#* Neue Firmware-Versionen werden vor dem Ausrollen gem. eines festgelegten Schemas getestet.
# Übertragene Daten sind vor dem Zugriff Dritter geschützt.
#* Die Datenübertragung zu den Bündel-Servern erfolgt mittels verschlüsselter Tunnelverbindungen (End-zu-Endverschlüsselung) unter Verwendung von nach heutigem Wissenssand sicherer Verfahren.
#* Die Authentizität der Endpunkte wird zum Schutz vor Mann-in-der-Mitte-Angriffen mittels eines asymmetrischen Schlüsselverfahrens sichergestellt.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.
#* Der Ausfall einzelner Freifunk-Router führt nicht zur Störung des restlichen Netzes.
#* Das Routing des Freifunk-Netzes ist "selbstheilend". Durch Ausfall bedingte Unterbrechungenwerden automatisch behoben.
#* Die Funktionstüchtigkeit der Router wird überwacht und der fehlerhafte Betrieb detektiert.

===Umgesetzte Sichgerheitsmaßnahmen===
# Freifunk-Router sind vor dem Zugriff unbefugter Dritter geschützt.
#* Die verwendete Gluon-Firmware unterstützt einen separaten Konfigurationsmodus. Dieser ist nach dem Aufspielen der Firmware aktiviert. Er kann zu einem späteren Zeitpunkt durch längeres Drücken der Reset-Taste am Router erneut aktiviert werden. Die Konfiguration wird über eine Web-Oberfläche unter der Adresse http://192.168.0.1 vorgenommen. Nach Abschluss der Konfiguration wechselt der Router in den Betriebsmodus. Eine Änderung der Konfiguration über die Web-Obewrfläche ist in der Folge nicht mehr möglich.
#* In der Standardkonfiguration der Gluon-Firmware ist der Shell Login auf den Router deaktiviert. Er muss explizit im Konfigurationsmodus aktiviert werden, indem ein Passwort oder Schlüssel für den Zugang via SSH gesetzt wird.
# Freifunk-Router ermöglichen Dritten den Zugang zum Freifunk-Netz, nicht jedoch den Zugang zum privaten Netz des Router-Betreibers.
#* Das Freifunk-Netz und das private Netz des Router-Betreibers werden in der Gluon-Netzwerkkonfiguration strikt getrennt. Die Zugänge zu den beiden Netzen sind in Form separater Brücken zusammengefasst (''br-client'' und ''br-wan'').
#* Die verwendete Gluon-Firmware konfiguriert Firewall-Regeln (bereitgestellt durch das Paket ''gluon-ebtables''), welche auf der Netzzugangsschicht (Layer 2) den Zugriff auf das private Netz unterbindet.
#* Eine Ausnahme bildet der Aufbau einer optionalen Tunnelverbindung zu den Bündel-Servern durch die VPN-Software ''fastd''. Diese Option muss vom Betreiber im Konfigurationsmodus explizit aktiviert werden ("opt-in").
# Fehler und Sicherheitslücken in der Freifunk-Firmware werden behoben.
#* Der FF3L betreibt einen Aktualisierungs-Dienst, welcher über das Freifunk-Netz erreichbar ist. Mit Hilfe des Aktualisierungsdienstes lassen sich neuere Versionen der Firmware auf den Routern automatisch einspielen. Die Konfiguration der Freifunk-Router bleibt hierbei soweit möglich erhalten.
#* Der Aktualisierungs-Dienst ist in der Standardkonfiguration der Freifunk-Firmware aktiviert (Zweig "stable"). Der Aktualisierungs-Dienst kann im Konfigurationsmodus in den Experteneinstellungen deaktiviert werden ("opt-out").
#* Die Authentitizät der Firmware-Images wird durch ein Signaturverfahren gewährleistet (signiertes Manifest). Neue Images werden von den Freifunk-Routern nur bei vorhandensein einer gültigen Signatur installiert (siehe auch [http://gluon.readthedocs.org/en/v2014.4/index.html Gluon-Dokumentation]).
#* Veröffentlichte Firmware-Images werden in die Zweige "experimental", "beta" und "stable" unterteilt. Neue Firmware-Versionen werden in eben dieser Reihenfolge ausgerollt, um einen ausreichenden Testbetrieb vor der Verbreitung zu gewährleisten.
#* Die Aktuelle Praxis bezüglich der Veröffentlichung von neuen Firmware-Versionen ist im [http://wiki.freifunk-3laendereck.net/Freifunk-Router:Firmware Wiki] des FF3L dokumentiert.
# Übertragene Daten sind vor dem Zugriff Dritter geschützt.
#* Die Datenübertragung zu den Bündel-Servern erfolgt mittels der VPN-Software fastd über das Internet. Die übertragenen Daten sind mittels des Chiffre Salsa20/12 verschlüsselt.
#* Die Authentifizierung erfolgt mittels der asymmetrischen Schlüsselverfahren UMAC oder GMAC. Die öffentlichen Schlüssel müssen einmalig vor dem Aufbau der Verbindung ausgetauscht werden. Dies geschieht im Rahmen der Registrierung des Knotens.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.
#* Der Ausfall einzelner Server führt nicht zu Störungen innerhalb des Netzes, sofern alternative Routen existieren. In diesem Fällen wird das Routing durch das verwendete Routing-Protokoll batman-adv automatisch korrigiert und die Lücke geschlossen
#* Die Freifunk-Firmware stellt auf den Knoten eine Status-Seite bereit. Auf dieser kann man sehen, ob der Knoten mit dem Freifunk-Netz und auf welche Weise er mit dem Freifunk-Netz verbunden ist.
#* Der Status aller Knoten wird zusätzlich in Form einer Knotenkarte auf den Servern des FF3L visualisiert. Der Karte lässt sich neben der Lage des Knotens (freiwillige Angabe) entnehmen, ob ein Knoten mit dem Freifunk-Netz verbunden ist und wie er verbunden ist.

===Bekannte Lücken sowie geplante, zukünftige Sicherheitsmaßnahmen===
# Freifunk-Router sind vor dem Zugriff unbefugter Dritter geschützt.
#* Freifunk-Router werden prinzipiell nicht vom FF3L betrieben. Für den Schutz vor physikalischem Zugriff und ggf. damit einhergehender Manipulation ist der Knoten-Betreiber verantwortlich.
# Freifunk-Router ermöglichen Dritten den Zugang zum Freifunk-Netz, nicht jedoch den Zugang zum privaten Netz des Router-Betreibers.
#* Die an bestimmten Freifunk-Routern verfügbaren LAN-Ports ermöglichen eine direkte Verbindung von Endgeräten (z.B. Servern) mit dem Freifunk-Netz. LAN-Ports sind von den WAN-Ports zu unterscheiden, über welche die Freifunk-Router mit dem Internet verbunden werden.
#* Im Fall einer Verwechslung der Ports, kann das private Netze des Freifunk-Betreibers in das Freifunk-Netz überbrückt werden.
#* Um Knotenbetreiber im Fall einer Verwechselung zu schützen, sollen die LAN-Ports in der Standardkonfiguration deaktiviert werden. Eine Aktivierung erfolgt über den Konfigurationsmodus des Routers.
# Fehler und Sicherheitslücken in der Freifunk-Firmware werden behoben.
#* Der Aktualisierungs-Dienst für die Freifunk-Firmware ist in der Standardkonfiguration aktiviert. Die entsprechende Einstellung verbirgt sich jedoch unter den Experteneinstellungen im Konfigurationsmodus.
#* Um Knotenbetreiber auf diesen Umstand aufmerksam zu machen, ist eine Verlegung der Einstellungen in den allgemeinen Teil des Konfigurationsmnodus geplant.
# Übertragene Daten sind vor dem Zugriff Dritter geschützt.
#* Die Datenübertragung zwischen den Freifunk-Routern erfolgt auf Grund der eingesetzen Technologie unverschlüsselt. Sie ist damit durch Dritte vor Ort abhörbar.
#* Umfassende Sicherheit lässt sich allein durch End-zu-End-Verschlüsselung gewährleisten. Die Anwendung dieser erfolgt auf den Endgeräten und liegt damit in der Verantwortung der Freifunk-Nutzer und nicht des FF3L.
#* Um eine sichere Übetragung von den Klienten zu den Bündel-Servern zu gewährleisten, soll optional ein VPN-Zugang für Klienten angeboten werden (z.B. [http://www.openvpn.net OpenVPN]).
#* Um eine sichere Übertragung von Endpunkt zu Endpunkt innerhalb des Freifunk-Netzes anzubieten, ist die Einrichtung eines verschlüsselten Overlay-Netzes angedacht (z.B. [http://cjdns.info/ cjDNS]).
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet
#* Keine geplanten Maßnahmen.

==Server==
Im Folgenden Abschnitt sind die allgemeinen Schutzziele und Gefährdungen für Freifunk-Server zusammengefasst. Freifunk-Server werden in der Regel - jedoch nicht ausschließlich - bei Host Providern angemietet (physikalische und virtualisierte Root Server). Die Einrichtung, der Betrieb und die Wartung erfolgt durch den FF3L. Der Begriff "Freifunk-Server" umfasst hierbei die weiter unten aufgeführten Bündel-Server, Internet sowie IC-VPN Gateways. Diese werden entsprechend ihrer Aufgaben noch einmal separat abgehandelt. In der Praxis werde die verschiedenen Server meist zusammengefasst. Ausgeschlossen sind Server, welche von Freifunkern als Privatpersonen innerhalb des Freifunknetzes betrieben werden.

===Schutzziele und Gefährdungen===
# Server sind vor dem Zugriff unbefugter Dritter geschützt.
# Fehler und Sicherheitslücken in der verwendeten Software werden behoben.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.

===Abgeleitete Sicherheitsanforderungen===
# Server sind vor dem Zugriff unbefugter Dritter geschützt.
#* Der Zugriff auf die Server (physikalisch und über das Internet) ist auf einen engen, definierten Personenkreis beschränkt.
#* Zugriffsrechte werden nach Bedarf und maßgeschneidert erteilt.
#* Der Zugang aus dem Netz erfolgt exklusiv über verschlüsselte Verbindungen (z.B. SSH).
#* Eine Firewall beschränkt Zugriffe aus dem Netz auf das notwendige Minimum.
#* Spezielle Sicherheitssoftware zur Erkennung von Eindringlingen wird verwendet.
# Fehler und Sicherheitslücken in der verwendeten Software werden behoben.
#* Server werden auf der Grundlage eines gepflegten, quelloffenen Betriebssystems errichtet.
#* Verwendete Software wird in adequaten Intervallen aktualisiert.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.
#* Die Funktionstüchtigkeit der Server wird überwacht und der fehlerhafte Betrieb detektiert.
#* Server sind vor DoS-Attacken aus dem Internet geschützt.

===Umgesetzte Sicherheitsmaßnahmen===
# Server sind vor dem Zugriff unbefugter Dritter geschützt.
#* Der Zugriff auf die Server des FF3L ist auf Mitglieder des Administratoren-Teams begrenzt. Das Aministratoren-Team wird durch den Vorstand des Vereins benannt.
#* Der Shell-Login ist ausschließlich über SSH möglich. Die Authentifizierung erfolgt mittels eines Passworts (LDAP) oder eines hinterlegten Schlüssels.
#* Server werden durch Firewall-Regeln auf der Basis von ''iptables'' geschützt. Die Standardvorgabe ist, dass eingehende und weiterzuleitende Pakete verworfen werden. Die Freigabe von Ports bzw. der Weiterleitung erfolgt mittels spezifischer Regeln wo erwünscht.
# Fehler und Sicherheitslücken in der verwendeten Software werden behoben.
#* Die Freifunk-Server werden auf Basis der Debian Linux-Distribution betrieben. Sofern möglich, wird die jeweils letzte stabile Version verwendet.
#* Es werden in angemessenen Intervallen empfohlene Sicherheitsaktualisierungen mittels der offiziellen Paketverwaltung eingespielt.
#* Das Administratoren-Team verfolgt sicherheitsrelevante Ankündigungen über die Mailing-Liste debian-security-announce@lists.debian.org.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.
#* Kritische Server und Dienste werden über ein zentrales Monitoring auf der Basis von Nagios(-Derivaten) überwacht. Das Monitoring ist redundant aufgesetzt. Der aktuelle Zustand aller Server und Dienste ist über eine Web-Oberfläche einsehbar. Optional erfolgt eine Mitteilung per e-Mail im Fall von Statusänderungen.
#* Die Server des FF3L werden von Host Providern angemietet. Diese bieten üblicherweise einen gewissen Schutz vor DoS-Angriffen in der Form adaptiver Firewalls.

===Bekannte Lücken sowie geplante, zukünftige Sicherheitsmaßnahmen===
# Server sind vor dem Zugriff unbefugter Dritter geschützt.
#* Die Erteilung von Zugriffsrechten erfolgt derzeit weitestgehend monolithisch, soll in Zukunft jedoch granular und nach Bedarf erfolgen. Erteilte Rechte sollen an geeigneter Stelle transparent dokumentiert und veröffentlicht werden.
#* Bzgl. der verwendbaren Passwörter gibt es aktuell keine Vorgaben. In der Zukunft soll eine Überprüfung der Passwortstärke sowie Vorgabe einer minimalen Entropie implementiert werden.
#* Die Authentifizierung im Rahmen des Shell-Login via SSH ist aktuell mittels eines Passworts möglich. Die Authentifizierung soll auf asymmetrische Schlüsselverfahren beschränkt werden, um die Folgen von Man-in-der-Mitte-Angriffen zu mildern.
#* Sicherheitssoftware zur Erkennung von Eindringlingen wird aktuell nur auf einem Teil der Freifunk-Server verwendet. Die Erstellung und Umsetzung eines flächendeckenden Konzepts steht nachwievor aus.
# Fehler und Sicherheitslücken in der verwendeten Software werden behoben.
#* Keine geplanten Maßnahmen.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.
#* Keine geplanten Maßnahmen.

==Bündel-Server==
Bündel-Server dienen der Verbindung isolierter Funkwolken innerhalb des Freifunk-Netzes. Vom Prinzip her sind Sie den Freifunk-Routern gleichgestellte Netzwerkknoten, erfüllen jedoch zusätzliche Aufgaben. Bündel-Server unterhalten im Normalfall eine hohe Anzahl an Verbindungen zu Freifunk-Routern. Da ein erheblicher Teil des Datenverkehrs über die Bündel-Server läuft, sind diese als besonders sicherheitskritisch einzustufen. Konkret erfüllen Bündel-Server die folgenden Aufgaben:
* Verbindung entfernter Freifunk-Router mittels Tunnelverbindungen über das Internet.
* Austausch von Routen-Informationen, um die zielgerichtete Zustellung von Daten zu ermöglichen.
* Automatische Netzwerkkonfiguration von Klienten.
* Namensauflösung innerhalb des Freifunk-Netzes.

===Schutzziele und Gefährdungen===
# Übertragene Daten sind vor dem Zugriff Dritter geschützt.
# Die Namensauflösung ist vor Manipulationen durch Dritte geschützt.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.

Zusätzlich gelten die Schutzziele und Gefährdungen für Server im allgemeinen.

===Abgeleitete Sicherheitsanforderungen===
# Übertragene Daten sind vor dem Zugriff Dritter geschützt.
#* Die Datenübertragung zu den Freifunk-Routern erfolgt mittels verschlüsselter Tunnelverbindungen (End-zu-Endverschlüsselung) unter Verwendung von nach heutigem Wissenssand sicherer Verfahren.
#* Die Authentizität der Endpunkte wird zum Schutz vor Mann-in-der-Mitte-Angriffen mittels eines asymmetrischen Schlüsselverfahrens sichergestellt.
# Die Namensauflösung ist vor Manipulationen durch Dritte geschützt.
#* Die Authentizität der Endpunkte wird zum Schutz vor Mann-in-der-Mitte-Angriffen mittels eines asymmetrischen Schlüsselverfahrens sichergestellt.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.
#* Der Ausfall eines Bündel-Servers führt nicht zur Störung des restlichen Netzes.
#* Die Netzstabilität wird durch Redundanz gewährleistet. Die Bündel-Server sind über mehrere Rechenzeitung verteilt.
#* Das Routing des Freifunk-Netzes ist "selbstheilend". Durch Ausfall bedingte Unterbrechungen werden automatisch behoben.
#* Die verfügbare Bandbreite wird gleichmäßig auf alle verbundenen Knoten/Klienten verteilt.

===Umgesetzte Sichgerheitsmaßnahmen===

===Bekannte Lücken sowie geplante, zukünftige Sicherheitsmaßnahmen===

==Internet Gateways==
Internet Gateways stellen die Verbindung zwischen dem Freifunk-Netz und dem Internet her. Sie werden auch als "Exit Nodes" bezeichnet und stellen die Standard-Route innerhalb des Freifunk-Netzes. In der aktuellen Konfiguration ist das Routing auf IPv4 beschränkt. Die lokalen IPv4-Adressen der Klienten werden auf die öffentlichen IPv4-Adressen der Gateways abgebildet. Konkret erfüllen Internet Gateways die folgenden Aufgaben:
* Routing von Verkehr zwischen dem Freifunk-Netz und dem Internet (nur IPv4)
* Adressübersetzung (nur IPv4)
* Namensauflösung für das Internet

===Schutzziele und Gefährdungen===
# Gleichmäßige Verteilung der verfügbaren Bandbreite auf alle Klienten sowie adequate Priorisierung des Verkehrs nach Diensten.
# Unterbindung von Rechtsverletzungen

Zusätzlich gelten die Schutzziele und Gefährdungen für Server im allgemeinen.

===Abgeleitete Sicherheitsanforderungen===
# Gleichmäßige Verteilung der verfügbaren Bandbreite auf alle Klienten sowie adequate Priorisierung des Verkehrs nach Diensten.
#* Verwendung geeigneter Queueing Disciplines.
# Unterbindung von Rechtsverletzungen
#* Unterbindung des Versands von SPAM-Nachrichten.
#* Einschränkung von P2P-Dateiübertragungen auf ein tolerierbares Maß.

===Umgesetzte Sicherheitsmaßnahmen===

===Bekannte Lücken sowie geplante, zukünftige Sicherheitsmaßnahmen===

==IC-VPN Gateways==
IC-VPN Gateways stellen die Verbindung zwischen dem Freifunk-Netz und anderen Freifunk-Netzen innerhalb des Intercity VPNs (IC-VPN) her. Die Verbindung erfolgt über ein virtuelles Transportnetz. Die zugehörigen Routen werden mittels BGP ausgetauscht. In der aktuellen Konfiguration wird zusätzlich der Verkehr ins Internet via IPv6 zu den "Exit Nodes" anderer Freifunk-Netze geroutet. Konkret erfüllen IC-VPN Gateways die folgenden Aufgaben:
* Peering mit IC-VPN Gateways anderer Freifunk-Netze
* Austausch von Routeninformation via BGP
* Routing von Verkehr zwischen den Freifunk-Netzen
* Namensauflösung für Domänen innerhalb des IC-VPN
* Routing von Internetverkehr (IPv6) zu den Internet Gateways anderer Freifunk-Netze

===Schutzziele und Gefährdungen===
# Übertragene Daten sind vor dem Zugriff Dritter geschützt.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.

Zusätzlich gelten die Schutzziele und Gefährdungen für Server im allgemeinen.

===Abgeleitete Sicherheitsanforderungen===
# Übertragene Daten sind vor dem Zugriff Dritter geschützt.
#* Die Datenübertragung zu den Bündel-Servern erfolgt mittels verschlüsselter Tunnelverbindungen (End-zu Endverschlüsselung) unter Verwendung von nach heutigem Wissenssand sicherer Verfahren.
#* Die Authentizität der Endpunkte wird zum Schutz vor Mann-in-der-Mitte-Angriffen mittels eines asymmetrischen Schlüsselverfahrens sichergestellt.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.
#* Der Ausfall des IC-VPN-Gateways führt nicht zur Störung des restlichen Netzes.

===Umgesetzte Sicherheitsmaßnahmen===

===Bekannte Lücken sowie geplante, zukünftige Sicherheitsmaßnahmen===

==Bewertung des Gesamtsystems==
Welche Risiken ergeben sich aus dem Zusammnenwirken der Teilsysteme?

==Mitteilungspflichten==

Welche Sicherheitsverletzungen und/oder Störungen würden wir der Bundesnetzagentur mitteilen wollen?

Server

2015-06-20T16:15:11Z

Langweiler: /* IP-Adressen / Hostnames */

== IP-Adressen / Hostnames ==
{|class="wikitable sortable"
!Hostname
!IPv4
!IPv6
!Standort
!Fingerprint
!Kommentar
|-
|[[Server:gw1|gw1]]
|5.45.110.180
|
|netcup GmbH (DE)
|
|Gateway "Weil am Rhein" von Bernd
|-
|[[Server:gw2|gw2]]
|87.106.67.172
|
|1&1 Internet AG (DE)
|
|Gateway "Rheinfelden" von Rüdiger
|-
|[[Server:gw3|gw3]]
|185.89.196.109
|2a03:8460:1:2:109::
|masterssystems (Offenbach, DE)
|
|Gateway Freifunk Dreiländereck e.V.
|-
|[[Server:gw4|gw4]]
|146.185.253.133
|
|XonServers (NL)
|
|Gateway "Schopfheim" von Ben
|-
|[[Server:node1|node1]]
|185.89.196.13
|2a03:8460:1:2:1:13::
|masterssystems (Offenbach, DE)
|1b:0f:3d:f5:2c:2f:2c:50:c5:9d:60:d3:e1:30:b0:43
|Applikationsserver Freifunk Dreiländereck e.V.
|-
|-
|[[Server:node2|node2]]
|185.89.197.13
|2a03:8460:1:2:2:13::
|masterssystems (Offenbach, DE)
|de:3d:f5:96:f2:8c:46:4b:23:76:f8:c9:ab:e5:65:d8
|Applikationsserver Freifunk Dreiländereck e.V.
|}

== Setup ==
=== Standard ===
identisch für alle FF3L-Server:
* Debian AMD64 Netinstall (7.8)
* Locale: EN_US.UTF8
* Partitionierung:
** vda1: 2 GB swap
** vda2: Rest ext4 /
* Setup Pakete:
** SSH Server
** Standard system utilities
* Pakete nachinstallieren:
** fail2ban
** htop
** iotop
** joe
** libpam_ldapd
** screen
** strace
** sudo
* Admin-User (lokal)
** admin:x:900:900::/home/admin:/bin/bash

;/etc/ssh/sshd_config
<pre>
...
PermitRootLogin no
...
AuthorizedKeysCommand /usr/local/bin/ldap_keys.sh
AuthorizedKeysCommandUser nobody
...
</pre>

;LDAP
* URI: ldaps://apps.freifunk-3laendereck.de/
* nsswitch: aliases, group, passwd, shadow

=== Applikationsserver ===
* Setup-Profile:
** Web server
** SQL database
** DNS server
** Mail server
** SSH server
** Standard system utilities
* Pakete nachinstallieren:
** slapd
** ldap-account-manager
** apache2-mpm-itk

;/etc/default/slapd
<pre>
...
SLAPD_SERVICES="ldaps:/// ldapi:///"
...
</pre>

;/etc/ldap/ldap.conf
<pre>
BASE dc=freifunk-3laendereck,dc=net
URI ldapi:///
...
TLS_REQCERT allow
</pre>

;/etc/nslcd.conf
<pre>
...
uri ldapi:///
uri ldaps://192.168.13.2/
...
base dc=freifunk-3laendereck,dc=net
...
rootpwmoddn cn=admin,dc=freifunk-3laendereck,dc=net
...
</pre>

;/usr/share/pam-configs/mkhomedir
<pre>
Name: Create home directory during login
Default: yes
Priority: 900
Session-Type: Additional
Session:
required pam_mkhomedir.so umask=0077 skel=/mnt/nfs/home/skel
</pre>

Server

2015-06-20T16:14:53Z

Langweiler: /* IP-Adressen / Hostnames */

== IP-Adressen / Hostnames ==
{|class="wikitable sortable"
!Hostname
!IPv4
!IPv6
!Standort
!Fingerprint
!Kommentar
|-
|[[Server:gw1|gw1]]
|5.45.110.180
|
|netcup GmbH (DE)
|Gateway "Weil am Rhein" von Bernd
|-
|[[Server:gw2|gw2]]
|87.106.67.172
|
|1&1 Internet AG (DE)
|
|Gateway "Rheinfelden" von Rüdiger
|-
|[[Server:gw3|gw3]]
|185.89.196.109
|2a03:8460:1:2:109::
|masterssystems (Offenbach, DE)
|
|Gateway Freifunk Dreiländereck e.V.
|-
|[[Server:gw4|gw4]]
|146.185.253.133
|
|XonServers (NL)
|
|Gateway "Schopfheim" von Ben
|-
|[[Server:node1|node1]]
|185.89.196.13
|2a03:8460:1:2:1:13::
|masterssystems (Offenbach, DE)
|1b:0f:3d:f5:2c:2f:2c:50:c5:9d:60:d3:e1:30:b0:43
|Applikationsserver Freifunk Dreiländereck e.V.
|-
|-
|[[Server:node2|node2]]
|185.89.197.13
|2a03:8460:1:2:2:13::
|masterssystems (Offenbach, DE)
|de:3d:f5:96:f2:8c:46:4b:23:76:f8:c9:ab:e5:65:d8
|Applikationsserver Freifunk Dreiländereck e.V.
|}

== Setup ==
=== Standard ===
identisch für alle FF3L-Server:
* Debian AMD64 Netinstall (7.8)
* Locale: EN_US.UTF8
* Partitionierung:
** vda1: 2 GB swap
** vda2: Rest ext4 /
* Setup Pakete:
** SSH Server
** Standard system utilities
* Pakete nachinstallieren:
** fail2ban
** htop
** iotop
** joe
** libpam_ldapd
** screen
** strace
** sudo
* Admin-User (lokal)
** admin:x:900:900::/home/admin:/bin/bash

;/etc/ssh/sshd_config
<pre>
...
PermitRootLogin no
...
AuthorizedKeysCommand /usr/local/bin/ldap_keys.sh
AuthorizedKeysCommandUser nobody
...
</pre>

;LDAP
* URI: ldaps://apps.freifunk-3laendereck.de/
* nsswitch: aliases, group, passwd, shadow

=== Applikationsserver ===
* Setup-Profile:
** Web server
** SQL database
** DNS server
** Mail server
** SSH server
** Standard system utilities
* Pakete nachinstallieren:
** slapd
** ldap-account-manager
** apache2-mpm-itk

;/etc/default/slapd
<pre>
...
SLAPD_SERVICES="ldaps:/// ldapi:///"
...
</pre>

;/etc/ldap/ldap.conf
<pre>
BASE dc=freifunk-3laendereck,dc=net
URI ldapi:///
...
TLS_REQCERT allow
</pre>

;/etc/nslcd.conf
<pre>
...
uri ldapi:///
uri ldaps://192.168.13.2/
...
base dc=freifunk-3laendereck,dc=net
...
rootpwmoddn cn=admin,dc=freifunk-3laendereck,dc=net
...
</pre>

;/usr/share/pam-configs/mkhomedir
<pre>
Name: Create home directory during login
Default: yes
Priority: 900
Session-Type: Additional
Session:
required pam_mkhomedir.so umask=0077 skel=/mnt/nfs/home/skel
</pre>

2015-06-11 Mitgliederversammlung

2015-06-16T19:55:41Z

Langweiler: Die Seite wurde neu angelegt: „Protokoll der Mitgliederversammlung des Freifunk Dreiländereck e.V. Datum: 11. Juni 2015 Ort: Restaurant Chläbi, Eisenbahnstraße 9, 79576 Weil am Rhein. Ve…“

Protokoll der Mitgliederversammlung des Freifunk Dreiländereck e.V.

Datum: 11. Juni 2015
Ort: Restaurant Chläbi, Eisenbahnstraße 9, 79576 Weil am Rhein.
Versammlungsleiter: Roland Zimmermann
Protokollführer: Jonas Witmer
Anwesende Mitglieder:

=Tagesordnung=
*TOP 1 Begrüßung
*TOP 2 Feststellung der Beschlussfähigkeit
*TOP 3 Wahl des Versammlungsleiters und des Protokollführers
*TOP 4 Bericht des Vorstandes zur Gemeinnützigkeit
*TOP 5 Satzungsänderung
*TOP 6 Beschluss über Mitgliedsbeiträge für ordentliche Mitglieder und Fördermitglieder
*TOP 7 Bericht des Vorstandes zur Vereinsarbeit
*TOP 8 Aussprache
*TOP 9 Anträge und Sonstiges

=TOP 1 Begrüßung=
Die Anwesenden werden durch Herrn Markus Siniawa zur ersten Mitgliederversammlung des Freifunk Dreiländereck e.V. begrüßt.

=TOP 2 Feststellung der Beschlussfähigkeit=
Gemäß §9.4 der Satzung ist die Mitgliederversammlung beschlusfähig, wenn mindestens ein Viertel der ordentlichen Vereinsmitglieder anwesend ist. Markus Siniawa stellt fest, dass [Anzahl] Mitglieder anwesend sind. Die Versammlung ist damit beschlussfähig.

=TOP 3 Wahl des Versammlungsleiters und des Protokollführers=
Die anwesenden Mitglieder bestimmen Roland Zimmermann zum Versammlungsleiter sowie Jonas Witmer zum Protokollführer. Die Wahl wird per Handzeichen durchgeführt und erfolgt in beiden Fällen einstimmig.

=TOP 4 Bericht des Vorstandes zur Gemeinnützigkeit=
Herr Markus Siniawa erläutert, dass die Satzung des Vereins vor Gründung dem Finanzamt zur Prüfung auf Anerkennung der Gemeinnützigkeit vorgelegt wurde. Zum damaligen Zeitpunkt gab es keine Beanstandung durch die zuständige Sachbearbeiterin. Nach erfolgter Gründung des Vereins kam es dann im Rahmen der Beantragung des Freistellungsbescheids doch zu einer Beanstandung durch das Finanzamt. Begründung: Der aktuelle Ausgabenerslass des Finanzamts schließt den Betrieb von Computernetzwerken - wie in Paragraph 2 Abs. 3 Punkt 6 vorgesehen - als gemeinnützigen Zweck aus.

Der Vorstand des Vereins empfiehlt daher die ersatzlose Streichung des Paragraph 2 Abs. 3 Punkt 6, um die Gemeinnützigkeit zu erlangen.

Herr Raimund Sommer will wissen, ob in diesem Fall überhaupt ausreichend Substanz hinsichtlich des Vereinszwecks bleibt. Herr Rüdiger Lorenz antwortet darauf, dass lediglich der Betrieb der zentralen Server-Infrastruktur betroffen ist. Diese soll weiterhin vom Verein betrieben werden. Die Finanzierung kann jedoch nicht mit gemeinnützigen Mitteln erfolgen. Herr Bernd Kalbfuss-Zimmermann weißt in diesem Zusammenhang darauf hin, dass der Betrieb der Router ohnehin nicht durch den Verein, sondern durch Freifunker als Privatpersonen erfolgt.

=TOP 5 Satzungsänderung=

Abstimmung: Soll Paragraph 2 Abs. 3 Punkt 6 der Vereinssatzung gestrichen werden?

Die Wahl erfolgt per Handzeichen.

Ja-Stimmen: Einstimmig
Nein-Stimmen: 0
Enthaltungen: 0

Feststellung: Die Streichung des Paragraph 2 Abs. 3 Punkt 6 in der Satzung wurde einstimmig beschlossen.

=TOP 6 Mitgliedsbeiträge=
Der Vorstand schlägt einen jährlichen Mitgliedsbeitrag für ordentliche Mitglieder von EUR 24 pro Jahr vor (2 EUR pro Monat). Weiterhin soll die Möglichkeit eröffnet werden, den Verein durch Sponsoring zu unterstützen. Als Empfehlung schlägt der Verein die folgende Staffelung vor:

* EUR 50 pro Jahr für kleinere Betriebe/Gaststätten mit 1-2 Routern
* EUR 250 pro Jahr für Betriebe mit bis zu 5 Personen
* EUR 500 pro Jahr: für Festhallen, Schwimmbäder, etc.

Der Betrag für das Sponsoring soll jedoch prinzipiell frei wählbar bleiben. Bei der Staffelug handelt sich lediglich um eine Orientierung.

Herr Rüdiger Lorenz merkt an, das Sponsoren-Gelder im Gegensatz zu Mitgliedsbeiträgen, welche dem gemeinnützigen Teil zugeordnet sind, frei verwendet werden können. Den Sponsoren wird im Gegenzug eine Rechnung erstellt (nicht Spendenbescheinigung). Unter anderem soll mittels Sponsoring die Server-Infrastruktur finanziert werden, welche nicht aus gemeinnützigen Mitteln finanziert werden darf. Er betont weiterhin, dass die Mitgliedschaft im Verein nicht Voraussetzung für den Betrieb von Freifunk-Routern bzw. die generelle Teilnahme an Freifunk-Aktivitäten ist. Gleiches gilt für das Sponsoring.

Herr [Freifunker aus Stuttgart] möchte wissen wie verhindert werden soll, dass Sponsoren eine Gegenleistung erwarten. Herr Rüdiger Lorenz und Tilo Levante antworten hierauf, dass es keinen professionellen Support oder sonstige Art der Bevorzugung von Sponsoren geben wird. Freifunk ist ein "best effort" Netz ohne Garantien. Dieser Punkt ist in den auf der Web-Seite des Vereins veröffentlichten Nutzungsbedingungen dokumentiert. Es ist jedoch angedacht, Sponsoren als Gegenleistung namentlich auf der Web-Seite des Vereins zu erwähnen.

Abstimmung: Soll der jährliche Mitgliedsbeitrag für ordentliche Mitglieder auf EUR 24 pro Jahr festgelegt werden?
Die Wahl erfolgt ber Handzeichen.

Ja-Stimme: Einstimmig
Nein-Stimme: 0
Enthaltungen: 0

Feststellung: Der jährliche Mitgliedsbeitrag für ordentliche Mitglieder wurde einstimmig auf EUR 24 pro Jahr festgelegt.

Spontane Abstimmung: Soll der Vorschlag des Vorstands zum Sponsoring angenommen werden?
Die Wahl erfolgt per Handzeichen.

Ja-Stimme: 8
Nein-Stimme: 0
Enthaltungen: 2

Feststellung: Der Vorschlag des Vorstands zum Sponsoring wurde mit 8 Stimmen bei 2 Enthaltungen angenommen.

=Vereinsarbeit=
==Aktuelle Infrastruktur==
- Gateways: zwei private Server im Betrieb, sowie ein Vereins-Gateway
- Netcup-Angebot: 16 V-Server inklusive 64 TB Traffic für EUR 64 pro Monat.
- Techniktreffen:
- Einrichtung eines Dienste-Servers
- Migration der Web-Seite
- Registrierung der Router wird in Zukunft über die Vereins-Webseite durch die Vereinsmitglieder möglich sein.
- Die 3 Vereinsserver wurden von Manuel Schneider gesponsort.
- Das Netcup-Angebot kann durch eine Spende der Firma Lorenz IT finanziert werden.
- Sicherheitskonzept:
- Ein erster, noch nicht vollständiger Entwurf des Sicherheitskonzepts ist im Wiki verfügbar; Rückmeldungen sind in jeder Form willkommen.
- Sicherheitskonzept ist eine Auflage des TKG
- Technisches Team und Sicherheitsbeauftragter erstellen Konzept gemeinsam; Datenschutzbeauftragte kontrolliert dies ein.
- Als mögliche Kandidaten haben sich Heinz ... und Philipp Draese gemeldet.

Kommentar durch Markus Siniawa: Exklusive Verwendung von FOSS angedacht. Keine Verwendung von Closed Source.

==Öffentlichkeitsarbeit==
- Flyer (Layout und Druck) durch Wirschaftsförderung Rheinfelden gesponsort (ungefährer Gegenwert von EUR 850).
- Aufnahme von Freifunk in den Innenstadtplan der Stadt Rheinfelden
- Infostand auf dem Stadtfest in Rheinfelden von ...; der Pavillon wurde ebenfalls von der Stadt Rheinfelden gestellt. Es wurden zahlreiche Router verteilt und interessierte Passanten in Gesprächen informiert. Rüdiger: Für zukünftige Veranstaltungen wäre eine breitere Unterstützung wünschenswert.

==Werbematerial==
- Flyer:
- Aufkleber für die Router:
- Visitenkarten:

Rüdiger: Es wurden des öfteren Aufkleber für Geschäfte ("Free Wifi") angefragt. Ein Entwurf ist bereits im Wiki hinterlegt. Der Druck soll in Kürze in Auftrag gegeben werden. Markus: Alternativ wären auch kleine Aufsteller für Tische denkbar.
Rüdiger: Weiterhin wäre ein Nachbarschaftsflyer wünschenswert, um für Stellplätze im privaten Umfeld zu werben.

Diskussion: Welche ESSID soll in Zukunft verwendet werden? Aktuell wir die ESSID 3laendereck.freifunk.net verwendet. Diese führt direkt auf die Web-Seite des Vereins ist jedoch vergleichsweise lang. Es folgt eine kontroverse Diskussion ohne klare Mehrheiten. Entsprechend wird vom Vorstand eine spontane Abstimmung einberufen:

Spontane Abstimmung: Soll die aktuelle ESSID beibehalten werden?
Ja-Stimmen: 10
Enthaltungen: 2
Nein-Stimmen: 0

Frage: Der Name 3Ländereck suggeriert die Teilnahme von Personen aus drei Ländern, Frankreich scheint jedoch noch nicht vertreten.
Markus: Der Verein hat bereits zwei Mitglieder aus Frankreich. Die Verbreitung in Frankreich ist jedoch noch gering.

Frage: Existiert
Rüdiger: Die Störerhaftung existiert, die exakten rechtlichen Konsquenzen sind jedoch unklar und bedürfen noch einer Analyse. Gleiches gilt für die Schweiz. Es laufen Analysen durch die ... sowie die digitale Gesellschaft.

==Social Media==
- Verein betreibt Facebook-Seite und einen Twitter-Account.
- Twitter wird
- Insgesamt wurden seit März über 35 Artikel zu Freifunk im 3Ländereck veröffentlicht.
- Weiterhin wurde ein Radio- und Fernsehinterview ausgestrahlt (Radio Energy, Fernseh Basel).
- Sammlung aller relevanter Information im Medien-Spiegel.

Die geschaffenen Kanäle sollen auch zur politischen Meinungsbildung genutzt werden. Politische Einflussnahme ist ausdrücklich vom Vereinszweck gedeckt. Insbesondere möchte sich der Vorstand gegen die Vorratsdatenspeicherung und Zensur positionieren. Die politische Einflussnahme soll überparteilich erfolgen.

==Finanzen==
- Ein Vereinskonto wurde vom Verein eingerichtet. Die Kontodaten werden in Kürze auf der Web-Seite veröffentlicht. Zuvor wird jedoch eine Anerkennung der Gemeinnützigkeit angestrebt, um eine Besteuerung der Beiträge zu vermeiden.

==Projekte==
- Ausstattung der Restaurants in der Messe Basel angedacht; finanzielle Unterstützung durch die Messe Basel im Gegenzug.
- Zusammenarbeit mit den Gemeinden Grenzach-Whylen und Rheinfelden wurde initiiert. Aktuell werden geeignete Standorte identifiziert und Konzepte erstellt.
- Pilotprojekt Rheinfelden: Innenstadt in Rheinfelden ist nahezu flächendeckend vernetzt.
- Gemeinschaftsunterkunft in Rheinfelden soll versorgt werden; Rüdiger Lorenz hat mittlerweile Kontakt zur Leitung hergestellt sowie den benachbarten Energiedienst angeschrieben. Für ein Gelingen ist die Anbindung durch Anreiner Voraussetzung.

=Aussprache=
Frage: Wie sieht es aus mit Weil am Rhein
Markus: Bisher ist die Teilnahme gering. Es wurde jedoch auch noch nicht aktiv geworben.
Tilo: In Grenzach oder Rheinfelden wurde Freifunk von Tür zu Tür beworben.

Mailing-Liste...

Ein Beitrittsformular wird in Kürze auf der Web-Seite verfügbar gemacht.

=Anträge und Sonstiges=
Arbeitsgruppen: Mitarbeit soll gefördert und dezentral organisiert werden. Um dies zu erreichen sollen Arbeitsgruppen nach Bedarf organisiert werden.
Technik: Eine dieser Arbeitsgruppen wird sich wie zuvor erwähnt um technische Aspekte kümmern.
Werbung und Öffentlichkeitsarbeit: z.B. Graphische Arbeiten im Rahmen von Web-Design und Werbematerialien
Bildung: Vermittlung von Medienkompetenz und technischem Hintergrundwissen (z.B. Kryptographie); es existiert ein Angebot der VHS in Rheinfelden entsprechende Kurse in den Räumlichkeiten der VHS anzubieten.

Gateways

2015-06-16T19:15:54Z

Langweiler: /* OpenVPN-Verbindung */

Juhu, die Zugangsdaten für meinen virtuellen Sever sind da! Damit sind die Weichen für ein unabhängiges Freifunk-Netz in Weil am Rhein gestellt. Um einzelne Knoten außer Funkreichweite miteinander verbinden zu können bedarf es eines Kunstrukts, welches ich als Mesh VPN bezeichne (nicht zu verwechseln mit dem InterCity VPN, welches die verschiedenen Freifunknetze miteinander verbindet). Das Konstrukt is relativ simpel: Mit dem Internet verbundende Knoten in den einzelnen Funkmaschen erstellen eine Tunnelverbindung zu einem oder mehreren zentralen Severn. Diese Server leiten eingehenden Netzwerkverkehr dann in die außer Reichweite befindlichen Funkmaschen weiter. Das Routing übernimmt wie in den Funkmaschen batman-adv.

Der folgende Artikel beschreibt die Einrichtung eines solchen zentralen Servers. Der gleiche Server wird zu einem späteren Zeitpunkt als Gateway ins Internet und zu anderen Freifunk-Netzen via InterCity VPN konfiguriert werden. Die zentralen Elemente sind das batman-adv Kernelmodul und der fastd VPN-Server. Als Betriebssystem wird von Debian Wheezy mit ein Linux-Kernel in der Version 3.2.41 ausgegangen. Das Vorgehen für andere Linux-Distributionen sollte ähnlich sein. Allerdings wird man in diesen Fällen um das Kompilieren von fastd und batman-adv/batctl vermutlich nicht herumkommen. Weiterhin wird von einer Einrichtung als Benutzer root ausgegangen. Falls dem nicht so ist, muss den Befehlen welche Superuser-Rechte benötigen ein sudo vorangestellt werden (Also, sudoer sollte man schon sein, sonst wird es nichts mit der Server-Einrichtung).

...

Der folgende Artikel beschreibt die Einrichtung eines Gluon Internet-Gateways, um Teilnehmern des Freifunknetzes die Verbindung mit dem Internet zu ermöglichen. Die Einrichtung des Mesh-VPN zur Vernetzung von isolierten Funkwolken unterneinander hatten wir in einem vorangehenden Artikel bereits beschrieben. Ein funktionierendes Mesh-VPN ist Voraussetzung für die folgenden Schritte.

Vom Prinzip her wird über das Mesh-VPN eingehender Verkehr, welcher an das Internet (d.h. an Adressen außerhalb des Freifunk-Netzes) gerichtet ist, mittels Routing- und Firewall-Regeln ins Internet weitergeleitet. Zwecks Anonymisierung der Verbindung und Umgehung der in Deutschland geltenden Störerhaftung wird hierbei eine weitere VPN-Verbindung zwischengeschaltet.

Zusätzlich werden wir einen DHCP-Server einrichtigen, um IPv4-Adressen dynamisch an Endgeräte zu vergeben sowie einen DNS-Proxy, der vom Mesh ausgehende DNS-Anfragen bedient. Weiterhin benötigen wir einen Radvd-Dämonen zur Umsetzung des “Neighbour Discovery Protocols”, welches die Autokonfiguration von IPv6-Adressen auf der Basis von Link-Layer-Adressen ermöglicht. Das Routing auf Layer 2 übernimmt batman-adv.

Als Vorlage für die folgenden Beschreibungen dienten die Anleitungen der Freifunk-Gemeinden Hannover und Hamburg. Diese wurden an manchen Stellen modifiziert und um Erläuterungen ergänzt. Als Betriebssystem wird von Debian Wheezy ausgegangen. Die Einrichtung des Gateway erfolgt als Benutzer root. Netzwerkschnittstellen konfigurieren

=Etckeeper=
Um Änderungen an der Konfiguration des Servers besser verfolgen zu können, installieren wir als erstes das Paket ''etckeeper'':

$ apt-get install etckeeper

Im Anschluss aktivieren wir die Versionierung des Konfigurationsverzeichnisses ''/etc'':

$ etckeeper init /etc

In seiner Standardkonfiguration verwendet ''etckeeper'' die Software ''git'' zur Versionierung. Um lästige Warnungen zu vermeiden, vervollständigen wir die git-Konfiguration mit den zwei folgenden Befehlszeilen. Falls ''git'' bereits vollständig konfiguriert wurde, kann dieser Schritt übersprungen werden.

$ git config --global user.name "Freifunk 3Laendereck"
$ git config --global user.email admin@freifunk-3laendereck.de

=batman-adv=
Im nächsten Schritt installieren wir das ''batman-adv'' Kernel-Modul und das zugehörige Konfigurationswerkzeug ''batctl''. Diese sind nicht Teil der Debian-Distribution (zumindest nicht in einer aktuellen Version), sondern müssen über ein externes Depot (“Repository”) bezogen werden. Hierfür fügen wir der Datei ''/etc/apt/sources.list'' die folgende Zeile hinzu:

deb http://repo.universe-factory.net/debian/ sid main

Im Anschluss importieren wir die öffentlichen Schlüssel, mit welchen die Identität der importierten Pakete überprüft wird:

$ gpg --keyserver pgpkeys.mit.edu --recv-key AB7A88C5B89033D8
$ gpg --keyserver pgpkeys.mit.edu --recv-key 16EF3F64CB201D9C
$ gpg -a --export AB7A88C5B89033D8 | apt-key add -
$ gpg -a --export 16EF3F64CB201D9C | apt-key add -

Jetzt sind wir soweit, dass wir die benötigten Pakete mittels der folgenden Befehlszeilen bequem installieren können:

$ apt-get update
$ apt-get install batman-adv-dkms
$ apt-get install batctl

Im Anschluss müssen wir noch das batman-adv Modul in den Kernel laden:

$ modprobe batman-adv

'''Achtung:''' Unter Debian Jessie wird das Modul nicht installiert. Es kommt während der Installation die Meldung, dass die installierte Version neuer ist als die zu installierende Version. Lösung: Wir erzwingen die Installation des Moduls von Hand:

$ dkms remove batman-adv/2013.4.0 --all
$ dkms install --force batman-adv/2013.4.0

Auch batctl ist zu neu und muss unter Debian Jessie nochmals manuell installiert und fixiert werden.

$ apt-get remove batctl
$ wget http://repo.universe-factory.net/debian/pool/main/b/batctl/batctl_2013.4.0-1_amd64.deb
$ dpkg -i batctl_2013.4.0-1_amd64.deb
$ echo "batctl hold" | dpkg --set-selections

Danach ermitteln wir die installierten Kernel- und Kernel-Header-Module:

$ dpkg --get-selections | grep linux

Schließlich fixieren wir sämtliche Pakete mit dem Präfix "linux-headers" bzw. "linux-image" auf die aktuelle Version. Der Platzhalter ''<version>'' ist durch den zuvor angezeigten Versionsbezeichner zu ersetzen:

$ echo "linux-headers-<version>-amd64 hold" | dpkg --set-selections
$ echo "linux-headers-<version>-common hold" | dpkg --set-selections
$ echo "linux-image-<version>-amd64 hold" | dpkg --set-selections
$ echo "linux-headers-amd64 hold" | dpkg --set-selections
$ echo "linux-image-amd64 hold" | dpkg --set-selections

Damit das Kenel-Modul in Zukunft automatisch während des Boot-Vorgangs geladen wird, fügen wir noch die folgende Zeile der Datei ''/etc/modules'' hinzu:

batman-adv

=fastd=
Im nächsten Schritt richten wir den VPN-Dämonen ''fastd'' ein. Dieser kann über das gleiche Software-Depot wie ''batman-adv'' bezogen werden. Für die Installation genügt es, das folgende Kommando auszuführen:

$ apt-get install fastd

Nach erfolgter Installation muss ''fastd'' noch konfiguriert werden. Das Standardkonfigurationsverzeichnis ''/etc/fastd'' ist zum aktuellen Zeitpunkt noch leer. Zuerst erzeugen wir ein Unterverzeichnis, in dem die Konfigruationsdateien für unser Netzwerk abgelegt werden sollen:

$ mkdir /etc/fastd/ff3l
$ mkdir /etc/fastd/ff3l/peers

Als nächstes generieren wir ein Schlüsselpaar und speichern es in der Dateil keys:

$ cd /etc/fastd/ff3l
$ fastd --generate-key >> keys

Die Ausgabe der Datei sollte dem folgenden Beispiel ähneln:

$ cat keys
2014-04-26 21:15:27 +0200 --- Info: Reading 32 bytes from /dev/random...
Secret: 90722f73f2c23b672ad419f66191420444a3e7a9a69c9fa139e0da096570b857
Public: a7d7cfbd2d4a463ffd8d6faff71fffbef7761ae95d685913d774e38aa1f31596

Den privaten Schlüssel speichern wir in der Datei ''/etc/fastd/ff3l/secret.conf'' in Form der folgenden Zeile:

secret "90722f73f2c23b672ad419f66191420444a3e7a9a69c9fa139e0da096570b857";

Der eingetragene Schlüssel muss selbstverständlich durch den tatsächlich generierten Schlüssel ersetzt werden. Beide Dateien (''keys'' und ''secret.conf'') schützen wir durch eine Einschränkung der Rechte vor dem Zugriff Dritter:

$ chmod 600 keys
$ chmod 600 secret.conf

Der öffentliche Schlüssel wird nicht für die Konfiguration von ''fastd'' benötigt, wohl aber später für die Konfiguration der Klienten. Abschließend erzeugen wir die zentrale Konfigurationsdatei ''/etc/fastd/ff3l/fastd.conf'' mit folgendem Inhalt:

# Log warnings and errors to stderr
log level info;
# Log everything to syslog
log to syslog level info;
# Set the interface name
interface "ff3l-mesh-vpn";
# Enable encryption methods
method "salsa2012+umac";
method "salsa2012+gmac";
method "xsalsa20-poly1305";
method "aes128-gcm";
# Bind to a fixed port, IPv4 only
bind 0.0.0.0:10000;
# Secret key generated by `fastd --generate-key`
include "secret.conf";
# Enforce secure handshakes
secure handshakes yes;
# Set the interface MTU for TAP mode with xsalsa20/aes128 over IPv4 with a base MTU of 1492 (PPPoE)
# (see MTU selection documentation)
mtu 1426;
# Include peers from the directory 'peers'
include peers from "peers";
# Activate batman-adv network interface
on up "
ifup bat0
ip link set address <MAC address> up dev $INTERFACE
";
# Deactivate batman-adv network interface
on down "
ifdown bat0
";

Der Platzhalter ''<MAC address>'' ist mit einer beliebigen, jedoch für das jeweilige Gateway eindeutigen MAC-Adresse zu ersetzen.
Im Unterverzeichnis ''/etc/fastd/freifunk/peers'' werden wir zu einem späteren Zeitpunkt für jeden Klienten eine Datei mit dem öffentlichen Schlüssel anlegen. Der öffentliche Schlüssel wird von Gluon auf den Knoten zum Zeitpunkt der Erstkonfiguration angelegt und muss per e-Mail an die Gateway-Administratoren übermmittelt werden. Beispiel für eine Konfigurationsdatei:

# <Name des Klienten>
# <Kontaktadresse>
key "INCOMING_CONNECTION_PARTNER_PUBLIC_KEY";

Jetzt müssen wir den fastd-Server nur noch starten:

/etc/init.d/fastd start

Da mit der Installation von fastd gleichzeitig die zugehörigen Links in den ''/etc/rc.X''-Verzeichnissen erstellt wurde, startet ''fastd'' beim nächsten Bootvorgang automatisch.

=Netzwerkschnittstellen=

Für die Konfiguration des Gateways benötigen wir die sogenannten bridge-utils, welche wir mit folgenden Befehlen installieren:

$ apt-get update
$ apt-get install bridge-utils

Zusätzlich aktivieren wir die IP-Weiterleitung durch Hinzufügen der folgenden Zeilen zur Datei ''/etc/sysctl.conf'':

net.ipv4.ip_forward=1
net.ipv6.conf.all.forwarding = 1

Im Anschluss übernehmen wir die Änderung durch Ausführung der folgenden Befehlszeile:

$ sysctl -p /etc/sysctl.conf

Im ersten Schritt richten wir unter ''/etc/network/interfaces'' eine Netzwerkbrücke mit dem Namen ''br-ff3l'' ein. Die Brücke dient der statischen IPv4- und IPv6-Konfiguration des Gateways. Später wird der Brücke noch die Batman-Schnittstelle ''bat0'' zugewiesen. Beide IP-Adressen müssen innherhalb des Freifunk-Netzes liegen und für das Gateway eindeutig sein. Die Platzhalter <IPv6 address> und <IPv4 address> sind entsprechend zu ersetzen:

# FF3L mesh interfaces
iface br-ff3l inet6 static
bridge-ports none
address <IPv6 address>
netmask 44

iface br-ff3l inet static
address <IPv4 address>
netmask 255.255.0.0

Neben der Brücke konfigurieren wir in der selben Datei die Batman-Schnitstelle 'bat0':

iface bat0 inet6 manual
pre-up modprobe batman-adv
pre-up batctl if add ff3l-mesh-vpn
pre-up batctl gw server 100mbit/100mbit
up ip link set $IFACE up
post-up brctl addif br-ff3l $IFACE
post-up batctl it 10000
post-up ip rule add from all fwmark 0x1 table 42
post-up start-stop-daemon -b --start --exec /usr/sbin/alfred -- -i br-ff3l -b bat0;
post-up start-stop-daemon -b --start --exec /usr/sbin/batadv-vis -- -i bat0 -s;
pre-down brctl delif br-ff3l $IFACE || true
pre-down start-stop-daemon --stop --exec /usr/sbin/batadv-vis
pre-down start-stop-daemon --stop --exec /usr/sbin/alfred
down ip link set $IFACE down

Bevor die Schnittstelle aktiviert wird, stellen wir mittels des Kommandos “pre-up modprobe batman-adv” sicher, dass das Kernel-Modul ''batman-adv'' geladen und aktiv ist. Mittels “pre-up batctl if add ff3l-mesh-vpn” ordnen wir die Schnittstelle für das Mesh-VPN der Batman-Schnittstelle zu und aktivieren somit das automatische Routing. Im Anschluss konfigurieren wir das Gateway mittels “pre-up batctl gw server 100mbit/100mbit” als Server, so dass DHCP-Anfragen von Batman zugestellt werden. Die Bandbreiten (Downlink/Uplink) sind ggf. anzupassen. Im Anschluss aktivieren wir die Schnittstelle mittels “up ip link set $IFACE up”.

Danach ordnen wir die Batman-Schnittstelle mittels “brctl addif br-ff3l $IFACE” der zuvor angelegten Brücke zu, so dass die statische IP-Konfiguration greift. Das Originator-Intervall für Batman setzen wir mit “post-up batctl it 10000″ auf 10000 ms (also 10s). Als letztes leiten wir mittels “post-up ip rule add from all fwmark 0x1 table 42″ mit der Ziffer 0x1 markierten eingehenden Verkehr gemäß der Routing-Tabelle 42 weiter (siehe Firewall-Konfiguration unten). Vor dem Herunterfahren von bat0 lösen wir die Schnitstelle mit “pre-down brctl delif br-ff3l $IFACE || true” wieder aus der Brücke.

Nach der Einrichtung der Brücke müssen wir diese ein einziges Mal von Hand starten. Zusätzlich starten wir ''fastd'' erneut, welcher im Zuge des Neustarts wiederum die Batman-Schnittstelle ''bat0'' aktiviert (siehe “on up”-Anweisung in der ''fastd''-Konfiguration):

$ ifup br-ff3l
$ service fastd restart

=DHCP-Server=
Als nächstes richten wir einen DHCP-Server ein, um mit dem Freifunk-Netz verbundenen Endgeräten dynamisch eine IPv4-Netzwerkkonfiguration zuzuweisen. Hierfür verwenden wir den ISC-DHCP-Server, welchen wir zuvor installieren müssen:

$ apt-get install isc-dhcp-server

Die Konfiguration des Servers unter ''/etc/dhcp/dhcpd.conf'' ändern wir gemäß dem folgenden Absatz. Die Adresse des DNS-Servers/Routers ist der statischen Adresse des Gateways gleichzusetzen. Der Platzhalter <IPv4 address> ist entsprechend zu ersetzen. Beim zu vergebenden Adressbereich (hier 10.119.1.1 bis 10.119.255.254) ist für das jeweilige Gateway anzupassen:

ddns-update-style none;
option domain-name ".ff3l";
default-lease-time 600;
max-lease-time 3600;
log-facility local7;
subnet 10.119.0.0 netmask 255.255.0.0 {
# monitor: 80% 90% Y Freifunk Clients
authoritative;
range 10.119.8.32 10.119.9.255;
option domain-name-servers <IPv4 address>;
option routers <IPv4 address>;
}
include "/etc/dhcp/static.conf";

Vorsorglich legen wir noch die (leere) Datei ''/etc/dhcp/static.conf'' für die statische Konfiguration von Klienten an, auch wenn wir diese vorerst nicht nutzen. Im Anschluss starten wir den Dämonen neu:

$ touch /etc/dhcp/static.conf
$ service isc-dhcp-server restart

=Radvd=
Um die Autokonfiguration von IPv6-Adressen auf der Basis von Link-Layer-Adressen zu ermöglichen, richten wir den ''radvd''-Dämonen ein, welcher das “Neighbor Discovery Protocol” implementiert. Zu allererst installieren wir den Dämonen:

$ apt-get install radvd

Danach passen wir die Konfiguration unter ''/etc/radvd.conf'' gem. dem folgenden Abschnitt an. Wir aktivieren den Dämonen auf der Brücke ''br-ff3l'' und damit der Batman-Schnittstelle, welche automatisch zugewiesen wird (siehe oben). Weiterhin teilen wir dem Dämonen unseren IPv6-Präfix (f2001:bf7:20::) mit sowie die statische IPv6-Adresse unseres Gateways als rekursiven DNS-Server. Der Platzhalter <IPv6 address> ist entsprechend zu ersetzen:

interface br-ff3l
{
AdvSendAdvert on;
MaxRtrAdvInterval 200;
prefix 2001:bf7:20::/64 { };
RDNSS <IPv6 address> { };
};

Damit die Änderungen wirksam werden, starten wir ''radvd'' neu:

$ service radvd restart

=DNS-Proxy=
Zur Auflösung von Hostnamen richten wir auf dem Gateway mittels ''dnsmasq'' einen DNS-Proxy ein, der eingehende DNS-Anfragen an von uns definierte DNS-Server weiterleitet. Wie zuvor installieren wir als erstes den Dämonen:

$ apt-get install dnsmasq

Die Konfiguration in ''/etc/dnsmasq.conf'' ändern wir wie im folgenden Absatz aufgeführt. Mit “bind-interfaces” und “interface=br-ff3l” zwingen wir ''dnsmasq'' lediglich an unsere Brücke ''br-ff3l'' zu binden. Das Loopback-Interface schließen wir mit “except-interface=lo” aus, um Konflikte mit einem bereits existierenden DNS-Server (z.B. ''bind'') zu vermeiden. Zum gleichen Zweck lassen wir ''dnsmasq'' mittels der Option “listen-address=127.0.0.2″ auf einer anderen lokalen Adresse lauschen. Die DHCP-Serverfunktion wird mittels “no-dhcp-interface=br-ff3l” deaktiviert. Die Option “domain-needed” bewirkt, dass Hostnamen ohne Domain nicht aufgelöst werden. Die Optionen “no-resolve” und “no-hosts” verhindern die Verwendung der DNS-Konfiguration unter ''/etc/resolv.conf'' sowie der Host-Einträge in ''/etc/hosts''. Mit “cache-size=4096″ erhöhen wir die Zahl der im Zwischenspeicher gehaltenen Namenseinträge auf 4096. Log-Einträge leiten wir mittels “log-facility=/var/log/dnsmasq.log” in eine eigene Log-Datei um.

bind-interfaces
except-interface=lo
interface=br-ff3l
listen-address=127.0.0.2
no-dhcp-interface=br-ff3l
domain-needed
no-resolv
no-hosts
cache-size=4096
log-facility=/var/log/dnsmasq.log

Um die Konfiguration abzuschließen, tragen wir unter ''/etc/dnsmasq.d/ff3l'' noch die von uns favorisierten DNS-Server ein (primär: lokaler DNS-Server, sekundär: Google DNS-Server). Weiterhin leiten wir Anfragen für die TLD ''.ff3l'' an den lokalen DNS-Server weiter:

# Forward regular DNS requests
server=127.0.0.1
server=8.8.4.4

# FF3L forward lookup
server=/ff3l/127.0.0.1
# FF3L reverse lookup
server=/119.10.in-addr.arpa/127.0.0.1
server=/2.0.0.7.f.b.0.1.0.0.2.ip6.arpa/127.0.0.1

Damit die Änderungen wirksam werden, starten wir ''dnsmasq'' neu:

$ service dnsmasq restart

=OpenVPN-Verbindung=
'''Noch nicht aktualisiert!'''
Um ausgehenden Netzverkehr zu anonymisieren (d.h. um die IP-Adresse des Gateways und damit unsere Identität zu verstecken), richten wir eine Tunnelverbindung zu einem VPN-Server ein. Entsprechende Tunnelverbindungen werden von zahlreichen Providern als Dienstleistung angeboten. In unserem Fall haben wir uns für CyberghostVPN entschieden. Nicht unbedingt der billigste Anbieter. Dafür hat man die Wahl zwischen einer Vielzahl von Serven, welche in der Regel recht performant sind. Die Verbindung zu CyberghostVPN-Servern erfolgt (unter anderem) mittels OpenVPN. Hierfür installieren wir als erstes das benötigte Paket:

$ apt-get install openvpn

CyberghostVPN bietet für OpenVPN-Verbindungen monolothische Konfigurationsdateien zum Download an, welche bereits alle Einstellungen und Schlüssel enthalten. Eine solche Konfigurationsdatei kopieren wir in das Verzeichnis /etc/openvpn unter dem Namen cyberghost.conf.

Um zu verhindern, dass sämtlicher ausgehender Verkehr über den VPN-Tunnel umgeleitet wird, entfernen wir in der Konfigurationsdatei den Eintrag

redirect-gateway def1

Aus dem gleichen Grund nehmen wir zusätzlich die folgende Zeile auf:

route-noexec

Um Fehlermeldungen zu vermeiden, sind die folgenden Zeilen zu entfernen:

dhcp-renew
dhcp-release

Da CyberghostVPN die Authentifizierung mittels eines Benutzernamens und Passworts verlangt, verweisen wir in der Konfiguration auf eine externe Datei, in welcher wir diese hinterlegen:

auth-user-pass ./cyberghost/cyberghost.secret

Zusätzlich konfigurieren wir ein Start-Skript, welches benötigt wird, um Manipulationen am Routing durchzuführen sobald die Tunnelverbindung steht:

up ./cyberghost/cyberghost-up

Nach Abschluss der beschriebenen Modifikationen sollte der Kopf der Konfigurationsdatei /etc/openvpn/cyberghost.conf in etwa wie folgt aussehen:

client
remote se.openvpn.cyberghostvpn.com 9081
dev tun
proto udp
auth-user-pass ./cyberghost/cyberghost.secret
resolv-retry infinite
persist-key
persist-tun
nobind
route-noexec
cipher AES-256-CBC
auth MD5
ping 5
ping-exit 60
ping-timer-rem
explicit-exit-notify 2
script-security 2
remote-cert-tls server
route-delay 5
tun-mtu 1500
fragment 1300
mssfix 1300
verb 4
comp-lzo
up ./cyberghost/cyberghost-up

Wir legen als nächstes das Unterverzeichnis /etc/openvpn/cyberghost an:

$ mkdir /etc/openvpn/cyberghost

In diesem hinterlegen wir unseren CyberghostVPN-Benutzernamen und Schlüssel in der datei /etc/openvpn/cyberghost/cyberghost.secret. Die Dateiu enthält in der ersten Zeile den Benutzernamen und in der zweiten Zeile den Schlüssel. Die Datei sollte in etwa wie folgt aussehen:

CG7043533734
8jDDks,d003dD

Um unberechtigten Zugriff zu verhindern, beschränken wir den Zugriff auf den Besitzer der Datei (root):

$ chmod 600 /etc/openvpn/cyberghost/cyberghost.secret

Jetzt fehlt nur noch das Start-Skript. Dieses platzieren wir in der Datei /etc/openvpn/cyberghost/cyberghost-up. Die Befehle in der 2. und 3. Zeile richten in der Routing-Tabelle 42 eine Standardroute zum VPN-Server ein. Die Routing-Tabelle 42 regelt das Routing des über das Mesh-VPN eingehenden Verkehrs (siehe Konfiguration der bat0-Schnittstelle oben und der Firewall weiter unten). Die Adresse des VPN-Servers wird über den Platzhalter $5 übergeben. Danach starten wir mit “service dnsmasq restart” dnsmasq neu, so dass der Dämon die neue Netzwerkverbindung wahrnimmt und DNS-Server über den Tunnel anspricht.

#!/bin/sh
ip route replace 0.0.0.0/1 via $5 dev $1 table 42
ip route replace 128.0.0.0/1 via $5 dev $1 table 42
service dnsmasq restart
exit 0

Tipp: Im Fall des hide.me VPN-Anbieters wurde festgestellt, dass keine entfernte IP-Adresse übermittelt wird. In diesem Fall ist das Argument $5 leer und die Befehle "''ip route ...''" schlagen fehl. Als Lösung lässt sich alternativ die lokale IP-Adresse in $4 verwenden, um die Routen im BDS-Kompatibilitätsmodus zu setzen.

Das Skript machen wir noch mit dem folgenden Befehl ausführbar:

$ chmod +x /etc/openvpn/cyberghost/cyberghost-up

In ''/etc/default/openvpn'':

AUTOSTART="all"

Änderung übernehmen:

sudo systemctl daemon-reload

Danach sind wir soweit, dass wir die Tunnelverbindung aufbauenkönnen:

$ service openvpn start

In Zukunft wird die Verbindung automatisch aufgebaut werden, wenn das Gateway hochgefahren wird. Nach kurzer Zeit sollte eine zusätzliche Netzwerkschnittstelle tun0 erscheinen (Abfrage mittels ifconfig). Sollte dies nicht der Fall sein, empfiehlt es sich die Log-Einträge unter /var/log/daemon.log zu überprüfen.
OpenVPN-Verbindung automatisch überprüfen

=Gateway Check=
Ein generelles Problem mit VPN-Verbindungen ist, dass diese abreißen können. In diesem Fall würde batman-adv nachwievor versuchen, den ausgehenden Internetverkehr über das Gateway weiterzuleiten. Der Grund hierfür ist, dass wir batman-adv im Zuge der Aktivierung mittels “batctl gw server” in den Server-Modus versetzt haben. Die betroffenen Pakete würden verloren gehen und die verbundenen Klienten wären vom Internet abgeschnitten. Um dies zu verhindern, legen wir in der Datei /usr/local/bin/check-gateway das folgende Skript an:

#!/bin/bash
INTERFACE=tun0 # Set to name of VPN interface
shopt -s nullglob

# Test whether gateway is connected to the outer world via VPN
ping -q -I $INTERFACE 8.8.8.8 -c 4 -i 1 -W 5 >/dev/null 2>&1

if test $? -eq 0; then
NEW_STATE=server
else
NEW_STATE=off
fi

# Iterate through network interfaces in sys file system
for MESH in /sys/class/net/*/mesh; do
# Check whether gateway modus needs to be changed
OLD_STATE="$(cat $MESH/gw_mode)"
[ "$OLD_STATE" == "$NEW_STATE" ] && continue
echo $NEW_STATE > $MESH/gw_mode
echo 54MBit/54MBit > $MESH/gw_bandwidth
logger "batman gateway mode changed to $NEW_STATE"

# Check whether gateway modus has been deactivated
if [ "$NEW_STATE" == "off" ]; then
# Shutdown DHCP server to prevent renewal of leases
service isc-dhcp-server stop
# Shutdown radvd daemon to prevent advertisment of server as gateway
service radvd stop
fi

# Check whether gateway modus has been activated
if [ "$NEW_STATE" == "server" ]; then
# Restart DHCP server and radvd daemon
service isc-dhcp-server start
service radvd start
fi
done

Das Skript pingt über die OpenVPN-Schnittstelle tun0 den Google DNS-Server 8.8.8.8 an. Ist dieser nicht erreichbar, wird der Gateway-Modus in batman-adv über das Sys-Dateisystem deaktiviert. Zusätzlich deaktivieren wir den DHCP-Server und radvd-Dämonen. Klienten im Freifunknetz haben damit die Möglichkeit, sich einen alternativen Weg ins Internet zu suchen (d.h. über ein anderes Gateway). Umgekehrt wird der Gateway-Modus wieder aktiviert, sobald der DNS-Server erreichbar ist. Mit den folgenden Kommandos stellen wir sicher, dass das Skript allein von root ausgeführt werden kann:

$ chown root.root check-gateway
$ chmod ug+x check-gateway

Danach nehmen wir die folgenden Zeilen in die Datei /etc/crontab auf, um das Skript einmal pro Minute auszuführen und damit den Gateway-Status zu überprüfen.

# Check whether internet still reachable via openvpn tunnel
* * * * * root check-gateway > /dev/null

Die Änderungen übernehmen durch einen Neustart des Cron-Dämonen:

$ service cron restart

=Firewall=
'''Noch nicht aktualisiert!'''
Endspurt! Jetzt fehlt uns nur noch die Konfiguration der Firewall bevor wir am Ziel sind. Um die Firewall-Konfiguration permanent zu speichern, installiern wir zunächst das folgende Paket:

$ apt-get install iptables-persistent

Im Anschluss ersetzen wir den Inhalt der Datei /etc/iptables/rules.v4 mit dem folgenden Absatz. In der Grund-Konfiguration bleibt die Firewall komplett offen. Die Zahlenwerte in den eckigen Klammern sind Paket- und Byte-Zähler und können an dieser Stelle ignoriert werden. Für die Umleitung des ausgehenden Internetverkehrs über den VPN-Tunnel sind die PREROUTING und POSTROUTING Befehle unter *mangle und *nat entscheidend. Der Eintrag “-A PREROUTING -i br-ff3l -j MARK –set-xmark 0x1/0xffffffff” bewirkt, dass über die Brücke br-ff3l (und damit über das Mesh-VPN) eingehender Verkehr mittels der Ziffer 0x1 markiert wird. Die im Zuge der Kongifuration der bat0-Schnittstelle angelegte Routing-Regel (siehe oben) bewirkt wiederum, dass mit der Ziffer 0x1 markierter Verkehr gemäß der Routing-Tabelle 42 weitergeleitet wird. In dieser hatten wir eine Standardroute über den VPN-Tunnel definiert. Damit alle über den VPN-Tunnel ausgehende Pakete auch eine globale IP-Adresse aufweisen, aktivieren wir mittels “-A POSTROUTING -o tun0 -j MASQUERADE” das IP-Masquerading. Die Firewall ersetzt in der Folge lokale IP-Adressen aus dem Freifunk-Netz mit der globalen IP-Adresse des Gateways. Eingehende Pakete werde analog modifiziert, so dass sie ihren Weg zurück in das Freifunknetz finden. Wer sich durch die Details der Konfiguration arbeiten möchte, dem sei folgendes Howto empfohlen.

# Generated by iptables-save v1.4.14 on Sat May 10 00:21:44 2014
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
COMMIT
*mangle
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
-A PREROUTING -i br-ff3l -j MARK --set-xmark 0x1/0xffffffff
COMMIT
*nat
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
-A POSTROUTING -o tun0 -j MASQUERADE
COMMIT
# Completed on Sat May 10 00:21:44 2014

Noch eine allerletzte Tat, damit die Regeln für die Umleitung auch greifen: Im Skript ''/etc/rc.local'' nehmen wir die Zeilen des folgenden Abschnitts auf, um das Routing für unzustellbare Pakete sowie über die Brücke br-ff3l eingehende Pakete (angezeigt durch die Markierung 0x1) gemäß Routing-Tabelle 42 zu aktivieren:

/sbin/ip route add unreachable default table 42
/sbin/ip rule add from all fwmark 0x1 table 42
exit 0

Nach der ersten Einrichtung starten wir das Skript manuell. In Zukunft wird es beim Hochfahren des Gateway automatisch ausgeführt werden:

$ /etc/rc.local

I...

$ service netfilter-persistent restart

=Abschluss=
Damit sind wir eigentlich am Ziel. Um die aktuelle Konfiguration noch zu sichern, senden wir eine letzte Kommandozeile an etckeeper:

$ etckeeper commit "Configuration IntraCity VPN server completed."

Jetzt fehlen eigentlich nur noch die Clients. Im nächsten Artikel werde ich darüber berichten, wie sich Gluon konfigurieren und kompilieren lässt. Danach sind wir bereit für den Erstkontakt und es wird spanned!

...

Sollte alles wie beschrieben funktioniert haben, so seid ihr ab sofort stolzer Betreiber eines Gluon-Internet-Gateways! Ob das Gateway tatsächlich funktioniert, testet man am besten mittels eines Endgeräts, welches über einen Gluon WLAN-Router aufs Internet zugreift. Euer Gateway muss hierfür selbstverständlich vor der Kompilierung des Gluon-Images in der site.conf konfiguriert worden sein (siehe Gluon kompilieren). Sollte der Zugriff vom Endgerät aufs Internet nicht auf Anhieb funktionieren, empfiehlt es sich zuerst zu überprüfen, ob eine Verbindung des Routers über fastd zustande kommt. Im Anschluss sollte man überprüfen, ob der Router mittels DHCP eine IPv4-Adresse beziehen konnte und DNS-Server übermittelt wurden. Sollte dies alles einwandfrei funktionieren, so ist die Firewall-Konfiguration noch einmal gründlich zu überprüfen. Wir wünschen gutes Gelingen!

Gateways

2015-06-16T19:15:14Z

Langweiler: /* OpenVPN-Verbindung */

Juhu, die Zugangsdaten für meinen virtuellen Sever sind da! Damit sind die Weichen für ein unabhängiges Freifunk-Netz in Weil am Rhein gestellt. Um einzelne Knoten außer Funkreichweite miteinander verbinden zu können bedarf es eines Kunstrukts, welches ich als Mesh VPN bezeichne (nicht zu verwechseln mit dem InterCity VPN, welches die verschiedenen Freifunknetze miteinander verbindet). Das Konstrukt is relativ simpel: Mit dem Internet verbundende Knoten in den einzelnen Funkmaschen erstellen eine Tunnelverbindung zu einem oder mehreren zentralen Severn. Diese Server leiten eingehenden Netzwerkverkehr dann in die außer Reichweite befindlichen Funkmaschen weiter. Das Routing übernimmt wie in den Funkmaschen batman-adv.

Der folgende Artikel beschreibt die Einrichtung eines solchen zentralen Servers. Der gleiche Server wird zu einem späteren Zeitpunkt als Gateway ins Internet und zu anderen Freifunk-Netzen via InterCity VPN konfiguriert werden. Die zentralen Elemente sind das batman-adv Kernelmodul und der fastd VPN-Server. Als Betriebssystem wird von Debian Wheezy mit ein Linux-Kernel in der Version 3.2.41 ausgegangen. Das Vorgehen für andere Linux-Distributionen sollte ähnlich sein. Allerdings wird man in diesen Fällen um das Kompilieren von fastd und batman-adv/batctl vermutlich nicht herumkommen. Weiterhin wird von einer Einrichtung als Benutzer root ausgegangen. Falls dem nicht so ist, muss den Befehlen welche Superuser-Rechte benötigen ein sudo vorangestellt werden (Also, sudoer sollte man schon sein, sonst wird es nichts mit der Server-Einrichtung).

...

Der folgende Artikel beschreibt die Einrichtung eines Gluon Internet-Gateways, um Teilnehmern des Freifunknetzes die Verbindung mit dem Internet zu ermöglichen. Die Einrichtung des Mesh-VPN zur Vernetzung von isolierten Funkwolken unterneinander hatten wir in einem vorangehenden Artikel bereits beschrieben. Ein funktionierendes Mesh-VPN ist Voraussetzung für die folgenden Schritte.

Vom Prinzip her wird über das Mesh-VPN eingehender Verkehr, welcher an das Internet (d.h. an Adressen außerhalb des Freifunk-Netzes) gerichtet ist, mittels Routing- und Firewall-Regeln ins Internet weitergeleitet. Zwecks Anonymisierung der Verbindung und Umgehung der in Deutschland geltenden Störerhaftung wird hierbei eine weitere VPN-Verbindung zwischengeschaltet.

Zusätzlich werden wir einen DHCP-Server einrichtigen, um IPv4-Adressen dynamisch an Endgeräte zu vergeben sowie einen DNS-Proxy, der vom Mesh ausgehende DNS-Anfragen bedient. Weiterhin benötigen wir einen Radvd-Dämonen zur Umsetzung des “Neighbour Discovery Protocols”, welches die Autokonfiguration von IPv6-Adressen auf der Basis von Link-Layer-Adressen ermöglicht. Das Routing auf Layer 2 übernimmt batman-adv.

Als Vorlage für die folgenden Beschreibungen dienten die Anleitungen der Freifunk-Gemeinden Hannover und Hamburg. Diese wurden an manchen Stellen modifiziert und um Erläuterungen ergänzt. Als Betriebssystem wird von Debian Wheezy ausgegangen. Die Einrichtung des Gateway erfolgt als Benutzer root. Netzwerkschnittstellen konfigurieren

=Etckeeper=
Um Änderungen an der Konfiguration des Servers besser verfolgen zu können, installieren wir als erstes das Paket ''etckeeper'':

$ apt-get install etckeeper

Im Anschluss aktivieren wir die Versionierung des Konfigurationsverzeichnisses ''/etc'':

$ etckeeper init /etc

In seiner Standardkonfiguration verwendet ''etckeeper'' die Software ''git'' zur Versionierung. Um lästige Warnungen zu vermeiden, vervollständigen wir die git-Konfiguration mit den zwei folgenden Befehlszeilen. Falls ''git'' bereits vollständig konfiguriert wurde, kann dieser Schritt übersprungen werden.

$ git config --global user.name "Freifunk 3Laendereck"
$ git config --global user.email admin@freifunk-3laendereck.de

=batman-adv=
Im nächsten Schritt installieren wir das ''batman-adv'' Kernel-Modul und das zugehörige Konfigurationswerkzeug ''batctl''. Diese sind nicht Teil der Debian-Distribution (zumindest nicht in einer aktuellen Version), sondern müssen über ein externes Depot (“Repository”) bezogen werden. Hierfür fügen wir der Datei ''/etc/apt/sources.list'' die folgende Zeile hinzu:

deb http://repo.universe-factory.net/debian/ sid main

Im Anschluss importieren wir die öffentlichen Schlüssel, mit welchen die Identität der importierten Pakete überprüft wird:

$ gpg --keyserver pgpkeys.mit.edu --recv-key AB7A88C5B89033D8
$ gpg --keyserver pgpkeys.mit.edu --recv-key 16EF3F64CB201D9C
$ gpg -a --export AB7A88C5B89033D8 | apt-key add -
$ gpg -a --export 16EF3F64CB201D9C | apt-key add -

Jetzt sind wir soweit, dass wir die benötigten Pakete mittels der folgenden Befehlszeilen bequem installieren können:

$ apt-get update
$ apt-get install batman-adv-dkms
$ apt-get install batctl

Im Anschluss müssen wir noch das batman-adv Modul in den Kernel laden:

$ modprobe batman-adv

'''Achtung:''' Unter Debian Jessie wird das Modul nicht installiert. Es kommt während der Installation die Meldung, dass die installierte Version neuer ist als die zu installierende Version. Lösung: Wir erzwingen die Installation des Moduls von Hand:

$ dkms remove batman-adv/2013.4.0 --all
$ dkms install --force batman-adv/2013.4.0

Auch batctl ist zu neu und muss unter Debian Jessie nochmals manuell installiert und fixiert werden.

$ apt-get remove batctl
$ wget http://repo.universe-factory.net/debian/pool/main/b/batctl/batctl_2013.4.0-1_amd64.deb
$ dpkg -i batctl_2013.4.0-1_amd64.deb
$ echo "batctl hold" | dpkg --set-selections

Danach ermitteln wir die installierten Kernel- und Kernel-Header-Module:

$ dpkg --get-selections | grep linux

Schließlich fixieren wir sämtliche Pakete mit dem Präfix "linux-headers" bzw. "linux-image" auf die aktuelle Version. Der Platzhalter ''<version>'' ist durch den zuvor angezeigten Versionsbezeichner zu ersetzen:

$ echo "linux-headers-<version>-amd64 hold" | dpkg --set-selections
$ echo "linux-headers-<version>-common hold" | dpkg --set-selections
$ echo "linux-image-<version>-amd64 hold" | dpkg --set-selections
$ echo "linux-headers-amd64 hold" | dpkg --set-selections
$ echo "linux-image-amd64 hold" | dpkg --set-selections

Damit das Kenel-Modul in Zukunft automatisch während des Boot-Vorgangs geladen wird, fügen wir noch die folgende Zeile der Datei ''/etc/modules'' hinzu:

batman-adv

=fastd=
Im nächsten Schritt richten wir den VPN-Dämonen ''fastd'' ein. Dieser kann über das gleiche Software-Depot wie ''batman-adv'' bezogen werden. Für die Installation genügt es, das folgende Kommando auszuführen:

$ apt-get install fastd

Nach erfolgter Installation muss ''fastd'' noch konfiguriert werden. Das Standardkonfigurationsverzeichnis ''/etc/fastd'' ist zum aktuellen Zeitpunkt noch leer. Zuerst erzeugen wir ein Unterverzeichnis, in dem die Konfigruationsdateien für unser Netzwerk abgelegt werden sollen:

$ mkdir /etc/fastd/ff3l
$ mkdir /etc/fastd/ff3l/peers

Als nächstes generieren wir ein Schlüsselpaar und speichern es in der Dateil keys:

$ cd /etc/fastd/ff3l
$ fastd --generate-key >> keys

Die Ausgabe der Datei sollte dem folgenden Beispiel ähneln:

$ cat keys
2014-04-26 21:15:27 +0200 --- Info: Reading 32 bytes from /dev/random...
Secret: 90722f73f2c23b672ad419f66191420444a3e7a9a69c9fa139e0da096570b857
Public: a7d7cfbd2d4a463ffd8d6faff71fffbef7761ae95d685913d774e38aa1f31596

Den privaten Schlüssel speichern wir in der Datei ''/etc/fastd/ff3l/secret.conf'' in Form der folgenden Zeile:

secret "90722f73f2c23b672ad419f66191420444a3e7a9a69c9fa139e0da096570b857";

Der eingetragene Schlüssel muss selbstverständlich durch den tatsächlich generierten Schlüssel ersetzt werden. Beide Dateien (''keys'' und ''secret.conf'') schützen wir durch eine Einschränkung der Rechte vor dem Zugriff Dritter:

$ chmod 600 keys
$ chmod 600 secret.conf

Der öffentliche Schlüssel wird nicht für die Konfiguration von ''fastd'' benötigt, wohl aber später für die Konfiguration der Klienten. Abschließend erzeugen wir die zentrale Konfigurationsdatei ''/etc/fastd/ff3l/fastd.conf'' mit folgendem Inhalt:

# Log warnings and errors to stderr
log level info;
# Log everything to syslog
log to syslog level info;
# Set the interface name
interface "ff3l-mesh-vpn";
# Enable encryption methods
method "salsa2012+umac";
method "salsa2012+gmac";
method "xsalsa20-poly1305";
method "aes128-gcm";
# Bind to a fixed port, IPv4 only
bind 0.0.0.0:10000;
# Secret key generated by `fastd --generate-key`
include "secret.conf";
# Enforce secure handshakes
secure handshakes yes;
# Set the interface MTU for TAP mode with xsalsa20/aes128 over IPv4 with a base MTU of 1492 (PPPoE)
# (see MTU selection documentation)
mtu 1426;
# Include peers from the directory 'peers'
include peers from "peers";
# Activate batman-adv network interface
on up "
ifup bat0
ip link set address <MAC address> up dev $INTERFACE
";
# Deactivate batman-adv network interface
on down "
ifdown bat0
";

Der Platzhalter ''<MAC address>'' ist mit einer beliebigen, jedoch für das jeweilige Gateway eindeutigen MAC-Adresse zu ersetzen.
Im Unterverzeichnis ''/etc/fastd/freifunk/peers'' werden wir zu einem späteren Zeitpunkt für jeden Klienten eine Datei mit dem öffentlichen Schlüssel anlegen. Der öffentliche Schlüssel wird von Gluon auf den Knoten zum Zeitpunkt der Erstkonfiguration angelegt und muss per e-Mail an die Gateway-Administratoren übermmittelt werden. Beispiel für eine Konfigurationsdatei:

# <Name des Klienten>
# <Kontaktadresse>
key "INCOMING_CONNECTION_PARTNER_PUBLIC_KEY";

Jetzt müssen wir den fastd-Server nur noch starten:

/etc/init.d/fastd start

Da mit der Installation von fastd gleichzeitig die zugehörigen Links in den ''/etc/rc.X''-Verzeichnissen erstellt wurde, startet ''fastd'' beim nächsten Bootvorgang automatisch.

=Netzwerkschnittstellen=

Für die Konfiguration des Gateways benötigen wir die sogenannten bridge-utils, welche wir mit folgenden Befehlen installieren:

$ apt-get update
$ apt-get install bridge-utils

Zusätzlich aktivieren wir die IP-Weiterleitung durch Hinzufügen der folgenden Zeilen zur Datei ''/etc/sysctl.conf'':

net.ipv4.ip_forward=1
net.ipv6.conf.all.forwarding = 1

Im Anschluss übernehmen wir die Änderung durch Ausführung der folgenden Befehlszeile:

$ sysctl -p /etc/sysctl.conf

Im ersten Schritt richten wir unter ''/etc/network/interfaces'' eine Netzwerkbrücke mit dem Namen ''br-ff3l'' ein. Die Brücke dient der statischen IPv4- und IPv6-Konfiguration des Gateways. Später wird der Brücke noch die Batman-Schnittstelle ''bat0'' zugewiesen. Beide IP-Adressen müssen innherhalb des Freifunk-Netzes liegen und für das Gateway eindeutig sein. Die Platzhalter <IPv6 address> und <IPv4 address> sind entsprechend zu ersetzen:

# FF3L mesh interfaces
iface br-ff3l inet6 static
bridge-ports none
address <IPv6 address>
netmask 44

iface br-ff3l inet static
address <IPv4 address>
netmask 255.255.0.0

Neben der Brücke konfigurieren wir in der selben Datei die Batman-Schnitstelle 'bat0':

iface bat0 inet6 manual
pre-up modprobe batman-adv
pre-up batctl if add ff3l-mesh-vpn
pre-up batctl gw server 100mbit/100mbit
up ip link set $IFACE up
post-up brctl addif br-ff3l $IFACE
post-up batctl it 10000
post-up ip rule add from all fwmark 0x1 table 42
post-up start-stop-daemon -b --start --exec /usr/sbin/alfred -- -i br-ff3l -b bat0;
post-up start-stop-daemon -b --start --exec /usr/sbin/batadv-vis -- -i bat0 -s;
pre-down brctl delif br-ff3l $IFACE || true
pre-down start-stop-daemon --stop --exec /usr/sbin/batadv-vis
pre-down start-stop-daemon --stop --exec /usr/sbin/alfred
down ip link set $IFACE down

Bevor die Schnittstelle aktiviert wird, stellen wir mittels des Kommandos “pre-up modprobe batman-adv” sicher, dass das Kernel-Modul ''batman-adv'' geladen und aktiv ist. Mittels “pre-up batctl if add ff3l-mesh-vpn” ordnen wir die Schnittstelle für das Mesh-VPN der Batman-Schnittstelle zu und aktivieren somit das automatische Routing. Im Anschluss konfigurieren wir das Gateway mittels “pre-up batctl gw server 100mbit/100mbit” als Server, so dass DHCP-Anfragen von Batman zugestellt werden. Die Bandbreiten (Downlink/Uplink) sind ggf. anzupassen. Im Anschluss aktivieren wir die Schnittstelle mittels “up ip link set $IFACE up”.

Danach ordnen wir die Batman-Schnittstelle mittels “brctl addif br-ff3l $IFACE” der zuvor angelegten Brücke zu, so dass die statische IP-Konfiguration greift. Das Originator-Intervall für Batman setzen wir mit “post-up batctl it 10000″ auf 10000 ms (also 10s). Als letztes leiten wir mittels “post-up ip rule add from all fwmark 0x1 table 42″ mit der Ziffer 0x1 markierten eingehenden Verkehr gemäß der Routing-Tabelle 42 weiter (siehe Firewall-Konfiguration unten). Vor dem Herunterfahren von bat0 lösen wir die Schnitstelle mit “pre-down brctl delif br-ff3l $IFACE || true” wieder aus der Brücke.

Nach der Einrichtung der Brücke müssen wir diese ein einziges Mal von Hand starten. Zusätzlich starten wir ''fastd'' erneut, welcher im Zuge des Neustarts wiederum die Batman-Schnittstelle ''bat0'' aktiviert (siehe “on up”-Anweisung in der ''fastd''-Konfiguration):

$ ifup br-ff3l
$ service fastd restart

=DHCP-Server=
Als nächstes richten wir einen DHCP-Server ein, um mit dem Freifunk-Netz verbundenen Endgeräten dynamisch eine IPv4-Netzwerkkonfiguration zuzuweisen. Hierfür verwenden wir den ISC-DHCP-Server, welchen wir zuvor installieren müssen:

$ apt-get install isc-dhcp-server

Die Konfiguration des Servers unter ''/etc/dhcp/dhcpd.conf'' ändern wir gemäß dem folgenden Absatz. Die Adresse des DNS-Servers/Routers ist der statischen Adresse des Gateways gleichzusetzen. Der Platzhalter <IPv4 address> ist entsprechend zu ersetzen. Beim zu vergebenden Adressbereich (hier 10.119.1.1 bis 10.119.255.254) ist für das jeweilige Gateway anzupassen:

ddns-update-style none;
option domain-name ".ff3l";
default-lease-time 600;
max-lease-time 3600;
log-facility local7;
subnet 10.119.0.0 netmask 255.255.0.0 {
# monitor: 80% 90% Y Freifunk Clients
authoritative;
range 10.119.8.32 10.119.9.255;
option domain-name-servers <IPv4 address>;
option routers <IPv4 address>;
}
include "/etc/dhcp/static.conf";

Vorsorglich legen wir noch die (leere) Datei ''/etc/dhcp/static.conf'' für die statische Konfiguration von Klienten an, auch wenn wir diese vorerst nicht nutzen. Im Anschluss starten wir den Dämonen neu:

$ touch /etc/dhcp/static.conf
$ service isc-dhcp-server restart

=Radvd=
Um die Autokonfiguration von IPv6-Adressen auf der Basis von Link-Layer-Adressen zu ermöglichen, richten wir den ''radvd''-Dämonen ein, welcher das “Neighbor Discovery Protocol” implementiert. Zu allererst installieren wir den Dämonen:

$ apt-get install radvd

Danach passen wir die Konfiguration unter ''/etc/radvd.conf'' gem. dem folgenden Abschnitt an. Wir aktivieren den Dämonen auf der Brücke ''br-ff3l'' und damit der Batman-Schnittstelle, welche automatisch zugewiesen wird (siehe oben). Weiterhin teilen wir dem Dämonen unseren IPv6-Präfix (f2001:bf7:20::) mit sowie die statische IPv6-Adresse unseres Gateways als rekursiven DNS-Server. Der Platzhalter <IPv6 address> ist entsprechend zu ersetzen:

interface br-ff3l
{
AdvSendAdvert on;
MaxRtrAdvInterval 200;
prefix 2001:bf7:20::/64 { };
RDNSS <IPv6 address> { };
};

Damit die Änderungen wirksam werden, starten wir ''radvd'' neu:

$ service radvd restart

=DNS-Proxy=
Zur Auflösung von Hostnamen richten wir auf dem Gateway mittels ''dnsmasq'' einen DNS-Proxy ein, der eingehende DNS-Anfragen an von uns definierte DNS-Server weiterleitet. Wie zuvor installieren wir als erstes den Dämonen:

$ apt-get install dnsmasq

Die Konfiguration in ''/etc/dnsmasq.conf'' ändern wir wie im folgenden Absatz aufgeführt. Mit “bind-interfaces” und “interface=br-ff3l” zwingen wir ''dnsmasq'' lediglich an unsere Brücke ''br-ff3l'' zu binden. Das Loopback-Interface schließen wir mit “except-interface=lo” aus, um Konflikte mit einem bereits existierenden DNS-Server (z.B. ''bind'') zu vermeiden. Zum gleichen Zweck lassen wir ''dnsmasq'' mittels der Option “listen-address=127.0.0.2″ auf einer anderen lokalen Adresse lauschen. Die DHCP-Serverfunktion wird mittels “no-dhcp-interface=br-ff3l” deaktiviert. Die Option “domain-needed” bewirkt, dass Hostnamen ohne Domain nicht aufgelöst werden. Die Optionen “no-resolve” und “no-hosts” verhindern die Verwendung der DNS-Konfiguration unter ''/etc/resolv.conf'' sowie der Host-Einträge in ''/etc/hosts''. Mit “cache-size=4096″ erhöhen wir die Zahl der im Zwischenspeicher gehaltenen Namenseinträge auf 4096. Log-Einträge leiten wir mittels “log-facility=/var/log/dnsmasq.log” in eine eigene Log-Datei um.

bind-interfaces
except-interface=lo
interface=br-ff3l
listen-address=127.0.0.2
no-dhcp-interface=br-ff3l
domain-needed
no-resolv
no-hosts
cache-size=4096
log-facility=/var/log/dnsmasq.log

Um die Konfiguration abzuschließen, tragen wir unter ''/etc/dnsmasq.d/ff3l'' noch die von uns favorisierten DNS-Server ein (primär: lokaler DNS-Server, sekundär: Google DNS-Server). Weiterhin leiten wir Anfragen für die TLD ''.ff3l'' an den lokalen DNS-Server weiter:

# Forward regular DNS requests
server=127.0.0.1
server=8.8.4.4

# FF3L forward lookup
server=/ff3l/127.0.0.1
# FF3L reverse lookup
server=/119.10.in-addr.arpa/127.0.0.1
server=/2.0.0.7.f.b.0.1.0.0.2.ip6.arpa/127.0.0.1

Damit die Änderungen wirksam werden, starten wir ''dnsmasq'' neu:

$ service dnsmasq restart

=OpenVPN-Verbindung=
'''Noch nicht aktualisiert!'''
Um ausgehenden Netzverkehr zu anonymisieren (d.h. um die IP-Adresse des Gateways und damit unsere Identität zu verstecken), richten wir eine Tunnelverbindung zu einem VPN-Server ein. Entsprechende Tunnelverbindungen werden von zahlreichen Providern als Dienstleistung angeboten. In unserem Fall haben wir uns für CyberghostVPN entschieden. Nicht unbedingt der billigste Anbieter. Dafür hat man die Wahl zwischen einer Vielzahl von Serven, welche in der Regel recht performant sind. Die Verbindung zu CyberghostVPN-Servern erfolgt (unter anderem) mittels OpenVPN. Hierfür installieren wir als erstes das benötigte Paket:

$ apt-get install openvpn

CyberghostVPN bietet für OpenVPN-Verbindungen monolothische Konfigurationsdateien zum Download an, welche bereits alle Einstellungen und Schlüssel enthalten. Eine solche Konfigurationsdatei kopieren wir in das Verzeichnis /etc/openvpn unter dem Namen cyberghost.conf.

Um zu verhindern, dass sämtlicher ausgehender Verkehr über den VPN-Tunnel umgeleitet wird, entfernen wir in der Konfigurationsdatei den Eintrag

redirect-gateway def1

Aus dem gleichen Grund nehmen wir zusätzlich die folgende Zeile auf:

route-noexec

Um Fehlermeldungen zu vermeiden, sind die folgenden Zeilen zu entfernen:

dhcp-renew
dhcp-release

Da CyberghostVPN die Authentifizierung mittels eines Benutzernamens und Passworts verlangt, verweisen wir in der Konfiguration auf eine externe Datei, in welcher wir diese hinterlegen:

auth-user-pass ./cyberghost/cyberghost.secret

Zusätzlich konfigurieren wir ein Start-Skript, welches benötigt wird, um Manipulationen am Routing durchzuführen sobald die Tunnelverbindung steht:

up ./cyberghost/cyberghost-up

Nach Abschluss der beschriebenen Modifikationen sollte der Kopf der Konfigurationsdatei /etc/openvpn/cyberghost.conf in etwa wie folgt aussehen:

client
remote se.openvpn.cyberghostvpn.com 9081
dev tun
proto udp
auth-user-pass ./cyberghost/cyberghost.secret
resolv-retry infinite
persist-key
persist-tun
nobind
route-noexec
cipher AES-256-CBC
auth MD5
ping 5
ping-exit 60
ping-timer-rem
explicit-exit-notify 2
script-security 2
remote-cert-tls server
route-delay 5
tun-mtu 1500
fragment 1300
mssfix 1300
verb 4
comp-lzo
up ./cyberghost/cyberghost-up

Wir legen als nächstes das Unterverzeichnis /etc/openvpn/cyberghost an:

$ mkdir /etc/openvpn/cyberghost

In diesem hinterlegen wir unseren CyberghostVPN-Benutzernamen und Schlüssel in der datei /etc/openvpn/cyberghost/cyberghost.secret. Die Dateiu enthält in der ersten Zeile den Benutzernamen und in der zweiten Zeile den Schlüssel. Die Datei sollte in etwa wie folgt aussehen:

CG7043533734
8jDDks,d003dD

Um unberechtigten Zugriff zu verhindern, beschränken wir den Zugriff auf den Besitzer der Datei (root):

$ chmod 600 /etc/openvpn/cyberghost/cyberghost.secret

Jetzt fehlt nur noch das Start-Skript. Dieses platzieren wir in der Datei /etc/openvpn/cyberghost/cyberghost-up. Die Befehle in der 2. und 3. Zeile richten in der Routing-Tabelle 42 eine Standardroute zum VPN-Server ein. Die Routing-Tabelle 42 regelt das Routing des über das Mesh-VPN eingehenden Verkehrs (siehe Konfiguration der bat0-Schnittstelle oben und der Firewall weiter unten). Die Adresse des VPN-Servers wird über den Platzhalter $5 übergeben. Danach starten wir mit “service dnsmasq restart” dnsmasq neu, so dass der Dämon die neue Netzwerkverbindung wahrnimmt und DNS-Server über den Tunnel anspricht.

#!/bin/sh
ip route replace 0.0.0.0/1 via $5 dev $1 table 42
ip route replace 128.0.0.0/1 via $5 dev $1 table 42
service dnsmasq restart
exit 0

Tipp: Im Fall des hide.me VPN-Anbieters wurde festgestellt, dass keine entfernte IP-Adresse übermittelt wird. In diesem Fall ist das Argument $5 leer und die Befehle ''ip route ...'' schlagen fehl. Als Lösung lässt sich alternativ die lokale IP-Adresse in $4 verwenden, um die Routen im BDS-Kompatibilitätsmodus zu setzen.

Das Skript machen wir noch mit dem folgenden Befehl ausführbar:

$ chmod +x /etc/openvpn/cyberghost/cyberghost-up

In ''/etc/default/openvpn'':

AUTOSTART="all"

Änderung übernehmen:

sudo systemctl daemon-reload

Danach sind wir soweit, dass wir die Tunnelverbindung aufbauenkönnen:

$ service openvpn start

In Zukunft wird die Verbindung automatisch aufgebaut werden, wenn das Gateway hochgefahren wird. Nach kurzer Zeit sollte eine zusätzliche Netzwerkschnittstelle tun0 erscheinen (Abfrage mittels ifconfig). Sollte dies nicht der Fall sein, empfiehlt es sich die Log-Einträge unter /var/log/daemon.log zu überprüfen.
OpenVPN-Verbindung automatisch überprüfen

=Gateway Check=
Ein generelles Problem mit VPN-Verbindungen ist, dass diese abreißen können. In diesem Fall würde batman-adv nachwievor versuchen, den ausgehenden Internetverkehr über das Gateway weiterzuleiten. Der Grund hierfür ist, dass wir batman-adv im Zuge der Aktivierung mittels “batctl gw server” in den Server-Modus versetzt haben. Die betroffenen Pakete würden verloren gehen und die verbundenen Klienten wären vom Internet abgeschnitten. Um dies zu verhindern, legen wir in der Datei /usr/local/bin/check-gateway das folgende Skript an:

#!/bin/bash
INTERFACE=tun0 # Set to name of VPN interface
shopt -s nullglob

# Test whether gateway is connected to the outer world via VPN
ping -q -I $INTERFACE 8.8.8.8 -c 4 -i 1 -W 5 >/dev/null 2>&1

if test $? -eq 0; then
NEW_STATE=server
else
NEW_STATE=off
fi

# Iterate through network interfaces in sys file system
for MESH in /sys/class/net/*/mesh; do
# Check whether gateway modus needs to be changed
OLD_STATE="$(cat $MESH/gw_mode)"
[ "$OLD_STATE" == "$NEW_STATE" ] && continue
echo $NEW_STATE > $MESH/gw_mode
echo 54MBit/54MBit > $MESH/gw_bandwidth
logger "batman gateway mode changed to $NEW_STATE"

# Check whether gateway modus has been deactivated
if [ "$NEW_STATE" == "off" ]; then
# Shutdown DHCP server to prevent renewal of leases
service isc-dhcp-server stop
# Shutdown radvd daemon to prevent advertisment of server as gateway
service radvd stop
fi

# Check whether gateway modus has been activated
if [ "$NEW_STATE" == "server" ]; then
# Restart DHCP server and radvd daemon
service isc-dhcp-server start
service radvd start
fi
done

Das Skript pingt über die OpenVPN-Schnittstelle tun0 den Google DNS-Server 8.8.8.8 an. Ist dieser nicht erreichbar, wird der Gateway-Modus in batman-adv über das Sys-Dateisystem deaktiviert. Zusätzlich deaktivieren wir den DHCP-Server und radvd-Dämonen. Klienten im Freifunknetz haben damit die Möglichkeit, sich einen alternativen Weg ins Internet zu suchen (d.h. über ein anderes Gateway). Umgekehrt wird der Gateway-Modus wieder aktiviert, sobald der DNS-Server erreichbar ist. Mit den folgenden Kommandos stellen wir sicher, dass das Skript allein von root ausgeführt werden kann:

$ chown root.root check-gateway
$ chmod ug+x check-gateway

Danach nehmen wir die folgenden Zeilen in die Datei /etc/crontab auf, um das Skript einmal pro Minute auszuführen und damit den Gateway-Status zu überprüfen.

# Check whether internet still reachable via openvpn tunnel
* * * * * root check-gateway > /dev/null

Die Änderungen übernehmen durch einen Neustart des Cron-Dämonen:

$ service cron restart

=Firewall=
'''Noch nicht aktualisiert!'''
Endspurt! Jetzt fehlt uns nur noch die Konfiguration der Firewall bevor wir am Ziel sind. Um die Firewall-Konfiguration permanent zu speichern, installiern wir zunächst das folgende Paket:

$ apt-get install iptables-persistent

Im Anschluss ersetzen wir den Inhalt der Datei /etc/iptables/rules.v4 mit dem folgenden Absatz. In der Grund-Konfiguration bleibt die Firewall komplett offen. Die Zahlenwerte in den eckigen Klammern sind Paket- und Byte-Zähler und können an dieser Stelle ignoriert werden. Für die Umleitung des ausgehenden Internetverkehrs über den VPN-Tunnel sind die PREROUTING und POSTROUTING Befehle unter *mangle und *nat entscheidend. Der Eintrag “-A PREROUTING -i br-ff3l -j MARK –set-xmark 0x1/0xffffffff” bewirkt, dass über die Brücke br-ff3l (und damit über das Mesh-VPN) eingehender Verkehr mittels der Ziffer 0x1 markiert wird. Die im Zuge der Kongifuration der bat0-Schnittstelle angelegte Routing-Regel (siehe oben) bewirkt wiederum, dass mit der Ziffer 0x1 markierter Verkehr gemäß der Routing-Tabelle 42 weitergeleitet wird. In dieser hatten wir eine Standardroute über den VPN-Tunnel definiert. Damit alle über den VPN-Tunnel ausgehende Pakete auch eine globale IP-Adresse aufweisen, aktivieren wir mittels “-A POSTROUTING -o tun0 -j MASQUERADE” das IP-Masquerading. Die Firewall ersetzt in der Folge lokale IP-Adressen aus dem Freifunk-Netz mit der globalen IP-Adresse des Gateways. Eingehende Pakete werde analog modifiziert, so dass sie ihren Weg zurück in das Freifunknetz finden. Wer sich durch die Details der Konfiguration arbeiten möchte, dem sei folgendes Howto empfohlen.

# Generated by iptables-save v1.4.14 on Sat May 10 00:21:44 2014
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
COMMIT
*mangle
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
-A PREROUTING -i br-ff3l -j MARK --set-xmark 0x1/0xffffffff
COMMIT
*nat
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
-A POSTROUTING -o tun0 -j MASQUERADE
COMMIT
# Completed on Sat May 10 00:21:44 2014

Noch eine allerletzte Tat, damit die Regeln für die Umleitung auch greifen: Im Skript ''/etc/rc.local'' nehmen wir die Zeilen des folgenden Abschnitts auf, um das Routing für unzustellbare Pakete sowie über die Brücke br-ff3l eingehende Pakete (angezeigt durch die Markierung 0x1) gemäß Routing-Tabelle 42 zu aktivieren:

/sbin/ip route add unreachable default table 42
/sbin/ip rule add from all fwmark 0x1 table 42
exit 0

Nach der ersten Einrichtung starten wir das Skript manuell. In Zukunft wird es beim Hochfahren des Gateway automatisch ausgeführt werden:

$ /etc/rc.local

I...

$ service netfilter-persistent restart

=Abschluss=
Damit sind wir eigentlich am Ziel. Um die aktuelle Konfiguration noch zu sichern, senden wir eine letzte Kommandozeile an etckeeper:

$ etckeeper commit "Configuration IntraCity VPN server completed."

Jetzt fehlen eigentlich nur noch die Clients. Im nächsten Artikel werde ich darüber berichten, wie sich Gluon konfigurieren und kompilieren lässt. Danach sind wir bereit für den Erstkontakt und es wird spanned!

...

Sollte alles wie beschrieben funktioniert haben, so seid ihr ab sofort stolzer Betreiber eines Gluon-Internet-Gateways! Ob das Gateway tatsächlich funktioniert, testet man am besten mittels eines Endgeräts, welches über einen Gluon WLAN-Router aufs Internet zugreift. Euer Gateway muss hierfür selbstverständlich vor der Kompilierung des Gluon-Images in der site.conf konfiguriert worden sein (siehe Gluon kompilieren). Sollte der Zugriff vom Endgerät aufs Internet nicht auf Anhieb funktionieren, empfiehlt es sich zuerst zu überprüfen, ob eine Verbindung des Routers über fastd zustande kommt. Im Anschluss sollte man überprüfen, ob der Router mittels DHCP eine IPv4-Adresse beziehen konnte und DNS-Server übermittelt wurden. Sollte dies alles einwandfrei funktionieren, so ist die Firewall-Konfiguration noch einmal gründlich zu überprüfen. Wir wünschen gutes Gelingen!

Gateways

2015-06-16T19:10:34Z

Langweiler: /* OpenVPN-Verbindung */

Juhu, die Zugangsdaten für meinen virtuellen Sever sind da! Damit sind die Weichen für ein unabhängiges Freifunk-Netz in Weil am Rhein gestellt. Um einzelne Knoten außer Funkreichweite miteinander verbinden zu können bedarf es eines Kunstrukts, welches ich als Mesh VPN bezeichne (nicht zu verwechseln mit dem InterCity VPN, welches die verschiedenen Freifunknetze miteinander verbindet). Das Konstrukt is relativ simpel: Mit dem Internet verbundende Knoten in den einzelnen Funkmaschen erstellen eine Tunnelverbindung zu einem oder mehreren zentralen Severn. Diese Server leiten eingehenden Netzwerkverkehr dann in die außer Reichweite befindlichen Funkmaschen weiter. Das Routing übernimmt wie in den Funkmaschen batman-adv.

Der folgende Artikel beschreibt die Einrichtung eines solchen zentralen Servers. Der gleiche Server wird zu einem späteren Zeitpunkt als Gateway ins Internet und zu anderen Freifunk-Netzen via InterCity VPN konfiguriert werden. Die zentralen Elemente sind das batman-adv Kernelmodul und der fastd VPN-Server. Als Betriebssystem wird von Debian Wheezy mit ein Linux-Kernel in der Version 3.2.41 ausgegangen. Das Vorgehen für andere Linux-Distributionen sollte ähnlich sein. Allerdings wird man in diesen Fällen um das Kompilieren von fastd und batman-adv/batctl vermutlich nicht herumkommen. Weiterhin wird von einer Einrichtung als Benutzer root ausgegangen. Falls dem nicht so ist, muss den Befehlen welche Superuser-Rechte benötigen ein sudo vorangestellt werden (Also, sudoer sollte man schon sein, sonst wird es nichts mit der Server-Einrichtung).

...

Der folgende Artikel beschreibt die Einrichtung eines Gluon Internet-Gateways, um Teilnehmern des Freifunknetzes die Verbindung mit dem Internet zu ermöglichen. Die Einrichtung des Mesh-VPN zur Vernetzung von isolierten Funkwolken unterneinander hatten wir in einem vorangehenden Artikel bereits beschrieben. Ein funktionierendes Mesh-VPN ist Voraussetzung für die folgenden Schritte.

Vom Prinzip her wird über das Mesh-VPN eingehender Verkehr, welcher an das Internet (d.h. an Adressen außerhalb des Freifunk-Netzes) gerichtet ist, mittels Routing- und Firewall-Regeln ins Internet weitergeleitet. Zwecks Anonymisierung der Verbindung und Umgehung der in Deutschland geltenden Störerhaftung wird hierbei eine weitere VPN-Verbindung zwischengeschaltet.

Zusätzlich werden wir einen DHCP-Server einrichtigen, um IPv4-Adressen dynamisch an Endgeräte zu vergeben sowie einen DNS-Proxy, der vom Mesh ausgehende DNS-Anfragen bedient. Weiterhin benötigen wir einen Radvd-Dämonen zur Umsetzung des “Neighbour Discovery Protocols”, welches die Autokonfiguration von IPv6-Adressen auf der Basis von Link-Layer-Adressen ermöglicht. Das Routing auf Layer 2 übernimmt batman-adv.

Als Vorlage für die folgenden Beschreibungen dienten die Anleitungen der Freifunk-Gemeinden Hannover und Hamburg. Diese wurden an manchen Stellen modifiziert und um Erläuterungen ergänzt. Als Betriebssystem wird von Debian Wheezy ausgegangen. Die Einrichtung des Gateway erfolgt als Benutzer root. Netzwerkschnittstellen konfigurieren

=Etckeeper=
Um Änderungen an der Konfiguration des Servers besser verfolgen zu können, installieren wir als erstes das Paket ''etckeeper'':

$ apt-get install etckeeper

Im Anschluss aktivieren wir die Versionierung des Konfigurationsverzeichnisses ''/etc'':

$ etckeeper init /etc

In seiner Standardkonfiguration verwendet ''etckeeper'' die Software ''git'' zur Versionierung. Um lästige Warnungen zu vermeiden, vervollständigen wir die git-Konfiguration mit den zwei folgenden Befehlszeilen. Falls ''git'' bereits vollständig konfiguriert wurde, kann dieser Schritt übersprungen werden.

$ git config --global user.name "Freifunk 3Laendereck"
$ git config --global user.email admin@freifunk-3laendereck.de

=batman-adv=
Im nächsten Schritt installieren wir das ''batman-adv'' Kernel-Modul und das zugehörige Konfigurationswerkzeug ''batctl''. Diese sind nicht Teil der Debian-Distribution (zumindest nicht in einer aktuellen Version), sondern müssen über ein externes Depot (“Repository”) bezogen werden. Hierfür fügen wir der Datei ''/etc/apt/sources.list'' die folgende Zeile hinzu:

deb http://repo.universe-factory.net/debian/ sid main

Im Anschluss importieren wir die öffentlichen Schlüssel, mit welchen die Identität der importierten Pakete überprüft wird:

$ gpg --keyserver pgpkeys.mit.edu --recv-key AB7A88C5B89033D8
$ gpg --keyserver pgpkeys.mit.edu --recv-key 16EF3F64CB201D9C
$ gpg -a --export AB7A88C5B89033D8 | apt-key add -
$ gpg -a --export 16EF3F64CB201D9C | apt-key add -

Jetzt sind wir soweit, dass wir die benötigten Pakete mittels der folgenden Befehlszeilen bequem installieren können:

$ apt-get update
$ apt-get install batman-adv-dkms
$ apt-get install batctl

Im Anschluss müssen wir noch das batman-adv Modul in den Kernel laden:

$ modprobe batman-adv

'''Achtung:''' Unter Debian Jessie wird das Modul nicht installiert. Es kommt während der Installation die Meldung, dass die installierte Version neuer ist als die zu installierende Version. Lösung: Wir erzwingen die Installation des Moduls von Hand:

$ dkms remove batman-adv/2013.4.0 --all
$ dkms install --force batman-adv/2013.4.0

Auch batctl ist zu neu und muss unter Debian Jessie nochmals manuell installiert und fixiert werden.

$ apt-get remove batctl
$ wget http://repo.universe-factory.net/debian/pool/main/b/batctl/batctl_2013.4.0-1_amd64.deb
$ dpkg -i batctl_2013.4.0-1_amd64.deb
$ echo "batctl hold" | dpkg --set-selections

Danach ermitteln wir die installierten Kernel- und Kernel-Header-Module:

$ dpkg --get-selections | grep linux

Schließlich fixieren wir sämtliche Pakete mit dem Präfix "linux-headers" bzw. "linux-image" auf die aktuelle Version. Der Platzhalter ''<version>'' ist durch den zuvor angezeigten Versionsbezeichner zu ersetzen:

$ echo "linux-headers-<version>-amd64 hold" | dpkg --set-selections
$ echo "linux-headers-<version>-common hold" | dpkg --set-selections
$ echo "linux-image-<version>-amd64 hold" | dpkg --set-selections
$ echo "linux-headers-amd64 hold" | dpkg --set-selections
$ echo "linux-image-amd64 hold" | dpkg --set-selections

Damit das Kenel-Modul in Zukunft automatisch während des Boot-Vorgangs geladen wird, fügen wir noch die folgende Zeile der Datei ''/etc/modules'' hinzu:

batman-adv

=fastd=
Im nächsten Schritt richten wir den VPN-Dämonen ''fastd'' ein. Dieser kann über das gleiche Software-Depot wie ''batman-adv'' bezogen werden. Für die Installation genügt es, das folgende Kommando auszuführen:

$ apt-get install fastd

Nach erfolgter Installation muss ''fastd'' noch konfiguriert werden. Das Standardkonfigurationsverzeichnis ''/etc/fastd'' ist zum aktuellen Zeitpunkt noch leer. Zuerst erzeugen wir ein Unterverzeichnis, in dem die Konfigruationsdateien für unser Netzwerk abgelegt werden sollen:

$ mkdir /etc/fastd/ff3l
$ mkdir /etc/fastd/ff3l/peers

Als nächstes generieren wir ein Schlüsselpaar und speichern es in der Dateil keys:

$ cd /etc/fastd/ff3l
$ fastd --generate-key >> keys

Die Ausgabe der Datei sollte dem folgenden Beispiel ähneln:

$ cat keys
2014-04-26 21:15:27 +0200 --- Info: Reading 32 bytes from /dev/random...
Secret: 90722f73f2c23b672ad419f66191420444a3e7a9a69c9fa139e0da096570b857
Public: a7d7cfbd2d4a463ffd8d6faff71fffbef7761ae95d685913d774e38aa1f31596

Den privaten Schlüssel speichern wir in der Datei ''/etc/fastd/ff3l/secret.conf'' in Form der folgenden Zeile:

secret "90722f73f2c23b672ad419f66191420444a3e7a9a69c9fa139e0da096570b857";

Der eingetragene Schlüssel muss selbstverständlich durch den tatsächlich generierten Schlüssel ersetzt werden. Beide Dateien (''keys'' und ''secret.conf'') schützen wir durch eine Einschränkung der Rechte vor dem Zugriff Dritter:

$ chmod 600 keys
$ chmod 600 secret.conf

Der öffentliche Schlüssel wird nicht für die Konfiguration von ''fastd'' benötigt, wohl aber später für die Konfiguration der Klienten. Abschließend erzeugen wir die zentrale Konfigurationsdatei ''/etc/fastd/ff3l/fastd.conf'' mit folgendem Inhalt:

# Log warnings and errors to stderr
log level info;
# Log everything to syslog
log to syslog level info;
# Set the interface name
interface "ff3l-mesh-vpn";
# Enable encryption methods
method "salsa2012+umac";
method "salsa2012+gmac";
method "xsalsa20-poly1305";
method "aes128-gcm";
# Bind to a fixed port, IPv4 only
bind 0.0.0.0:10000;
# Secret key generated by `fastd --generate-key`
include "secret.conf";
# Enforce secure handshakes
secure handshakes yes;
# Set the interface MTU for TAP mode with xsalsa20/aes128 over IPv4 with a base MTU of 1492 (PPPoE)
# (see MTU selection documentation)
mtu 1426;
# Include peers from the directory 'peers'
include peers from "peers";
# Activate batman-adv network interface
on up "
ifup bat0
ip link set address <MAC address> up dev $INTERFACE
";
# Deactivate batman-adv network interface
on down "
ifdown bat0
";

Der Platzhalter ''<MAC address>'' ist mit einer beliebigen, jedoch für das jeweilige Gateway eindeutigen MAC-Adresse zu ersetzen.
Im Unterverzeichnis ''/etc/fastd/freifunk/peers'' werden wir zu einem späteren Zeitpunkt für jeden Klienten eine Datei mit dem öffentlichen Schlüssel anlegen. Der öffentliche Schlüssel wird von Gluon auf den Knoten zum Zeitpunkt der Erstkonfiguration angelegt und muss per e-Mail an die Gateway-Administratoren übermmittelt werden. Beispiel für eine Konfigurationsdatei:

# <Name des Klienten>
# <Kontaktadresse>
key "INCOMING_CONNECTION_PARTNER_PUBLIC_KEY";

Jetzt müssen wir den fastd-Server nur noch starten:

/etc/init.d/fastd start

Da mit der Installation von fastd gleichzeitig die zugehörigen Links in den ''/etc/rc.X''-Verzeichnissen erstellt wurde, startet ''fastd'' beim nächsten Bootvorgang automatisch.

=Netzwerkschnittstellen=

Für die Konfiguration des Gateways benötigen wir die sogenannten bridge-utils, welche wir mit folgenden Befehlen installieren:

$ apt-get update
$ apt-get install bridge-utils

Zusätzlich aktivieren wir die IP-Weiterleitung durch Hinzufügen der folgenden Zeilen zur Datei ''/etc/sysctl.conf'':

net.ipv4.ip_forward=1
net.ipv6.conf.all.forwarding = 1

Im Anschluss übernehmen wir die Änderung durch Ausführung der folgenden Befehlszeile:

$ sysctl -p /etc/sysctl.conf

Im ersten Schritt richten wir unter ''/etc/network/interfaces'' eine Netzwerkbrücke mit dem Namen ''br-ff3l'' ein. Die Brücke dient der statischen IPv4- und IPv6-Konfiguration des Gateways. Später wird der Brücke noch die Batman-Schnittstelle ''bat0'' zugewiesen. Beide IP-Adressen müssen innherhalb des Freifunk-Netzes liegen und für das Gateway eindeutig sein. Die Platzhalter <IPv6 address> und <IPv4 address> sind entsprechend zu ersetzen:

# FF3L mesh interfaces
iface br-ff3l inet6 static
bridge-ports none
address <IPv6 address>
netmask 44

iface br-ff3l inet static
address <IPv4 address>
netmask 255.255.0.0

Neben der Brücke konfigurieren wir in der selben Datei die Batman-Schnitstelle 'bat0':

iface bat0 inet6 manual
pre-up modprobe batman-adv
pre-up batctl if add ff3l-mesh-vpn
pre-up batctl gw server 100mbit/100mbit
up ip link set $IFACE up
post-up brctl addif br-ff3l $IFACE
post-up batctl it 10000
post-up ip rule add from all fwmark 0x1 table 42
post-up start-stop-daemon -b --start --exec /usr/sbin/alfred -- -i br-ff3l -b bat0;
post-up start-stop-daemon -b --start --exec /usr/sbin/batadv-vis -- -i bat0 -s;
pre-down brctl delif br-ff3l $IFACE || true
pre-down start-stop-daemon --stop --exec /usr/sbin/batadv-vis
pre-down start-stop-daemon --stop --exec /usr/sbin/alfred
down ip link set $IFACE down

Bevor die Schnittstelle aktiviert wird, stellen wir mittels des Kommandos “pre-up modprobe batman-adv” sicher, dass das Kernel-Modul ''batman-adv'' geladen und aktiv ist. Mittels “pre-up batctl if add ff3l-mesh-vpn” ordnen wir die Schnittstelle für das Mesh-VPN der Batman-Schnittstelle zu und aktivieren somit das automatische Routing. Im Anschluss konfigurieren wir das Gateway mittels “pre-up batctl gw server 100mbit/100mbit” als Server, so dass DHCP-Anfragen von Batman zugestellt werden. Die Bandbreiten (Downlink/Uplink) sind ggf. anzupassen. Im Anschluss aktivieren wir die Schnittstelle mittels “up ip link set $IFACE up”.

Danach ordnen wir die Batman-Schnittstelle mittels “brctl addif br-ff3l $IFACE” der zuvor angelegten Brücke zu, so dass die statische IP-Konfiguration greift. Das Originator-Intervall für Batman setzen wir mit “post-up batctl it 10000″ auf 10000 ms (also 10s). Als letztes leiten wir mittels “post-up ip rule add from all fwmark 0x1 table 42″ mit der Ziffer 0x1 markierten eingehenden Verkehr gemäß der Routing-Tabelle 42 weiter (siehe Firewall-Konfiguration unten). Vor dem Herunterfahren von bat0 lösen wir die Schnitstelle mit “pre-down brctl delif br-ff3l $IFACE || true” wieder aus der Brücke.

Nach der Einrichtung der Brücke müssen wir diese ein einziges Mal von Hand starten. Zusätzlich starten wir ''fastd'' erneut, welcher im Zuge des Neustarts wiederum die Batman-Schnittstelle ''bat0'' aktiviert (siehe “on up”-Anweisung in der ''fastd''-Konfiguration):

$ ifup br-ff3l
$ service fastd restart

=DHCP-Server=
Als nächstes richten wir einen DHCP-Server ein, um mit dem Freifunk-Netz verbundenen Endgeräten dynamisch eine IPv4-Netzwerkkonfiguration zuzuweisen. Hierfür verwenden wir den ISC-DHCP-Server, welchen wir zuvor installieren müssen:

$ apt-get install isc-dhcp-server

Die Konfiguration des Servers unter ''/etc/dhcp/dhcpd.conf'' ändern wir gemäß dem folgenden Absatz. Die Adresse des DNS-Servers/Routers ist der statischen Adresse des Gateways gleichzusetzen. Der Platzhalter <IPv4 address> ist entsprechend zu ersetzen. Beim zu vergebenden Adressbereich (hier 10.119.1.1 bis 10.119.255.254) ist für das jeweilige Gateway anzupassen:

ddns-update-style none;
option domain-name ".ff3l";
default-lease-time 600;
max-lease-time 3600;
log-facility local7;
subnet 10.119.0.0 netmask 255.255.0.0 {
# monitor: 80% 90% Y Freifunk Clients
authoritative;
range 10.119.8.32 10.119.9.255;
option domain-name-servers <IPv4 address>;
option routers <IPv4 address>;
}
include "/etc/dhcp/static.conf";

Vorsorglich legen wir noch die (leere) Datei ''/etc/dhcp/static.conf'' für die statische Konfiguration von Klienten an, auch wenn wir diese vorerst nicht nutzen. Im Anschluss starten wir den Dämonen neu:

$ touch /etc/dhcp/static.conf
$ service isc-dhcp-server restart

=Radvd=
Um die Autokonfiguration von IPv6-Adressen auf der Basis von Link-Layer-Adressen zu ermöglichen, richten wir den ''radvd''-Dämonen ein, welcher das “Neighbor Discovery Protocol” implementiert. Zu allererst installieren wir den Dämonen:

$ apt-get install radvd

Danach passen wir die Konfiguration unter ''/etc/radvd.conf'' gem. dem folgenden Abschnitt an. Wir aktivieren den Dämonen auf der Brücke ''br-ff3l'' und damit der Batman-Schnittstelle, welche automatisch zugewiesen wird (siehe oben). Weiterhin teilen wir dem Dämonen unseren IPv6-Präfix (f2001:bf7:20::) mit sowie die statische IPv6-Adresse unseres Gateways als rekursiven DNS-Server. Der Platzhalter <IPv6 address> ist entsprechend zu ersetzen:

interface br-ff3l
{
AdvSendAdvert on;
MaxRtrAdvInterval 200;
prefix 2001:bf7:20::/64 { };
RDNSS <IPv6 address> { };
};

Damit die Änderungen wirksam werden, starten wir ''radvd'' neu:

$ service radvd restart

=DNS-Proxy=
Zur Auflösung von Hostnamen richten wir auf dem Gateway mittels ''dnsmasq'' einen DNS-Proxy ein, der eingehende DNS-Anfragen an von uns definierte DNS-Server weiterleitet. Wie zuvor installieren wir als erstes den Dämonen:

$ apt-get install dnsmasq

Die Konfiguration in ''/etc/dnsmasq.conf'' ändern wir wie im folgenden Absatz aufgeführt. Mit “bind-interfaces” und “interface=br-ff3l” zwingen wir ''dnsmasq'' lediglich an unsere Brücke ''br-ff3l'' zu binden. Das Loopback-Interface schließen wir mit “except-interface=lo” aus, um Konflikte mit einem bereits existierenden DNS-Server (z.B. ''bind'') zu vermeiden. Zum gleichen Zweck lassen wir ''dnsmasq'' mittels der Option “listen-address=127.0.0.2″ auf einer anderen lokalen Adresse lauschen. Die DHCP-Serverfunktion wird mittels “no-dhcp-interface=br-ff3l” deaktiviert. Die Option “domain-needed” bewirkt, dass Hostnamen ohne Domain nicht aufgelöst werden. Die Optionen “no-resolve” und “no-hosts” verhindern die Verwendung der DNS-Konfiguration unter ''/etc/resolv.conf'' sowie der Host-Einträge in ''/etc/hosts''. Mit “cache-size=4096″ erhöhen wir die Zahl der im Zwischenspeicher gehaltenen Namenseinträge auf 4096. Log-Einträge leiten wir mittels “log-facility=/var/log/dnsmasq.log” in eine eigene Log-Datei um.

bind-interfaces
except-interface=lo
interface=br-ff3l
listen-address=127.0.0.2
no-dhcp-interface=br-ff3l
domain-needed
no-resolv
no-hosts
cache-size=4096
log-facility=/var/log/dnsmasq.log

Um die Konfiguration abzuschließen, tragen wir unter ''/etc/dnsmasq.d/ff3l'' noch die von uns favorisierten DNS-Server ein (primär: lokaler DNS-Server, sekundär: Google DNS-Server). Weiterhin leiten wir Anfragen für die TLD ''.ff3l'' an den lokalen DNS-Server weiter:

# Forward regular DNS requests
server=127.0.0.1
server=8.8.4.4

# FF3L forward lookup
server=/ff3l/127.0.0.1
# FF3L reverse lookup
server=/119.10.in-addr.arpa/127.0.0.1
server=/2.0.0.7.f.b.0.1.0.0.2.ip6.arpa/127.0.0.1

Damit die Änderungen wirksam werden, starten wir ''dnsmasq'' neu:

$ service dnsmasq restart

=OpenVPN-Verbindung=
'''Noch nicht aktualisiert!'''
Um ausgehenden Netzverkehr zu anonymisieren (d.h. um die IP-Adresse des Gateways und damit unsere Identität zu verstecken), richten wir eine Tunnelverbindung zu einem VPN-Server ein. Entsprechende Tunnelverbindungen werden von zahlreichen Providern als Dienstleistung angeboten. In unserem Fall haben wir uns für CyberghostVPN entschieden. Nicht unbedingt der billigste Anbieter. Dafür hat man die Wahl zwischen einer Vielzahl von Serven, welche in der Regel recht performant sind. Die Verbindung zu CyberghostVPN-Servern erfolgt (unter anderem) mittels OpenVPN. Hierfür installieren wir als erstes das benötigte Paket:

$ apt-get install openvpn

CyberghostVPN bietet für OpenVPN-Verbindungen monolothische Konfigurationsdateien zum Download an, welche bereits alle Einstellungen und Schlüssel enthalten. Eine solche Konfigurationsdatei kopieren wir in das Verzeichnis /etc/openvpn unter dem Namen cyberghost.conf.

Um zu verhindern, dass sämtlicher ausgehender Verkehr über den VPN-Tunnel umgeleitet wird, entfernen wir in der Konfigurationsdatei den Eintrag

redirect-gateway def1

Aus dem gleichen Grund nehmen wir zusätzlich die folgende Zeile auf:

route-noexec

Um Fehlermeldungen zu vermeiden, sind die folgenden Zeilen zu entfernen:

dhcp-renew
dhcp-release

Da CyberghostVPN die Authentifizierung mittels eines Benutzernamens und Passworts verlangt, verweisen wir in der Konfiguration auf eine externe Datei, in welcher wir diese hinterlegen:

auth-user-pass ./cyberghost/cyberghost.secret

Zusätzlich konfigurieren wir ein Start-Skript, welches benötigt wird, um Manipulationen am Routing durchzuführen sobald die Tunnelverbindung steht:

up ./cyberghost/cyberghost-up

Nach Abschluss der beschriebenen Modifikationen sollte der Kopf der Konfigurationsdatei /etc/openvpn/cyberghost.conf in etwa wie folgt aussehen:

client
remote se.openvpn.cyberghostvpn.com 9081
dev tun
proto udp
auth-user-pass ./cyberghost/cyberghost.secret
resolv-retry infinite
persist-key
persist-tun
nobind
route-noexec
cipher AES-256-CBC
auth MD5
ping 5
ping-exit 60
ping-timer-rem
explicit-exit-notify 2
script-security 2
remote-cert-tls server
route-delay 5
tun-mtu 1500
fragment 1300
mssfix 1300
verb 4
comp-lzo
up ./cyberghost/cyberghost-up

Wir legen als nächstes das Unterverzeichnis /etc/openvpn/cyberghost an:

$ mkdir /etc/openvpn/cyberghost

In diesem hinterlegen wir unseren CyberghostVPN-Benutzernamen und Schlüssel in der datei /etc/openvpn/cyberghost/cyberghost.secret. Die Dateiu enthält in der ersten Zeile den Benutzernamen und in der zweiten Zeile den Schlüssel. Die Datei sollte in etwa wie folgt aussehen:

CG7043533734
8jDDks,d003dD

Um unberechtigten Zugriff zu verhindern, beschränken wir den Zugriff auf den Besitzer der Datei (root):

$ chmod 600 /etc/openvpn/cyberghost/cyberghost.secret

Jetzt fehlt nur noch das Start-Skript. Dieses platzieren wir in der Datei /etc/openvpn/cyberghost/cyberghost-up. Die Befehle in der 2. und 3. Zeile richten in der Routing-Tabelle 42 eine Standardroute zum VPN-Server ein. Die Routing-Tabelle 42 regelt das Routing des über das Mesh-VPN eingehenden Verkehrs (siehe Konfiguration der bat0-Schnittstelle oben und der Firewall weiter unten). Die Adresse des VPN-Servers wird über den Platzhalter $5 übergeben. Danach starten wir mit “service dnsmasq restart” dnsmasq neu, so dass der Dämon die neue Netzwerkverbindung wahrnimmt und DNS-Server über den Tunnel anspricht.

#!/bin/sh
ip route replace 0.0.0.0/1 via $5 dev $1 table 42
ip route replace 128.0.0.0/1 via $5 dev $1 table 42
service dnsmasq restart
exit 0

{Tip|Im Fall des hide.me VPN-Anbieters wurde festgestellt, dass keine entfernte IP-Adresse übermittelt wird. In diesem Fall ist das Argument $5 leer und die Befehle ''ip route ...'' schlagen fehl. Als Lösung lässt sich alternativ die lokale IP-Adresse in $4 verwenden, um die Routen im BDS-Kompatibilitätsmodus zu setzen.}

Das Skript machen wir noch mit dem folgenden Befehl ausführbar:

$ chmod +x /etc/openvpn/cyberghost/cyberghost-up

In ''/etc/default/openvpn'':

AUTOSTART="all"

Änderung übernehmen:

sudo systemctl daemon-reload

Danach sind wir soweit, dass wir die Tunnelverbindung aufbauenkönnen:

$ service openvpn start

In Zukunft wird die Verbindung automatisch aufgebaut werden, wenn das Gateway hochgefahren wird. Nach kurzer Zeit sollte eine zusätzliche Netzwerkschnittstelle tun0 erscheinen (Abfrage mittels ifconfig). Sollte dies nicht der Fall sein, empfiehlt es sich die Log-Einträge unter /var/log/daemon.log zu überprüfen.
OpenVPN-Verbindung automatisch überprüfen

=Gateway Check=
Ein generelles Problem mit VPN-Verbindungen ist, dass diese abreißen können. In diesem Fall würde batman-adv nachwievor versuchen, den ausgehenden Internetverkehr über das Gateway weiterzuleiten. Der Grund hierfür ist, dass wir batman-adv im Zuge der Aktivierung mittels “batctl gw server” in den Server-Modus versetzt haben. Die betroffenen Pakete würden verloren gehen und die verbundenen Klienten wären vom Internet abgeschnitten. Um dies zu verhindern, legen wir in der Datei /usr/local/bin/check-gateway das folgende Skript an:

#!/bin/bash
INTERFACE=tun0 # Set to name of VPN interface
shopt -s nullglob

# Test whether gateway is connected to the outer world via VPN
ping -q -I $INTERFACE 8.8.8.8 -c 4 -i 1 -W 5 >/dev/null 2>&1

if test $? -eq 0; then
NEW_STATE=server
else
NEW_STATE=off
fi

# Iterate through network interfaces in sys file system
for MESH in /sys/class/net/*/mesh; do
# Check whether gateway modus needs to be changed
OLD_STATE="$(cat $MESH/gw_mode)"
[ "$OLD_STATE" == "$NEW_STATE" ] && continue
echo $NEW_STATE > $MESH/gw_mode
echo 54MBit/54MBit > $MESH/gw_bandwidth
logger "batman gateway mode changed to $NEW_STATE"

# Check whether gateway modus has been deactivated
if [ "$NEW_STATE" == "off" ]; then
# Shutdown DHCP server to prevent renewal of leases
service isc-dhcp-server stop
# Shutdown radvd daemon to prevent advertisment of server as gateway
service radvd stop
fi

# Check whether gateway modus has been activated
if [ "$NEW_STATE" == "server" ]; then
# Restart DHCP server and radvd daemon
service isc-dhcp-server start
service radvd start
fi
done

Das Skript pingt über die OpenVPN-Schnittstelle tun0 den Google DNS-Server 8.8.8.8 an. Ist dieser nicht erreichbar, wird der Gateway-Modus in batman-adv über das Sys-Dateisystem deaktiviert. Zusätzlich deaktivieren wir den DHCP-Server und radvd-Dämonen. Klienten im Freifunknetz haben damit die Möglichkeit, sich einen alternativen Weg ins Internet zu suchen (d.h. über ein anderes Gateway). Umgekehrt wird der Gateway-Modus wieder aktiviert, sobald der DNS-Server erreichbar ist. Mit den folgenden Kommandos stellen wir sicher, dass das Skript allein von root ausgeführt werden kann:

$ chown root.root check-gateway
$ chmod ug+x check-gateway

Danach nehmen wir die folgenden Zeilen in die Datei /etc/crontab auf, um das Skript einmal pro Minute auszuführen und damit den Gateway-Status zu überprüfen.

# Check whether internet still reachable via openvpn tunnel
* * * * * root check-gateway > /dev/null

Die Änderungen übernehmen durch einen Neustart des Cron-Dämonen:

$ service cron restart

=Firewall=
'''Noch nicht aktualisiert!'''
Endspurt! Jetzt fehlt uns nur noch die Konfiguration der Firewall bevor wir am Ziel sind. Um die Firewall-Konfiguration permanent zu speichern, installiern wir zunächst das folgende Paket:

$ apt-get install iptables-persistent

Im Anschluss ersetzen wir den Inhalt der Datei /etc/iptables/rules.v4 mit dem folgenden Absatz. In der Grund-Konfiguration bleibt die Firewall komplett offen. Die Zahlenwerte in den eckigen Klammern sind Paket- und Byte-Zähler und können an dieser Stelle ignoriert werden. Für die Umleitung des ausgehenden Internetverkehrs über den VPN-Tunnel sind die PREROUTING und POSTROUTING Befehle unter *mangle und *nat entscheidend. Der Eintrag “-A PREROUTING -i br-ff3l -j MARK –set-xmark 0x1/0xffffffff” bewirkt, dass über die Brücke br-ff3l (und damit über das Mesh-VPN) eingehender Verkehr mittels der Ziffer 0x1 markiert wird. Die im Zuge der Kongifuration der bat0-Schnittstelle angelegte Routing-Regel (siehe oben) bewirkt wiederum, dass mit der Ziffer 0x1 markierter Verkehr gemäß der Routing-Tabelle 42 weitergeleitet wird. In dieser hatten wir eine Standardroute über den VPN-Tunnel definiert. Damit alle über den VPN-Tunnel ausgehende Pakete auch eine globale IP-Adresse aufweisen, aktivieren wir mittels “-A POSTROUTING -o tun0 -j MASQUERADE” das IP-Masquerading. Die Firewall ersetzt in der Folge lokale IP-Adressen aus dem Freifunk-Netz mit der globalen IP-Adresse des Gateways. Eingehende Pakete werde analog modifiziert, so dass sie ihren Weg zurück in das Freifunknetz finden. Wer sich durch die Details der Konfiguration arbeiten möchte, dem sei folgendes Howto empfohlen.

# Generated by iptables-save v1.4.14 on Sat May 10 00:21:44 2014
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
COMMIT
*mangle
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
-A PREROUTING -i br-ff3l -j MARK --set-xmark 0x1/0xffffffff
COMMIT
*nat
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
-A POSTROUTING -o tun0 -j MASQUERADE
COMMIT
# Completed on Sat May 10 00:21:44 2014

Noch eine allerletzte Tat, damit die Regeln für die Umleitung auch greifen: Im Skript ''/etc/rc.local'' nehmen wir die Zeilen des folgenden Abschnitts auf, um das Routing für unzustellbare Pakete sowie über die Brücke br-ff3l eingehende Pakete (angezeigt durch die Markierung 0x1) gemäß Routing-Tabelle 42 zu aktivieren:

/sbin/ip route add unreachable default table 42
/sbin/ip rule add from all fwmark 0x1 table 42
exit 0

Nach der ersten Einrichtung starten wir das Skript manuell. In Zukunft wird es beim Hochfahren des Gateway automatisch ausgeführt werden:

$ /etc/rc.local

I...

$ service netfilter-persistent restart

=Abschluss=
Damit sind wir eigentlich am Ziel. Um die aktuelle Konfiguration noch zu sichern, senden wir eine letzte Kommandozeile an etckeeper:

$ etckeeper commit "Configuration IntraCity VPN server completed."

Jetzt fehlen eigentlich nur noch die Clients. Im nächsten Artikel werde ich darüber berichten, wie sich Gluon konfigurieren und kompilieren lässt. Danach sind wir bereit für den Erstkontakt und es wird spanned!

...

Sollte alles wie beschrieben funktioniert haben, so seid ihr ab sofort stolzer Betreiber eines Gluon-Internet-Gateways! Ob das Gateway tatsächlich funktioniert, testet man am besten mittels eines Endgeräts, welches über einen Gluon WLAN-Router aufs Internet zugreift. Euer Gateway muss hierfür selbstverständlich vor der Kompilierung des Gluon-Images in der site.conf konfiguriert worden sein (siehe Gluon kompilieren). Sollte der Zugriff vom Endgerät aufs Internet nicht auf Anhieb funktionieren, empfiehlt es sich zuerst zu überprüfen, ob eine Verbindung des Routers über fastd zustande kommt. Im Anschluss sollte man überprüfen, ob der Router mittels DHCP eine IPv4-Adresse beziehen konnte und DNS-Server übermittelt wurden. Sollte dies alles einwandfrei funktionieren, so ist die Firewall-Konfiguration noch einmal gründlich zu überprüfen. Wir wünschen gutes Gelingen!

Gateways

2015-06-16T18:57:12Z

Langweiler: /* OpenVPN-Verbindung */

Juhu, die Zugangsdaten für meinen virtuellen Sever sind da! Damit sind die Weichen für ein unabhängiges Freifunk-Netz in Weil am Rhein gestellt. Um einzelne Knoten außer Funkreichweite miteinander verbinden zu können bedarf es eines Kunstrukts, welches ich als Mesh VPN bezeichne (nicht zu verwechseln mit dem InterCity VPN, welches die verschiedenen Freifunknetze miteinander verbindet). Das Konstrukt is relativ simpel: Mit dem Internet verbundende Knoten in den einzelnen Funkmaschen erstellen eine Tunnelverbindung zu einem oder mehreren zentralen Severn. Diese Server leiten eingehenden Netzwerkverkehr dann in die außer Reichweite befindlichen Funkmaschen weiter. Das Routing übernimmt wie in den Funkmaschen batman-adv.

Der folgende Artikel beschreibt die Einrichtung eines solchen zentralen Servers. Der gleiche Server wird zu einem späteren Zeitpunkt als Gateway ins Internet und zu anderen Freifunk-Netzen via InterCity VPN konfiguriert werden. Die zentralen Elemente sind das batman-adv Kernelmodul und der fastd VPN-Server. Als Betriebssystem wird von Debian Wheezy mit ein Linux-Kernel in der Version 3.2.41 ausgegangen. Das Vorgehen für andere Linux-Distributionen sollte ähnlich sein. Allerdings wird man in diesen Fällen um das Kompilieren von fastd und batman-adv/batctl vermutlich nicht herumkommen. Weiterhin wird von einer Einrichtung als Benutzer root ausgegangen. Falls dem nicht so ist, muss den Befehlen welche Superuser-Rechte benötigen ein sudo vorangestellt werden (Also, sudoer sollte man schon sein, sonst wird es nichts mit der Server-Einrichtung).

...

Der folgende Artikel beschreibt die Einrichtung eines Gluon Internet-Gateways, um Teilnehmern des Freifunknetzes die Verbindung mit dem Internet zu ermöglichen. Die Einrichtung des Mesh-VPN zur Vernetzung von isolierten Funkwolken unterneinander hatten wir in einem vorangehenden Artikel bereits beschrieben. Ein funktionierendes Mesh-VPN ist Voraussetzung für die folgenden Schritte.

Vom Prinzip her wird über das Mesh-VPN eingehender Verkehr, welcher an das Internet (d.h. an Adressen außerhalb des Freifunk-Netzes) gerichtet ist, mittels Routing- und Firewall-Regeln ins Internet weitergeleitet. Zwecks Anonymisierung der Verbindung und Umgehung der in Deutschland geltenden Störerhaftung wird hierbei eine weitere VPN-Verbindung zwischengeschaltet.

Zusätzlich werden wir einen DHCP-Server einrichtigen, um IPv4-Adressen dynamisch an Endgeräte zu vergeben sowie einen DNS-Proxy, der vom Mesh ausgehende DNS-Anfragen bedient. Weiterhin benötigen wir einen Radvd-Dämonen zur Umsetzung des “Neighbour Discovery Protocols”, welches die Autokonfiguration von IPv6-Adressen auf der Basis von Link-Layer-Adressen ermöglicht. Das Routing auf Layer 2 übernimmt batman-adv.

Als Vorlage für die folgenden Beschreibungen dienten die Anleitungen der Freifunk-Gemeinden Hannover und Hamburg. Diese wurden an manchen Stellen modifiziert und um Erläuterungen ergänzt. Als Betriebssystem wird von Debian Wheezy ausgegangen. Die Einrichtung des Gateway erfolgt als Benutzer root. Netzwerkschnittstellen konfigurieren

=Etckeeper=
Um Änderungen an der Konfiguration des Servers besser verfolgen zu können, installieren wir als erstes das Paket ''etckeeper'':

$ apt-get install etckeeper

Im Anschluss aktivieren wir die Versionierung des Konfigurationsverzeichnisses ''/etc'':

$ etckeeper init /etc

In seiner Standardkonfiguration verwendet ''etckeeper'' die Software ''git'' zur Versionierung. Um lästige Warnungen zu vermeiden, vervollständigen wir die git-Konfiguration mit den zwei folgenden Befehlszeilen. Falls ''git'' bereits vollständig konfiguriert wurde, kann dieser Schritt übersprungen werden.

$ git config --global user.name "Freifunk 3Laendereck"
$ git config --global user.email admin@freifunk-3laendereck.de

=batman-adv=
Im nächsten Schritt installieren wir das ''batman-adv'' Kernel-Modul und das zugehörige Konfigurationswerkzeug ''batctl''. Diese sind nicht Teil der Debian-Distribution (zumindest nicht in einer aktuellen Version), sondern müssen über ein externes Depot (“Repository”) bezogen werden. Hierfür fügen wir der Datei ''/etc/apt/sources.list'' die folgende Zeile hinzu:

deb http://repo.universe-factory.net/debian/ sid main

Im Anschluss importieren wir die öffentlichen Schlüssel, mit welchen die Identität der importierten Pakete überprüft wird:

$ gpg --keyserver pgpkeys.mit.edu --recv-key AB7A88C5B89033D8
$ gpg --keyserver pgpkeys.mit.edu --recv-key 16EF3F64CB201D9C
$ gpg -a --export AB7A88C5B89033D8 | apt-key add -
$ gpg -a --export 16EF3F64CB201D9C | apt-key add -

Jetzt sind wir soweit, dass wir die benötigten Pakete mittels der folgenden Befehlszeilen bequem installieren können:

$ apt-get update
$ apt-get install batman-adv-dkms
$ apt-get install batctl

Im Anschluss müssen wir noch das batman-adv Modul in den Kernel laden:

$ modprobe batman-adv

'''Achtung:''' Unter Debian Jessie wird das Modul nicht installiert. Es kommt während der Installation die Meldung, dass die installierte Version neuer ist als die zu installierende Version. Lösung: Wir erzwingen die Installation des Moduls von Hand:

$ dkms remove batman-adv/2013.4.0 --all
$ dkms install --force batman-adv/2013.4.0

Auch batctl ist zu neu und muss unter Debian Jessie nochmals manuell installiert und fixiert werden.

$ apt-get remove batctl
$ wget http://repo.universe-factory.net/debian/pool/main/b/batctl/batctl_2013.4.0-1_amd64.deb
$ dpkg -i batctl_2013.4.0-1_amd64.deb
$ echo "batctl hold" | dpkg --set-selections

Danach ermitteln wir die installierten Kernel- und Kernel-Header-Module:

$ dpkg --get-selections | grep linux

Schließlich fixieren wir sämtliche Pakete mit dem Präfix "linux-headers" bzw. "linux-image" auf die aktuelle Version. Der Platzhalter ''<version>'' ist durch den zuvor angezeigten Versionsbezeichner zu ersetzen:

$ echo "linux-headers-<version>-amd64 hold" | dpkg --set-selections
$ echo "linux-headers-<version>-common hold" | dpkg --set-selections
$ echo "linux-image-<version>-amd64 hold" | dpkg --set-selections
$ echo "linux-headers-amd64 hold" | dpkg --set-selections
$ echo "linux-image-amd64 hold" | dpkg --set-selections

Damit das Kenel-Modul in Zukunft automatisch während des Boot-Vorgangs geladen wird, fügen wir noch die folgende Zeile der Datei ''/etc/modules'' hinzu:

batman-adv

=fastd=
Im nächsten Schritt richten wir den VPN-Dämonen ''fastd'' ein. Dieser kann über das gleiche Software-Depot wie ''batman-adv'' bezogen werden. Für die Installation genügt es, das folgende Kommando auszuführen:

$ apt-get install fastd

Nach erfolgter Installation muss ''fastd'' noch konfiguriert werden. Das Standardkonfigurationsverzeichnis ''/etc/fastd'' ist zum aktuellen Zeitpunkt noch leer. Zuerst erzeugen wir ein Unterverzeichnis, in dem die Konfigruationsdateien für unser Netzwerk abgelegt werden sollen:

$ mkdir /etc/fastd/ff3l
$ mkdir /etc/fastd/ff3l/peers

Als nächstes generieren wir ein Schlüsselpaar und speichern es in der Dateil keys:

$ cd /etc/fastd/ff3l
$ fastd --generate-key >> keys

Die Ausgabe der Datei sollte dem folgenden Beispiel ähneln:

$ cat keys
2014-04-26 21:15:27 +0200 --- Info: Reading 32 bytes from /dev/random...
Secret: 90722f73f2c23b672ad419f66191420444a3e7a9a69c9fa139e0da096570b857
Public: a7d7cfbd2d4a463ffd8d6faff71fffbef7761ae95d685913d774e38aa1f31596

Den privaten Schlüssel speichern wir in der Datei ''/etc/fastd/ff3l/secret.conf'' in Form der folgenden Zeile:

secret "90722f73f2c23b672ad419f66191420444a3e7a9a69c9fa139e0da096570b857";

Der eingetragene Schlüssel muss selbstverständlich durch den tatsächlich generierten Schlüssel ersetzt werden. Beide Dateien (''keys'' und ''secret.conf'') schützen wir durch eine Einschränkung der Rechte vor dem Zugriff Dritter:

$ chmod 600 keys
$ chmod 600 secret.conf

Der öffentliche Schlüssel wird nicht für die Konfiguration von ''fastd'' benötigt, wohl aber später für die Konfiguration der Klienten. Abschließend erzeugen wir die zentrale Konfigurationsdatei ''/etc/fastd/ff3l/fastd.conf'' mit folgendem Inhalt:

# Log warnings and errors to stderr
log level info;
# Log everything to syslog
log to syslog level info;
# Set the interface name
interface "ff3l-mesh-vpn";
# Enable encryption methods
method "salsa2012+umac";
method "salsa2012+gmac";
method "xsalsa20-poly1305";
method "aes128-gcm";
# Bind to a fixed port, IPv4 only
bind 0.0.0.0:10000;
# Secret key generated by `fastd --generate-key`
include "secret.conf";
# Enforce secure handshakes
secure handshakes yes;
# Set the interface MTU for TAP mode with xsalsa20/aes128 over IPv4 with a base MTU of 1492 (PPPoE)
# (see MTU selection documentation)
mtu 1426;
# Include peers from the directory 'peers'
include peers from "peers";
# Activate batman-adv network interface
on up "
ifup bat0
ip link set address <MAC address> up dev $INTERFACE
";
# Deactivate batman-adv network interface
on down "
ifdown bat0
";

Der Platzhalter ''<MAC address>'' ist mit einer beliebigen, jedoch für das jeweilige Gateway eindeutigen MAC-Adresse zu ersetzen.
Im Unterverzeichnis ''/etc/fastd/freifunk/peers'' werden wir zu einem späteren Zeitpunkt für jeden Klienten eine Datei mit dem öffentlichen Schlüssel anlegen. Der öffentliche Schlüssel wird von Gluon auf den Knoten zum Zeitpunkt der Erstkonfiguration angelegt und muss per e-Mail an die Gateway-Administratoren übermmittelt werden. Beispiel für eine Konfigurationsdatei:

# <Name des Klienten>
# <Kontaktadresse>
key "INCOMING_CONNECTION_PARTNER_PUBLIC_KEY";

Jetzt müssen wir den fastd-Server nur noch starten:

/etc/init.d/fastd start

Da mit der Installation von fastd gleichzeitig die zugehörigen Links in den ''/etc/rc.X''-Verzeichnissen erstellt wurde, startet ''fastd'' beim nächsten Bootvorgang automatisch.

=Netzwerkschnittstellen=

Für die Konfiguration des Gateways benötigen wir die sogenannten bridge-utils, welche wir mit folgenden Befehlen installieren:

$ apt-get update
$ apt-get install bridge-utils

Zusätzlich aktivieren wir die IP-Weiterleitung durch Hinzufügen der folgenden Zeilen zur Datei ''/etc/sysctl.conf'':

net.ipv4.ip_forward=1
net.ipv6.conf.all.forwarding = 1

Im Anschluss übernehmen wir die Änderung durch Ausführung der folgenden Befehlszeile:

$ sysctl -p /etc/sysctl.conf

Im ersten Schritt richten wir unter ''/etc/network/interfaces'' eine Netzwerkbrücke mit dem Namen ''br-ff3l'' ein. Die Brücke dient der statischen IPv4- und IPv6-Konfiguration des Gateways. Später wird der Brücke noch die Batman-Schnittstelle ''bat0'' zugewiesen. Beide IP-Adressen müssen innherhalb des Freifunk-Netzes liegen und für das Gateway eindeutig sein. Die Platzhalter <IPv6 address> und <IPv4 address> sind entsprechend zu ersetzen:

# FF3L mesh interfaces
iface br-ff3l inet6 static
bridge-ports none
address <IPv6 address>
netmask 44

iface br-ff3l inet static
address <IPv4 address>
netmask 255.255.0.0

Neben der Brücke konfigurieren wir in der selben Datei die Batman-Schnitstelle 'bat0':

iface bat0 inet6 manual
pre-up modprobe batman-adv
pre-up batctl if add ff3l-mesh-vpn
pre-up batctl gw server 100mbit/100mbit
up ip link set $IFACE up
post-up brctl addif br-ff3l $IFACE
post-up batctl it 10000
post-up ip rule add from all fwmark 0x1 table 42
post-up start-stop-daemon -b --start --exec /usr/sbin/alfred -- -i br-ff3l -b bat0;
post-up start-stop-daemon -b --start --exec /usr/sbin/batadv-vis -- -i bat0 -s;
pre-down brctl delif br-ff3l $IFACE || true
pre-down start-stop-daemon --stop --exec /usr/sbin/batadv-vis
pre-down start-stop-daemon --stop --exec /usr/sbin/alfred
down ip link set $IFACE down

Bevor die Schnittstelle aktiviert wird, stellen wir mittels des Kommandos “pre-up modprobe batman-adv” sicher, dass das Kernel-Modul ''batman-adv'' geladen und aktiv ist. Mittels “pre-up batctl if add ff3l-mesh-vpn” ordnen wir die Schnittstelle für das Mesh-VPN der Batman-Schnittstelle zu und aktivieren somit das automatische Routing. Im Anschluss konfigurieren wir das Gateway mittels “pre-up batctl gw server 100mbit/100mbit” als Server, so dass DHCP-Anfragen von Batman zugestellt werden. Die Bandbreiten (Downlink/Uplink) sind ggf. anzupassen. Im Anschluss aktivieren wir die Schnittstelle mittels “up ip link set $IFACE up”.

Danach ordnen wir die Batman-Schnittstelle mittels “brctl addif br-ff3l $IFACE” der zuvor angelegten Brücke zu, so dass die statische IP-Konfiguration greift. Das Originator-Intervall für Batman setzen wir mit “post-up batctl it 10000″ auf 10000 ms (also 10s). Als letztes leiten wir mittels “post-up ip rule add from all fwmark 0x1 table 42″ mit der Ziffer 0x1 markierten eingehenden Verkehr gemäß der Routing-Tabelle 42 weiter (siehe Firewall-Konfiguration unten). Vor dem Herunterfahren von bat0 lösen wir die Schnitstelle mit “pre-down brctl delif br-ff3l $IFACE || true” wieder aus der Brücke.

Nach der Einrichtung der Brücke müssen wir diese ein einziges Mal von Hand starten. Zusätzlich starten wir ''fastd'' erneut, welcher im Zuge des Neustarts wiederum die Batman-Schnittstelle ''bat0'' aktiviert (siehe “on up”-Anweisung in der ''fastd''-Konfiguration):

$ ifup br-ff3l
$ service fastd restart

=DHCP-Server=
Als nächstes richten wir einen DHCP-Server ein, um mit dem Freifunk-Netz verbundenen Endgeräten dynamisch eine IPv4-Netzwerkkonfiguration zuzuweisen. Hierfür verwenden wir den ISC-DHCP-Server, welchen wir zuvor installieren müssen:

$ apt-get install isc-dhcp-server

Die Konfiguration des Servers unter ''/etc/dhcp/dhcpd.conf'' ändern wir gemäß dem folgenden Absatz. Die Adresse des DNS-Servers/Routers ist der statischen Adresse des Gateways gleichzusetzen. Der Platzhalter <IPv4 address> ist entsprechend zu ersetzen. Beim zu vergebenden Adressbereich (hier 10.119.1.1 bis 10.119.255.254) ist für das jeweilige Gateway anzupassen:

ddns-update-style none;
option domain-name ".ff3l";
default-lease-time 600;
max-lease-time 3600;
log-facility local7;
subnet 10.119.0.0 netmask 255.255.0.0 {
# monitor: 80% 90% Y Freifunk Clients
authoritative;
range 10.119.8.32 10.119.9.255;
option domain-name-servers <IPv4 address>;
option routers <IPv4 address>;
}
include "/etc/dhcp/static.conf";

Vorsorglich legen wir noch die (leere) Datei ''/etc/dhcp/static.conf'' für die statische Konfiguration von Klienten an, auch wenn wir diese vorerst nicht nutzen. Im Anschluss starten wir den Dämonen neu:

$ touch /etc/dhcp/static.conf
$ service isc-dhcp-server restart

=Radvd=
Um die Autokonfiguration von IPv6-Adressen auf der Basis von Link-Layer-Adressen zu ermöglichen, richten wir den ''radvd''-Dämonen ein, welcher das “Neighbor Discovery Protocol” implementiert. Zu allererst installieren wir den Dämonen:

$ apt-get install radvd

Danach passen wir die Konfiguration unter ''/etc/radvd.conf'' gem. dem folgenden Abschnitt an. Wir aktivieren den Dämonen auf der Brücke ''br-ff3l'' und damit der Batman-Schnittstelle, welche automatisch zugewiesen wird (siehe oben). Weiterhin teilen wir dem Dämonen unseren IPv6-Präfix (f2001:bf7:20::) mit sowie die statische IPv6-Adresse unseres Gateways als rekursiven DNS-Server. Der Platzhalter <IPv6 address> ist entsprechend zu ersetzen:

interface br-ff3l
{
AdvSendAdvert on;
MaxRtrAdvInterval 200;
prefix 2001:bf7:20::/64 { };
RDNSS <IPv6 address> { };
};

Damit die Änderungen wirksam werden, starten wir ''radvd'' neu:

$ service radvd restart

=DNS-Proxy=
Zur Auflösung von Hostnamen richten wir auf dem Gateway mittels ''dnsmasq'' einen DNS-Proxy ein, der eingehende DNS-Anfragen an von uns definierte DNS-Server weiterleitet. Wie zuvor installieren wir als erstes den Dämonen:

$ apt-get install dnsmasq

Die Konfiguration in ''/etc/dnsmasq.conf'' ändern wir wie im folgenden Absatz aufgeführt. Mit “bind-interfaces” und “interface=br-ff3l” zwingen wir ''dnsmasq'' lediglich an unsere Brücke ''br-ff3l'' zu binden. Das Loopback-Interface schließen wir mit “except-interface=lo” aus, um Konflikte mit einem bereits existierenden DNS-Server (z.B. ''bind'') zu vermeiden. Zum gleichen Zweck lassen wir ''dnsmasq'' mittels der Option “listen-address=127.0.0.2″ auf einer anderen lokalen Adresse lauschen. Die DHCP-Serverfunktion wird mittels “no-dhcp-interface=br-ff3l” deaktiviert. Die Option “domain-needed” bewirkt, dass Hostnamen ohne Domain nicht aufgelöst werden. Die Optionen “no-resolve” und “no-hosts” verhindern die Verwendung der DNS-Konfiguration unter ''/etc/resolv.conf'' sowie der Host-Einträge in ''/etc/hosts''. Mit “cache-size=4096″ erhöhen wir die Zahl der im Zwischenspeicher gehaltenen Namenseinträge auf 4096. Log-Einträge leiten wir mittels “log-facility=/var/log/dnsmasq.log” in eine eigene Log-Datei um.

bind-interfaces
except-interface=lo
interface=br-ff3l
listen-address=127.0.0.2
no-dhcp-interface=br-ff3l
domain-needed
no-resolv
no-hosts
cache-size=4096
log-facility=/var/log/dnsmasq.log

Um die Konfiguration abzuschließen, tragen wir unter ''/etc/dnsmasq.d/ff3l'' noch die von uns favorisierten DNS-Server ein (primär: lokaler DNS-Server, sekundär: Google DNS-Server). Weiterhin leiten wir Anfragen für die TLD ''.ff3l'' an den lokalen DNS-Server weiter:

# Forward regular DNS requests
server=127.0.0.1
server=8.8.4.4

# FF3L forward lookup
server=/ff3l/127.0.0.1
# FF3L reverse lookup
server=/119.10.in-addr.arpa/127.0.0.1
server=/2.0.0.7.f.b.0.1.0.0.2.ip6.arpa/127.0.0.1

Damit die Änderungen wirksam werden, starten wir ''dnsmasq'' neu:

$ service dnsmasq restart

=OpenVPN-Verbindung=
'''Noch nicht aktualisiert!'''
Um ausgehenden Netzverkehr zu anonymisieren (d.h. um die IP-Adresse des Gateways und damit unsere Identität zu verstecken), richten wir eine Tunnelverbindung zu einem VPN-Server ein. Entsprechende Tunnelverbindungen werden von zahlreichen Providern als Dienstleistung angeboten. In unserem Fall haben wir uns für CyberghostVPN entschieden. Nicht unbedingt der billigste Anbieter. Dafür hat man die Wahl zwischen einer Vielzahl von Serven, welche in der Regel recht performant sind. Die Verbindung zu CyberghostVPN-Servern erfolgt (unter anderem) mittels OpenVPN. Hierfür installieren wir als erstes das benötigte Paket:

$ apt-get install openvpn

CyberghostVPN bietet für OpenVPN-Verbindungen monolothische Konfigurationsdateien zum Download an, welche bereits alle Einstellungen und Schlüssel enthalten. Eine solche Konfigurationsdatei kopieren wir in das Verzeichnis /etc/openvpn unter dem Namen cyberghost.conf.

Um zu verhindern, dass sämtlicher ausgehender Verkehr über den VPN-Tunnel umgeleitet wird, entfernen wir in der Konfigurationsdatei den Eintrag

redirect-gateway def1

Aus dem gleichen Grund nehmen wir zusätzlich die folgende Zeile auf:

route-noexec

Um Fehlermeldungen zu vermeiden, sind die folgenden Zeilen zu entfernen:

dhcp-renew
dhcp-release

Da CyberghostVPN die Authentifizierung mittels eines Benutzernamens und Passworts verlangt, verweisen wir in der Konfiguration auf eine externe Datei, in welcher wir diese hinterlegen:

auth-user-pass ./cyberghost/cyberghost.secret

Zusätzlich konfigurieren wir ein Start-Skript, welches benötigt wird, um Manipulationen am Routing durchzuführen sobald die Tunnelverbindung steht:

up ./cyberghost/cyberghost-up

Nach Abschluss der beschriebenen Modifikationen sollte der Kopf der Konfigurationsdatei /etc/openvpn/cyberghost.conf in etwa wie folgt aussehen:

client
remote se.openvpn.cyberghostvpn.com 9081
dev tun
proto udp
auth-user-pass ./cyberghost/cyberghost.secret
resolv-retry infinite
persist-key
persist-tun
nobind
route-noexec
cipher AES-256-CBC
auth MD5
ping 5
ping-exit 60
ping-timer-rem
explicit-exit-notify 2
script-security 2
remote-cert-tls server
route-delay 5
tun-mtu 1500
fragment 1300
mssfix 1300
verb 4
comp-lzo
up ./cyberghost/cyberghost-up

Wir legen als nächstes das Unterverzeichnis /etc/openvpn/cyberghost an:

$ mkdir /etc/openvpn/cyberghost

In diesem hinterlegen wir unseren CyberghostVPN-Benutzernamen und Schlüssel in der datei /etc/openvpn/cyberghost/cyberghost.secret. Die Dateiu enthält in der ersten Zeile den Benutzernamen und in der zweiten Zeile den Schlüssel. Die Datei sollte in etwa wie folgt aussehen:

CG7043533734
8jDDks,d003dD

Um unberechtigten Zugriff zu verhindern, beschränken wir den Zugriff auf den Besitzer der Datei (root):

$ chmod 600 /etc/openvpn/cyberghost/cyberghost.secret

Jetzt fehlt nur noch das Start-Skript. Dieses platzieren wir in der Datei /etc/openvpn/cyberghost/cyberghost-up. Die Befehle in der 2. und 3. Zeile richten in der Routing-Tabelle 42 eine Standardroute zum VPN-Server ein. Die Routing-Tabelle 42 regelt das Routing des über das Mesh-VPN eingehenden Verkehrs (siehe Konfiguration der bat0-Schnittstelle oben und der Firewall weiter unten). Die Adresse des VPN-Servers wird über den Platzhalter $5 übergeben. Danach starten wir mit “service dnsmasq restart” dnsmasq neu, so dass der Dämon die neue Netzwerkverbindung wahrnimmt und DNS-Server über den Tunnel anspricht.

#!/bin/sh
ip route replace 0.0.0.0/1 via $4 dev $1 table 42
ip route replace 128.0.0.0/1 via $4 dev $1 table 42
service dnsmasq restart
exit 0

Das Skript machen wir noch mit dem folgenden Befehl ausführbar:

$ chmod +x /etc/openvpn/cyberghost/cyberghost-up

In ''/etc/default/openvpn'':

AUTOSTART="all"

Änderung übernehmen:

sudo systemctl daemon-reload

Danach sind wir soweit, dass wir die Tunnelverbindung aufbauenkönnen:

$ service openvpn start

In Zukunft wird die Verbindung automatisch aufgebaut werden, wenn das Gateway hochgefahren wird. Nach kurzer Zeit sollte eine zusätzliche Netzwerkschnittstelle tun0 erscheinen (Abfrage mittels ifconfig). Sollte dies nicht der Fall sein, empfiehlt es sich die Log-Einträge unter /var/log/daemon.log zu überprüfen.
OpenVPN-Verbindung automatisch überprüfen

=Gateway Check=
Ein generelles Problem mit VPN-Verbindungen ist, dass diese abreißen können. In diesem Fall würde batman-adv nachwievor versuchen, den ausgehenden Internetverkehr über das Gateway weiterzuleiten. Der Grund hierfür ist, dass wir batman-adv im Zuge der Aktivierung mittels “batctl gw server” in den Server-Modus versetzt haben. Die betroffenen Pakete würden verloren gehen und die verbundenen Klienten wären vom Internet abgeschnitten. Um dies zu verhindern, legen wir in der Datei /usr/local/bin/check-gateway das folgende Skript an:

#!/bin/bash
INTERFACE=tun0 # Set to name of VPN interface
shopt -s nullglob

# Test whether gateway is connected to the outer world via VPN
ping -q -I $INTERFACE 8.8.8.8 -c 4 -i 1 -W 5 >/dev/null 2>&1

if test $? -eq 0; then
NEW_STATE=server
else
NEW_STATE=off
fi

# Iterate through network interfaces in sys file system
for MESH in /sys/class/net/*/mesh; do
# Check whether gateway modus needs to be changed
OLD_STATE="$(cat $MESH/gw_mode)"
[ "$OLD_STATE" == "$NEW_STATE" ] && continue
echo $NEW_STATE > $MESH/gw_mode
echo 54MBit/54MBit > $MESH/gw_bandwidth
logger "batman gateway mode changed to $NEW_STATE"

# Check whether gateway modus has been deactivated
if [ "$NEW_STATE" == "off" ]; then
# Shutdown DHCP server to prevent renewal of leases
service isc-dhcp-server stop
# Shutdown radvd daemon to prevent advertisment of server as gateway
service radvd stop
fi

# Check whether gateway modus has been activated
if [ "$NEW_STATE" == "server" ]; then
# Restart DHCP server and radvd daemon
service isc-dhcp-server start
service radvd start
fi
done

Das Skript pingt über die OpenVPN-Schnittstelle tun0 den Google DNS-Server 8.8.8.8 an. Ist dieser nicht erreichbar, wird der Gateway-Modus in batman-adv über das Sys-Dateisystem deaktiviert. Zusätzlich deaktivieren wir den DHCP-Server und radvd-Dämonen. Klienten im Freifunknetz haben damit die Möglichkeit, sich einen alternativen Weg ins Internet zu suchen (d.h. über ein anderes Gateway). Umgekehrt wird der Gateway-Modus wieder aktiviert, sobald der DNS-Server erreichbar ist. Mit den folgenden Kommandos stellen wir sicher, dass das Skript allein von root ausgeführt werden kann:

$ chown root.root check-gateway
$ chmod ug+x check-gateway

Danach nehmen wir die folgenden Zeilen in die Datei /etc/crontab auf, um das Skript einmal pro Minute auszuführen und damit den Gateway-Status zu überprüfen.

# Check whether internet still reachable via openvpn tunnel
* * * * * root check-gateway > /dev/null

Die Änderungen übernehmen durch einen Neustart des Cron-Dämonen:

$ service cron restart

=Firewall=
'''Noch nicht aktualisiert!'''
Endspurt! Jetzt fehlt uns nur noch die Konfiguration der Firewall bevor wir am Ziel sind. Um die Firewall-Konfiguration permanent zu speichern, installiern wir zunächst das folgende Paket:

$ apt-get install iptables-persistent

Im Anschluss ersetzen wir den Inhalt der Datei /etc/iptables/rules.v4 mit dem folgenden Absatz. In der Grund-Konfiguration bleibt die Firewall komplett offen. Die Zahlenwerte in den eckigen Klammern sind Paket- und Byte-Zähler und können an dieser Stelle ignoriert werden. Für die Umleitung des ausgehenden Internetverkehrs über den VPN-Tunnel sind die PREROUTING und POSTROUTING Befehle unter *mangle und *nat entscheidend. Der Eintrag “-A PREROUTING -i br-ff3l -j MARK –set-xmark 0x1/0xffffffff” bewirkt, dass über die Brücke br-ff3l (und damit über das Mesh-VPN) eingehender Verkehr mittels der Ziffer 0x1 markiert wird. Die im Zuge der Kongifuration der bat0-Schnittstelle angelegte Routing-Regel (siehe oben) bewirkt wiederum, dass mit der Ziffer 0x1 markierter Verkehr gemäß der Routing-Tabelle 42 weitergeleitet wird. In dieser hatten wir eine Standardroute über den VPN-Tunnel definiert. Damit alle über den VPN-Tunnel ausgehende Pakete auch eine globale IP-Adresse aufweisen, aktivieren wir mittels “-A POSTROUTING -o tun0 -j MASQUERADE” das IP-Masquerading. Die Firewall ersetzt in der Folge lokale IP-Adressen aus dem Freifunk-Netz mit der globalen IP-Adresse des Gateways. Eingehende Pakete werde analog modifiziert, so dass sie ihren Weg zurück in das Freifunknetz finden. Wer sich durch die Details der Konfiguration arbeiten möchte, dem sei folgendes Howto empfohlen.

# Generated by iptables-save v1.4.14 on Sat May 10 00:21:44 2014
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
COMMIT
*mangle
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
-A PREROUTING -i br-ff3l -j MARK --set-xmark 0x1/0xffffffff
COMMIT
*nat
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
-A POSTROUTING -o tun0 -j MASQUERADE
COMMIT
# Completed on Sat May 10 00:21:44 2014

Noch eine allerletzte Tat, damit die Regeln für die Umleitung auch greifen: Im Skript ''/etc/rc.local'' nehmen wir die Zeilen des folgenden Abschnitts auf, um das Routing für unzustellbare Pakete sowie über die Brücke br-ff3l eingehende Pakete (angezeigt durch die Markierung 0x1) gemäß Routing-Tabelle 42 zu aktivieren:

/sbin/ip route add unreachable default table 42
/sbin/ip rule add from all fwmark 0x1 table 42
exit 0

Nach der ersten Einrichtung starten wir das Skript manuell. In Zukunft wird es beim Hochfahren des Gateway automatisch ausgeführt werden:

$ /etc/rc.local

I...

$ service netfilter-persistent restart

=Abschluss=
Damit sind wir eigentlich am Ziel. Um die aktuelle Konfiguration noch zu sichern, senden wir eine letzte Kommandozeile an etckeeper:

$ etckeeper commit "Configuration IntraCity VPN server completed."

Jetzt fehlen eigentlich nur noch die Clients. Im nächsten Artikel werde ich darüber berichten, wie sich Gluon konfigurieren und kompilieren lässt. Danach sind wir bereit für den Erstkontakt und es wird spanned!

...

Sollte alles wie beschrieben funktioniert haben, so seid ihr ab sofort stolzer Betreiber eines Gluon-Internet-Gateways! Ob das Gateway tatsächlich funktioniert, testet man am besten mittels eines Endgeräts, welches über einen Gluon WLAN-Router aufs Internet zugreift. Euer Gateway muss hierfür selbstverständlich vor der Kompilierung des Gluon-Images in der site.conf konfiguriert worden sein (siehe Gluon kompilieren). Sollte der Zugriff vom Endgerät aufs Internet nicht auf Anhieb funktionieren, empfiehlt es sich zuerst zu überprüfen, ob eine Verbindung des Routers über fastd zustande kommt. Im Anschluss sollte man überprüfen, ob der Router mittels DHCP eine IPv4-Adresse beziehen konnte und DNS-Server übermittelt wurden. Sollte dies alles einwandfrei funktionieren, so ist die Firewall-Konfiguration noch einmal gründlich zu überprüfen. Wir wünschen gutes Gelingen!

Server:gw3

2015-06-14T08:56:12Z

Langweiler: /* 2015-05-24 15:22, Stefan Rauscher, Eingriff #1 */

= Getway 3 =

== Server Info==

Getway 3

* Hostname: gw3
* IPv4: 185.89.196.109
* IPv6: 2a03:8460:1:2:109::
* Standort: [http://www.masterssystems.de masterssystems (Offenbach, DE)]
* Kommentar: Gateway Freifunk Dreiländereck e.V.

==Server Log==
* Dokumentation von eingriffen in das System (Neustarten von Diensten, Updates, Konfigurationsänderungen, etc...)
** Bitte Namen, Datum und die Uhrzeit mit angeben (Letzter Eingriff immer Oben reinschreiben).

===2015-05-24 15:25, Stefan Rauscher, Eingriff #2===
Bearbeitung /etc/network/interface: up ip -6 route add default via 2001:bf7:20::2 bei inet6 br-ff3l.

===2015-05-24 15:22, Stefan Rauscher, Eingriff #1===
Manuelle Ausführung von ip -6 route add default via 2001:bf7:20::2.

Server:gw3

2015-06-14T08:55:46Z

Langweiler: /* Server Log */

Server:gw4

2015-06-14T08:52:53Z

Langweiler: Langweiler verschob die Seite Server:gw4 (neu) nach Server:gw4, ohne dabei eine Weiterleitung anzulegen

= Getway 4 =

== Server Info==

Getway 4

* Hostname: gw4
* IPv4: 146.185.253.133
* IPv6:
* Standort: XonServers (NL)
* Kommentar: Gateway "Schopfheim" von Ben

== Server Log ==
* Dokumentation von eingriffen in das System (Neustarten von Diensten, Updates, Konfigurationsänderungen, etc...)
** Bitte Namen, Datum und die Uhrzeit mit angeben (Letzter Eingriff immer Oben reinschreiben).

=== Eingriff #2 ===
Enable Syntax Highlighting in Nano Editor, Ben, 30.05.2015 17:26

=== Eingriff #1 ===
Monitoring installiert (check-mk), Ben, 29.05.2015 15:00

Server:gw3

2015-06-14T08:52:29Z

Langweiler: Langweiler verschob die Seite Server:gw4 nach Server:gw3, ohne dabei eine Weiterleitung anzulegen

= Getway 3 =

== Server Info==

Getway 3

* Hostname: gw3
* IPv4: 185.89.196.109
* IPv6: 2a03:8460:1:2:109::
* Standort: [http://www.masterssystems.de masterssystems (Offenbach, DE)]
* Kommentar: Gateway Freifunk Dreiländereck e.V.

== Server Log ==
* Dokumentation von eingriffen in das System (Neustarten von Diensten, Updates, Konfigurationsänderungen, etc...)
** Bitte Namen, Datum und die Uhrzeit mit angeben (Letzter Eingriff immer Oben reinschreiben).

=== Eingriff #2 ===
Bearbeitung /etc/network/interface: up ip -6 route add default via 2001:bf7:20::2 bei inet6 br-ff3l, Stefan, 24.05.2015 15:25

=== Eingriff #1 ===
Manuelle Ausführung von ip -6 route add default via 2001:bf7:20::2, Stefan, 24.05.2015 15:22

Server:gw4

2015-06-14T08:51:50Z

Langweiler: Langweiler verschob die Seite Server:gw3 nach Server:gw4 (neu), ohne dabei eine Weiterleitung anzulegen

Server

2015-06-14T08:50:49Z

Langweiler: /* IP-Adressen / Hostnames */

== IP-Adressen / Hostnames ==
{|class="wikitable sortable"
!Hostname
!IPv4
!IPv6
!Standort
!Kommentar
|-
|[[Server:gw1|gw1]]
|5.45.110.180
|
|netcup GmbH (DE)
|Gateway "Weil am Rhein" von Bernd
|-
|[[Server:gw2|gw2]]
|87.106.67.172
|
|1&1 Internet AG (DE)
|Gateway "Rheinfelden" von Rüdiger
|-
|[[Server:gw3|gw3]]
|185.89.196.109
|2a03:8460:1:2:109::
|masterssystems (Offenbach, DE)
|Gateway Freifunk Dreiländereck e.V.
|-
|[[Server:gw4|gw4]]
|146.185.253.133
|
|XonServers (NL)
|Gateway "Schopfheim" von Ben
|-
|[[Server:node1|node1]]
|185.89.196.13
|2a03:8460:1:2:1:13::
|masterssystems (Offenbach, DE)
|Applikationsserver Freifunk Dreiländereck e.V.
|-
|-
|[[Server:node2|node2]]
|185.89.197.13
|2a03:8460:1:2:2:13::
|masterssystems (Offenbach, DE)
|Applikationsserver Freifunk Dreiländereck e.V.
|}

== Setup ==
=== Standard ===
identisch für alle FF3L-Server:
* Debian AMD64 Netinstall (7.8)
* Locale: EN_US.UTF8
* Partitionierung:
** vda1: 2 GB swap
** vda2: Rest ext4 /
* Setup Pakete:
** SSH Server
** Standard system utilities
* Pakete nachinstallieren:
** fail2ban
** htop
** iotop
** joe
** libpam_ldapd
** screen
** strace
** sudo
* Admin-User (lokal)
** admin:x:900:900::/home/admin:/bin/bash

;/etc/ssh/sshd_config
<pre>
...
PermitRootLogin no
...
AuthorizedKeysCommand /usr/local/bin/ldap_keys.sh
AuthorizedKeysCommandUser nobody
...
</pre>

;LDAP
* URI: ldaps://apps.freifunk-3laendereck.de/
* nsswitch: aliases, group, passwd, shadow

=== Applikationsserver ===
* Setup-Profile:
** Web server
** SQL database
** DNS server
** Mail server
** SSH server
** Standard system utilities
* Pakete nachinstallieren:
** slapd
** ldap-account-manager
** apache2-mpm-itk

;/etc/default/slapd
<pre>
...
SLAPD_SERVICES="ldaps:/// ldapi:///"
...
</pre>

;/etc/ldap/ldap.conf
<pre>
BASE dc=freifunk-3laendereck,dc=net
URI ldapi:///
...
TLS_REQCERT allow
</pre>

;/etc/nslcd.conf
<pre>
...
uri ldapi:///
uri ldaps://192.168.13.2/
...
base dc=freifunk-3laendereck,dc=net
...
rootpwmoddn cn=admin,dc=freifunk-3laendereck,dc=net
...
</pre>

;/usr/share/pam-configs/mkhomedir
<pre>
Name: Create home directory during login
Default: yes
Priority: 900
Session-Type: Additional
Session:
required pam_mkhomedir.so umask=0077 skel=/mnt/nfs/home/skel
</pre>

Sicherheitskonzept (intern)

2015-05-17T15:07:03Z

Langweiler: /* Abgeleitete Sicherheitsanforderungen */

{{Tip|Dieses Dokument befindet sich noch in der Entstehung.}}

=Präambel=
Freifunk Dreiländereck ("FF3L") ist ein parteipolitischer, unabhängiger, eingetragener Verein, der sich als Teil der weltweiten Open Wireless-Bewegung versteht, welche in Deutschland durch die Freifunk-Initiative repärsentiert wird.

Zur Umsetzung des Vereinszwecks unterhält der FF3L eine Netzwerkinfrastruktur, welche in Kombination mit den Freifunk-WLAN-Routern das Freifunk-Netz bildet. Weiterhin stellt er eine Firmware für Freifunk-Router zur Verfügung. Er ist bei der Bundesnetzagentur seit dem xx.xx.xxxx. als Telekommunikationsdienstleister (Access Provider) registriert.

Mit dem vorliegenden Sicherheitskonzept werden die folgenden Absichten verfolgt:
* Erfüllung der Verpflichtung zur Erstellung und Umsetzung eines Sicherheitskonzeptes nach § 109 TKG.
* Transparente Dokumentation des Status Quo bezüglich Informationssicherheit als Grundlage für die kontinuierliche Verbesserung.
* Aufzeigen von inherenten Limitierungen, die sich auf Grund der Funktionsweise des Freifunk-Netzes ergeben.
* Darstellung der Pflichten von Freifunk-Nutzern hinsichtlich Gewährleistung ihrer eigene Sicherheit.

=Umfang=
Der Umfang des Sicherheitskonzepts beschränkt sich ausschließlich auf die vom FF3L (also dem Verein, und nicht von Freifunkern als Privatpersonen) betriebene Netzwerkinfrastruktur. Explizit beinhaltet dies die vom FF3L betriebenen Bündel-Server, Internet und IC-VPN Gateways. Aspekte der Freifunk-Router werden insofern abgehandelt, wie sie mit der vom Verein herausgegebenen Freifunk-Firmware in Verbindung stehen. Nicht im Umfang enthalten sind Server und Engeräte, welche von Freifunk-Nutzern betrieben werden.

Der Begriff Freifunk-Netz in diesem Dokument bezieht sich auschließlich auf das Freifunk-Netz im Dreiländereck (CH-DE-FR), dessen Aufbau und Betrieb durch den FF3L gefördert wird. Gleiches gilt für die Begriffe Freifunk-Router, Freifunk-Firmware und Freifunk-Server. Eine Übertragung auf Freifunk-Netze anderer Commnunities ist nicht zulässig.

=Kontinuierliche Verbesserung=
Das vorliegende Sicherheitskonzept ist als lebendes Dokument konzipiert. Es dient als Grundlage für die Arbeit des Sicherheitsbeauftragten. Dieser analysiert und aktualisiert gemeinsam mit dem Administratoren-Team des FF3L sowie allen interessierten Freifunkern in regelmäßigen Abständen die Anforderungen an die vom FF3L betriebenen Teilsysteme, die Zulänglichkeit der umgesetzten Maßnahmen sowie die Planung zukünftiger Maßnahmen zur weiteren Verbesserung der Sicherheit.

=Gesetzlicher Hintergrund=
Auszug aus dem "Katalog von Sicherheitsanforderungen für das Betreiben von Telekommunikations- und Datenverarbeitungssystemen sowie für die Verarbeitung personenbezogener Daten nach § 109 Telekommunikationsgesetz (TKG):

Für das Betreiben öffentlicher Telekkommunikatiosnetze sowie das Erbringen öffentlich zugänglicher Telekommunikationsdiense schreibt § 109 TKG Vorkehrungen und sonstige Maßnahmen

* zum Schutz des Fernmeldegehimnisses,
* gegen die Verletzung des Schutzes personenbezogener Daten,
* gegen Störungen, die zu erheblichen Beeinträchtigungen von Telekommunikationsnetzen und -diensten führen, auch soweit sie durch äußere Angriffe und Einwirkungen von Katastrophen bedingt sein könnten,
als Mindestanforderungen vor.

Ziel und Zweck der zu treffenden Maßnahmen sind insbesondere

* die Sicherheit vor unerlaubtem Zugriffen auf Telekommunikations- und Datenverarbeitungssysteme
* die Reduzierung / Minimierung der Auswirkungen von Sicherheitsverletzungen auf Nutzer oder auf zusammengeschaltete Netze
* die Gewährleistung eines ordnungsgemäßen Betriebes der Netze und dadurch die Sicherstellung der fortlaufenden Verfügbarkeit der über die Netze erbrachten Dienste.

=Netzstruktur=
Das Freifunknetz ist ein offenes, sich spontan ausbildendes und selbstheilendes Maschennetzwerk. Die Grundbausteine ("Knoten") des Freifunk-Netzes sind die Freifunk-Router. Der Begriff Maschennetzwerk
bedeutet, dass die einzelnen Knoten mit einem oder mehreren Knoten auf nicht hierarschische Weise verbunden sind.

Die Freifunk-Router sinde handelsübliche WLAN-Router, ausgestattet mit einer speziellen Software ("Firmware"). Die spezielle Firmware gestattet es den Freifunk-Routern spontan Verbindung mit anderen Freifunk-Routern in Reichweite aufzunehmen. Hierbei kommt der offizielle, zugelassene WLAN-Standard 802.11n zum Einsatz. Gleichzeitig agieren die Router als WLAN-Zugangspunkt und ermöglichen damit Klienten (z.B. Smartphones) den direkten Zugang zum Freifunknetz.

Damit die Daten in dieser chaotischen Struktur ihren Weg finden, kommt ein spezielles Routing-Protokoll zum Einsatz. Im Fall des FF3L handelt es sich um das Protokoll [http://www.open-mesh.org/projects/batman-adv/wiki B.A.T.M.A.N. Advanced]. Dieses arbeitet auf der Netzzugangsschicht (Layer 2 nach dem OSI-Netzwerkschichtmodell). Das Freifunk-Netz verhält sich damit effektiv so, als wären alle Knoten über einen einzigen Netzwerk-Switch miteinander verbunden.

Neben der direkten Verbindung von Freifunk-Routern via WLAN gibt es die Option, isolierte Funkwolken über Tunnelverbindungen zu zentralen Servern ("Bündel-Servern") miteinander zu verbinden. Die Tunnelverbindungen laufen über das Internet und sind verschlüsselt (d.h. der Inhalt ist für Dritte nicht einsehbar). Der Internetanschluss wird hierbei auf freiwilliger Basis von den Knotenbetreibern zur Vefügung gestellt.

Weiterhin bietet das Freifunknetz über zentrale Gateways eine Verbindung ins Internet ("Internet Gateways") sowie den Verbund aller Freifunk-Netze ("IC-VPN Gateways"). Der Verein Freifunk Dreiländreck e.V. agiert damit als Zugangsanbieter ("Access Provider"). Die indirekte Weiterleitung ins Internet schützt die Knotenbetreiber vor ewaigen Haftungsansprüchen ("Störherhaftung") im Fall eines Missbrauchs durch Dritte.

Zusätzlich können Applikations-Server in das Freifunk-Netz integriert werden. Diese agieren als reguläre Netzwerkknoten und sind den Freifunk-Routern gleichgestellt.

[[Datei:Netzstrukturplan.png]]

=Sicherheitsteilsysteme=
In den folgenden Abschnitten werden die sicherheitskritischen Teilsysteme des Freifunk-Netzes definiert und diskutiert. Konkret werden als Teilsysteme die Freifunk-Router und Freifunk-Server im allgmeienen sowie Bündel-Server, Internet und IC-VPN Gateways im speziellen behandelt. Jeder Abschnitt besteht aus einer einleitenden Beschreibung inkl. der Aufgaben des jeweiligen Teilsystems, einer Auflistung von Schutzzielen und Gefährdungen, abgeleiteten Sicherheitsanforderungen, bereits umgesetzten sowie zukünftigen, geplanten Sicherheitsmaßnahmen. Zuletzt erfolgt eine abschließende Beurteilung des Gesamtsystems.

==Freifunk-Router==
Freifunk-WLAN-Router bilden die Grundelemente des Freifunk-Netzes. Sie werden auch als Netzwerkknoten bezeichnet. Bei Freifunk-Routern handelt sich um handelsübliche WLAN-Router, welche durch das Einspielen eines speziellen Betriebssystems ("Freifunk-Firmware") modifiziert werden. Freifunk-Router erfüllen die folgenden Aufgaben:
* Spontane Bildung des Freifunk-Maschennetzwerks via WLAN mit allen in Reichweite befindlichen Freifunk-Routern (lokale Funkwolke).
* Optional die Errichtung von Tunnelverbindungen zu Bündel-Servern über das Internet für den Datenaustausch mit entfernten Funkwolken.
* Austausch von Routen-Informationen, um die zielgerichtete Zustellung von Daten zu ermöglichen.
* Zugangspunkt zum Freifunk-Netzwerk für WLAN-Klienten (z.B. Smartphones, Tablets, Notebooks).
* Optional die Anbindung von Servern und/oder lokalen Klienten mittels einer direkten Kabelverbindung.

===Schutzziele und Gefährdungen===
# Freifunk-Router sind vor dem Zugriff unbefugter Dritter geschützt.
# Freifunk-Router ermöglichen Dritten den Zugang zum Freifunk-Netz, nicht jedoch den Zugang zum privaten Netz des Router-Betreibers.
# Fehler und Sicherheitslücken in der Freifunk-Firmware werden behoben.
# Übertragene Daten sind vor dem Zugriff Dritter geschützt.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.

===Abgeleitete Sicherheitsanforderungen===
# Freifunk-Router sind vor dem Zugriff unbefugter Dritter geschützt.
#* Die Einstellungen des Freifunk-Routers lassen sich lediglich in einem gesonderten Konfigurationsmodus verändern.
#* In der Standardkonfiguration des Freifunk-Routers ist kein Zugang auf der Ebene des Betriebssystems ("Shell Login") möglich.
#* Optional kann durch den Router-Betreiber ein verschlüsselter Zugang (z.B. via SSH) aktiviert werden, um die Wartung aus der Ferne zu ermöglichen.
# Freifunk-Router ermöglichen Dritten den Zugang zum Freifunk-Netz, nicht jedoch den Zugang zum privaten Netz des Router-Betreibers.
#* Eine Firewall auf dem Freifunk-Router (Layer 2 und/oder Layer 3) verhindert den Zugriff auf das private Netz des Betreibers.
#* Ausgenommen ist der Aufbau einer Tunnelverbindung zu den Bündelservern, sofern der Betreiber dies in der Konfiguration ausdrücklich gestattet ("opt in").
# Fehler und Sicherheitslücken in der Freifunk-Firmware werden behoben.
#* Die Firmware der Freifunk-Router wird in angemessenen Intervallen automatisch über das Freifunk-Netzt aktualisiert ("Autoupdater").
#* Die Authentizität der Firmware wird durch ein elektronisches Signaturverfahren sichergestellt.
#* Neue Firmware-Versionen werden vor dem Ausrollen gem. eines festgelegten Schemas getestet.
# Übertragene Daten sind vor dem Zugriff Dritter geschützt.
#* Die Datenübertragung zu den Bündel-Servern erfolgt mittels verschlüsselter Tunnelverbindungen (End-zu-Endverschlüsselung) unter Verwendung von nach heutigem Wissenssand sicherer Verfahren.
#* Die Authentizität der Endpunkte wird zum Schutz vor Mann-in-der-Mitte-Angriffen mittels eines asymmetrischen Schlüsselverfahrens sichergestellt.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.
#* Der Ausfall einzelner Freifunk-Router führt nicht zur Störung des restlichen Netzes.
#* Das Routing des Freifunk-Netzes ist "selbstheilend". Durch Ausfall bedingte Unterbrechungenwerden automatisch behoben.
#* Die Funktionstüchtigkeit der Router wird überwacht und der fehlerhafte Betrieb detektiert.

===Umgesetzte Sichgerheitsmaßnahmen===
# Freifunk-Router sind vor dem Zugriff unbefugter Dritter geschützt.
#* Die verwendete Gluon-Firmware unterstützt einen separaten Konfigurationsmodus. Dieser ist nach dem Aufspielen der Firmware aktiviert. Er kann zu einem späteren Zeitpunkt durch längeres Drücken der Reset-Taste am Router erneut aktiviert werden. Die Konfiguration wird über eine Web-Oberfläche unter der Adresse http://192.168.0.1 vorgenommen. Nach Abschluss der Konfiguration wechselt der Router in den Betriebsmodus. Eine Änderung der Konfiguration über die Web-Obewrfläche ist in der Folge nicht mehr möglich.
#* In der Standardkonfiguration der Gluon-Firmware ist der Shell Login auf den Router deaktiviert. Er muss explizit im Konfigurationsmodus aktiviert werden, indem ein Passwort oder Schlüssel für den Zugang via SSH gesetzt wird.
# Freifunk-Router ermöglichen Dritten den Zugang zum Freifunk-Netz, nicht jedoch den Zugang zum privaten Netz des Router-Betreibers.
#* Das Freifunk-Netz und das private Netz des Router-Betreibers werden in der Gluon-Netzwerkkonfiguration strikt getrennt. Die Zugänge zu den beiden Netzen sind in Form separater Brücken zusammengefasst (''br-client'' und ''br-wan'').
#* Die verwendete Gluon-Firmware konfiguriert Firewall-Regeln (bereitgestellt durch das Paket ''gluon-ebtables''), welche auf der Netzzugangsschicht (Layer 2) den Zugriff auf das private Netz unterbindet.
#* Eine Ausnahme bildet der Aufbau einer optionalen Tunnelverbindung zu den Bündel-Servern durch die VPN-Software ''fastd''. Diese Option muss vom Betreiber im Konfigurationsmodus explizit aktiviert werden ("opt-in").
# Fehler und Sicherheitslücken in der Freifunk-Firmware werden behoben.
#* Der FF3L betreibt einen Aktualisierungs-Dienst, welcher über das Freifunk-Netz erreichbar ist. Mit Hilfe des Aktualisierungsdienstes lassen sich neuere Versionen der Firmware auf den Routern automatisch einspielen. Die Konfiguration der Freifunk-Router bleibt hierbei soweit möglich erhalten.
#* Der Aktualisierungs-Dienst ist in der Standardkonfiguration der Freifunk-Firmware aktiviert (Zweig "stable"). Der Aktualisierungs-Dienst kann im Konfigurationsmodus in den Experteneinstellungen deaktiviert werden ("opt-out").
#* Die Authentitizät der Firmware-Images wird durch ein Signaturverfahren gewährleistet (signiertes Manifest). Neue Images werden von den Freifunk-Routern nur bei vorhandensein einer gültigen Signatur installiert (siehe auch [http://gluon.readthedocs.org/en/v2014.4/index.html Gluon-Dokumentation]).
#* Veröffentlichte Firmware-Images werden in die Zweige "experimental", "beta" und "stable" unterteilt. Neue Firmware-Versionen werden in eben dieser Reihenfolge ausgerollt, um einen ausreichenden Testbetrieb vor der Verbreitung zu gewährleisten.
#* Die Aktuelle Praxis bezüglich der Veröffentlichung von neuen Firmware-Versionen ist im [http://wiki.freifunk-3laendereck.net/Freifunk-Router:Firmware Wiki] des FF3L dokumentiert.
# Übertragene Daten sind vor dem Zugriff Dritter geschützt.
#* Die Datenübertragung zu den Bündel-Servern erfolgt mittels der VPN-Software fastd über das Internet. Die übertragenen Daten sind mittels des Chiffre Salsa20/12 verschlüsselt.
#* Die Authentifizierung erfolgt mittels der asymmetrischen Schlüsselverfahren UMAC oder GMAC. Die öffentlichen Schlüssel müssen einmalig vor dem Aufbau der Verbindung ausgetauscht werden. Dies geschieht im Rahmen der Registrierung des Knotens.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.
#* Der Ausfall einzelner Server führt nicht zu Störungen innerhalb des Netzes, sofern alternative Routen existieren. In diesem Fällen wird das Routing durch das verwendete Routing-Protokoll batman-adv automatisch korrigiert und die Lücke geschlossen
#* Die Freifunk-Firmware stellt auf den Knoten eine Stauts-Seite bereit. Auf dieser kann man sehen, ob der Knoten mit dem Freifunk-Netz und auf welche Weise er mit dem Freifunk-Netz verbunden ist.
#* Der Status aller Knoten wird zusätzlich in Form einer Knotenkarte auf den Servern des FF3L visualisiert. Der Karte lässt sich neben der Lage des Knotes (freiwillige Angabe) entnehmen, ob ein Knoten mit dem Freifunk-Netz verbunden ist und wie er vebunden ist.

===Bekannte Lücken sowie geplante, zukünftige Sicherheitsmaßnahmen===
# Freifunk-Router sind vor dem Zugriff unbefugter Dritter geschützt.
#* Freifunk-Router werden prinzipiell nicht vom FF3L betrieben. Für den Schutz vor physikalischem Zugriff und ggf. damit einhergehender Manipulation ist der Knoten-Betreiber verantwortlich.
# Freifunk-Router ermöglichen Dritten den Zugang zum Freifunk-Netz, nicht jedoch den Zugang zum privaten Netz des Router-Betreibers.
#* Die an bestimmten Freifunk-Routern verfügbaren LAN-Ports ermöglichen eine direkte Verbindung von Endgeräten (z.B. Servern) mit dem Freifunk-Netz. LAN-Ports sind von den WAN-Ports zu unterscheiden, über welche die Freifunk-Router mit dem Internet verbunden werden.
#* Im Fall einer Verwechslung der Ports, kann das private Netze des Freifunk-Betreibers in das Freifunk-Netz überbrückt werden.
#* Um Knotenbetreiber im Fall einer Verwechselung zu schützen, sollen die LAN-Ports in der Standardkonfiguration deaktiviert werden. Eine Aktivierung erfolgt über den Konfigurationsmodus des Routers.
# Fehler und Sicherheitslücken in der Freifunk-Firmware werden behoben.
#* Der Aktualisierungs-Dienst für die Freifunk-Firmware ist in der Standardkonfiguration aktiviert. Die entsprechende Einstellung verbirgt sich jedoch unter den Experteneinstellungen im Konfigurationsmodus.
#* Um Knotenbetreiber auf diesen Umstand aufmerksam zu machen, ist eine Verlegung der Einstellungen in den allgemeinen Teil des Konfigurationsmnodus geplant.
# Übertragene Daten sind vor dem Zugriff Dritter geschützt.
#* Die Datenübertragung zwischen den Freifunk-Routern erfolgt auf Grund der eingesetzen Technologie unverschlüsselt. Sie ist damit durch Dritte vor Ort abhörbar.
#* Umfassende Sicherheit lässt sich allein durch End-zu-End-Verschlüsselung gewährleisten. Die Anwendung dieser erfolgt auf den Endgeräten und liegt damit in der Verantwortung der Freifunk-Nutzer und nicht des FF3L.
#* Um eine sichere Übetragung von den Klienten zu den Bündel-Servern zu gewährleisten, soll optional ein VPN-Zugang für Klienten angeboten werden (z.B. [http://www.openvpn.net OpenVPN]).
#* Um eine sichere Übertragung von Endpunkt zu Endpunkt innerhalb des Freifunk-Netzes anzubieten, ist die Einrichtung eines verschlüsselten Overlay-Netzes angedacht (z.B. [http://cjdns.info/ cjDNS]).
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet
#* Keine geplanten Maßnahmen.

==Server==
Im Folgenden Abschnitt sind die allgemeinen Schutzziele und Gefährdungen für Freifunk-Server zusammengefasst. Freifunk-Server werden in der Regel - jedoch nicht ausschließlich - bei Host Providern angemietet (physikalische und virtualisierte Root Server). Die Einrichtung, der Betrieb und die Wartung erfolgt durch den FF3L. Der Begriff "Freifunk-Server" umfasst hierbei die weiter unten aufgeführten Bündel-Server, Internet sowie IC-VPN Gateways. Diese werden entsprechend ihrer Aufgaben noch einmal separat abgehandelt. In der Praxis werde die verschiedenen Server meist zusammengefasst. Ausgeschlossen sind Server, welche von Freifunkern als Privatpersonen innerhalb des Freifunknetzes betrieben werden.

===Schutzziele und Gefährdungen===
# Server sind vor dem Zugriff unbefugter Dritter geschützt.
# Fehler und Sicherheitslücken in der verwendeten Software werden behoben.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.

===Abgeleitete Sicherheitsanforderungen===
# Server sind vor dem Zugriff unbefugter Dritter geschützt.
#* Der Zugriff auf die Server (physikalisch und über das Internet) ist auf einen engen, definierten Personenkreis beschränkt.
#* Zugriffsrechte werden nach Bedarf und maßgeschneidert erteilt.
#* Der Zugang aus dem Netz erfolgt exklusiv über verschlüsselte Verbindungen (z.B. SSH).
#* Eine Firewall beschränkt Zugriffe aus dem Netz auf das notwendige Minimum.
#* Spezielle Sicherheitssoftware zur Erkennung von Eindringlingen wird verwendet.
# Fehler und Sicherheitslücken in der verwendeten Software werden behoben.
#* Server werden auf der Grundlage eines gepflegten, quelloffenen Betriebssystems errichtet.
#* Verwendete Software wird in adequaten Intervallen aktualisiert.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.
#* Die Funktionstüchtigkeit der Server wird überwacht und der fehlerhafte Betrieb detektiert.
#* Server sind vor DoS-Attacken aus dem Internet geschützt.

===Umgesetzte Sicherheitsmaßnahmen===
# Server sind vor dem Zugriff unbefugter Dritter geschützt.
#* Der Zugriff auf die Server des FF3L ist auf Mitglieder des Administratoren-Teams begrenzt. Das Aministratoren-Team wird durch den Vorstand des Vereins benannt.
#* Der Shell-Login ist ausschließlich über SSH möglich. Die Authentifizierung erfolgt mittels eines Passworts (LDAP) oder eines hinterlegten Schlüssels.
#* Server werden durch Firewall-Regeln auf der Basis von ''iptables'' geschützt. Die Standardvorgabe ist, dass eingehende und weiterzuleitende Pakete verworfen werden. Die Freigabe von Ports bzw. der Weiterleitung erfolgt mittels spezifischer Regeln wo erwünscht.
# Fehler und Sicherheitslücken in der verwendeten Software werden behoben.
#* Die Freifunk-Server werden auf Basis der Debian Linux-Distribution betrieben. Sofern möglich, wird die jeweils letzte stabile Version verwendet.
#* Es werden in angemessenen Intervallen empfohlene Sicherheitsaktualisierungen mittels der offiziellen Paketverwaltung eingespielt.
#* Das Administratoren-Team verfolgt sicherheitsrelevante Ankündigungen über die Mailing-Liste debian-security-announce@lists.debian.org.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.
#* Kritische Server und Dienste werden über ein zentrales Monitoring auf der Basis von Nagios(-Derivaten) überwacht. Das Monitoring ist redundant aufgesetzt. Der aktuelle Zustand aller Server und Diense ist über eine Web-Oberfläche einsehbar. Optional erfolgt eine Mitteilung per e-Mail im Fall von Statusänderungen.
#* Die Server des FF3L werden von Host Providern angemietet. Diese bieten üblicherweise einen gewissen Schutz vor DoS-Angriffen in der Form adaptiver Firewalls.

===Bekannte Lücken sowie geplante, zukünftige Sicherheitsmaßnahmen===
# Server sind vor dem Zugriff unbefugter Dritter geschützt.
#* Die Erteilung von Zugriffsrechten erfolgt derzeit weitestgehend monolithisch, soll in Zukunft jedoch granular und nach Bedarf erfolgen. Erteilte Rechte sollen an geeigneter Stelle transparent dokumentiert und veröffentlicht werden.
#* Bzgl. der verwendbaren Passwörter gibt es aktuell keine Vorgaben. In der Zukunft soll eine Überprüfung der Passwortstärke sowie Vorgabe einer minimalen Entropie implementiert werden.
#* Die Authentizfizierung im Rahmen des Shell-Login via SSH ist aktuell mittels eines Passworts möglich. Die Authentifizierung soll auf asymmetrische Schlüsselverfahren beschränkt werden, um die Folgen von Man-in-der-Mitte-Angriffen zu mildern.
#* Sicherheitssoftware zur Erkennung von Eindringlingen wird aktuell nur auf einem Teil der Freifunk-Server verwendet. Die Erstellung und Umsetzung eines flächendeckenden Konzepts steht nachwievor aus.
# Fehler und Sicherheitslücken in der verwendeten Software werden behoben.
#* Keine geplanten Maßnahmen.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.
#* Keine geplanten Maßnahmen.

==Bündel-Server==
Bündel-Server dienen der Verbindung isolierter Funkwolken innerhalb des Freifunk-Netzes. Vom Prinzip her sind Sie den Freifunk-Routern gleichgestellte Netzwerkknoten, erfüllen jedoch zusätzliche Aufgaben. Bündel-Server unterhalten im Normalfall eine hohe Anzahl an Verbindungen zu Freifunk-Routern. Da ein erheblicher Teil des Datenverkehrs über die Bündel-Server läuft, sind diese als besonders sicherheitskritisch einzustufen. Konkret erfüllen Bündel-Server die folgenden Aufgaben:
* Verbindung entfernter Freifunk-Router mittels Tunnelverbindungen über das Internet.
* Austausch von Routen-Informationen, um die zielgerichtete Zustellung von Daten zu ermöglichen.
* Automatische Netzwerkkonfiguration von Klienten.
* Namensauflösung innerhalb des Freifunk-Netzes.

===Schutzziele und Gefährdungen===
# Übertragene Daten sind vor dem Zugriff Dritter geschützt.
# Die Namensauflösung ist vor Manipulationen durch Dritte geschützt.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.

Zusätzlich gelten die Schutzziele und Gefährdungen für Server im allgemeinen.

===Abgeleitete Sicherheitsanforderungen===
# Übertragene Daten sind vor dem Zugriff Dritter geschützt.
#* Die Datenübertragung zu den Freifunk-Routern erfolgt mittels verschlüsselter Tunnelverbindungen (End-zu-Endverschlüsselung) unter Verwendung von nach heutigem Wissenssand sicherer Verfahren.
#* Die Authentizität der Endpunkte wird zum Schutz vor Mann-in-der-Mitte-Angriffen mittels eines asymmetrischen Schlüsselverfahrens sichergestellt.
# Die Namensauflösung ist vor Manipulationen durch Dritte geschützt.
#* Die Authentizität der Endpunkte wird zum Schutz vor Mann-in-der-Mitte-Angriffen mittels eines asymmetrischen Schlüsselverfahrens sichergestellt.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.
#* Der Ausfall eines Bündel-Servers führt nicht zur Störung des restlichen Netzes.
#* Die Netzstabilität wird durch Redundanz gewährleistet. Die Bündel-Server sind über mehrere Rechenzeitung verteilt.
#* Das Routing des Freifunk-Netzes ist "selbstheilend". Durch Ausfall bedingte Unterbrechungen werden automatisch behoben.
#* Die verfügbare Bandbreite wird gleichmäßig auf alle verbundenen Knoten/Klienten verteilt.

===Umgesetzte Sichgerheitsmaßnahmen===

===Bekannte Lücken sowie geplante, zukünftige Sicherheitsmaßnahmen===

==Internet Gateways==
Internet Gateways stellen die Verbindung zwischen dem Freifunk-Netz und dem Internet her. Sie werden auch als "Exit Nodes" bezeichnet und stellen die Standard-Route innerhalb des Freifunk-Netzes. In der aktuellen Konfiguration ist das Routing auf IPv4 beschränkt. Die lokalen IPv4-Adressen der Klienten werden auf die öffentlichen IPv4-Adressen der Gateways abgebildet. Konkret erfüllen Internet Gateways die folgenden Aufgaben:
* Routing von Verkehr zwischen dem Freifunk-Netz und dem Internet (nur IPv4)
* Adressübersetzung (nur IPv4)
* Namensauflösung für das Internet

===Schutzziele und Gefährdungen===
# Gleichmäßige Verteilung der verfügbaren Bandbreite auf alle Klienten sowie adequate Priorisierung des Verkehrs nach Diensten.
# Unterbindung von Rechtsverletzungen

Zusätzlich gelten die Schutzziele und Gefährdungen für Server im allgemeinen.

===Abgeleitete Sicherheitsanforderungen===
# Gleichmäßige Verteilung der verfügbaren Bandbreite auf alle Klienten sowie adequate Priorisierung des Verkehrs nach Diensten.
#* Verwendung geeigneter Queueing Disciplines.
# Unterbindung von Rechtsverletzungen
#* Unterbindung des Versands von SPAM-Nachrichten.
#* Einschränkung von P2P-Dateiübertragungen auf ein tolerierbares Maß.

===Umgesetzte Sicherheitsmaßnahmen===

===Bekannte Lücken sowie geplante, zukünftige Sicherheitsmaßnahmen===

==IC-VPN Gateways==
IC-VPN Gateways stellen die Verbindung zwischen dem Freifunk-Netz und anderen Freifunk-Netzen innerhalb des Intercity VPNs (IC-VPN) her. Die Verbindung erfolgt über ein virtuelles Transportnetz. Die zugehörigen Routen werden mittels BGP ausgetauscht. In der aktuellen Konfiguration wird zusätzlich der Verkehr ins Internet via IPv6 zu den "Exit Nodes" anderer Freifunk-Netze geroutet. Konkret erfüllen IC-VPN Gateways die folgenden Aufgaben:
* Peering mit IC-VPN Gateways anderer Freifunk-Netze
* Austausch von Routeninformation via BGP
* Routing von Verkehr zwischen den Freifunk-Netzen
* Namensauflösung für Domänen innerhalb des IC-VPN
* Routing von Internetverkehr (IPv6) zu den Internet Gateways anderer Freifunk-Netze

===Schutzziele und Gefährdungen===
# Übertragene Daten sind vor dem Zugriff Dritter geschützt.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.

Zusätzlich gelten die Schutzziele und Gefährdungen für Server im allgemeinen.

===Abgeleitete Sichgerheitsanforderungen===
# Übertragene Daten sind vor dem Zugriff Dritter geschützt.
#* Die Datenübertragung zu den Bündel-Servern erfolgt mittels verschlüsselter Tunnelverbindungen (End-zu Endverschlüsselung) unter Verwendung von nach heutigem Wissenssand sicherer Verfahren.
#* Die Authentizität der Endpunkte wird zum Schutz vor Mann-in-der-Mitte-Angriffen mittels eines asymmetrischen Schlüsselverfahrens sichergestellt.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.
#* Der Ausfall des IC-VPN-Gateways führt nicht zur Störung des restlichen Netzes.

===Umgesetzte Sicherheitsmaßnahmen===

===Bekannte Lücken sowie geplante, zukünftige Sicherheitsmaßnahmen===

==Bewertung des Gesamtsystems==
Welche Risiken ergeben sich aus dem Zusammnenwirken der Teilsysteme?

==Mitteilungspflichten==

Welche Sicherheitsverletzungen und/oder Störungen würden wir der Bundesnetzagentur mitteilen wollen?

Sicherheitskonzept (intern)

2015-05-17T15:06:00Z

Langweiler: /* Geplante, zukünftige Sicherheitsmaßnahmen */

{{Tip|Dieses Dokument befindet sich noch in der Entstehung.}}

=Präambel=
Freifunk Dreiländereck ("FF3L") ist ein parteipolitischer, unabhängiger, eingetragener Verein, der sich als Teil der weltweiten Open Wireless-Bewegung versteht, welche in Deutschland durch die Freifunk-Initiative repärsentiert wird.

Zur Umsetzung des Vereinszwecks unterhält der FF3L eine Netzwerkinfrastruktur, welche in Kombination mit den Freifunk-WLAN-Routern das Freifunk-Netz bildet. Weiterhin stellt er eine Firmware für Freifunk-Router zur Verfügung. Er ist bei der Bundesnetzagentur seit dem xx.xx.xxxx. als Telekommunikationsdienstleister (Access Provider) registriert.

Mit dem vorliegenden Sicherheitskonzept werden die folgenden Absichten verfolgt:
* Erfüllung der Verpflichtung zur Erstellung und Umsetzung eines Sicherheitskonzeptes nach § 109 TKG.
* Transparente Dokumentation des Status Quo bezüglich Informationssicherheit als Grundlage für die kontinuierliche Verbesserung.
* Aufzeigen von inherenten Limitierungen, die sich auf Grund der Funktionsweise des Freifunk-Netzes ergeben.
* Darstellung der Pflichten von Freifunk-Nutzern hinsichtlich Gewährleistung ihrer eigene Sicherheit.

=Umfang=
Der Umfang des Sicherheitskonzepts beschränkt sich ausschließlich auf die vom FF3L (also dem Verein, und nicht von Freifunkern als Privatpersonen) betriebene Netzwerkinfrastruktur. Explizit beinhaltet dies die vom FF3L betriebenen Bündel-Server, Internet und IC-VPN Gateways. Aspekte der Freifunk-Router werden insofern abgehandelt, wie sie mit der vom Verein herausgegebenen Freifunk-Firmware in Verbindung stehen. Nicht im Umfang enthalten sind Server und Engeräte, welche von Freifunk-Nutzern betrieben werden.

Der Begriff Freifunk-Netz in diesem Dokument bezieht sich auschließlich auf das Freifunk-Netz im Dreiländereck (CH-DE-FR), dessen Aufbau und Betrieb durch den FF3L gefördert wird. Gleiches gilt für die Begriffe Freifunk-Router, Freifunk-Firmware und Freifunk-Server. Eine Übertragung auf Freifunk-Netze anderer Commnunities ist nicht zulässig.

=Kontinuierliche Verbesserung=
Das vorliegende Sicherheitskonzept ist als lebendes Dokument konzipiert. Es dient als Grundlage für die Arbeit des Sicherheitsbeauftragten. Dieser analysiert und aktualisiert gemeinsam mit dem Administratoren-Team des FF3L sowie allen interessierten Freifunkern in regelmäßigen Abständen die Anforderungen an die vom FF3L betriebenen Teilsysteme, die Zulänglichkeit der umgesetzten Maßnahmen sowie die Planung zukünftiger Maßnahmen zur weiteren Verbesserung der Sicherheit.

=Gesetzlicher Hintergrund=
Auszug aus dem "Katalog von Sicherheitsanforderungen für das Betreiben von Telekommunikations- und Datenverarbeitungssystemen sowie für die Verarbeitung personenbezogener Daten nach § 109 Telekommunikationsgesetz (TKG):

Für das Betreiben öffentlicher Telekkommunikatiosnetze sowie das Erbringen öffentlich zugänglicher Telekommunikationsdiense schreibt § 109 TKG Vorkehrungen und sonstige Maßnahmen

* zum Schutz des Fernmeldegehimnisses,
* gegen die Verletzung des Schutzes personenbezogener Daten,
* gegen Störungen, die zu erheblichen Beeinträchtigungen von Telekommunikationsnetzen und -diensten führen, auch soweit sie durch äußere Angriffe und Einwirkungen von Katastrophen bedingt sein könnten,
als Mindestanforderungen vor.

Ziel und Zweck der zu treffenden Maßnahmen sind insbesondere

* die Sicherheit vor unerlaubtem Zugriffen auf Telekommunikations- und Datenverarbeitungssysteme
* die Reduzierung / Minimierung der Auswirkungen von Sicherheitsverletzungen auf Nutzer oder auf zusammengeschaltete Netze
* die Gewährleistung eines ordnungsgemäßen Betriebes der Netze und dadurch die Sicherstellung der fortlaufenden Verfügbarkeit der über die Netze erbrachten Dienste.

=Netzstruktur=
Das Freifunknetz ist ein offenes, sich spontan ausbildendes und selbstheilendes Maschennetzwerk. Die Grundbausteine ("Knoten") des Freifunk-Netzes sind die Freifunk-Router. Der Begriff Maschennetzwerk
bedeutet, dass die einzelnen Knoten mit einem oder mehreren Knoten auf nicht hierarschische Weise verbunden sind.

Die Freifunk-Router sinde handelsübliche WLAN-Router, ausgestattet mit einer speziellen Software ("Firmware"). Die spezielle Firmware gestattet es den Freifunk-Routern spontan Verbindung mit anderen Freifunk-Routern in Reichweite aufzunehmen. Hierbei kommt der offizielle, zugelassene WLAN-Standard 802.11n zum Einsatz. Gleichzeitig agieren die Router als WLAN-Zugangspunkt und ermöglichen damit Klienten (z.B. Smartphones) den direkten Zugang zum Freifunknetz.

Damit die Daten in dieser chaotischen Struktur ihren Weg finden, kommt ein spezielles Routing-Protokoll zum Einsatz. Im Fall des FF3L handelt es sich um das Protokoll [http://www.open-mesh.org/projects/batman-adv/wiki B.A.T.M.A.N. Advanced]. Dieses arbeitet auf der Netzzugangsschicht (Layer 2 nach dem OSI-Netzwerkschichtmodell). Das Freifunk-Netz verhält sich damit effektiv so, als wären alle Knoten über einen einzigen Netzwerk-Switch miteinander verbunden.

Neben der direkten Verbindung von Freifunk-Routern via WLAN gibt es die Option, isolierte Funkwolken über Tunnelverbindungen zu zentralen Servern ("Bündel-Servern") miteinander zu verbinden. Die Tunnelverbindungen laufen über das Internet und sind verschlüsselt (d.h. der Inhalt ist für Dritte nicht einsehbar). Der Internetanschluss wird hierbei auf freiwilliger Basis von den Knotenbetreibern zur Vefügung gestellt.

Weiterhin bietet das Freifunknetz über zentrale Gateways eine Verbindung ins Internet ("Internet Gateways") sowie den Verbund aller Freifunk-Netze ("IC-VPN Gateways"). Der Verein Freifunk Dreiländreck e.V. agiert damit als Zugangsanbieter ("Access Provider"). Die indirekte Weiterleitung ins Internet schützt die Knotenbetreiber vor ewaigen Haftungsansprüchen ("Störherhaftung") im Fall eines Missbrauchs durch Dritte.

Zusätzlich können Applikations-Server in das Freifunk-Netz integriert werden. Diese agieren als reguläre Netzwerkknoten und sind den Freifunk-Routern gleichgestellt.

[[Datei:Netzstrukturplan.png]]

=Sicherheitsteilsysteme=
In den folgenden Abschnitten werden die sicherheitskritischen Teilsysteme des Freifunk-Netzes definiert und diskutiert. Konkret werden als Teilsysteme die Freifunk-Router und Freifunk-Server im allgmeienen sowie Bündel-Server, Internet und IC-VPN Gateways im speziellen behandelt. Jeder Abschnitt besteht aus einer einleitenden Beschreibung inkl. der Aufgaben des jeweiligen Teilsystems, einer Auflistung von Schutzzielen und Gefährdungen, abgeleiteten Sicherheitsanforderungen, bereits umgesetzten sowie zukünftigen, geplanten Sicherheitsmaßnahmen. Zuletzt erfolgt eine abschließende Beurteilung des Gesamtsystems.

==Freifunk-Router==
Freifunk-WLAN-Router bilden die Grundelemente des Freifunk-Netzes. Sie werden auch als Netzwerkknoten bezeichnet. Bei Freifunk-Routern handelt sich um handelsübliche WLAN-Router, welche durch das Einspielen eines speziellen Betriebssystems ("Freifunk-Firmware") modifiziert werden. Freifunk-Router erfüllen die folgenden Aufgaben:
* Spontane Bildung des Freifunk-Maschennetzwerks via WLAN mit allen in Reichweite befindlichen Freifunk-Routern (lokale Funkwolke).
* Optional die Errichtung von Tunnelverbindungen zu Bündel-Servern über das Internet für den Datenaustausch mit entfernten Funkwolken.
* Austausch von Routen-Informationen, um die zielgerichtete Zustellung von Daten zu ermöglichen.
* Zugangspunkt zum Freifunk-Netzwerk für WLAN-Klienten (z.B. Smartphones, Tablets, Notebooks).
* Optional die Anbindung von Servern und/oder lokalen Klienten mittels einer direkten Kabelverbindung.

===Schutzziele und Gefährdungen===
# Freifunk-Router sind vor dem Zugriff unbefugter Dritter geschützt.
# Freifunk-Router ermöglichen Dritten den Zugang zum Freifunk-Netz, nicht jedoch den Zugang zum privaten Netz des Router-Betreibers.
# Fehler und Sicherheitslücken in der Freifunk-Firmware werden behoben.
# Übertragene Daten sind vor dem Zugriff Dritter geschützt.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.

===Abgeleitete Sicherheitsanforderungen===
# Freifunk-Router sind vor dem Zugriff unbefugter Dritter geschützt.
#* Die Einstellungen des Freifunk-Routers lassen sich lediglich in einem gesonderten Konfigurationsmodus verändern.
#* In der Standardkonfiguration des Freifunk-Routers ist kein Zugang auf der Ebene des Betriebssystems ("Shell Login") möglich.
#* Optional kann durch den Router-Betreiber ein verschlüsselter Zugang (z.B. via SSH) aktiviert werden, um die Wartung aus der Ferne zu ermöglichen.
# Freifunk-Router ermöglichen Dritten den Zugang zum Freifunk-Netz, nicht jedoch den Zugang zum privaten Netz des Router-Betreibers.
#* Eine Firewall auf dem Freifunk-Router (Layer 2 und/oder Layer 3) verhindert den Zugriff auf das private Netz des Betreibers.
#* Ausgenommen ist der Aufbau einer Tunnelverbindung zu den Bündelservern, sofern der Betreiber dies in der Konfiguration ausdrücklich gestattet ("opt in").
# Fehler und Sicherheitslücken in der Freifunk-Firmware werden behoben.
#* Die Firmware der Freifunk-Router wird in angemessenen Intervallen automatisch über das Freifunk-Netzt aktualisiert ("Autoupdater").
#* Die Authentizität der Firmware wird durch ein elektronisches Signaturverfahren sichergestellt.
#* Neue Firmware-Versionen werden vor dem Ausrollen gem. eines festgelegten Schemas getestet.
# Übertragene Daten sind vor dem Zugriff Dritter geschützt.
#* Die Datenübertragung zu den Bündel-Servern erfolgt mittels verschlüsselter Tunnelverbindungen (End-zu-Endverschlüsselung) unter Verwendung von nach heutigem Wissenssand sicherer Verfahren.
#* Die Authentizität der Endpunkte wird zum Schutz vor Mann-in-der-Mitte-Angriffen mittels eines asymmetrischen Schlüsselverfahrens sichergestellt.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.
#* Der Ausfall einzelner Freifunk-Router führt nicht zur Störung des restlichen Netzes.
#* Das Routing des Freifunk-Netzes ist "selbstheilend". Durch Ausfall bedingte Unterbrechungenwerden automatisch behoben.
#* Die Funktionstüchtigkeit der Router wird überwacht und der fehlerhafte Betrieb detektiert.

===Umgesetzte Sichgerheitsmaßnahmen===
# Freifunk-Router sind vor dem Zugriff unbefugter Dritter geschützt.
#* Die verwendete Gluon-Firmware unterstützt einen separaten Konfigurationsmodus. Dieser ist nach dem Aufspielen der Firmware aktiviert. Er kann zu einem späteren Zeitpunkt durch längeres Drücken der Reset-Taste am Router erneut aktiviert werden. Die Konfiguration wird über eine Web-Oberfläche unter der Adresse http://192.168.0.1 vorgenommen. Nach Abschluss der Konfiguration wechselt der Router in den Betriebsmodus. Eine Änderung der Konfiguration über die Web-Obewrfläche ist in der Folge nicht mehr möglich.
#* In der Standardkonfiguration der Gluon-Firmware ist der Shell Login auf den Router deaktiviert. Er muss explizit im Konfigurationsmodus aktiviert werden, indem ein Passwort oder Schlüssel für den Zugang via SSH gesetzt wird.
# Freifunk-Router ermöglichen Dritten den Zugang zum Freifunk-Netz, nicht jedoch den Zugang zum privaten Netz des Router-Betreibers.
#* Das Freifunk-Netz und das private Netz des Router-Betreibers werden in der Gluon-Netzwerkkonfiguration strikt getrennt. Die Zugänge zu den beiden Netzen sind in Form separater Brücken zusammengefasst (''br-client'' und ''br-wan'').
#* Die verwendete Gluon-Firmware konfiguriert Firewall-Regeln (bereitgestellt durch das Paket ''gluon-ebtables''), welche auf der Netzzugangsschicht (Layer 2) den Zugriff auf das private Netz unterbindet.
#* Eine Ausnahme bildet der Aufbau einer optionalen Tunnelverbindung zu den Bündel-Servern durch die VPN-Software ''fastd''. Diese Option muss vom Betreiber im Konfigurationsmodus explizit aktiviert werden ("opt-in").
# Fehler und Sicherheitslücken in der Freifunk-Firmware werden behoben.
#* Der FF3L betreibt einen Aktualisierungs-Dienst, welcher über das Freifunk-Netz erreichbar ist. Mit Hilfe des Aktualisierungsdienstes lassen sich neuere Versionen der Firmware auf den Routern automatisch einspielen. Die Konfiguration der Freifunk-Router bleibt hierbei soweit möglich erhalten.
#* Der Aktualisierungs-Dienst ist in der Standardkonfiguration der Freifunk-Firmware aktiviert (Zweig "stable"). Der Aktualisierungs-Dienst kann im Konfigurationsmodus in den Experteneinstellungen deaktiviert werden ("opt-out").
#* Die Authentitizät der Firmware-Images wird durch ein Signaturverfahren gewährleistet (signiertes Manifest). Neue Images werden von den Freifunk-Routern nur bei vorhandensein einer gültigen Signatur installiert (siehe auch [http://gluon.readthedocs.org/en/v2014.4/index.html Gluon-Dokumentation]).
#* Veröffentlichte Firmware-Images werden in die Zweige "experimental", "beta" und "stable" unterteilt. Neue Firmware-Versionen werden in eben dieser Reihenfolge ausgerollt, um einen ausreichenden Testbetrieb vor der Verbreitung zu gewährleisten.
#* Die Aktuelle Praxis bezüglich der Veröffentlichung von neuen Firmware-Versionen ist im [http://wiki.freifunk-3laendereck.net/Freifunk-Router:Firmware Wiki] des FF3L dokumentiert.
# Übertragene Daten sind vor dem Zugriff Dritter geschützt.
#* Die Datenübertragung zu den Bündel-Servern erfolgt mittels der VPN-Software fastd über das Internet. Die übertragenen Daten sind mittels des Chiffre Salsa20/12 verschlüsselt.
#* Die Authentifizierung erfolgt mittels der asymmetrischen Schlüsselverfahren UMAC oder GMAC. Die öffentlichen Schlüssel müssen einmalig vor dem Aufbau der Verbindung ausgetauscht werden. Dies geschieht im Rahmen der Registrierung des Knotens.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.
#* Der Ausfall einzelner Server führt nicht zu Störungen innerhalb des Netzes, sofern alternative Routen existieren. In diesem Fällen wird das Routing durch das verwendete Routing-Protokoll batman-adv automatisch korrigiert und die Lücke geschlossen
#* Die Freifunk-Firmware stellt auf den Knoten eine Stauts-Seite bereit. Auf dieser kann man sehen, ob der Knoten mit dem Freifunk-Netz und auf welche Weise er mit dem Freifunk-Netz verbunden ist.
#* Der Status aller Knoten wird zusätzlich in Form einer Knotenkarte auf den Servern des FF3L visualisiert. Der Karte lässt sich neben der Lage des Knotes (freiwillige Angabe) entnehmen, ob ein Knoten mit dem Freifunk-Netz verbunden ist und wie er vebunden ist.

===Bekannte Lücken sowie geplante, zukünftige Sicherheitsmaßnahmen===
# Freifunk-Router sind vor dem Zugriff unbefugter Dritter geschützt.
#* Freifunk-Router werden prinzipiell nicht vom FF3L betrieben. Für den Schutz vor physikalischem Zugriff und ggf. damit einhergehender Manipulation ist der Knoten-Betreiber verantwortlich.
# Freifunk-Router ermöglichen Dritten den Zugang zum Freifunk-Netz, nicht jedoch den Zugang zum privaten Netz des Router-Betreibers.
#* Die an bestimmten Freifunk-Routern verfügbaren LAN-Ports ermöglichen eine direkte Verbindung von Endgeräten (z.B. Servern) mit dem Freifunk-Netz. LAN-Ports sind von den WAN-Ports zu unterscheiden, über welche die Freifunk-Router mit dem Internet verbunden werden.
#* Im Fall einer Verwechslung der Ports, kann das private Netze des Freifunk-Betreibers in das Freifunk-Netz überbrückt werden.
#* Um Knotenbetreiber im Fall einer Verwechselung zu schützen, sollen die LAN-Ports in der Standardkonfiguration deaktiviert werden. Eine Aktivierung erfolgt über den Konfigurationsmodus des Routers.
# Fehler und Sicherheitslücken in der Freifunk-Firmware werden behoben.
#* Der Aktualisierungs-Dienst für die Freifunk-Firmware ist in der Standardkonfiguration aktiviert. Die entsprechende Einstellung verbirgt sich jedoch unter den Experteneinstellungen im Konfigurationsmodus.
#* Um Knotenbetreiber auf diesen Umstand aufmerksam zu machen, ist eine Verlegung der Einstellungen in den allgemeinen Teil des Konfigurationsmnodus geplant.
# Übertragene Daten sind vor dem Zugriff Dritter geschützt.
#* Die Datenübertragung zwischen den Freifunk-Routern erfolgt auf Grund der eingesetzen Technologie unverschlüsselt. Sie ist damit durch Dritte vor Ort abhörbar.
#* Umfassende Sicherheit lässt sich allein durch End-zu-End-Verschlüsselung gewährleisten. Die Anwendung dieser erfolgt auf den Endgeräten und liegt damit in der Verantwortung der Freifunk-Nutzer und nicht des FF3L.
#* Um eine sichere Übetragung von den Klienten zu den Bündel-Servern zu gewährleisten, soll optional ein VPN-Zugang für Klienten angeboten werden (z.B. [http://www.openvpn.net OpenVPN]).
#* Um eine sichere Übertragung von Endpunkt zu Endpunkt innerhalb des Freifunk-Netzes anzubieten, ist die Einrichtung eines verschlüsselten Overlay-Netzes angedacht (z.B. [http://cjdns.info/ cjDNS]).
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet
#* Keine geplanten Maßnahmen.

==Server==
Im Folgenden Abschnitt sind die allgemeinen Schutzziele und Gefährdungen für Freifunk-Server zusammengefasst. Freifunk-Server werden in der Regel - jedoch nicht ausschließlich - bei Host Providern angemietet (physikalische und virtualisierte Root Server). Die Einrichtung, der Betrieb und die Wartung erfolgt durch den FF3L. Der Begriff "Freifunk-Server" umfasst hierbei die weiter unten aufgeführten Bündel-Server, Internet sowie IC-VPN Gateways. Diese werden entsprechend ihrer Aufgaben noch einmal separat abgehandelt. In der Praxis werde die verschiedenen Server meist zusammengefasst. Ausgeschlossen sind Server, welche von Freifunkern als Privatpersonen innerhalb des Freifunknetzes betrieben werden.

===Schutzziele und Gefährdungen===
# Server sind vor dem Zugriff unbefugter Dritter geschützt.
# Fehler und Sicherheitslücken in der verwendeten Software werden behoben.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.

===Abgeleitete Sicherheitsanforderungen===
# Server sind vor dem Zugriff unbefugter Dritter geschützt.
#* Der Zugriff auf die Server (physikalisch und über das Internet) ist auf einen engen, definierten Personenkreis beschränkt.
#* Zugriffsrechte werden nach Bedarf und maßgeschneidert erteilt.
#* Der Zugang aus dem Netz erfolgt exklusiv über verschlüsselte Verbindungen (z.B. SSH).
#* Eine Firewall beschränkt Zugriffe aus dem Netz auf das notwendige Minimum.
#* Spezielle Sicherheitssoftware zur Erkennung von Eindringlingen wird verwendet.
# Fehler und Sicherheitslücken in der verwendeten Software werden behoben.
#* Server werden auf der Grundlage eines gepflegten, quelloffenen Betriebssystems errichtet.
#* Verwendete Software wird in adequaten Intervallen aktualisiert.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.
#* Die Funktionstüchtigkeit der Server wird überwacht und der fehlerhafte Betrieb detektiert.
#* Server sind vor DoS-Attacken aus dem Internet geschützt.

===Umgesetzte Sicherheitsmaßnahmen===
# Server sind vor dem Zugriff unbefugter Dritter geschützt.
#* Der Zugriff auf die Server des FF3L ist auf Mitglieder des Administratoren-Teams begrenzt. Das Aministratoren-Team wird durch den Vorstand des Vereins benannt.
#* Der Shell-Login ist ausschließlich über SSH möglich. Die Authentifizierung erfolgt mittels eines Passworts (LDAP) oder eines hinterlegten Schlüssels.
#* Server werden durch Firewall-Regeln auf der Basis von ''iptables'' geschützt. Die Standardvorgabe ist, dass eingehende und weiterzuleitende Pakete verworfen werden. Die Freigabe von Ports bzw. der Weiterleitung erfolgt mittels spezifischer Regeln wo erwünscht.
# Fehler und Sicherheitslücken in der verwendeten Software werden behoben.
#* Die Freifunk-Server werden auf Basis der Debian Linux-Distribution betrieben. Sofern möglich, wird die jeweils letzte stabile Version verwendet.
#* Es werden in angemessenen Intervallen empfohlene Sicherheitsaktualisierungen mittels der offiziellen Paketverwaltung eingespielt.
#* Das Administratoren-Team verfolgt sicherheitsrelevante Ankündigungen über die Mailing-Liste debian-security-announce@lists.debian.org.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.
#* Kritische Server und Dienste werden über ein zentrales Monitoring auf der Basis von Nagios(-Derivaten) überwacht. Das Monitoring ist redundant aufgesetzt. Der aktuelle Zustand aller Server und Diense ist über eine Web-Oberfläche einsehbar. Optional erfolgt eine Mitteilung per e-Mail im Fall von Statusänderungen.
#* Die Server des FF3L werden von Host Providern angemietet. Diese bieten üblicherweise einen gewissen Schutz vor DoS-Angriffen in der Form adaptiver Firewalls.

===Bekannte Lücken sowie geplante, zukünftige Sicherheitsmaßnahmen===
# Server sind vor dem Zugriff unbefugter Dritter geschützt.
#* Die Erteilung von Zugriffsrechten erfolgt derzeit weitestgehend monolithisch, soll in Zukunft jedoch granular und nach Bedarf erfolgen. Erteilte Rechte sollen an geeigneter Stelle transparent dokumentiert und veröffentlicht werden.
#* Bzgl. der verwendbaren Passwörter gibt es aktuell keine Vorgaben. In der Zukunft soll eine Überprüfung der Passwortstärke sowie Vorgabe einer minimalen Entropie implementiert werden.
#* Die Authentizfizierung im Rahmen des Shell-Login via SSH ist aktuell mittels eines Passworts möglich. Die Authentifizierung soll auf asymmetrische Schlüsselverfahren beschränkt werden, um die Folgen von Man-in-der-Mitte-Angriffen zu mildern.
#* Sicherheitssoftware zur Erkennung von Eindringlingen wird aktuell nur auf einem Teil der Freifunk-Server verwendet. Die Erstellung und Umsetzung eines flächendeckenden Konzepts steht nachwievor aus.
# Fehler und Sicherheitslücken in der verwendeten Software werden behoben.
#* Keine geplanten Maßnahmen.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.
#* Keine geplanten Maßnahmen.

==Bündel-Server==
Bündel-Server dienen der Verbindung isolierter Funkwolken innerhalb des Freifunk-Netzes. Vom Prinzip her sind Sie den Freifunk-Routern gleichgestellte Netzwerkknoten, erfüllen jedoch zusätzliche Aufgaben. Bündel-Server unterhalten im Normalfall eine hohe Anzahl an Verbindungen zu Freifunk-Routern. Da ein erheblicher Teil des Datenverkehrs über die Bündel-Server läuft, sind diese als besonders sicherheitskritisch einzustufen. Konkret erfüllen Bündel-Server die folgenden Aufgaben:
* Verbindung entfernter Freifunk-Router mittels Tunnelverbindungen über das Internet.
* Austausch von Routen-Informationen, um die zielgerichtete Zustellung von Daten zu ermöglichen.
* Automatische Netzwerkkonfiguration von Klienten.
* Namensauflösung innerhalb des Freifunk-Netzes.

===Schutzziele und Gefährdungen===
# Übertragene Daten sind vor dem Zugriff Dritter geschützt.
# Die Namensauflösung ist vor Manipulationen durch Dritte geschützt.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.

Zusätzlich gelten die Schutzziele und Gefährdungen für Server im allgemeinen.

===Abgeleitete Sicherheitsanforderungen===
# Übertragene Daten sind vor dem Zugriff Dritter geschützt.
#* Die Datenübertragung zu den Freifunk-Routern erfolgt mittels verschlüsselter Tunnelverbindungen (End-zu-Endverschlüsselung) unter Verwendung von nach heutigem Wissenssand sicherer Verfahren.
#* Die Authentizität der Endpunkte wird zum Schutz vor Mann-in-der-Mitte-Angriffen mittels eines asymmetrischen Schlüsselverfahrens sichergestellt.
# Die Namensauflösung ist vor Manipulationen durch Dritte geschützt.
#* Die Authentizität der Endpunkte wird zum Schutz vor Mann-in-der-Mitte-Angriffen mittels eines asymmetrischen Schlüsselverfahrens sichergestellt.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.
#* Der Ausfall eines Bündel-Servers führt nicht zur Störung des restlichen Netzes.
#* Die Netzstabilität wird durch Redundanz gewährleistet. Die Bündel-Server sind über mehrere Rechenzeitung verteilt.
#* Das Routing des Freifunk-Netzes ist "selbstheilend". Durch Ausfall bedingte Unterbrechungen werden automatisch behoben.
#* Die verfügbare Bandbreite wird gleichmäßig auf alle verbundenen Knoten/Klienten verteilt.

===Umgesetzte Sichgerheitsmaßnahmen===

===Bekannte Lücken sowie geplante, zukünftige Sicherheitsmaßnahmen===

==Internet Gateways==
Internet Gateways stellen die Verbindung zwischen dem Freifunk-Netz und dem Internet her. Sie werden auch als "Exit Nodes" bezeichnet und stellen die Standard-Route innerhalb des Freifunk-Netzes. In der aktuellen Konfiguration ist das Routing auf IPv4 beschränkt. Die lokalen IPv4-Adressen der Klienten werden auf die öffentlichen IPv4-Adressen der Gateways abgebildet. Konkret erfüllen Internet Gateways die folgenden Aufgaben:
* Routing von Verkehr zwischen dem Freifunk-Netz und dem Internet (nur IPv4)
* Adressübersetzung (nur IPv4)
* Namensauflösung für das Internet

===Schutzziele und Gefährdungen===
# Gleichmäßige Verteilung der verfügbaren Bandbreite auf alle Klienten sowie adequate Priorisierung des Verkehrs nach Diensten.
# Unterbindung von Rechtsverletzungen

Zusätzlich gelten die Schutzziele und Gefährdungen für Server im allgemeinen.

===Abgeleitete Sicherheitsanforderungen===
# Gleichmäßige Verteilung der verfügbaren Bandbreite auf alle Klienten sowie adequate Priorisierung des Verkehrs nach Diensten.
#* Verwendung geeigneter Queueing Disciplines.

# Unterbindung von Rechtsverletzungen
#* Unterbindung des Versands von SPAM-Nachrichten.
#* Einschränkung von P2P-Dateiübertragungen auf ein tolerierbares Maß.

===Umgesetzte Sicherheitsmaßnahmen===

===Bekannte Lücken sowie geplante, zukünftige Sicherheitsmaßnahmen===

==IC-VPN Gateways==
IC-VPN Gateways stellen die Verbindung zwischen dem Freifunk-Netz und anderen Freifunk-Netzen innerhalb des Intercity VPNs (IC-VPN) her. Die Verbindung erfolgt über ein virtuelles Transportnetz. Die zugehörigen Routen werden mittels BGP ausgetauscht. In der aktuellen Konfiguration wird zusätzlich der Verkehr ins Internet via IPv6 zu den "Exit Nodes" anderer Freifunk-Netze geroutet. Konkret erfüllen IC-VPN Gateways die folgenden Aufgaben:
* Peering mit IC-VPN Gateways anderer Freifunk-Netze
* Austausch von Routeninformation via BGP
* Routing von Verkehr zwischen den Freifunk-Netzen
* Namensauflösung für Domänen innerhalb des IC-VPN
* Routing von Internetverkehr (IPv6) zu den Internet Gateways anderer Freifunk-Netze

===Schutzziele und Gefährdungen===
# Übertragene Daten sind vor dem Zugriff Dritter geschützt.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.

Zusätzlich gelten die Schutzziele und Gefährdungen für Server im allgemeinen.

===Abgeleitete Sichgerheitsanforderungen===
# Übertragene Daten sind vor dem Zugriff Dritter geschützt.
#* Die Datenübertragung zu den Bündel-Servern erfolgt mittels verschlüsselter Tunnelverbindungen (End-zu Endverschlüsselung) unter Verwendung von nach heutigem Wissenssand sicherer Verfahren.
#* Die Authentizität der Endpunkte wird zum Schutz vor Mann-in-der-Mitte-Angriffen mittels eines asymmetrischen Schlüsselverfahrens sichergestellt.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.
#* Der Ausfall des IC-VPN-Gateways führt nicht zur Störung des restlichen Netzes.

===Umgesetzte Sicherheitsmaßnahmen===

===Bekannte Lücken sowie geplante, zukünftige Sicherheitsmaßnahmen===

==Bewertung des Gesamtsystems==
Welche Risiken ergeben sich aus dem Zusammnenwirken der Teilsysteme?

==Mitteilungspflichten==

Welche Sicherheitsverletzungen und/oder Störungen würden wir der Bundesnetzagentur mitteilen wollen?

Sicherheitskonzept (intern)

2015-05-17T15:05:25Z

Langweiler: /* Schutzziele und Gefährdungen */

{{Tip|Dieses Dokument befindet sich noch in der Entstehung.}}

=Präambel=
Freifunk Dreiländereck ("FF3L") ist ein parteipolitischer, unabhängiger, eingetragener Verein, der sich als Teil der weltweiten Open Wireless-Bewegung versteht, welche in Deutschland durch die Freifunk-Initiative repärsentiert wird.

Zur Umsetzung des Vereinszwecks unterhält der FF3L eine Netzwerkinfrastruktur, welche in Kombination mit den Freifunk-WLAN-Routern das Freifunk-Netz bildet. Weiterhin stellt er eine Firmware für Freifunk-Router zur Verfügung. Er ist bei der Bundesnetzagentur seit dem xx.xx.xxxx. als Telekommunikationsdienstleister (Access Provider) registriert.

Mit dem vorliegenden Sicherheitskonzept werden die folgenden Absichten verfolgt:
* Erfüllung der Verpflichtung zur Erstellung und Umsetzung eines Sicherheitskonzeptes nach § 109 TKG.
* Transparente Dokumentation des Status Quo bezüglich Informationssicherheit als Grundlage für die kontinuierliche Verbesserung.
* Aufzeigen von inherenten Limitierungen, die sich auf Grund der Funktionsweise des Freifunk-Netzes ergeben.
* Darstellung der Pflichten von Freifunk-Nutzern hinsichtlich Gewährleistung ihrer eigene Sicherheit.

=Umfang=
Der Umfang des Sicherheitskonzepts beschränkt sich ausschließlich auf die vom FF3L (also dem Verein, und nicht von Freifunkern als Privatpersonen) betriebene Netzwerkinfrastruktur. Explizit beinhaltet dies die vom FF3L betriebenen Bündel-Server, Internet und IC-VPN Gateways. Aspekte der Freifunk-Router werden insofern abgehandelt, wie sie mit der vom Verein herausgegebenen Freifunk-Firmware in Verbindung stehen. Nicht im Umfang enthalten sind Server und Engeräte, welche von Freifunk-Nutzern betrieben werden.

Der Begriff Freifunk-Netz in diesem Dokument bezieht sich auschließlich auf das Freifunk-Netz im Dreiländereck (CH-DE-FR), dessen Aufbau und Betrieb durch den FF3L gefördert wird. Gleiches gilt für die Begriffe Freifunk-Router, Freifunk-Firmware und Freifunk-Server. Eine Übertragung auf Freifunk-Netze anderer Commnunities ist nicht zulässig.

=Kontinuierliche Verbesserung=
Das vorliegende Sicherheitskonzept ist als lebendes Dokument konzipiert. Es dient als Grundlage für die Arbeit des Sicherheitsbeauftragten. Dieser analysiert und aktualisiert gemeinsam mit dem Administratoren-Team des FF3L sowie allen interessierten Freifunkern in regelmäßigen Abständen die Anforderungen an die vom FF3L betriebenen Teilsysteme, die Zulänglichkeit der umgesetzten Maßnahmen sowie die Planung zukünftiger Maßnahmen zur weiteren Verbesserung der Sicherheit.

=Gesetzlicher Hintergrund=
Auszug aus dem "Katalog von Sicherheitsanforderungen für das Betreiben von Telekommunikations- und Datenverarbeitungssystemen sowie für die Verarbeitung personenbezogener Daten nach § 109 Telekommunikationsgesetz (TKG):

Für das Betreiben öffentlicher Telekkommunikatiosnetze sowie das Erbringen öffentlich zugänglicher Telekommunikationsdiense schreibt § 109 TKG Vorkehrungen und sonstige Maßnahmen

* zum Schutz des Fernmeldegehimnisses,
* gegen die Verletzung des Schutzes personenbezogener Daten,
* gegen Störungen, die zu erheblichen Beeinträchtigungen von Telekommunikationsnetzen und -diensten führen, auch soweit sie durch äußere Angriffe und Einwirkungen von Katastrophen bedingt sein könnten,
als Mindestanforderungen vor.

Ziel und Zweck der zu treffenden Maßnahmen sind insbesondere

* die Sicherheit vor unerlaubtem Zugriffen auf Telekommunikations- und Datenverarbeitungssysteme
* die Reduzierung / Minimierung der Auswirkungen von Sicherheitsverletzungen auf Nutzer oder auf zusammengeschaltete Netze
* die Gewährleistung eines ordnungsgemäßen Betriebes der Netze und dadurch die Sicherstellung der fortlaufenden Verfügbarkeit der über die Netze erbrachten Dienste.

=Netzstruktur=
Das Freifunknetz ist ein offenes, sich spontan ausbildendes und selbstheilendes Maschennetzwerk. Die Grundbausteine ("Knoten") des Freifunk-Netzes sind die Freifunk-Router. Der Begriff Maschennetzwerk
bedeutet, dass die einzelnen Knoten mit einem oder mehreren Knoten auf nicht hierarschische Weise verbunden sind.

Die Freifunk-Router sinde handelsübliche WLAN-Router, ausgestattet mit einer speziellen Software ("Firmware"). Die spezielle Firmware gestattet es den Freifunk-Routern spontan Verbindung mit anderen Freifunk-Routern in Reichweite aufzunehmen. Hierbei kommt der offizielle, zugelassene WLAN-Standard 802.11n zum Einsatz. Gleichzeitig agieren die Router als WLAN-Zugangspunkt und ermöglichen damit Klienten (z.B. Smartphones) den direkten Zugang zum Freifunknetz.

Damit die Daten in dieser chaotischen Struktur ihren Weg finden, kommt ein spezielles Routing-Protokoll zum Einsatz. Im Fall des FF3L handelt es sich um das Protokoll [http://www.open-mesh.org/projects/batman-adv/wiki B.A.T.M.A.N. Advanced]. Dieses arbeitet auf der Netzzugangsschicht (Layer 2 nach dem OSI-Netzwerkschichtmodell). Das Freifunk-Netz verhält sich damit effektiv so, als wären alle Knoten über einen einzigen Netzwerk-Switch miteinander verbunden.

Neben der direkten Verbindung von Freifunk-Routern via WLAN gibt es die Option, isolierte Funkwolken über Tunnelverbindungen zu zentralen Servern ("Bündel-Servern") miteinander zu verbinden. Die Tunnelverbindungen laufen über das Internet und sind verschlüsselt (d.h. der Inhalt ist für Dritte nicht einsehbar). Der Internetanschluss wird hierbei auf freiwilliger Basis von den Knotenbetreibern zur Vefügung gestellt.

Weiterhin bietet das Freifunknetz über zentrale Gateways eine Verbindung ins Internet ("Internet Gateways") sowie den Verbund aller Freifunk-Netze ("IC-VPN Gateways"). Der Verein Freifunk Dreiländreck e.V. agiert damit als Zugangsanbieter ("Access Provider"). Die indirekte Weiterleitung ins Internet schützt die Knotenbetreiber vor ewaigen Haftungsansprüchen ("Störherhaftung") im Fall eines Missbrauchs durch Dritte.

Zusätzlich können Applikations-Server in das Freifunk-Netz integriert werden. Diese agieren als reguläre Netzwerkknoten und sind den Freifunk-Routern gleichgestellt.

[[Datei:Netzstrukturplan.png]]

=Sicherheitsteilsysteme=
In den folgenden Abschnitten werden die sicherheitskritischen Teilsysteme des Freifunk-Netzes definiert und diskutiert. Konkret werden als Teilsysteme die Freifunk-Router und Freifunk-Server im allgmeienen sowie Bündel-Server, Internet und IC-VPN Gateways im speziellen behandelt. Jeder Abschnitt besteht aus einer einleitenden Beschreibung inkl. der Aufgaben des jeweiligen Teilsystems, einer Auflistung von Schutzzielen und Gefährdungen, abgeleiteten Sicherheitsanforderungen, bereits umgesetzten sowie zukünftigen, geplanten Sicherheitsmaßnahmen. Zuletzt erfolgt eine abschließende Beurteilung des Gesamtsystems.

==Freifunk-Router==
Freifunk-WLAN-Router bilden die Grundelemente des Freifunk-Netzes. Sie werden auch als Netzwerkknoten bezeichnet. Bei Freifunk-Routern handelt sich um handelsübliche WLAN-Router, welche durch das Einspielen eines speziellen Betriebssystems ("Freifunk-Firmware") modifiziert werden. Freifunk-Router erfüllen die folgenden Aufgaben:
* Spontane Bildung des Freifunk-Maschennetzwerks via WLAN mit allen in Reichweite befindlichen Freifunk-Routern (lokale Funkwolke).
* Optional die Errichtung von Tunnelverbindungen zu Bündel-Servern über das Internet für den Datenaustausch mit entfernten Funkwolken.
* Austausch von Routen-Informationen, um die zielgerichtete Zustellung von Daten zu ermöglichen.
* Zugangspunkt zum Freifunk-Netzwerk für WLAN-Klienten (z.B. Smartphones, Tablets, Notebooks).
* Optional die Anbindung von Servern und/oder lokalen Klienten mittels einer direkten Kabelverbindung.

===Schutzziele und Gefährdungen===
# Freifunk-Router sind vor dem Zugriff unbefugter Dritter geschützt.
# Freifunk-Router ermöglichen Dritten den Zugang zum Freifunk-Netz, nicht jedoch den Zugang zum privaten Netz des Router-Betreibers.
# Fehler und Sicherheitslücken in der Freifunk-Firmware werden behoben.
# Übertragene Daten sind vor dem Zugriff Dritter geschützt.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.

===Abgeleitete Sicherheitsanforderungen===
# Freifunk-Router sind vor dem Zugriff unbefugter Dritter geschützt.
#* Die Einstellungen des Freifunk-Routers lassen sich lediglich in einem gesonderten Konfigurationsmodus verändern.
#* In der Standardkonfiguration des Freifunk-Routers ist kein Zugang auf der Ebene des Betriebssystems ("Shell Login") möglich.
#* Optional kann durch den Router-Betreiber ein verschlüsselter Zugang (z.B. via SSH) aktiviert werden, um die Wartung aus der Ferne zu ermöglichen.
# Freifunk-Router ermöglichen Dritten den Zugang zum Freifunk-Netz, nicht jedoch den Zugang zum privaten Netz des Router-Betreibers.
#* Eine Firewall auf dem Freifunk-Router (Layer 2 und/oder Layer 3) verhindert den Zugriff auf das private Netz des Betreibers.
#* Ausgenommen ist der Aufbau einer Tunnelverbindung zu den Bündelservern, sofern der Betreiber dies in der Konfiguration ausdrücklich gestattet ("opt in").
# Fehler und Sicherheitslücken in der Freifunk-Firmware werden behoben.
#* Die Firmware der Freifunk-Router wird in angemessenen Intervallen automatisch über das Freifunk-Netzt aktualisiert ("Autoupdater").
#* Die Authentizität der Firmware wird durch ein elektronisches Signaturverfahren sichergestellt.
#* Neue Firmware-Versionen werden vor dem Ausrollen gem. eines festgelegten Schemas getestet.
# Übertragene Daten sind vor dem Zugriff Dritter geschützt.
#* Die Datenübertragung zu den Bündel-Servern erfolgt mittels verschlüsselter Tunnelverbindungen (End-zu-Endverschlüsselung) unter Verwendung von nach heutigem Wissenssand sicherer Verfahren.
#* Die Authentizität der Endpunkte wird zum Schutz vor Mann-in-der-Mitte-Angriffen mittels eines asymmetrischen Schlüsselverfahrens sichergestellt.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.
#* Der Ausfall einzelner Freifunk-Router führt nicht zur Störung des restlichen Netzes.
#* Das Routing des Freifunk-Netzes ist "selbstheilend". Durch Ausfall bedingte Unterbrechungenwerden automatisch behoben.
#* Die Funktionstüchtigkeit der Router wird überwacht und der fehlerhafte Betrieb detektiert.

===Umgesetzte Sichgerheitsmaßnahmen===
# Freifunk-Router sind vor dem Zugriff unbefugter Dritter geschützt.
#* Die verwendete Gluon-Firmware unterstützt einen separaten Konfigurationsmodus. Dieser ist nach dem Aufspielen der Firmware aktiviert. Er kann zu einem späteren Zeitpunkt durch längeres Drücken der Reset-Taste am Router erneut aktiviert werden. Die Konfiguration wird über eine Web-Oberfläche unter der Adresse http://192.168.0.1 vorgenommen. Nach Abschluss der Konfiguration wechselt der Router in den Betriebsmodus. Eine Änderung der Konfiguration über die Web-Obewrfläche ist in der Folge nicht mehr möglich.
#* In der Standardkonfiguration der Gluon-Firmware ist der Shell Login auf den Router deaktiviert. Er muss explizit im Konfigurationsmodus aktiviert werden, indem ein Passwort oder Schlüssel für den Zugang via SSH gesetzt wird.
# Freifunk-Router ermöglichen Dritten den Zugang zum Freifunk-Netz, nicht jedoch den Zugang zum privaten Netz des Router-Betreibers.
#* Das Freifunk-Netz und das private Netz des Router-Betreibers werden in der Gluon-Netzwerkkonfiguration strikt getrennt. Die Zugänge zu den beiden Netzen sind in Form separater Brücken zusammengefasst (''br-client'' und ''br-wan'').
#* Die verwendete Gluon-Firmware konfiguriert Firewall-Regeln (bereitgestellt durch das Paket ''gluon-ebtables''), welche auf der Netzzugangsschicht (Layer 2) den Zugriff auf das private Netz unterbindet.
#* Eine Ausnahme bildet der Aufbau einer optionalen Tunnelverbindung zu den Bündel-Servern durch die VPN-Software ''fastd''. Diese Option muss vom Betreiber im Konfigurationsmodus explizit aktiviert werden ("opt-in").
# Fehler und Sicherheitslücken in der Freifunk-Firmware werden behoben.
#* Der FF3L betreibt einen Aktualisierungs-Dienst, welcher über das Freifunk-Netz erreichbar ist. Mit Hilfe des Aktualisierungsdienstes lassen sich neuere Versionen der Firmware auf den Routern automatisch einspielen. Die Konfiguration der Freifunk-Router bleibt hierbei soweit möglich erhalten.
#* Der Aktualisierungs-Dienst ist in der Standardkonfiguration der Freifunk-Firmware aktiviert (Zweig "stable"). Der Aktualisierungs-Dienst kann im Konfigurationsmodus in den Experteneinstellungen deaktiviert werden ("opt-out").
#* Die Authentitizät der Firmware-Images wird durch ein Signaturverfahren gewährleistet (signiertes Manifest). Neue Images werden von den Freifunk-Routern nur bei vorhandensein einer gültigen Signatur installiert (siehe auch [http://gluon.readthedocs.org/en/v2014.4/index.html Gluon-Dokumentation]).
#* Veröffentlichte Firmware-Images werden in die Zweige "experimental", "beta" und "stable" unterteilt. Neue Firmware-Versionen werden in eben dieser Reihenfolge ausgerollt, um einen ausreichenden Testbetrieb vor der Verbreitung zu gewährleisten.
#* Die Aktuelle Praxis bezüglich der Veröffentlichung von neuen Firmware-Versionen ist im [http://wiki.freifunk-3laendereck.net/Freifunk-Router:Firmware Wiki] des FF3L dokumentiert.
# Übertragene Daten sind vor dem Zugriff Dritter geschützt.
#* Die Datenübertragung zu den Bündel-Servern erfolgt mittels der VPN-Software fastd über das Internet. Die übertragenen Daten sind mittels des Chiffre Salsa20/12 verschlüsselt.
#* Die Authentifizierung erfolgt mittels der asymmetrischen Schlüsselverfahren UMAC oder GMAC. Die öffentlichen Schlüssel müssen einmalig vor dem Aufbau der Verbindung ausgetauscht werden. Dies geschieht im Rahmen der Registrierung des Knotens.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.
#* Der Ausfall einzelner Server führt nicht zu Störungen innerhalb des Netzes, sofern alternative Routen existieren. In diesem Fällen wird das Routing durch das verwendete Routing-Protokoll batman-adv automatisch korrigiert und die Lücke geschlossen
#* Die Freifunk-Firmware stellt auf den Knoten eine Stauts-Seite bereit. Auf dieser kann man sehen, ob der Knoten mit dem Freifunk-Netz und auf welche Weise er mit dem Freifunk-Netz verbunden ist.
#* Der Status aller Knoten wird zusätzlich in Form einer Knotenkarte auf den Servern des FF3L visualisiert. Der Karte lässt sich neben der Lage des Knotes (freiwillige Angabe) entnehmen, ob ein Knoten mit dem Freifunk-Netz verbunden ist und wie er vebunden ist.

===Bekannte Lücken sowie geplante, zukünftige Sicherheitsmaßnahmen===
# Freifunk-Router sind vor dem Zugriff unbefugter Dritter geschützt.
#* Freifunk-Router werden prinzipiell nicht vom FF3L betrieben. Für den Schutz vor physikalischem Zugriff und ggf. damit einhergehender Manipulation ist der Knoten-Betreiber verantwortlich.
# Freifunk-Router ermöglichen Dritten den Zugang zum Freifunk-Netz, nicht jedoch den Zugang zum privaten Netz des Router-Betreibers.
#* Die an bestimmten Freifunk-Routern verfügbaren LAN-Ports ermöglichen eine direkte Verbindung von Endgeräten (z.B. Servern) mit dem Freifunk-Netz. LAN-Ports sind von den WAN-Ports zu unterscheiden, über welche die Freifunk-Router mit dem Internet verbunden werden.
#* Im Fall einer Verwechslung der Ports, kann das private Netze des Freifunk-Betreibers in das Freifunk-Netz überbrückt werden.
#* Um Knotenbetreiber im Fall einer Verwechselung zu schützen, sollen die LAN-Ports in der Standardkonfiguration deaktiviert werden. Eine Aktivierung erfolgt über den Konfigurationsmodus des Routers.
# Fehler und Sicherheitslücken in der Freifunk-Firmware werden behoben.
#* Der Aktualisierungs-Dienst für die Freifunk-Firmware ist in der Standardkonfiguration aktiviert. Die entsprechende Einstellung verbirgt sich jedoch unter den Experteneinstellungen im Konfigurationsmodus.
#* Um Knotenbetreiber auf diesen Umstand aufmerksam zu machen, ist eine Verlegung der Einstellungen in den allgemeinen Teil des Konfigurationsmnodus geplant.
# Übertragene Daten sind vor dem Zugriff Dritter geschützt.
#* Die Datenübertragung zwischen den Freifunk-Routern erfolgt auf Grund der eingesetzen Technologie unverschlüsselt. Sie ist damit durch Dritte vor Ort abhörbar.
#* Umfassende Sicherheit lässt sich allein durch End-zu-End-Verschlüsselung gewährleisten. Die Anwendung dieser erfolgt auf den Endgeräten und liegt damit in der Verantwortung der Freifunk-Nutzer und nicht des FF3L.
#* Um eine sichere Übetragung von den Klienten zu den Bündel-Servern zu gewährleisten, soll optional ein VPN-Zugang für Klienten angeboten werden (z.B. [http://www.openvpn.net OpenVPN]).
#* Um eine sichere Übertragung von Endpunkt zu Endpunkt innerhalb des Freifunk-Netzes anzubieten, ist die Einrichtung eines verschlüsselten Overlay-Netzes angedacht (z.B. [http://cjdns.info/ cjDNS]).
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet
#* Keine geplanten Maßnahmen.

==Server==
Im Folgenden Abschnitt sind die allgemeinen Schutzziele und Gefährdungen für Freifunk-Server zusammengefasst. Freifunk-Server werden in der Regel - jedoch nicht ausschließlich - bei Host Providern angemietet (physikalische und virtualisierte Root Server). Die Einrichtung, der Betrieb und die Wartung erfolgt durch den FF3L. Der Begriff "Freifunk-Server" umfasst hierbei die weiter unten aufgeführten Bündel-Server, Internet sowie IC-VPN Gateways. Diese werden entsprechend ihrer Aufgaben noch einmal separat abgehandelt. In der Praxis werde die verschiedenen Server meist zusammengefasst. Ausgeschlossen sind Server, welche von Freifunkern als Privatpersonen innerhalb des Freifunknetzes betrieben werden.

===Schutzziele und Gefährdungen===
# Server sind vor dem Zugriff unbefugter Dritter geschützt.
# Fehler und Sicherheitslücken in der verwendeten Software werden behoben.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.

===Abgeleitete Sicherheitsanforderungen===
# Server sind vor dem Zugriff unbefugter Dritter geschützt.
#* Der Zugriff auf die Server (physikalisch und über das Internet) ist auf einen engen, definierten Personenkreis beschränkt.
#* Zugriffsrechte werden nach Bedarf und maßgeschneidert erteilt.
#* Der Zugang aus dem Netz erfolgt exklusiv über verschlüsselte Verbindungen (z.B. SSH).
#* Eine Firewall beschränkt Zugriffe aus dem Netz auf das notwendige Minimum.
#* Spezielle Sicherheitssoftware zur Erkennung von Eindringlingen wird verwendet.
# Fehler und Sicherheitslücken in der verwendeten Software werden behoben.
#* Server werden auf der Grundlage eines gepflegten, quelloffenen Betriebssystems errichtet.
#* Verwendete Software wird in adequaten Intervallen aktualisiert.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.
#* Die Funktionstüchtigkeit der Server wird überwacht und der fehlerhafte Betrieb detektiert.
#* Server sind vor DoS-Attacken aus dem Internet geschützt.

===Umgesetzte Sicherheitsmaßnahmen===
# Server sind vor dem Zugriff unbefugter Dritter geschützt.
#* Der Zugriff auf die Server des FF3L ist auf Mitglieder des Administratoren-Teams begrenzt. Das Aministratoren-Team wird durch den Vorstand des Vereins benannt.
#* Der Shell-Login ist ausschließlich über SSH möglich. Die Authentifizierung erfolgt mittels eines Passworts (LDAP) oder eines hinterlegten Schlüssels.
#* Server werden durch Firewall-Regeln auf der Basis von ''iptables'' geschützt. Die Standardvorgabe ist, dass eingehende und weiterzuleitende Pakete verworfen werden. Die Freigabe von Ports bzw. der Weiterleitung erfolgt mittels spezifischer Regeln wo erwünscht.
# Fehler und Sicherheitslücken in der verwendeten Software werden behoben.
#* Die Freifunk-Server werden auf Basis der Debian Linux-Distribution betrieben. Sofern möglich, wird die jeweils letzte stabile Version verwendet.
#* Es werden in angemessenen Intervallen empfohlene Sicherheitsaktualisierungen mittels der offiziellen Paketverwaltung eingespielt.
#* Das Administratoren-Team verfolgt sicherheitsrelevante Ankündigungen über die Mailing-Liste debian-security-announce@lists.debian.org.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.
#* Kritische Server und Dienste werden über ein zentrales Monitoring auf der Basis von Nagios(-Derivaten) überwacht. Das Monitoring ist redundant aufgesetzt. Der aktuelle Zustand aller Server und Diense ist über eine Web-Oberfläche einsehbar. Optional erfolgt eine Mitteilung per e-Mail im Fall von Statusänderungen.
#* Die Server des FF3L werden von Host Providern angemietet. Diese bieten üblicherweise einen gewissen Schutz vor DoS-Angriffen in der Form adaptiver Firewalls.

===Bekannte Lücken sowie geplante, zukünftige Sicherheitsmaßnahmen===
# Server sind vor dem Zugriff unbefugter Dritter geschützt.
#* Die Erteilung von Zugriffsrechten erfolgt derzeit weitestgehend monolithisch, soll in Zukunft jedoch granular und nach Bedarf erfolgen. Erteilte Rechte sollen an geeigneter Stelle transparent dokumentiert und veröffentlicht werden.
#* Bzgl. der verwendbaren Passwörter gibt es aktuell keine Vorgaben. In der Zukunft soll eine Überprüfung der Passwortstärke sowie Vorgabe einer minimalen Entropie implementiert werden.
#* Die Authentizfizierung im Rahmen des Shell-Login via SSH ist aktuell mittels eines Passworts möglich. Die Authentifizierung soll auf asymmetrische Schlüsselverfahren beschränkt werden, um die Folgen von Man-in-der-Mitte-Angriffen zu mildern.
#* Sicherheitssoftware zur Erkennung von Eindringlingen wird aktuell nur auf einem Teil der Freifunk-Server verwendet. Die Erstellung und Umsetzung eines flächendeckenden Konzepts steht nachwievor aus.
# Fehler und Sicherheitslücken in der verwendeten Software werden behoben.
#* Keine geplanten Maßnahmen.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.
#* Keine geplanten Maßnahmen.

==Bündel-Server==
Bündel-Server dienen der Verbindung isolierter Funkwolken innerhalb des Freifunk-Netzes. Vom Prinzip her sind Sie den Freifunk-Routern gleichgestellte Netzwerkknoten, erfüllen jedoch zusätzliche Aufgaben. Bündel-Server unterhalten im Normalfall eine hohe Anzahl an Verbindungen zu Freifunk-Routern. Da ein erheblicher Teil des Datenverkehrs über die Bündel-Server läuft, sind diese als besonders sicherheitskritisch einzustufen. Konkret erfüllen Bündel-Server die folgenden Aufgaben:
* Verbindung entfernter Freifunk-Router mittels Tunnelverbindungen über das Internet.
* Austausch von Routen-Informationen, um die zielgerichtete Zustellung von Daten zu ermöglichen.
* Automatische Netzwerkkonfiguration von Klienten.
* Namensauflösung innerhalb des Freifunk-Netzes.

===Schutzziele und Gefährdungen===
# Übertragene Daten sind vor dem Zugriff Dritter geschützt.
# Die Namensauflösung ist vor Manipulationen durch Dritte geschützt.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.

Zusätzlich gelten die Schutzziele und Gefährdungen für Server im allgemeinen.

===Abgeleitete Sicherheitsanforderungen===
# Übertragene Daten sind vor dem Zugriff Dritter geschützt.
#* Die Datenübertragung zu den Freifunk-Routern erfolgt mittels verschlüsselter Tunnelverbindungen (End-zu-Endverschlüsselung) unter Verwendung von nach heutigem Wissenssand sicherer Verfahren.
#* Die Authentizität der Endpunkte wird zum Schutz vor Mann-in-der-Mitte-Angriffen mittels eines asymmetrischen Schlüsselverfahrens sichergestellt.
# Die Namensauflösung ist vor Manipulationen durch Dritte geschützt.
#* Die Authentizität der Endpunkte wird zum Schutz vor Mann-in-der-Mitte-Angriffen mittels eines asymmetrischen Schlüsselverfahrens sichergestellt.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.
#* Der Ausfall eines Bündel-Servers führt nicht zur Störung des restlichen Netzes.
#* Die Netzstabilität wird durch Redundanz gewährleistet. Die Bündel-Server sind über mehrere Rechenzeitung verteilt.
#* Das Routing des Freifunk-Netzes ist "selbstheilend". Durch Ausfall bedingte Unterbrechungen werden automatisch behoben.
#* Die verfügbare Bandbreite wird gleichmäßig auf alle verbundenen Knoten/Klienten verteilt.

===Umgesetzte Sichgerheitsmaßnahmen===

===Bekannte Lücken sowie geplante, zukünftige Sicherheitsmaßnahmen===

==Internet Gateways==
Internet Gateways stellen die Verbindung zwischen dem Freifunk-Netz und dem Internet her. Sie werden auch als "Exit Nodes" bezeichnet und stellen die Standard-Route innerhalb des Freifunk-Netzes. In der aktuellen Konfiguration ist das Routing auf IPv4 beschränkt. Die lokalen IPv4-Adressen der Klienten werden auf die öffentlichen IPv4-Adressen der Gateways abgebildet. Konkret erfüllen Internet Gateways die folgenden Aufgaben:
* Routing von Verkehr zwischen dem Freifunk-Netz und dem Internet (nur IPv4)
* Adressübersetzung (nur IPv4)
* Namensauflösung für das Internet

===Schutzziele und Gefährdungen===
# Gleichmäßige Verteilung der verfügbaren Bandbreite auf alle Klienten sowie adequate Priorisierung des Verkehrs nach Diensten.
# Unterbindung von Rechtsverletzungen

Zusätzlich gelten die Schutzziele und Gefährdungen für Server im allgemeinen.

===Abgeleitete Sicherheitsanforderungen===
# Gleichmäßige Verteilung der verfügbaren Bandbreite auf alle Klienten sowie adequate Priorisierung des Verkehrs nach Diensten.
#* Verwendung geeigneter Queueing Disciplines.

# Unterbindung von Rechtsverletzungen
#* Unterbindung des Versands von SPAM-Nachrichten.
#* Einschränkung von P2P-Dateiübertragungen auf ein tolerierbares Maß.

===Umgesetzte Sicherheitsmaßnahmen===

===Geplante, zukünftige Sicherheitsmaßnahmen===

==IC-VPN Gateways==
IC-VPN Gateways stellen die Verbindung zwischen dem Freifunk-Netz und anderen Freifunk-Netzen innerhalb des Intercity VPNs (IC-VPN) her. Die Verbindung erfolgt über ein virtuelles Transportnetz. Die zugehörigen Routen werden mittels BGP ausgetauscht. In der aktuellen Konfiguration wird zusätzlich der Verkehr ins Internet via IPv6 zu den "Exit Nodes" anderer Freifunk-Netze geroutet. Konkret erfüllen IC-VPN Gateways die folgenden Aufgaben:
* Peering mit IC-VPN Gateways anderer Freifunk-Netze
* Austausch von Routeninformation via BGP
* Routing von Verkehr zwischen den Freifunk-Netzen
* Namensauflösung für Domänen innerhalb des IC-VPN
* Routing von Internetverkehr (IPv6) zu den Internet Gateways anderer Freifunk-Netze

===Schutzziele und Gefährdungen===
# Übertragene Daten sind vor dem Zugriff Dritter geschützt.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.

Zusätzlich gelten die Schutzziele und Gefährdungen für Server im allgemeinen.

===Abgeleitete Sichgerheitsanforderungen===
# Übertragene Daten sind vor dem Zugriff Dritter geschützt.
#* Die Datenübertragung zu den Bündel-Servern erfolgt mittels verschlüsselter Tunnelverbindungen (End-zu Endverschlüsselung) unter Verwendung von nach heutigem Wissenssand sicherer Verfahren.
#* Die Authentizität der Endpunkte wird zum Schutz vor Mann-in-der-Mitte-Angriffen mittels eines asymmetrischen Schlüsselverfahrens sichergestellt.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.
#* Der Ausfall des IC-VPN-Gateways führt nicht zur Störung des restlichen Netzes.

===Umgesetzte Sicherheitsmaßnahmen===

===Bekannte Lücken sowie geplante, zukünftige Sicherheitsmaßnahmen===

==Bewertung des Gesamtsystems==
Welche Risiken ergeben sich aus dem Zusammnenwirken der Teilsysteme?

==Mitteilungspflichten==

Welche Sicherheitsverletzungen und/oder Störungen würden wir der Bundesnetzagentur mitteilen wollen?

Sicherheitskonzept (intern)

2015-05-17T15:04:43Z

Langweiler: /* IC-VPN Gateways */

{{Tip|Dieses Dokument befindet sich noch in der Entstehung.}}

=Präambel=
Freifunk Dreiländereck ("FF3L") ist ein parteipolitischer, unabhängiger, eingetragener Verein, der sich als Teil der weltweiten Open Wireless-Bewegung versteht, welche in Deutschland durch die Freifunk-Initiative repärsentiert wird.

Zur Umsetzung des Vereinszwecks unterhält der FF3L eine Netzwerkinfrastruktur, welche in Kombination mit den Freifunk-WLAN-Routern das Freifunk-Netz bildet. Weiterhin stellt er eine Firmware für Freifunk-Router zur Verfügung. Er ist bei der Bundesnetzagentur seit dem xx.xx.xxxx. als Telekommunikationsdienstleister (Access Provider) registriert.

Mit dem vorliegenden Sicherheitskonzept werden die folgenden Absichten verfolgt:
* Erfüllung der Verpflichtung zur Erstellung und Umsetzung eines Sicherheitskonzeptes nach § 109 TKG.
* Transparente Dokumentation des Status Quo bezüglich Informationssicherheit als Grundlage für die kontinuierliche Verbesserung.
* Aufzeigen von inherenten Limitierungen, die sich auf Grund der Funktionsweise des Freifunk-Netzes ergeben.
* Darstellung der Pflichten von Freifunk-Nutzern hinsichtlich Gewährleistung ihrer eigene Sicherheit.

=Umfang=
Der Umfang des Sicherheitskonzepts beschränkt sich ausschließlich auf die vom FF3L (also dem Verein, und nicht von Freifunkern als Privatpersonen) betriebene Netzwerkinfrastruktur. Explizit beinhaltet dies die vom FF3L betriebenen Bündel-Server, Internet und IC-VPN Gateways. Aspekte der Freifunk-Router werden insofern abgehandelt, wie sie mit der vom Verein herausgegebenen Freifunk-Firmware in Verbindung stehen. Nicht im Umfang enthalten sind Server und Engeräte, welche von Freifunk-Nutzern betrieben werden.

Der Begriff Freifunk-Netz in diesem Dokument bezieht sich auschließlich auf das Freifunk-Netz im Dreiländereck (CH-DE-FR), dessen Aufbau und Betrieb durch den FF3L gefördert wird. Gleiches gilt für die Begriffe Freifunk-Router, Freifunk-Firmware und Freifunk-Server. Eine Übertragung auf Freifunk-Netze anderer Commnunities ist nicht zulässig.

=Kontinuierliche Verbesserung=
Das vorliegende Sicherheitskonzept ist als lebendes Dokument konzipiert. Es dient als Grundlage für die Arbeit des Sicherheitsbeauftragten. Dieser analysiert und aktualisiert gemeinsam mit dem Administratoren-Team des FF3L sowie allen interessierten Freifunkern in regelmäßigen Abständen die Anforderungen an die vom FF3L betriebenen Teilsysteme, die Zulänglichkeit der umgesetzten Maßnahmen sowie die Planung zukünftiger Maßnahmen zur weiteren Verbesserung der Sicherheit.

=Gesetzlicher Hintergrund=
Auszug aus dem "Katalog von Sicherheitsanforderungen für das Betreiben von Telekommunikations- und Datenverarbeitungssystemen sowie für die Verarbeitung personenbezogener Daten nach § 109 Telekommunikationsgesetz (TKG):

Für das Betreiben öffentlicher Telekkommunikatiosnetze sowie das Erbringen öffentlich zugänglicher Telekommunikationsdiense schreibt § 109 TKG Vorkehrungen und sonstige Maßnahmen

* zum Schutz des Fernmeldegehimnisses,
* gegen die Verletzung des Schutzes personenbezogener Daten,
* gegen Störungen, die zu erheblichen Beeinträchtigungen von Telekommunikationsnetzen und -diensten führen, auch soweit sie durch äußere Angriffe und Einwirkungen von Katastrophen bedingt sein könnten,
als Mindestanforderungen vor.

Ziel und Zweck der zu treffenden Maßnahmen sind insbesondere

* die Sicherheit vor unerlaubtem Zugriffen auf Telekommunikations- und Datenverarbeitungssysteme
* die Reduzierung / Minimierung der Auswirkungen von Sicherheitsverletzungen auf Nutzer oder auf zusammengeschaltete Netze
* die Gewährleistung eines ordnungsgemäßen Betriebes der Netze und dadurch die Sicherstellung der fortlaufenden Verfügbarkeit der über die Netze erbrachten Dienste.

=Netzstruktur=
Das Freifunknetz ist ein offenes, sich spontan ausbildendes und selbstheilendes Maschennetzwerk. Die Grundbausteine ("Knoten") des Freifunk-Netzes sind die Freifunk-Router. Der Begriff Maschennetzwerk
bedeutet, dass die einzelnen Knoten mit einem oder mehreren Knoten auf nicht hierarschische Weise verbunden sind.

Die Freifunk-Router sinde handelsübliche WLAN-Router, ausgestattet mit einer speziellen Software ("Firmware"). Die spezielle Firmware gestattet es den Freifunk-Routern spontan Verbindung mit anderen Freifunk-Routern in Reichweite aufzunehmen. Hierbei kommt der offizielle, zugelassene WLAN-Standard 802.11n zum Einsatz. Gleichzeitig agieren die Router als WLAN-Zugangspunkt und ermöglichen damit Klienten (z.B. Smartphones) den direkten Zugang zum Freifunknetz.

Damit die Daten in dieser chaotischen Struktur ihren Weg finden, kommt ein spezielles Routing-Protokoll zum Einsatz. Im Fall des FF3L handelt es sich um das Protokoll [http://www.open-mesh.org/projects/batman-adv/wiki B.A.T.M.A.N. Advanced]. Dieses arbeitet auf der Netzzugangsschicht (Layer 2 nach dem OSI-Netzwerkschichtmodell). Das Freifunk-Netz verhält sich damit effektiv so, als wären alle Knoten über einen einzigen Netzwerk-Switch miteinander verbunden.

Neben der direkten Verbindung von Freifunk-Routern via WLAN gibt es die Option, isolierte Funkwolken über Tunnelverbindungen zu zentralen Servern ("Bündel-Servern") miteinander zu verbinden. Die Tunnelverbindungen laufen über das Internet und sind verschlüsselt (d.h. der Inhalt ist für Dritte nicht einsehbar). Der Internetanschluss wird hierbei auf freiwilliger Basis von den Knotenbetreibern zur Vefügung gestellt.

Weiterhin bietet das Freifunknetz über zentrale Gateways eine Verbindung ins Internet ("Internet Gateways") sowie den Verbund aller Freifunk-Netze ("IC-VPN Gateways"). Der Verein Freifunk Dreiländreck e.V. agiert damit als Zugangsanbieter ("Access Provider"). Die indirekte Weiterleitung ins Internet schützt die Knotenbetreiber vor ewaigen Haftungsansprüchen ("Störherhaftung") im Fall eines Missbrauchs durch Dritte.

Zusätzlich können Applikations-Server in das Freifunk-Netz integriert werden. Diese agieren als reguläre Netzwerkknoten und sind den Freifunk-Routern gleichgestellt.

[[Datei:Netzstrukturplan.png]]

=Sicherheitsteilsysteme=
In den folgenden Abschnitten werden die sicherheitskritischen Teilsysteme des Freifunk-Netzes definiert und diskutiert. Konkret werden als Teilsysteme die Freifunk-Router und Freifunk-Server im allgmeienen sowie Bündel-Server, Internet und IC-VPN Gateways im speziellen behandelt. Jeder Abschnitt besteht aus einer einleitenden Beschreibung inkl. der Aufgaben des jeweiligen Teilsystems, einer Auflistung von Schutzzielen und Gefährdungen, abgeleiteten Sicherheitsanforderungen, bereits umgesetzten sowie zukünftigen, geplanten Sicherheitsmaßnahmen. Zuletzt erfolgt eine abschließende Beurteilung des Gesamtsystems.

==Freifunk-Router==
Freifunk-WLAN-Router bilden die Grundelemente des Freifunk-Netzes. Sie werden auch als Netzwerkknoten bezeichnet. Bei Freifunk-Routern handelt sich um handelsübliche WLAN-Router, welche durch das Einspielen eines speziellen Betriebssystems ("Freifunk-Firmware") modifiziert werden. Freifunk-Router erfüllen die folgenden Aufgaben:
* Spontane Bildung des Freifunk-Maschennetzwerks via WLAN mit allen in Reichweite befindlichen Freifunk-Routern (lokale Funkwolke).
* Optional die Errichtung von Tunnelverbindungen zu Bündel-Servern über das Internet für den Datenaustausch mit entfernten Funkwolken.
* Austausch von Routen-Informationen, um die zielgerichtete Zustellung von Daten zu ermöglichen.
* Zugangspunkt zum Freifunk-Netzwerk für WLAN-Klienten (z.B. Smartphones, Tablets, Notebooks).
* Optional die Anbindung von Servern und/oder lokalen Klienten mittels einer direkten Kabelverbindung.

===Schutzziele und Gefährdungen===
# Freifunk-Router sind vor dem Zugriff unbefugter Dritter geschützt.
# Freifunk-Router ermöglichen Dritten den Zugang zum Freifunk-Netz, nicht jedoch den Zugang zum privaten Netz des Router-Betreibers.
# Fehler und Sicherheitslücken in der Freifunk-Firmware werden behoben.
# Übertragene Daten sind vor dem Zugriff Dritter geschützt.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.

===Abgeleitete Sicherheitsanforderungen===
# Freifunk-Router sind vor dem Zugriff unbefugter Dritter geschützt.
#* Die Einstellungen des Freifunk-Routers lassen sich lediglich in einem gesonderten Konfigurationsmodus verändern.
#* In der Standardkonfiguration des Freifunk-Routers ist kein Zugang auf der Ebene des Betriebssystems ("Shell Login") möglich.
#* Optional kann durch den Router-Betreiber ein verschlüsselter Zugang (z.B. via SSH) aktiviert werden, um die Wartung aus der Ferne zu ermöglichen.
# Freifunk-Router ermöglichen Dritten den Zugang zum Freifunk-Netz, nicht jedoch den Zugang zum privaten Netz des Router-Betreibers.
#* Eine Firewall auf dem Freifunk-Router (Layer 2 und/oder Layer 3) verhindert den Zugriff auf das private Netz des Betreibers.
#* Ausgenommen ist der Aufbau einer Tunnelverbindung zu den Bündelservern, sofern der Betreiber dies in der Konfiguration ausdrücklich gestattet ("opt in").
# Fehler und Sicherheitslücken in der Freifunk-Firmware werden behoben.
#* Die Firmware der Freifunk-Router wird in angemessenen Intervallen automatisch über das Freifunk-Netzt aktualisiert ("Autoupdater").
#* Die Authentizität der Firmware wird durch ein elektronisches Signaturverfahren sichergestellt.
#* Neue Firmware-Versionen werden vor dem Ausrollen gem. eines festgelegten Schemas getestet.
# Übertragene Daten sind vor dem Zugriff Dritter geschützt.
#* Die Datenübertragung zu den Bündel-Servern erfolgt mittels verschlüsselter Tunnelverbindungen (End-zu-Endverschlüsselung) unter Verwendung von nach heutigem Wissenssand sicherer Verfahren.
#* Die Authentizität der Endpunkte wird zum Schutz vor Mann-in-der-Mitte-Angriffen mittels eines asymmetrischen Schlüsselverfahrens sichergestellt.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.
#* Der Ausfall einzelner Freifunk-Router führt nicht zur Störung des restlichen Netzes.
#* Das Routing des Freifunk-Netzes ist "selbstheilend". Durch Ausfall bedingte Unterbrechungenwerden automatisch behoben.
#* Die Funktionstüchtigkeit der Router wird überwacht und der fehlerhafte Betrieb detektiert.

===Umgesetzte Sichgerheitsmaßnahmen===
# Freifunk-Router sind vor dem Zugriff unbefugter Dritter geschützt.
#* Die verwendete Gluon-Firmware unterstützt einen separaten Konfigurationsmodus. Dieser ist nach dem Aufspielen der Firmware aktiviert. Er kann zu einem späteren Zeitpunkt durch längeres Drücken der Reset-Taste am Router erneut aktiviert werden. Die Konfiguration wird über eine Web-Oberfläche unter der Adresse http://192.168.0.1 vorgenommen. Nach Abschluss der Konfiguration wechselt der Router in den Betriebsmodus. Eine Änderung der Konfiguration über die Web-Obewrfläche ist in der Folge nicht mehr möglich.
#* In der Standardkonfiguration der Gluon-Firmware ist der Shell Login auf den Router deaktiviert. Er muss explizit im Konfigurationsmodus aktiviert werden, indem ein Passwort oder Schlüssel für den Zugang via SSH gesetzt wird.
# Freifunk-Router ermöglichen Dritten den Zugang zum Freifunk-Netz, nicht jedoch den Zugang zum privaten Netz des Router-Betreibers.
#* Das Freifunk-Netz und das private Netz des Router-Betreibers werden in der Gluon-Netzwerkkonfiguration strikt getrennt. Die Zugänge zu den beiden Netzen sind in Form separater Brücken zusammengefasst (''br-client'' und ''br-wan'').
#* Die verwendete Gluon-Firmware konfiguriert Firewall-Regeln (bereitgestellt durch das Paket ''gluon-ebtables''), welche auf der Netzzugangsschicht (Layer 2) den Zugriff auf das private Netz unterbindet.
#* Eine Ausnahme bildet der Aufbau einer optionalen Tunnelverbindung zu den Bündel-Servern durch die VPN-Software ''fastd''. Diese Option muss vom Betreiber im Konfigurationsmodus explizit aktiviert werden ("opt-in").
# Fehler und Sicherheitslücken in der Freifunk-Firmware werden behoben.
#* Der FF3L betreibt einen Aktualisierungs-Dienst, welcher über das Freifunk-Netz erreichbar ist. Mit Hilfe des Aktualisierungsdienstes lassen sich neuere Versionen der Firmware auf den Routern automatisch einspielen. Die Konfiguration der Freifunk-Router bleibt hierbei soweit möglich erhalten.
#* Der Aktualisierungs-Dienst ist in der Standardkonfiguration der Freifunk-Firmware aktiviert (Zweig "stable"). Der Aktualisierungs-Dienst kann im Konfigurationsmodus in den Experteneinstellungen deaktiviert werden ("opt-out").
#* Die Authentitizät der Firmware-Images wird durch ein Signaturverfahren gewährleistet (signiertes Manifest). Neue Images werden von den Freifunk-Routern nur bei vorhandensein einer gültigen Signatur installiert (siehe auch [http://gluon.readthedocs.org/en/v2014.4/index.html Gluon-Dokumentation]).
#* Veröffentlichte Firmware-Images werden in die Zweige "experimental", "beta" und "stable" unterteilt. Neue Firmware-Versionen werden in eben dieser Reihenfolge ausgerollt, um einen ausreichenden Testbetrieb vor der Verbreitung zu gewährleisten.
#* Die Aktuelle Praxis bezüglich der Veröffentlichung von neuen Firmware-Versionen ist im [http://wiki.freifunk-3laendereck.net/Freifunk-Router:Firmware Wiki] des FF3L dokumentiert.
# Übertragene Daten sind vor dem Zugriff Dritter geschützt.
#* Die Datenübertragung zu den Bündel-Servern erfolgt mittels der VPN-Software fastd über das Internet. Die übertragenen Daten sind mittels des Chiffre Salsa20/12 verschlüsselt.
#* Die Authentifizierung erfolgt mittels der asymmetrischen Schlüsselverfahren UMAC oder GMAC. Die öffentlichen Schlüssel müssen einmalig vor dem Aufbau der Verbindung ausgetauscht werden. Dies geschieht im Rahmen der Registrierung des Knotens.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.
#* Der Ausfall einzelner Server führt nicht zu Störungen innerhalb des Netzes, sofern alternative Routen existieren. In diesem Fällen wird das Routing durch das verwendete Routing-Protokoll batman-adv automatisch korrigiert und die Lücke geschlossen
#* Die Freifunk-Firmware stellt auf den Knoten eine Stauts-Seite bereit. Auf dieser kann man sehen, ob der Knoten mit dem Freifunk-Netz und auf welche Weise er mit dem Freifunk-Netz verbunden ist.
#* Der Status aller Knoten wird zusätzlich in Form einer Knotenkarte auf den Servern des FF3L visualisiert. Der Karte lässt sich neben der Lage des Knotes (freiwillige Angabe) entnehmen, ob ein Knoten mit dem Freifunk-Netz verbunden ist und wie er vebunden ist.

===Bekannte Lücken sowie geplante, zukünftige Sicherheitsmaßnahmen===
# Freifunk-Router sind vor dem Zugriff unbefugter Dritter geschützt.
#* Freifunk-Router werden prinzipiell nicht vom FF3L betrieben. Für den Schutz vor physikalischem Zugriff und ggf. damit einhergehender Manipulation ist der Knoten-Betreiber verantwortlich.
# Freifunk-Router ermöglichen Dritten den Zugang zum Freifunk-Netz, nicht jedoch den Zugang zum privaten Netz des Router-Betreibers.
#* Die an bestimmten Freifunk-Routern verfügbaren LAN-Ports ermöglichen eine direkte Verbindung von Endgeräten (z.B. Servern) mit dem Freifunk-Netz. LAN-Ports sind von den WAN-Ports zu unterscheiden, über welche die Freifunk-Router mit dem Internet verbunden werden.
#* Im Fall einer Verwechslung der Ports, kann das private Netze des Freifunk-Betreibers in das Freifunk-Netz überbrückt werden.
#* Um Knotenbetreiber im Fall einer Verwechselung zu schützen, sollen die LAN-Ports in der Standardkonfiguration deaktiviert werden. Eine Aktivierung erfolgt über den Konfigurationsmodus des Routers.
# Fehler und Sicherheitslücken in der Freifunk-Firmware werden behoben.
#* Der Aktualisierungs-Dienst für die Freifunk-Firmware ist in der Standardkonfiguration aktiviert. Die entsprechende Einstellung verbirgt sich jedoch unter den Experteneinstellungen im Konfigurationsmodus.
#* Um Knotenbetreiber auf diesen Umstand aufmerksam zu machen, ist eine Verlegung der Einstellungen in den allgemeinen Teil des Konfigurationsmnodus geplant.
# Übertragene Daten sind vor dem Zugriff Dritter geschützt.
#* Die Datenübertragung zwischen den Freifunk-Routern erfolgt auf Grund der eingesetzen Technologie unverschlüsselt. Sie ist damit durch Dritte vor Ort abhörbar.
#* Umfassende Sicherheit lässt sich allein durch End-zu-End-Verschlüsselung gewährleisten. Die Anwendung dieser erfolgt auf den Endgeräten und liegt damit in der Verantwortung der Freifunk-Nutzer und nicht des FF3L.
#* Um eine sichere Übetragung von den Klienten zu den Bündel-Servern zu gewährleisten, soll optional ein VPN-Zugang für Klienten angeboten werden (z.B. [http://www.openvpn.net OpenVPN]).
#* Um eine sichere Übertragung von Endpunkt zu Endpunkt innerhalb des Freifunk-Netzes anzubieten, ist die Einrichtung eines verschlüsselten Overlay-Netzes angedacht (z.B. [http://cjdns.info/ cjDNS]).
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet
#* Keine geplanten Maßnahmen.

==Server==
Im Folgenden Abschnitt sind die allgemeinen Schutzziele und Gefährdungen für Freifunk-Server zusammengefasst. Freifunk-Server werden in der Regel - jedoch nicht ausschließlich - bei Host Providern angemietet (physikalische und virtualisierte Root Server). Die Einrichtung, der Betrieb und die Wartung erfolgt durch den FF3L. Der Begriff "Freifunk-Server" umfasst hierbei die weiter unten aufgeführten Bündel-Server, Internet sowie IC-VPN Gateways. Diese werden entsprechend ihrer Aufgaben noch einmal separat abgehandelt. In der Praxis werde die verschiedenen Server meist zusammengefasst. Ausgeschlossen sind Server, welche von Freifunkern als Privatpersonen innerhalb des Freifunknetzes betrieben werden.

===Schutzziele und Gefährdungen===
# Server sind vor dem Zugriff unbefugter Dritter geschützt.
# Fehler und Sicherheitslücken in der verwendeten Software werden behoben.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.

===Abgeleitete Sicherheitsanforderungen===
# Server sind vor dem Zugriff unbefugter Dritter geschützt.
#* Der Zugriff auf die Server (physikalisch und über das Internet) ist auf einen engen, definierten Personenkreis beschränkt.
#* Zugriffsrechte werden nach Bedarf und maßgeschneidert erteilt.
#* Der Zugang aus dem Netz erfolgt exklusiv über verschlüsselte Verbindungen (z.B. SSH).
#* Eine Firewall beschränkt Zugriffe aus dem Netz auf das notwendige Minimum.
#* Spezielle Sicherheitssoftware zur Erkennung von Eindringlingen wird verwendet.
# Fehler und Sicherheitslücken in der verwendeten Software werden behoben.
#* Server werden auf der Grundlage eines gepflegten, quelloffenen Betriebssystems errichtet.
#* Verwendete Software wird in adequaten Intervallen aktualisiert.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.
#* Die Funktionstüchtigkeit der Server wird überwacht und der fehlerhafte Betrieb detektiert.
#* Server sind vor DoS-Attacken aus dem Internet geschützt.

===Umgesetzte Sicherheitsmaßnahmen===
# Server sind vor dem Zugriff unbefugter Dritter geschützt.
#* Der Zugriff auf die Server des FF3L ist auf Mitglieder des Administratoren-Teams begrenzt. Das Aministratoren-Team wird durch den Vorstand des Vereins benannt.
#* Der Shell-Login ist ausschließlich über SSH möglich. Die Authentifizierung erfolgt mittels eines Passworts (LDAP) oder eines hinterlegten Schlüssels.
#* Server werden durch Firewall-Regeln auf der Basis von ''iptables'' geschützt. Die Standardvorgabe ist, dass eingehende und weiterzuleitende Pakete verworfen werden. Die Freigabe von Ports bzw. der Weiterleitung erfolgt mittels spezifischer Regeln wo erwünscht.
# Fehler und Sicherheitslücken in der verwendeten Software werden behoben.
#* Die Freifunk-Server werden auf Basis der Debian Linux-Distribution betrieben. Sofern möglich, wird die jeweils letzte stabile Version verwendet.
#* Es werden in angemessenen Intervallen empfohlene Sicherheitsaktualisierungen mittels der offiziellen Paketverwaltung eingespielt.
#* Das Administratoren-Team verfolgt sicherheitsrelevante Ankündigungen über die Mailing-Liste debian-security-announce@lists.debian.org.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.
#* Kritische Server und Dienste werden über ein zentrales Monitoring auf der Basis von Nagios(-Derivaten) überwacht. Das Monitoring ist redundant aufgesetzt. Der aktuelle Zustand aller Server und Diense ist über eine Web-Oberfläche einsehbar. Optional erfolgt eine Mitteilung per e-Mail im Fall von Statusänderungen.
#* Die Server des FF3L werden von Host Providern angemietet. Diese bieten üblicherweise einen gewissen Schutz vor DoS-Angriffen in der Form adaptiver Firewalls.

===Bekannte Lücken sowie geplante, zukünftige Sicherheitsmaßnahmen===
# Server sind vor dem Zugriff unbefugter Dritter geschützt.
#* Die Erteilung von Zugriffsrechten erfolgt derzeit weitestgehend monolithisch, soll in Zukunft jedoch granular und nach Bedarf erfolgen. Erteilte Rechte sollen an geeigneter Stelle transparent dokumentiert und veröffentlicht werden.
#* Bzgl. der verwendbaren Passwörter gibt es aktuell keine Vorgaben. In der Zukunft soll eine Überprüfung der Passwortstärke sowie Vorgabe einer minimalen Entropie implementiert werden.
#* Die Authentizfizierung im Rahmen des Shell-Login via SSH ist aktuell mittels eines Passworts möglich. Die Authentifizierung soll auf asymmetrische Schlüsselverfahren beschränkt werden, um die Folgen von Man-in-der-Mitte-Angriffen zu mildern.
#* Sicherheitssoftware zur Erkennung von Eindringlingen wird aktuell nur auf einem Teil der Freifunk-Server verwendet. Die Erstellung und Umsetzung eines flächendeckenden Konzepts steht nachwievor aus.
# Fehler und Sicherheitslücken in der verwendeten Software werden behoben.
#* Keine geplanten Maßnahmen.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.
#* Keine geplanten Maßnahmen.

==Bündel-Server==
Bündel-Server dienen der Verbindung isolierter Funkwolken innerhalb des Freifunk-Netzes. Vom Prinzip her sind Sie den Freifunk-Routern gleichgestellte Netzwerkknoten, erfüllen jedoch zusätzliche Aufgaben. Bündel-Server unterhalten im Normalfall eine hohe Anzahl an Verbindungen zu Freifunk-Routern. Da ein erheblicher Teil des Datenverkehrs über die Bündel-Server läuft, sind diese als besonders sicherheitskritisch einzustufen. Konkret erfüllen Bündel-Server die folgenden Aufgaben:
* Verbindung entfernter Freifunk-Router mittels Tunnelverbindungen über das Internet.
* Austausch von Routen-Informationen, um die zielgerichtete Zustellung von Daten zu ermöglichen.
* Automatische Netzwerkkonfiguration von Klienten.
* Namensauflösung innerhalb des Freifunk-Netzes.

===Schutzziele und Gefährdungen===
# Übertragene Daten sind vor dem Zugriff Dritter geschützt.
# Die Namensauflösung ist vor Manipulationen durch Dritte geschützt.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.

Zusätzlich gelten die Schutzziele und Gefährdungen für Server im allgemeinen.

===Abgeleitete Sicherheitsanforderungen===
# Übertragene Daten sind vor dem Zugriff Dritter geschützt.
#* Die Datenübertragung zu den Freifunk-Routern erfolgt mittels verschlüsselter Tunnelverbindungen (End-zu-Endverschlüsselung) unter Verwendung von nach heutigem Wissenssand sicherer Verfahren.
#* Die Authentizität der Endpunkte wird zum Schutz vor Mann-in-der-Mitte-Angriffen mittels eines asymmetrischen Schlüsselverfahrens sichergestellt.
# Die Namensauflösung ist vor Manipulationen durch Dritte geschützt.
#* Die Authentizität der Endpunkte wird zum Schutz vor Mann-in-der-Mitte-Angriffen mittels eines asymmetrischen Schlüsselverfahrens sichergestellt.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.
#* Der Ausfall eines Bündel-Servers führt nicht zur Störung des restlichen Netzes.
#* Die Netzstabilität wird durch Redundanz gewährleistet. Die Bündel-Server sind über mehrere Rechenzeitung verteilt.
#* Das Routing des Freifunk-Netzes ist "selbstheilend". Durch Ausfall bedingte Unterbrechungen werden automatisch behoben.
#* Die verfügbare Bandbreite wird gleichmäßig auf alle verbundenen Knoten/Klienten verteilt.

===Umgesetzte Sichgerheitsmaßnahmen===

===Bekannte Lücken sowie geplante, zukünftige Sicherheitsmaßnahmen===

==Internet Gateways==
Internet Gateways stellen die Verbindung zwischen dem Freifunk-Netz und dem Internet her. Sie werden auch als "Exit Nodes" bezeichnet und stellen die Standard-Route innerhalb des Freifunk-Netzes. In der aktuellen Konfiguration ist das Routing auf IPv4 beschränkt. Die lokalen IPv4-Adressen der Klienten werden auf die öffentlichen IPv4-Adressen der Gateways abgebildet. Konkret erfüllen Internet Gateways die folgenden Aufgaben:
* Routing von Verkehr zwischen dem Freifunk-Netz und dem Internet (nur IPv4)
* Adressübersetzung (nur IPv4)
* Namensauflösung für das Internet

===Schutzziele und Gefährdungen===
# Gleichmäßige Verteilung der verfügbaren Bandbreite auf alle Klienten sowie adequate Priorisierung des Verkehrs nach Diensten.
# Unterbindung von Rechtsverletzungen

Zusätzlich gelten die Schutzziele und Gefährdungen für Server im allgemeinen.

===Abgeleitete Sicherheitsanforderungen===
# Gleichmäßige Verteilung der verfügbaren Bandbreite auf alle Klienten sowie adequate Priorisierung des Verkehrs nach Diensten.
#* Verwendung geeigneter Queueing Disciplines.

# Unterbindung von Rechtsverletzungen
#* Unterbindung des Versands von SPAM-Nachrichten.
#* Einschränkung von P2P-Dateiübertragungen auf ein tolerierbares Maß.

===Umgesetzte Sicherheitsmaßnahmen===

===Geplante, zukünftige Sicherheitsmaßnahmen===

==IC-VPN Gateways==
IC-VPN Gateways stellen die Verbindung zwischen dem Freifunk-Netz und anderen Freifunk-Netzen innerhalb des Intercity VPNs (IC-VPN) her. Die Verbindung erfolgt über ein virtuelles Transportnetz. Die zugehörigen Routen werden mittels BGP ausgetauscht. In der aktuellen Konfiguration wird zusätzlich der Verkehr ins Internet via IPv6 zu den "Exit Nodes" anderer Freifunk-Netze geroutet. Konkret erfüllen IC-VPN Gateways die folgenden Aufgaben:
* Peering mit IC-VPN Gateways anderer Freifunk-Netze
* Austausch von Routeninformation via BGP
* Routing von Verkehr zwischen den Freifunk-Netzen
* Namensauflösung für Domänen innerhalb des IC-VPN
* Routing von Internetverkehr (IPv6) zu den Internet Gateways anderer Freifunk-Netze

===Schutzziele und Gefährdungen===
# Übertragene Daten sind vor dem Zugriff Dritter geschützt.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.

Zusätzlich gelten die Schutzziele und Gefährdungen wie für Bündel-Server.

===Abgeleitete Sichgerheitsanforderungen===
# Übertragene Daten sind vor dem Zugriff Dritter geschützt.
#* Die Datenübertragung zu den Bündel-Servern erfolgt mittels verschlüsselter Tunnelverbindungen (End-zu Endverschlüsselung) unter Verwendung von nach heutigem Wissenssand sicherer Verfahren.
#* Die Authentizität der Endpunkte wird zum Schutz vor Mann-in-der-Mitte-Angriffen mittels eines asymmetrischen Schlüsselverfahrens sichergestellt.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.
#* Der Ausfall des IC-VPN-Gateways führt nicht zur Störung des restlichen Netzes.

===Umgesetzte Sicherheitsmaßnahmen===

===Bekannte Lücken sowie geplante, zukünftige Sicherheitsmaßnahmen===

==Bewertung des Gesamtsystems==
Welche Risiken ergeben sich aus dem Zusammnenwirken der Teilsysteme?

==Mitteilungspflichten==

Welche Sicherheitsverletzungen und/oder Störungen würden wir der Bundesnetzagentur mitteilen wollen?

Sicherheitskonzept (intern)

2015-05-17T15:04:23Z

Langweiler: /* IC-VPN Gateways */

{{Tip|Dieses Dokument befindet sich noch in der Entstehung.}}

=Präambel=
Freifunk Dreiländereck ("FF3L") ist ein parteipolitischer, unabhängiger, eingetragener Verein, der sich als Teil der weltweiten Open Wireless-Bewegung versteht, welche in Deutschland durch die Freifunk-Initiative repärsentiert wird.

Zur Umsetzung des Vereinszwecks unterhält der FF3L eine Netzwerkinfrastruktur, welche in Kombination mit den Freifunk-WLAN-Routern das Freifunk-Netz bildet. Weiterhin stellt er eine Firmware für Freifunk-Router zur Verfügung. Er ist bei der Bundesnetzagentur seit dem xx.xx.xxxx. als Telekommunikationsdienstleister (Access Provider) registriert.

Mit dem vorliegenden Sicherheitskonzept werden die folgenden Absichten verfolgt:
* Erfüllung der Verpflichtung zur Erstellung und Umsetzung eines Sicherheitskonzeptes nach § 109 TKG.
* Transparente Dokumentation des Status Quo bezüglich Informationssicherheit als Grundlage für die kontinuierliche Verbesserung.
* Aufzeigen von inherenten Limitierungen, die sich auf Grund der Funktionsweise des Freifunk-Netzes ergeben.
* Darstellung der Pflichten von Freifunk-Nutzern hinsichtlich Gewährleistung ihrer eigene Sicherheit.

=Umfang=
Der Umfang des Sicherheitskonzepts beschränkt sich ausschließlich auf die vom FF3L (also dem Verein, und nicht von Freifunkern als Privatpersonen) betriebene Netzwerkinfrastruktur. Explizit beinhaltet dies die vom FF3L betriebenen Bündel-Server, Internet und IC-VPN Gateways. Aspekte der Freifunk-Router werden insofern abgehandelt, wie sie mit der vom Verein herausgegebenen Freifunk-Firmware in Verbindung stehen. Nicht im Umfang enthalten sind Server und Engeräte, welche von Freifunk-Nutzern betrieben werden.

Der Begriff Freifunk-Netz in diesem Dokument bezieht sich auschließlich auf das Freifunk-Netz im Dreiländereck (CH-DE-FR), dessen Aufbau und Betrieb durch den FF3L gefördert wird. Gleiches gilt für die Begriffe Freifunk-Router, Freifunk-Firmware und Freifunk-Server. Eine Übertragung auf Freifunk-Netze anderer Commnunities ist nicht zulässig.

=Kontinuierliche Verbesserung=
Das vorliegende Sicherheitskonzept ist als lebendes Dokument konzipiert. Es dient als Grundlage für die Arbeit des Sicherheitsbeauftragten. Dieser analysiert und aktualisiert gemeinsam mit dem Administratoren-Team des FF3L sowie allen interessierten Freifunkern in regelmäßigen Abständen die Anforderungen an die vom FF3L betriebenen Teilsysteme, die Zulänglichkeit der umgesetzten Maßnahmen sowie die Planung zukünftiger Maßnahmen zur weiteren Verbesserung der Sicherheit.

=Gesetzlicher Hintergrund=
Auszug aus dem "Katalog von Sicherheitsanforderungen für das Betreiben von Telekommunikations- und Datenverarbeitungssystemen sowie für die Verarbeitung personenbezogener Daten nach § 109 Telekommunikationsgesetz (TKG):

Für das Betreiben öffentlicher Telekkommunikatiosnetze sowie das Erbringen öffentlich zugänglicher Telekommunikationsdiense schreibt § 109 TKG Vorkehrungen und sonstige Maßnahmen

* zum Schutz des Fernmeldegehimnisses,
* gegen die Verletzung des Schutzes personenbezogener Daten,
* gegen Störungen, die zu erheblichen Beeinträchtigungen von Telekommunikationsnetzen und -diensten führen, auch soweit sie durch äußere Angriffe und Einwirkungen von Katastrophen bedingt sein könnten,
als Mindestanforderungen vor.

Ziel und Zweck der zu treffenden Maßnahmen sind insbesondere

* die Sicherheit vor unerlaubtem Zugriffen auf Telekommunikations- und Datenverarbeitungssysteme
* die Reduzierung / Minimierung der Auswirkungen von Sicherheitsverletzungen auf Nutzer oder auf zusammengeschaltete Netze
* die Gewährleistung eines ordnungsgemäßen Betriebes der Netze und dadurch die Sicherstellung der fortlaufenden Verfügbarkeit der über die Netze erbrachten Dienste.

=Netzstruktur=
Das Freifunknetz ist ein offenes, sich spontan ausbildendes und selbstheilendes Maschennetzwerk. Die Grundbausteine ("Knoten") des Freifunk-Netzes sind die Freifunk-Router. Der Begriff Maschennetzwerk
bedeutet, dass die einzelnen Knoten mit einem oder mehreren Knoten auf nicht hierarschische Weise verbunden sind.

Die Freifunk-Router sinde handelsübliche WLAN-Router, ausgestattet mit einer speziellen Software ("Firmware"). Die spezielle Firmware gestattet es den Freifunk-Routern spontan Verbindung mit anderen Freifunk-Routern in Reichweite aufzunehmen. Hierbei kommt der offizielle, zugelassene WLAN-Standard 802.11n zum Einsatz. Gleichzeitig agieren die Router als WLAN-Zugangspunkt und ermöglichen damit Klienten (z.B. Smartphones) den direkten Zugang zum Freifunknetz.

Damit die Daten in dieser chaotischen Struktur ihren Weg finden, kommt ein spezielles Routing-Protokoll zum Einsatz. Im Fall des FF3L handelt es sich um das Protokoll [http://www.open-mesh.org/projects/batman-adv/wiki B.A.T.M.A.N. Advanced]. Dieses arbeitet auf der Netzzugangsschicht (Layer 2 nach dem OSI-Netzwerkschichtmodell). Das Freifunk-Netz verhält sich damit effektiv so, als wären alle Knoten über einen einzigen Netzwerk-Switch miteinander verbunden.

Neben der direkten Verbindung von Freifunk-Routern via WLAN gibt es die Option, isolierte Funkwolken über Tunnelverbindungen zu zentralen Servern ("Bündel-Servern") miteinander zu verbinden. Die Tunnelverbindungen laufen über das Internet und sind verschlüsselt (d.h. der Inhalt ist für Dritte nicht einsehbar). Der Internetanschluss wird hierbei auf freiwilliger Basis von den Knotenbetreibern zur Vefügung gestellt.

Weiterhin bietet das Freifunknetz über zentrale Gateways eine Verbindung ins Internet ("Internet Gateways") sowie den Verbund aller Freifunk-Netze ("IC-VPN Gateways"). Der Verein Freifunk Dreiländreck e.V. agiert damit als Zugangsanbieter ("Access Provider"). Die indirekte Weiterleitung ins Internet schützt die Knotenbetreiber vor ewaigen Haftungsansprüchen ("Störherhaftung") im Fall eines Missbrauchs durch Dritte.

Zusätzlich können Applikations-Server in das Freifunk-Netz integriert werden. Diese agieren als reguläre Netzwerkknoten und sind den Freifunk-Routern gleichgestellt.

[[Datei:Netzstrukturplan.png]]

=Sicherheitsteilsysteme=
In den folgenden Abschnitten werden die sicherheitskritischen Teilsysteme des Freifunk-Netzes definiert und diskutiert. Konkret werden als Teilsysteme die Freifunk-Router und Freifunk-Server im allgmeienen sowie Bündel-Server, Internet und IC-VPN Gateways im speziellen behandelt. Jeder Abschnitt besteht aus einer einleitenden Beschreibung inkl. der Aufgaben des jeweiligen Teilsystems, einer Auflistung von Schutzzielen und Gefährdungen, abgeleiteten Sicherheitsanforderungen, bereits umgesetzten sowie zukünftigen, geplanten Sicherheitsmaßnahmen. Zuletzt erfolgt eine abschließende Beurteilung des Gesamtsystems.

==Freifunk-Router==
Freifunk-WLAN-Router bilden die Grundelemente des Freifunk-Netzes. Sie werden auch als Netzwerkknoten bezeichnet. Bei Freifunk-Routern handelt sich um handelsübliche WLAN-Router, welche durch das Einspielen eines speziellen Betriebssystems ("Freifunk-Firmware") modifiziert werden. Freifunk-Router erfüllen die folgenden Aufgaben:
* Spontane Bildung des Freifunk-Maschennetzwerks via WLAN mit allen in Reichweite befindlichen Freifunk-Routern (lokale Funkwolke).
* Optional die Errichtung von Tunnelverbindungen zu Bündel-Servern über das Internet für den Datenaustausch mit entfernten Funkwolken.
* Austausch von Routen-Informationen, um die zielgerichtete Zustellung von Daten zu ermöglichen.
* Zugangspunkt zum Freifunk-Netzwerk für WLAN-Klienten (z.B. Smartphones, Tablets, Notebooks).
* Optional die Anbindung von Servern und/oder lokalen Klienten mittels einer direkten Kabelverbindung.

===Schutzziele und Gefährdungen===
# Freifunk-Router sind vor dem Zugriff unbefugter Dritter geschützt.
# Freifunk-Router ermöglichen Dritten den Zugang zum Freifunk-Netz, nicht jedoch den Zugang zum privaten Netz des Router-Betreibers.
# Fehler und Sicherheitslücken in der Freifunk-Firmware werden behoben.
# Übertragene Daten sind vor dem Zugriff Dritter geschützt.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.

===Abgeleitete Sicherheitsanforderungen===
# Freifunk-Router sind vor dem Zugriff unbefugter Dritter geschützt.
#* Die Einstellungen des Freifunk-Routers lassen sich lediglich in einem gesonderten Konfigurationsmodus verändern.
#* In der Standardkonfiguration des Freifunk-Routers ist kein Zugang auf der Ebene des Betriebssystems ("Shell Login") möglich.
#* Optional kann durch den Router-Betreiber ein verschlüsselter Zugang (z.B. via SSH) aktiviert werden, um die Wartung aus der Ferne zu ermöglichen.
# Freifunk-Router ermöglichen Dritten den Zugang zum Freifunk-Netz, nicht jedoch den Zugang zum privaten Netz des Router-Betreibers.
#* Eine Firewall auf dem Freifunk-Router (Layer 2 und/oder Layer 3) verhindert den Zugriff auf das private Netz des Betreibers.
#* Ausgenommen ist der Aufbau einer Tunnelverbindung zu den Bündelservern, sofern der Betreiber dies in der Konfiguration ausdrücklich gestattet ("opt in").
# Fehler und Sicherheitslücken in der Freifunk-Firmware werden behoben.
#* Die Firmware der Freifunk-Router wird in angemessenen Intervallen automatisch über das Freifunk-Netzt aktualisiert ("Autoupdater").
#* Die Authentizität der Firmware wird durch ein elektronisches Signaturverfahren sichergestellt.
#* Neue Firmware-Versionen werden vor dem Ausrollen gem. eines festgelegten Schemas getestet.
# Übertragene Daten sind vor dem Zugriff Dritter geschützt.
#* Die Datenübertragung zu den Bündel-Servern erfolgt mittels verschlüsselter Tunnelverbindungen (End-zu-Endverschlüsselung) unter Verwendung von nach heutigem Wissenssand sicherer Verfahren.
#* Die Authentizität der Endpunkte wird zum Schutz vor Mann-in-der-Mitte-Angriffen mittels eines asymmetrischen Schlüsselverfahrens sichergestellt.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.
#* Der Ausfall einzelner Freifunk-Router führt nicht zur Störung des restlichen Netzes.
#* Das Routing des Freifunk-Netzes ist "selbstheilend". Durch Ausfall bedingte Unterbrechungenwerden automatisch behoben.
#* Die Funktionstüchtigkeit der Router wird überwacht und der fehlerhafte Betrieb detektiert.

===Umgesetzte Sichgerheitsmaßnahmen===
# Freifunk-Router sind vor dem Zugriff unbefugter Dritter geschützt.
#* Die verwendete Gluon-Firmware unterstützt einen separaten Konfigurationsmodus. Dieser ist nach dem Aufspielen der Firmware aktiviert. Er kann zu einem späteren Zeitpunkt durch längeres Drücken der Reset-Taste am Router erneut aktiviert werden. Die Konfiguration wird über eine Web-Oberfläche unter der Adresse http://192.168.0.1 vorgenommen. Nach Abschluss der Konfiguration wechselt der Router in den Betriebsmodus. Eine Änderung der Konfiguration über die Web-Obewrfläche ist in der Folge nicht mehr möglich.
#* In der Standardkonfiguration der Gluon-Firmware ist der Shell Login auf den Router deaktiviert. Er muss explizit im Konfigurationsmodus aktiviert werden, indem ein Passwort oder Schlüssel für den Zugang via SSH gesetzt wird.
# Freifunk-Router ermöglichen Dritten den Zugang zum Freifunk-Netz, nicht jedoch den Zugang zum privaten Netz des Router-Betreibers.
#* Das Freifunk-Netz und das private Netz des Router-Betreibers werden in der Gluon-Netzwerkkonfiguration strikt getrennt. Die Zugänge zu den beiden Netzen sind in Form separater Brücken zusammengefasst (''br-client'' und ''br-wan'').
#* Die verwendete Gluon-Firmware konfiguriert Firewall-Regeln (bereitgestellt durch das Paket ''gluon-ebtables''), welche auf der Netzzugangsschicht (Layer 2) den Zugriff auf das private Netz unterbindet.
#* Eine Ausnahme bildet der Aufbau einer optionalen Tunnelverbindung zu den Bündel-Servern durch die VPN-Software ''fastd''. Diese Option muss vom Betreiber im Konfigurationsmodus explizit aktiviert werden ("opt-in").
# Fehler und Sicherheitslücken in der Freifunk-Firmware werden behoben.
#* Der FF3L betreibt einen Aktualisierungs-Dienst, welcher über das Freifunk-Netz erreichbar ist. Mit Hilfe des Aktualisierungsdienstes lassen sich neuere Versionen der Firmware auf den Routern automatisch einspielen. Die Konfiguration der Freifunk-Router bleibt hierbei soweit möglich erhalten.
#* Der Aktualisierungs-Dienst ist in der Standardkonfiguration der Freifunk-Firmware aktiviert (Zweig "stable"). Der Aktualisierungs-Dienst kann im Konfigurationsmodus in den Experteneinstellungen deaktiviert werden ("opt-out").
#* Die Authentitizät der Firmware-Images wird durch ein Signaturverfahren gewährleistet (signiertes Manifest). Neue Images werden von den Freifunk-Routern nur bei vorhandensein einer gültigen Signatur installiert (siehe auch [http://gluon.readthedocs.org/en/v2014.4/index.html Gluon-Dokumentation]).
#* Veröffentlichte Firmware-Images werden in die Zweige "experimental", "beta" und "stable" unterteilt. Neue Firmware-Versionen werden in eben dieser Reihenfolge ausgerollt, um einen ausreichenden Testbetrieb vor der Verbreitung zu gewährleisten.
#* Die Aktuelle Praxis bezüglich der Veröffentlichung von neuen Firmware-Versionen ist im [http://wiki.freifunk-3laendereck.net/Freifunk-Router:Firmware Wiki] des FF3L dokumentiert.
# Übertragene Daten sind vor dem Zugriff Dritter geschützt.
#* Die Datenübertragung zu den Bündel-Servern erfolgt mittels der VPN-Software fastd über das Internet. Die übertragenen Daten sind mittels des Chiffre Salsa20/12 verschlüsselt.
#* Die Authentifizierung erfolgt mittels der asymmetrischen Schlüsselverfahren UMAC oder GMAC. Die öffentlichen Schlüssel müssen einmalig vor dem Aufbau der Verbindung ausgetauscht werden. Dies geschieht im Rahmen der Registrierung des Knotens.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.
#* Der Ausfall einzelner Server führt nicht zu Störungen innerhalb des Netzes, sofern alternative Routen existieren. In diesem Fällen wird das Routing durch das verwendete Routing-Protokoll batman-adv automatisch korrigiert und die Lücke geschlossen
#* Die Freifunk-Firmware stellt auf den Knoten eine Stauts-Seite bereit. Auf dieser kann man sehen, ob der Knoten mit dem Freifunk-Netz und auf welche Weise er mit dem Freifunk-Netz verbunden ist.
#* Der Status aller Knoten wird zusätzlich in Form einer Knotenkarte auf den Servern des FF3L visualisiert. Der Karte lässt sich neben der Lage des Knotes (freiwillige Angabe) entnehmen, ob ein Knoten mit dem Freifunk-Netz verbunden ist und wie er vebunden ist.

===Bekannte Lücken sowie geplante, zukünftige Sicherheitsmaßnahmen===
# Freifunk-Router sind vor dem Zugriff unbefugter Dritter geschützt.
#* Freifunk-Router werden prinzipiell nicht vom FF3L betrieben. Für den Schutz vor physikalischem Zugriff und ggf. damit einhergehender Manipulation ist der Knoten-Betreiber verantwortlich.
# Freifunk-Router ermöglichen Dritten den Zugang zum Freifunk-Netz, nicht jedoch den Zugang zum privaten Netz des Router-Betreibers.
#* Die an bestimmten Freifunk-Routern verfügbaren LAN-Ports ermöglichen eine direkte Verbindung von Endgeräten (z.B. Servern) mit dem Freifunk-Netz. LAN-Ports sind von den WAN-Ports zu unterscheiden, über welche die Freifunk-Router mit dem Internet verbunden werden.
#* Im Fall einer Verwechslung der Ports, kann das private Netze des Freifunk-Betreibers in das Freifunk-Netz überbrückt werden.
#* Um Knotenbetreiber im Fall einer Verwechselung zu schützen, sollen die LAN-Ports in der Standardkonfiguration deaktiviert werden. Eine Aktivierung erfolgt über den Konfigurationsmodus des Routers.
# Fehler und Sicherheitslücken in der Freifunk-Firmware werden behoben.
#* Der Aktualisierungs-Dienst für die Freifunk-Firmware ist in der Standardkonfiguration aktiviert. Die entsprechende Einstellung verbirgt sich jedoch unter den Experteneinstellungen im Konfigurationsmodus.
#* Um Knotenbetreiber auf diesen Umstand aufmerksam zu machen, ist eine Verlegung der Einstellungen in den allgemeinen Teil des Konfigurationsmnodus geplant.
# Übertragene Daten sind vor dem Zugriff Dritter geschützt.
#* Die Datenübertragung zwischen den Freifunk-Routern erfolgt auf Grund der eingesetzen Technologie unverschlüsselt. Sie ist damit durch Dritte vor Ort abhörbar.
#* Umfassende Sicherheit lässt sich allein durch End-zu-End-Verschlüsselung gewährleisten. Die Anwendung dieser erfolgt auf den Endgeräten und liegt damit in der Verantwortung der Freifunk-Nutzer und nicht des FF3L.
#* Um eine sichere Übetragung von den Klienten zu den Bündel-Servern zu gewährleisten, soll optional ein VPN-Zugang für Klienten angeboten werden (z.B. [http://www.openvpn.net OpenVPN]).
#* Um eine sichere Übertragung von Endpunkt zu Endpunkt innerhalb des Freifunk-Netzes anzubieten, ist die Einrichtung eines verschlüsselten Overlay-Netzes angedacht (z.B. [http://cjdns.info/ cjDNS]).
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet
#* Keine geplanten Maßnahmen.

==Server==
Im Folgenden Abschnitt sind die allgemeinen Schutzziele und Gefährdungen für Freifunk-Server zusammengefasst. Freifunk-Server werden in der Regel - jedoch nicht ausschließlich - bei Host Providern angemietet (physikalische und virtualisierte Root Server). Die Einrichtung, der Betrieb und die Wartung erfolgt durch den FF3L. Der Begriff "Freifunk-Server" umfasst hierbei die weiter unten aufgeführten Bündel-Server, Internet sowie IC-VPN Gateways. Diese werden entsprechend ihrer Aufgaben noch einmal separat abgehandelt. In der Praxis werde die verschiedenen Server meist zusammengefasst. Ausgeschlossen sind Server, welche von Freifunkern als Privatpersonen innerhalb des Freifunknetzes betrieben werden.

===Schutzziele und Gefährdungen===
# Server sind vor dem Zugriff unbefugter Dritter geschützt.
# Fehler und Sicherheitslücken in der verwendeten Software werden behoben.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.

===Abgeleitete Sicherheitsanforderungen===
# Server sind vor dem Zugriff unbefugter Dritter geschützt.
#* Der Zugriff auf die Server (physikalisch und über das Internet) ist auf einen engen, definierten Personenkreis beschränkt.
#* Zugriffsrechte werden nach Bedarf und maßgeschneidert erteilt.
#* Der Zugang aus dem Netz erfolgt exklusiv über verschlüsselte Verbindungen (z.B. SSH).
#* Eine Firewall beschränkt Zugriffe aus dem Netz auf das notwendige Minimum.
#* Spezielle Sicherheitssoftware zur Erkennung von Eindringlingen wird verwendet.
# Fehler und Sicherheitslücken in der verwendeten Software werden behoben.
#* Server werden auf der Grundlage eines gepflegten, quelloffenen Betriebssystems errichtet.
#* Verwendete Software wird in adequaten Intervallen aktualisiert.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.
#* Die Funktionstüchtigkeit der Server wird überwacht und der fehlerhafte Betrieb detektiert.
#* Server sind vor DoS-Attacken aus dem Internet geschützt.

===Umgesetzte Sicherheitsmaßnahmen===
# Server sind vor dem Zugriff unbefugter Dritter geschützt.
#* Der Zugriff auf die Server des FF3L ist auf Mitglieder des Administratoren-Teams begrenzt. Das Aministratoren-Team wird durch den Vorstand des Vereins benannt.
#* Der Shell-Login ist ausschließlich über SSH möglich. Die Authentifizierung erfolgt mittels eines Passworts (LDAP) oder eines hinterlegten Schlüssels.
#* Server werden durch Firewall-Regeln auf der Basis von ''iptables'' geschützt. Die Standardvorgabe ist, dass eingehende und weiterzuleitende Pakete verworfen werden. Die Freigabe von Ports bzw. der Weiterleitung erfolgt mittels spezifischer Regeln wo erwünscht.
# Fehler und Sicherheitslücken in der verwendeten Software werden behoben.
#* Die Freifunk-Server werden auf Basis der Debian Linux-Distribution betrieben. Sofern möglich, wird die jeweils letzte stabile Version verwendet.
#* Es werden in angemessenen Intervallen empfohlene Sicherheitsaktualisierungen mittels der offiziellen Paketverwaltung eingespielt.
#* Das Administratoren-Team verfolgt sicherheitsrelevante Ankündigungen über die Mailing-Liste debian-security-announce@lists.debian.org.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.
#* Kritische Server und Dienste werden über ein zentrales Monitoring auf der Basis von Nagios(-Derivaten) überwacht. Das Monitoring ist redundant aufgesetzt. Der aktuelle Zustand aller Server und Diense ist über eine Web-Oberfläche einsehbar. Optional erfolgt eine Mitteilung per e-Mail im Fall von Statusänderungen.
#* Die Server des FF3L werden von Host Providern angemietet. Diese bieten üblicherweise einen gewissen Schutz vor DoS-Angriffen in der Form adaptiver Firewalls.

===Bekannte Lücken sowie geplante, zukünftige Sicherheitsmaßnahmen===
# Server sind vor dem Zugriff unbefugter Dritter geschützt.
#* Die Erteilung von Zugriffsrechten erfolgt derzeit weitestgehend monolithisch, soll in Zukunft jedoch granular und nach Bedarf erfolgen. Erteilte Rechte sollen an geeigneter Stelle transparent dokumentiert und veröffentlicht werden.
#* Bzgl. der verwendbaren Passwörter gibt es aktuell keine Vorgaben. In der Zukunft soll eine Überprüfung der Passwortstärke sowie Vorgabe einer minimalen Entropie implementiert werden.
#* Die Authentizfizierung im Rahmen des Shell-Login via SSH ist aktuell mittels eines Passworts möglich. Die Authentifizierung soll auf asymmetrische Schlüsselverfahren beschränkt werden, um die Folgen von Man-in-der-Mitte-Angriffen zu mildern.
#* Sicherheitssoftware zur Erkennung von Eindringlingen wird aktuell nur auf einem Teil der Freifunk-Server verwendet. Die Erstellung und Umsetzung eines flächendeckenden Konzepts steht nachwievor aus.
# Fehler und Sicherheitslücken in der verwendeten Software werden behoben.
#* Keine geplanten Maßnahmen.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.
#* Keine geplanten Maßnahmen.

==Bündel-Server==
Bündel-Server dienen der Verbindung isolierter Funkwolken innerhalb des Freifunk-Netzes. Vom Prinzip her sind Sie den Freifunk-Routern gleichgestellte Netzwerkknoten, erfüllen jedoch zusätzliche Aufgaben. Bündel-Server unterhalten im Normalfall eine hohe Anzahl an Verbindungen zu Freifunk-Routern. Da ein erheblicher Teil des Datenverkehrs über die Bündel-Server läuft, sind diese als besonders sicherheitskritisch einzustufen. Konkret erfüllen Bündel-Server die folgenden Aufgaben:
* Verbindung entfernter Freifunk-Router mittels Tunnelverbindungen über das Internet.
* Austausch von Routen-Informationen, um die zielgerichtete Zustellung von Daten zu ermöglichen.
* Automatische Netzwerkkonfiguration von Klienten.
* Namensauflösung innerhalb des Freifunk-Netzes.

===Schutzziele und Gefährdungen===
# Übertragene Daten sind vor dem Zugriff Dritter geschützt.
# Die Namensauflösung ist vor Manipulationen durch Dritte geschützt.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.

Zusätzlich gelten die Schutzziele und Gefährdungen für Server im allgemeinen.

===Abgeleitete Sicherheitsanforderungen===
# Übertragene Daten sind vor dem Zugriff Dritter geschützt.
#* Die Datenübertragung zu den Freifunk-Routern erfolgt mittels verschlüsselter Tunnelverbindungen (End-zu-Endverschlüsselung) unter Verwendung von nach heutigem Wissenssand sicherer Verfahren.
#* Die Authentizität der Endpunkte wird zum Schutz vor Mann-in-der-Mitte-Angriffen mittels eines asymmetrischen Schlüsselverfahrens sichergestellt.
# Die Namensauflösung ist vor Manipulationen durch Dritte geschützt.
#* Die Authentizität der Endpunkte wird zum Schutz vor Mann-in-der-Mitte-Angriffen mittels eines asymmetrischen Schlüsselverfahrens sichergestellt.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.
#* Der Ausfall eines Bündel-Servers führt nicht zur Störung des restlichen Netzes.
#* Die Netzstabilität wird durch Redundanz gewährleistet. Die Bündel-Server sind über mehrere Rechenzeitung verteilt.
#* Das Routing des Freifunk-Netzes ist "selbstheilend". Durch Ausfall bedingte Unterbrechungen werden automatisch behoben.
#* Die verfügbare Bandbreite wird gleichmäßig auf alle verbundenen Knoten/Klienten verteilt.

===Umgesetzte Sichgerheitsmaßnahmen===

===Bekannte Lücken sowie geplante, zukünftige Sicherheitsmaßnahmen===

==Internet Gateways==
Internet Gateways stellen die Verbindung zwischen dem Freifunk-Netz und dem Internet her. Sie werden auch als "Exit Nodes" bezeichnet und stellen die Standard-Route innerhalb des Freifunk-Netzes. In der aktuellen Konfiguration ist das Routing auf IPv4 beschränkt. Die lokalen IPv4-Adressen der Klienten werden auf die öffentlichen IPv4-Adressen der Gateways abgebildet. Konkret erfüllen Internet Gateways die folgenden Aufgaben:
* Routing von Verkehr zwischen dem Freifunk-Netz und dem Internet (nur IPv4)
* Adressübersetzung (nur IPv4)
* Namensauflösung für das Internet

===Schutzziele und Gefährdungen===
# Gleichmäßige Verteilung der verfügbaren Bandbreite auf alle Klienten sowie adequate Priorisierung des Verkehrs nach Diensten.
# Unterbindung von Rechtsverletzungen

Zusätzlich gelten die Schutzziele und Gefährdungen für Server im allgemeinen.

===Abgeleitete Sicherheitsanforderungen===
# Gleichmäßige Verteilung der verfügbaren Bandbreite auf alle Klienten sowie adequate Priorisierung des Verkehrs nach Diensten.
#* Verwendung geeigneter Queueing Disciplines.

# Unterbindung von Rechtsverletzungen
#* Unterbindung des Versands von SPAM-Nachrichten.
#* Einschränkung von P2P-Dateiübertragungen auf ein tolerierbares Maß.

===Umgesetzte Sicherheitsmaßnahmen===

===Geplante, zukünftige Sicherheitsmaßnahmen===

==IC-VPN Gateways==
IC-VPN Gateways stellen die Verbindung zwischen dem Freifunk-Netz und anderen Freifunk-Netzen innerhalb des Intercity VPNs (IC-VPN) her. Die Verbindung erfolgt über ein virtuelles Transportnetz. Die zugeheörigen Routen werden mittels BGP ausgetauscht. In der aktuellen Konfiguration wird zusätzlich der Verkehr ins Internet via IPv6 zu den "Exit Nodes" anderer Freifunk-Netze geroutet. Konkret erfüllen IC-VPN Gateways die folgenden Aufgaben:
* Peering mit IC-VPN Gateways anderer Freifunk-Netze
* Austausch von Routeninformation via BGP
* Routing von Verkehr zwischen den Freifunk-Netzen
* Namensauflösung für Domänen innerhalb des IC-VPN
* Routing von Internetverkehr (IPv6) zu den Internet Gateways anderer Freifunk-Netze

===Schutzziele und Gefährdungen===
# Übertragene Daten sind vor dem Zugriff Dritter geschützt.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.

Zusätzlich gelten die Schutzziele und Gefährdungen wie für Bündel-Server.

===Abgeleitete Sichgerheitsanforderungen===
# Übertragene Daten sind vor dem Zugriff Dritter geschützt.
#* Die Datenübertragung zu den Bündel-Servern erfolgt mittels verschlüsselter Tunnelverbindungen (End-zu Endverschlüsselung) unter Verwendung von nach heutigem Wissenssand sicherer Verfahren.
#* Die Authentizität der Endpunkte wird zum Schutz vor Mann-in-der-Mitte-Angriffen mittels eines asymmetrischen Schlüsselverfahrens sichergestellt.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.
#* Der Ausfall des IC-VPN-Gateways führt nicht zur Störung des restlichen Netzes.

===Umgesetzte Sicherheitsmaßnahmen===

===Bekannte Lücken sowie geplante, zukünftige Sicherheitsmaßnahmen===

==Bewertung des Gesamtsystems==
Welche Risiken ergeben sich aus dem Zusammnenwirken der Teilsysteme?

==Mitteilungspflichten==

Welche Sicherheitsverletzungen und/oder Störungen würden wir der Bundesnetzagentur mitteilen wollen?

Sicherheitskonzept (intern)

2015-05-17T15:03:17Z

Langweiler: /* Ideen */

{{Tip|Dieses Dokument befindet sich noch in der Entstehung.}}

=Präambel=
Freifunk Dreiländereck ("FF3L") ist ein parteipolitischer, unabhängiger, eingetragener Verein, der sich als Teil der weltweiten Open Wireless-Bewegung versteht, welche in Deutschland durch die Freifunk-Initiative repärsentiert wird.

Zur Umsetzung des Vereinszwecks unterhält der FF3L eine Netzwerkinfrastruktur, welche in Kombination mit den Freifunk-WLAN-Routern das Freifunk-Netz bildet. Weiterhin stellt er eine Firmware für Freifunk-Router zur Verfügung. Er ist bei der Bundesnetzagentur seit dem xx.xx.xxxx. als Telekommunikationsdienstleister (Access Provider) registriert.

Mit dem vorliegenden Sicherheitskonzept werden die folgenden Absichten verfolgt:
* Erfüllung der Verpflichtung zur Erstellung und Umsetzung eines Sicherheitskonzeptes nach § 109 TKG.
* Transparente Dokumentation des Status Quo bezüglich Informationssicherheit als Grundlage für die kontinuierliche Verbesserung.
* Aufzeigen von inherenten Limitierungen, die sich auf Grund der Funktionsweise des Freifunk-Netzes ergeben.
* Darstellung der Pflichten von Freifunk-Nutzern hinsichtlich Gewährleistung ihrer eigene Sicherheit.

=Umfang=
Der Umfang des Sicherheitskonzepts beschränkt sich ausschließlich auf die vom FF3L (also dem Verein, und nicht von Freifunkern als Privatpersonen) betriebene Netzwerkinfrastruktur. Explizit beinhaltet dies die vom FF3L betriebenen Bündel-Server, Internet und IC-VPN Gateways. Aspekte der Freifunk-Router werden insofern abgehandelt, wie sie mit der vom Verein herausgegebenen Freifunk-Firmware in Verbindung stehen. Nicht im Umfang enthalten sind Server und Engeräte, welche von Freifunk-Nutzern betrieben werden.

Der Begriff Freifunk-Netz in diesem Dokument bezieht sich auschließlich auf das Freifunk-Netz im Dreiländereck (CH-DE-FR), dessen Aufbau und Betrieb durch den FF3L gefördert wird. Gleiches gilt für die Begriffe Freifunk-Router, Freifunk-Firmware und Freifunk-Server. Eine Übertragung auf Freifunk-Netze anderer Commnunities ist nicht zulässig.

=Kontinuierliche Verbesserung=
Das vorliegende Sicherheitskonzept ist als lebendes Dokument konzipiert. Es dient als Grundlage für die Arbeit des Sicherheitsbeauftragten. Dieser analysiert und aktualisiert gemeinsam mit dem Administratoren-Team des FF3L sowie allen interessierten Freifunkern in regelmäßigen Abständen die Anforderungen an die vom FF3L betriebenen Teilsysteme, die Zulänglichkeit der umgesetzten Maßnahmen sowie die Planung zukünftiger Maßnahmen zur weiteren Verbesserung der Sicherheit.

=Gesetzlicher Hintergrund=
Auszug aus dem "Katalog von Sicherheitsanforderungen für das Betreiben von Telekommunikations- und Datenverarbeitungssystemen sowie für die Verarbeitung personenbezogener Daten nach § 109 Telekommunikationsgesetz (TKG):

Für das Betreiben öffentlicher Telekkommunikatiosnetze sowie das Erbringen öffentlich zugänglicher Telekommunikationsdiense schreibt § 109 TKG Vorkehrungen und sonstige Maßnahmen

* zum Schutz des Fernmeldegehimnisses,
* gegen die Verletzung des Schutzes personenbezogener Daten,
* gegen Störungen, die zu erheblichen Beeinträchtigungen von Telekommunikationsnetzen und -diensten führen, auch soweit sie durch äußere Angriffe und Einwirkungen von Katastrophen bedingt sein könnten,
als Mindestanforderungen vor.

Ziel und Zweck der zu treffenden Maßnahmen sind insbesondere

* die Sicherheit vor unerlaubtem Zugriffen auf Telekommunikations- und Datenverarbeitungssysteme
* die Reduzierung / Minimierung der Auswirkungen von Sicherheitsverletzungen auf Nutzer oder auf zusammengeschaltete Netze
* die Gewährleistung eines ordnungsgemäßen Betriebes der Netze und dadurch die Sicherstellung der fortlaufenden Verfügbarkeit der über die Netze erbrachten Dienste.

=Netzstruktur=
Das Freifunknetz ist ein offenes, sich spontan ausbildendes und selbstheilendes Maschennetzwerk. Die Grundbausteine ("Knoten") des Freifunk-Netzes sind die Freifunk-Router. Der Begriff Maschennetzwerk
bedeutet, dass die einzelnen Knoten mit einem oder mehreren Knoten auf nicht hierarschische Weise verbunden sind.

Die Freifunk-Router sinde handelsübliche WLAN-Router, ausgestattet mit einer speziellen Software ("Firmware"). Die spezielle Firmware gestattet es den Freifunk-Routern spontan Verbindung mit anderen Freifunk-Routern in Reichweite aufzunehmen. Hierbei kommt der offizielle, zugelassene WLAN-Standard 802.11n zum Einsatz. Gleichzeitig agieren die Router als WLAN-Zugangspunkt und ermöglichen damit Klienten (z.B. Smartphones) den direkten Zugang zum Freifunknetz.

Damit die Daten in dieser chaotischen Struktur ihren Weg finden, kommt ein spezielles Routing-Protokoll zum Einsatz. Im Fall des FF3L handelt es sich um das Protokoll [http://www.open-mesh.org/projects/batman-adv/wiki B.A.T.M.A.N. Advanced]. Dieses arbeitet auf der Netzzugangsschicht (Layer 2 nach dem OSI-Netzwerkschichtmodell). Das Freifunk-Netz verhält sich damit effektiv so, als wären alle Knoten über einen einzigen Netzwerk-Switch miteinander verbunden.

Neben der direkten Verbindung von Freifunk-Routern via WLAN gibt es die Option, isolierte Funkwolken über Tunnelverbindungen zu zentralen Servern ("Bündel-Servern") miteinander zu verbinden. Die Tunnelverbindungen laufen über das Internet und sind verschlüsselt (d.h. der Inhalt ist für Dritte nicht einsehbar). Der Internetanschluss wird hierbei auf freiwilliger Basis von den Knotenbetreibern zur Vefügung gestellt.

Weiterhin bietet das Freifunknetz über zentrale Gateways eine Verbindung ins Internet ("Internet Gateways") sowie den Verbund aller Freifunk-Netze ("IC-VPN Gateways"). Der Verein Freifunk Dreiländreck e.V. agiert damit als Zugangsanbieter ("Access Provider"). Die indirekte Weiterleitung ins Internet schützt die Knotenbetreiber vor ewaigen Haftungsansprüchen ("Störherhaftung") im Fall eines Missbrauchs durch Dritte.

Zusätzlich können Applikations-Server in das Freifunk-Netz integriert werden. Diese agieren als reguläre Netzwerkknoten und sind den Freifunk-Routern gleichgestellt.

[[Datei:Netzstrukturplan.png]]

=Sicherheitsteilsysteme=
In den folgenden Abschnitten werden die sicherheitskritischen Teilsysteme des Freifunk-Netzes definiert und diskutiert. Konkret werden als Teilsysteme die Freifunk-Router und Freifunk-Server im allgmeienen sowie Bündel-Server, Internet und IC-VPN Gateways im speziellen behandelt. Jeder Abschnitt besteht aus einer einleitenden Beschreibung inkl. der Aufgaben des jeweiligen Teilsystems, einer Auflistung von Schutzzielen und Gefährdungen, abgeleiteten Sicherheitsanforderungen, bereits umgesetzten sowie zukünftigen, geplanten Sicherheitsmaßnahmen. Zuletzt erfolgt eine abschließende Beurteilung des Gesamtsystems.

==Freifunk-Router==
Freifunk-WLAN-Router bilden die Grundelemente des Freifunk-Netzes. Sie werden auch als Netzwerkknoten bezeichnet. Bei Freifunk-Routern handelt sich um handelsübliche WLAN-Router, welche durch das Einspielen eines speziellen Betriebssystems ("Freifunk-Firmware") modifiziert werden. Freifunk-Router erfüllen die folgenden Aufgaben:
* Spontane Bildung des Freifunk-Maschennetzwerks via WLAN mit allen in Reichweite befindlichen Freifunk-Routern (lokale Funkwolke).
* Optional die Errichtung von Tunnelverbindungen zu Bündel-Servern über das Internet für den Datenaustausch mit entfernten Funkwolken.
* Austausch von Routen-Informationen, um die zielgerichtete Zustellung von Daten zu ermöglichen.
* Zugangspunkt zum Freifunk-Netzwerk für WLAN-Klienten (z.B. Smartphones, Tablets, Notebooks).
* Optional die Anbindung von Servern und/oder lokalen Klienten mittels einer direkten Kabelverbindung.

===Schutzziele und Gefährdungen===
# Freifunk-Router sind vor dem Zugriff unbefugter Dritter geschützt.
# Freifunk-Router ermöglichen Dritten den Zugang zum Freifunk-Netz, nicht jedoch den Zugang zum privaten Netz des Router-Betreibers.
# Fehler und Sicherheitslücken in der Freifunk-Firmware werden behoben.
# Übertragene Daten sind vor dem Zugriff Dritter geschützt.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.

===Abgeleitete Sicherheitsanforderungen===
# Freifunk-Router sind vor dem Zugriff unbefugter Dritter geschützt.
#* Die Einstellungen des Freifunk-Routers lassen sich lediglich in einem gesonderten Konfigurationsmodus verändern.
#* In der Standardkonfiguration des Freifunk-Routers ist kein Zugang auf der Ebene des Betriebssystems ("Shell Login") möglich.
#* Optional kann durch den Router-Betreiber ein verschlüsselter Zugang (z.B. via SSH) aktiviert werden, um die Wartung aus der Ferne zu ermöglichen.
# Freifunk-Router ermöglichen Dritten den Zugang zum Freifunk-Netz, nicht jedoch den Zugang zum privaten Netz des Router-Betreibers.
#* Eine Firewall auf dem Freifunk-Router (Layer 2 und/oder Layer 3) verhindert den Zugriff auf das private Netz des Betreibers.
#* Ausgenommen ist der Aufbau einer Tunnelverbindung zu den Bündelservern, sofern der Betreiber dies in der Konfiguration ausdrücklich gestattet ("opt in").
# Fehler und Sicherheitslücken in der Freifunk-Firmware werden behoben.
#* Die Firmware der Freifunk-Router wird in angemessenen Intervallen automatisch über das Freifunk-Netzt aktualisiert ("Autoupdater").
#* Die Authentizität der Firmware wird durch ein elektronisches Signaturverfahren sichergestellt.
#* Neue Firmware-Versionen werden vor dem Ausrollen gem. eines festgelegten Schemas getestet.
# Übertragene Daten sind vor dem Zugriff Dritter geschützt.
#* Die Datenübertragung zu den Bündel-Servern erfolgt mittels verschlüsselter Tunnelverbindungen (End-zu-Endverschlüsselung) unter Verwendung von nach heutigem Wissenssand sicherer Verfahren.
#* Die Authentizität der Endpunkte wird zum Schutz vor Mann-in-der-Mitte-Angriffen mittels eines asymmetrischen Schlüsselverfahrens sichergestellt.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.
#* Der Ausfall einzelner Freifunk-Router führt nicht zur Störung des restlichen Netzes.
#* Das Routing des Freifunk-Netzes ist "selbstheilend". Durch Ausfall bedingte Unterbrechungenwerden automatisch behoben.
#* Die Funktionstüchtigkeit der Router wird überwacht und der fehlerhafte Betrieb detektiert.

===Umgesetzte Sichgerheitsmaßnahmen===
# Freifunk-Router sind vor dem Zugriff unbefugter Dritter geschützt.
#* Die verwendete Gluon-Firmware unterstützt einen separaten Konfigurationsmodus. Dieser ist nach dem Aufspielen der Firmware aktiviert. Er kann zu einem späteren Zeitpunkt durch längeres Drücken der Reset-Taste am Router erneut aktiviert werden. Die Konfiguration wird über eine Web-Oberfläche unter der Adresse http://192.168.0.1 vorgenommen. Nach Abschluss der Konfiguration wechselt der Router in den Betriebsmodus. Eine Änderung der Konfiguration über die Web-Obewrfläche ist in der Folge nicht mehr möglich.
#* In der Standardkonfiguration der Gluon-Firmware ist der Shell Login auf den Router deaktiviert. Er muss explizit im Konfigurationsmodus aktiviert werden, indem ein Passwort oder Schlüssel für den Zugang via SSH gesetzt wird.
# Freifunk-Router ermöglichen Dritten den Zugang zum Freifunk-Netz, nicht jedoch den Zugang zum privaten Netz des Router-Betreibers.
#* Das Freifunk-Netz und das private Netz des Router-Betreibers werden in der Gluon-Netzwerkkonfiguration strikt getrennt. Die Zugänge zu den beiden Netzen sind in Form separater Brücken zusammengefasst (''br-client'' und ''br-wan'').
#* Die verwendete Gluon-Firmware konfiguriert Firewall-Regeln (bereitgestellt durch das Paket ''gluon-ebtables''), welche auf der Netzzugangsschicht (Layer 2) den Zugriff auf das private Netz unterbindet.
#* Eine Ausnahme bildet der Aufbau einer optionalen Tunnelverbindung zu den Bündel-Servern durch die VPN-Software ''fastd''. Diese Option muss vom Betreiber im Konfigurationsmodus explizit aktiviert werden ("opt-in").
# Fehler und Sicherheitslücken in der Freifunk-Firmware werden behoben.
#* Der FF3L betreibt einen Aktualisierungs-Dienst, welcher über das Freifunk-Netz erreichbar ist. Mit Hilfe des Aktualisierungsdienstes lassen sich neuere Versionen der Firmware auf den Routern automatisch einspielen. Die Konfiguration der Freifunk-Router bleibt hierbei soweit möglich erhalten.
#* Der Aktualisierungs-Dienst ist in der Standardkonfiguration der Freifunk-Firmware aktiviert (Zweig "stable"). Der Aktualisierungs-Dienst kann im Konfigurationsmodus in den Experteneinstellungen deaktiviert werden ("opt-out").
#* Die Authentitizät der Firmware-Images wird durch ein Signaturverfahren gewährleistet (signiertes Manifest). Neue Images werden von den Freifunk-Routern nur bei vorhandensein einer gültigen Signatur installiert (siehe auch [http://gluon.readthedocs.org/en/v2014.4/index.html Gluon-Dokumentation]).
#* Veröffentlichte Firmware-Images werden in die Zweige "experimental", "beta" und "stable" unterteilt. Neue Firmware-Versionen werden in eben dieser Reihenfolge ausgerollt, um einen ausreichenden Testbetrieb vor der Verbreitung zu gewährleisten.
#* Die Aktuelle Praxis bezüglich der Veröffentlichung von neuen Firmware-Versionen ist im [http://wiki.freifunk-3laendereck.net/Freifunk-Router:Firmware Wiki] des FF3L dokumentiert.
# Übertragene Daten sind vor dem Zugriff Dritter geschützt.
#* Die Datenübertragung zu den Bündel-Servern erfolgt mittels der VPN-Software fastd über das Internet. Die übertragenen Daten sind mittels des Chiffre Salsa20/12 verschlüsselt.
#* Die Authentifizierung erfolgt mittels der asymmetrischen Schlüsselverfahren UMAC oder GMAC. Die öffentlichen Schlüssel müssen einmalig vor dem Aufbau der Verbindung ausgetauscht werden. Dies geschieht im Rahmen der Registrierung des Knotens.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.
#* Der Ausfall einzelner Server führt nicht zu Störungen innerhalb des Netzes, sofern alternative Routen existieren. In diesem Fällen wird das Routing durch das verwendete Routing-Protokoll batman-adv automatisch korrigiert und die Lücke geschlossen
#* Die Freifunk-Firmware stellt auf den Knoten eine Stauts-Seite bereit. Auf dieser kann man sehen, ob der Knoten mit dem Freifunk-Netz und auf welche Weise er mit dem Freifunk-Netz verbunden ist.
#* Der Status aller Knoten wird zusätzlich in Form einer Knotenkarte auf den Servern des FF3L visualisiert. Der Karte lässt sich neben der Lage des Knotes (freiwillige Angabe) entnehmen, ob ein Knoten mit dem Freifunk-Netz verbunden ist und wie er vebunden ist.

===Bekannte Lücken sowie geplante, zukünftige Sicherheitsmaßnahmen===
# Freifunk-Router sind vor dem Zugriff unbefugter Dritter geschützt.
#* Freifunk-Router werden prinzipiell nicht vom FF3L betrieben. Für den Schutz vor physikalischem Zugriff und ggf. damit einhergehender Manipulation ist der Knoten-Betreiber verantwortlich.
# Freifunk-Router ermöglichen Dritten den Zugang zum Freifunk-Netz, nicht jedoch den Zugang zum privaten Netz des Router-Betreibers.
#* Die an bestimmten Freifunk-Routern verfügbaren LAN-Ports ermöglichen eine direkte Verbindung von Endgeräten (z.B. Servern) mit dem Freifunk-Netz. LAN-Ports sind von den WAN-Ports zu unterscheiden, über welche die Freifunk-Router mit dem Internet verbunden werden.
#* Im Fall einer Verwechslung der Ports, kann das private Netze des Freifunk-Betreibers in das Freifunk-Netz überbrückt werden.
#* Um Knotenbetreiber im Fall einer Verwechselung zu schützen, sollen die LAN-Ports in der Standardkonfiguration deaktiviert werden. Eine Aktivierung erfolgt über den Konfigurationsmodus des Routers.
# Fehler und Sicherheitslücken in der Freifunk-Firmware werden behoben.
#* Der Aktualisierungs-Dienst für die Freifunk-Firmware ist in der Standardkonfiguration aktiviert. Die entsprechende Einstellung verbirgt sich jedoch unter den Experteneinstellungen im Konfigurationsmodus.
#* Um Knotenbetreiber auf diesen Umstand aufmerksam zu machen, ist eine Verlegung der Einstellungen in den allgemeinen Teil des Konfigurationsmnodus geplant.
# Übertragene Daten sind vor dem Zugriff Dritter geschützt.
#* Die Datenübertragung zwischen den Freifunk-Routern erfolgt auf Grund der eingesetzen Technologie unverschlüsselt. Sie ist damit durch Dritte vor Ort abhörbar.
#* Umfassende Sicherheit lässt sich allein durch End-zu-End-Verschlüsselung gewährleisten. Die Anwendung dieser erfolgt auf den Endgeräten und liegt damit in der Verantwortung der Freifunk-Nutzer und nicht des FF3L.
#* Um eine sichere Übetragung von den Klienten zu den Bündel-Servern zu gewährleisten, soll optional ein VPN-Zugang für Klienten angeboten werden (z.B. [http://www.openvpn.net OpenVPN]).
#* Um eine sichere Übertragung von Endpunkt zu Endpunkt innerhalb des Freifunk-Netzes anzubieten, ist die Einrichtung eines verschlüsselten Overlay-Netzes angedacht (z.B. [http://cjdns.info/ cjDNS]).
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet
#* Keine geplanten Maßnahmen.

==Server==
Im Folgenden Abschnitt sind die allgemeinen Schutzziele und Gefährdungen für Freifunk-Server zusammengefasst. Freifunk-Server werden in der Regel - jedoch nicht ausschließlich - bei Host Providern angemietet (physikalische und virtualisierte Root Server). Die Einrichtung, der Betrieb und die Wartung erfolgt durch den FF3L. Der Begriff "Freifunk-Server" umfasst hierbei die weiter unten aufgeführten Bündel-Server, Internet sowie IC-VPN Gateways. Diese werden entsprechend ihrer Aufgaben noch einmal separat abgehandelt. In der Praxis werde die verschiedenen Server meist zusammengefasst. Ausgeschlossen sind Server, welche von Freifunkern als Privatpersonen innerhalb des Freifunknetzes betrieben werden.

===Schutzziele und Gefährdungen===
# Server sind vor dem Zugriff unbefugter Dritter geschützt.
# Fehler und Sicherheitslücken in der verwendeten Software werden behoben.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.

===Abgeleitete Sicherheitsanforderungen===
# Server sind vor dem Zugriff unbefugter Dritter geschützt.
#* Der Zugriff auf die Server (physikalisch und über das Internet) ist auf einen engen, definierten Personenkreis beschränkt.
#* Zugriffsrechte werden nach Bedarf und maßgeschneidert erteilt.
#* Der Zugang aus dem Netz erfolgt exklusiv über verschlüsselte Verbindungen (z.B. SSH).
#* Eine Firewall beschränkt Zugriffe aus dem Netz auf das notwendige Minimum.
#* Spezielle Sicherheitssoftware zur Erkennung von Eindringlingen wird verwendet.
# Fehler und Sicherheitslücken in der verwendeten Software werden behoben.
#* Server werden auf der Grundlage eines gepflegten, quelloffenen Betriebssystems errichtet.
#* Verwendete Software wird in adequaten Intervallen aktualisiert.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.
#* Die Funktionstüchtigkeit der Server wird überwacht und der fehlerhafte Betrieb detektiert.
#* Server sind vor DoS-Attacken aus dem Internet geschützt.

===Umgesetzte Sicherheitsmaßnahmen===
# Server sind vor dem Zugriff unbefugter Dritter geschützt.
#* Der Zugriff auf die Server des FF3L ist auf Mitglieder des Administratoren-Teams begrenzt. Das Aministratoren-Team wird durch den Vorstand des Vereins benannt.
#* Der Shell-Login ist ausschließlich über SSH möglich. Die Authentifizierung erfolgt mittels eines Passworts (LDAP) oder eines hinterlegten Schlüssels.
#* Server werden durch Firewall-Regeln auf der Basis von ''iptables'' geschützt. Die Standardvorgabe ist, dass eingehende und weiterzuleitende Pakete verworfen werden. Die Freigabe von Ports bzw. der Weiterleitung erfolgt mittels spezifischer Regeln wo erwünscht.
# Fehler und Sicherheitslücken in der verwendeten Software werden behoben.
#* Die Freifunk-Server werden auf Basis der Debian Linux-Distribution betrieben. Sofern möglich, wird die jeweils letzte stabile Version verwendet.
#* Es werden in angemessenen Intervallen empfohlene Sicherheitsaktualisierungen mittels der offiziellen Paketverwaltung eingespielt.
#* Das Administratoren-Team verfolgt sicherheitsrelevante Ankündigungen über die Mailing-Liste debian-security-announce@lists.debian.org.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.
#* Kritische Server und Dienste werden über ein zentrales Monitoring auf der Basis von Nagios(-Derivaten) überwacht. Das Monitoring ist redundant aufgesetzt. Der aktuelle Zustand aller Server und Diense ist über eine Web-Oberfläche einsehbar. Optional erfolgt eine Mitteilung per e-Mail im Fall von Statusänderungen.
#* Die Server des FF3L werden von Host Providern angemietet. Diese bieten üblicherweise einen gewissen Schutz vor DoS-Angriffen in der Form adaptiver Firewalls.

===Bekannte Lücken sowie geplante, zukünftige Sicherheitsmaßnahmen===
# Server sind vor dem Zugriff unbefugter Dritter geschützt.
#* Die Erteilung von Zugriffsrechten erfolgt derzeit weitestgehend monolithisch, soll in Zukunft jedoch granular und nach Bedarf erfolgen. Erteilte Rechte sollen an geeigneter Stelle transparent dokumentiert und veröffentlicht werden.
#* Bzgl. der verwendbaren Passwörter gibt es aktuell keine Vorgaben. In der Zukunft soll eine Überprüfung der Passwortstärke sowie Vorgabe einer minimalen Entropie implementiert werden.
#* Die Authentizfizierung im Rahmen des Shell-Login via SSH ist aktuell mittels eines Passworts möglich. Die Authentifizierung soll auf asymmetrische Schlüsselverfahren beschränkt werden, um die Folgen von Man-in-der-Mitte-Angriffen zu mildern.
#* Sicherheitssoftware zur Erkennung von Eindringlingen wird aktuell nur auf einem Teil der Freifunk-Server verwendet. Die Erstellung und Umsetzung eines flächendeckenden Konzepts steht nachwievor aus.
# Fehler und Sicherheitslücken in der verwendeten Software werden behoben.
#* Keine geplanten Maßnahmen.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.
#* Keine geplanten Maßnahmen.

==Bündel-Server==
Bündel-Server dienen der Verbindung isolierter Funkwolken innerhalb des Freifunk-Netzes. Vom Prinzip her sind Sie den Freifunk-Routern gleichgestellte Netzwerkknoten, erfüllen jedoch zusätzliche Aufgaben. Bündel-Server unterhalten im Normalfall eine hohe Anzahl an Verbindungen zu Freifunk-Routern. Da ein erheblicher Teil des Datenverkehrs über die Bündel-Server läuft, sind diese als besonders sicherheitskritisch einzustufen. Konkret erfüllen Bündel-Server die folgenden Aufgaben:
* Verbindung entfernter Freifunk-Router mittels Tunnelverbindungen über das Internet.
* Austausch von Routen-Informationen, um die zielgerichtete Zustellung von Daten zu ermöglichen.
* Automatische Netzwerkkonfiguration von Klienten.
* Namensauflösung innerhalb des Freifunk-Netzes.

===Schutzziele und Gefährdungen===
# Übertragene Daten sind vor dem Zugriff Dritter geschützt.
# Die Namensauflösung ist vor Manipulationen durch Dritte geschützt.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.

Zusätzlich gelten die Schutzziele und Gefährdungen für Server im allgemeinen.

===Abgeleitete Sicherheitsanforderungen===
# Übertragene Daten sind vor dem Zugriff Dritter geschützt.
#* Die Datenübertragung zu den Freifunk-Routern erfolgt mittels verschlüsselter Tunnelverbindungen (End-zu-Endverschlüsselung) unter Verwendung von nach heutigem Wissenssand sicherer Verfahren.
#* Die Authentizität der Endpunkte wird zum Schutz vor Mann-in-der-Mitte-Angriffen mittels eines asymmetrischen Schlüsselverfahrens sichergestellt.
# Die Namensauflösung ist vor Manipulationen durch Dritte geschützt.
#* Die Authentizität der Endpunkte wird zum Schutz vor Mann-in-der-Mitte-Angriffen mittels eines asymmetrischen Schlüsselverfahrens sichergestellt.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.
#* Der Ausfall eines Bündel-Servers führt nicht zur Störung des restlichen Netzes.
#* Die Netzstabilität wird durch Redundanz gewährleistet. Die Bündel-Server sind über mehrere Rechenzeitung verteilt.
#* Das Routing des Freifunk-Netzes ist "selbstheilend". Durch Ausfall bedingte Unterbrechungen werden automatisch behoben.
#* Die verfügbare Bandbreite wird gleichmäßig auf alle verbundenen Knoten/Klienten verteilt.

===Umgesetzte Sichgerheitsmaßnahmen===

===Bekannte Lücken sowie geplante, zukünftige Sicherheitsmaßnahmen===

==Internet Gateways==
Internet Gateways stellen die Verbindung zwischen dem Freifunk-Netz und dem Internet her. Sie werden auch als "Exit Nodes" bezeichnet und stellen die Standard-Route innerhalb des Freifunk-Netzes. In der aktuellen Konfiguration ist das Routing auf IPv4 beschränkt. Die lokalen IPv4-Adressen der Klienten werden auf die öffentlichen IPv4-Adressen der Gateways abgebildet. Konkret erfüllen Internet Gateways die folgenden Aufgaben:
* Routing von Verkehr zwischen dem Freifunk-Netz und dem Internet (nur IPv4)
* Adressübersetzung (nur IPv4)
* Namensauflösung für das Internet

===Schutzziele und Gefährdungen===
# Gleichmäßige Verteilung der verfügbaren Bandbreite auf alle Klienten sowie adequate Priorisierung des Verkehrs nach Diensten.
# Unterbindung von Rechtsverletzungen

Zusätzlich gelten die Schutzziele und Gefährdungen für Server im allgemeinen.

===Abgeleitete Sicherheitsanforderungen===
# Gleichmäßige Verteilung der verfügbaren Bandbreite auf alle Klienten sowie adequate Priorisierung des Verkehrs nach Diensten.
#* Verwendung geeigneter Queueing Disciplines.

# Unterbindung von Rechtsverletzungen
#* Unterbindung des Versands von SPAM-Nachrichten.
#* Einschränkung von P2P-Dateiübertragungen auf ein tolerierbares Maß.

===Umgesetzte Sicherheitsmaßnahmen===

===Geplante, zukünftige Sicherheitsmaßnahmen===

==IC-VPN Gateways==
IC-VPN Gateways stellen die Verbindung zwischen dem Freifunk-Netz und anderen Freifunk-Netzen innerhalb des Intercity VPNs (IC-VPN) her. Die Verbindung erfolgt über ein virtuelles Transportnetz. Die zugeheörigen Routen werden mittels BGP ausgetauscht. In der aktuellen Konfiguration wird zusätzlich der Verkehr ins Internet via IPv6 durch das IC-VPN zu den "Exit Nodes" anderer Freifunk-Netze geroutet. Konkret erfüllen IC-VPN Gateways die folgenden Aufgaben:
* Peering mit IC-VPN Gateways anderer Freifunk-Netze
* Austausch von Routeninformation via BGP
* Routing von Verkehr zwischen den Freifunk-Netzen
* Namensauflösung für Domänen innerhalb des IC-VPN
* Routing von Internetverkehr (IPv6) zu den Internet Gateways anderer Freifunk-Netze

===Schutzziele und Gefährdungen===
# Übertragene Daten sind vor dem Zugriff Dritter geschützt.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.

Zusätzlich gelten die Schutzziele und Gefährdungen wie für Bündel-Server.

===Abgeleitete Sichgerheitsanforderungen===
# Übertragene Daten sind vor dem Zugriff Dritter geschützt.
#* Die Datenübertragung zu den Bündel-Servern erfolgt mittels verschlüsselter Tunnelverbindungen (End-zu Endverschlüsselung) unter Verwendung von nach heutigem Wissenssand sicherer Verfahren.
#* Die Authentizität der Endpunkte wird zum Schutz vor Mann-in-der-Mitte-Angriffen mittels eines asymmetrischen Schlüsselverfahrens sichergestellt.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.
#* Der Ausfall des IC-VPN-Gateways führt nicht zur Störung des restlichen Netzes.

===Umgesetzte Sicherheitsmaßnahmen===

===Bekannte Lücken sowie geplante, zukünftige Sicherheitsmaßnahmen===

==Bewertung des Gesamtsystems==
Welche Risiken ergeben sich aus dem Zusammnenwirken der Teilsysteme?

==Mitteilungspflichten==

Welche Sicherheitsverletzungen und/oder Störungen würden wir der Bundesnetzagentur mitteilen wollen?

Sicherheitskonzept (intern)

2015-05-17T15:02:52Z

Langweiler: /* IC-VPN Gateways */

{{Tip|Dieses Dokument befindet sich noch in der Entstehung.}}

=Präambel=
Freifunk Dreiländereck ("FF3L") ist ein parteipolitischer, unabhängiger, eingetragener Verein, der sich als Teil der weltweiten Open Wireless-Bewegung versteht, welche in Deutschland durch die Freifunk-Initiative repärsentiert wird.

Zur Umsetzung des Vereinszwecks unterhält der FF3L eine Netzwerkinfrastruktur, welche in Kombination mit den Freifunk-WLAN-Routern das Freifunk-Netz bildet. Weiterhin stellt er eine Firmware für Freifunk-Router zur Verfügung. Er ist bei der Bundesnetzagentur seit dem xx.xx.xxxx. als Telekommunikationsdienstleister (Access Provider) registriert.

Mit dem vorliegenden Sicherheitskonzept werden die folgenden Absichten verfolgt:
* Erfüllung der Verpflichtung zur Erstellung und Umsetzung eines Sicherheitskonzeptes nach § 109 TKG.
* Transparente Dokumentation des Status Quo bezüglich Informationssicherheit als Grundlage für die kontinuierliche Verbesserung.
* Aufzeigen von inherenten Limitierungen, die sich auf Grund der Funktionsweise des Freifunk-Netzes ergeben.
* Darstellung der Pflichten von Freifunk-Nutzern hinsichtlich Gewährleistung ihrer eigene Sicherheit.

=Umfang=
Der Umfang des Sicherheitskonzepts beschränkt sich ausschließlich auf die vom FF3L (also dem Verein, und nicht von Freifunkern als Privatpersonen) betriebene Netzwerkinfrastruktur. Explizit beinhaltet dies die vom FF3L betriebenen Bündel-Server, Internet und IC-VPN Gateways. Aspekte der Freifunk-Router werden insofern abgehandelt, wie sie mit der vom Verein herausgegebenen Freifunk-Firmware in Verbindung stehen. Nicht im Umfang enthalten sind Server und Engeräte, welche von Freifunk-Nutzern betrieben werden.

Der Begriff Freifunk-Netz in diesem Dokument bezieht sich auschließlich auf das Freifunk-Netz im Dreiländereck (CH-DE-FR), dessen Aufbau und Betrieb durch den FF3L gefördert wird. Gleiches gilt für die Begriffe Freifunk-Router, Freifunk-Firmware und Freifunk-Server. Eine Übertragung auf Freifunk-Netze anderer Commnunities ist nicht zulässig.

=Kontinuierliche Verbesserung=
Das vorliegende Sicherheitskonzept ist als lebendes Dokument konzipiert. Es dient als Grundlage für die Arbeit des Sicherheitsbeauftragten. Dieser analysiert und aktualisiert gemeinsam mit dem Administratoren-Team des FF3L sowie allen interessierten Freifunkern in regelmäßigen Abständen die Anforderungen an die vom FF3L betriebenen Teilsysteme, die Zulänglichkeit der umgesetzten Maßnahmen sowie die Planung zukünftiger Maßnahmen zur weiteren Verbesserung der Sicherheit.

=Gesetzlicher Hintergrund=
Auszug aus dem "Katalog von Sicherheitsanforderungen für das Betreiben von Telekommunikations- und Datenverarbeitungssystemen sowie für die Verarbeitung personenbezogener Daten nach § 109 Telekommunikationsgesetz (TKG):

Für das Betreiben öffentlicher Telekkommunikatiosnetze sowie das Erbringen öffentlich zugänglicher Telekommunikationsdiense schreibt § 109 TKG Vorkehrungen und sonstige Maßnahmen

* zum Schutz des Fernmeldegehimnisses,
* gegen die Verletzung des Schutzes personenbezogener Daten,
* gegen Störungen, die zu erheblichen Beeinträchtigungen von Telekommunikationsnetzen und -diensten führen, auch soweit sie durch äußere Angriffe und Einwirkungen von Katastrophen bedingt sein könnten,
als Mindestanforderungen vor.

Ziel und Zweck der zu treffenden Maßnahmen sind insbesondere

* die Sicherheit vor unerlaubtem Zugriffen auf Telekommunikations- und Datenverarbeitungssysteme
* die Reduzierung / Minimierung der Auswirkungen von Sicherheitsverletzungen auf Nutzer oder auf zusammengeschaltete Netze
* die Gewährleistung eines ordnungsgemäßen Betriebes der Netze und dadurch die Sicherstellung der fortlaufenden Verfügbarkeit der über die Netze erbrachten Dienste.

=Netzstruktur=
Das Freifunknetz ist ein offenes, sich spontan ausbildendes und selbstheilendes Maschennetzwerk. Die Grundbausteine ("Knoten") des Freifunk-Netzes sind die Freifunk-Router. Der Begriff Maschennetzwerk
bedeutet, dass die einzelnen Knoten mit einem oder mehreren Knoten auf nicht hierarschische Weise verbunden sind.

Die Freifunk-Router sinde handelsübliche WLAN-Router, ausgestattet mit einer speziellen Software ("Firmware"). Die spezielle Firmware gestattet es den Freifunk-Routern spontan Verbindung mit anderen Freifunk-Routern in Reichweite aufzunehmen. Hierbei kommt der offizielle, zugelassene WLAN-Standard 802.11n zum Einsatz. Gleichzeitig agieren die Router als WLAN-Zugangspunkt und ermöglichen damit Klienten (z.B. Smartphones) den direkten Zugang zum Freifunknetz.

Damit die Daten in dieser chaotischen Struktur ihren Weg finden, kommt ein spezielles Routing-Protokoll zum Einsatz. Im Fall des FF3L handelt es sich um das Protokoll [http://www.open-mesh.org/projects/batman-adv/wiki B.A.T.M.A.N. Advanced]. Dieses arbeitet auf der Netzzugangsschicht (Layer 2 nach dem OSI-Netzwerkschichtmodell). Das Freifunk-Netz verhält sich damit effektiv so, als wären alle Knoten über einen einzigen Netzwerk-Switch miteinander verbunden.

Neben der direkten Verbindung von Freifunk-Routern via WLAN gibt es die Option, isolierte Funkwolken über Tunnelverbindungen zu zentralen Servern ("Bündel-Servern") miteinander zu verbinden. Die Tunnelverbindungen laufen über das Internet und sind verschlüsselt (d.h. der Inhalt ist für Dritte nicht einsehbar). Der Internetanschluss wird hierbei auf freiwilliger Basis von den Knotenbetreibern zur Vefügung gestellt.

Weiterhin bietet das Freifunknetz über zentrale Gateways eine Verbindung ins Internet ("Internet Gateways") sowie den Verbund aller Freifunk-Netze ("IC-VPN Gateways"). Der Verein Freifunk Dreiländreck e.V. agiert damit als Zugangsanbieter ("Access Provider"). Die indirekte Weiterleitung ins Internet schützt die Knotenbetreiber vor ewaigen Haftungsansprüchen ("Störherhaftung") im Fall eines Missbrauchs durch Dritte.

Zusätzlich können Applikations-Server in das Freifunk-Netz integriert werden. Diese agieren als reguläre Netzwerkknoten und sind den Freifunk-Routern gleichgestellt.

[[Datei:Netzstrukturplan.png]]

=Sicherheitsteilsysteme=
In den folgenden Abschnitten werden die sicherheitskritischen Teilsysteme des Freifunk-Netzes definiert und diskutiert. Konkret werden als Teilsysteme die Freifunk-Router und Freifunk-Server im allgmeienen sowie Bündel-Server, Internet und IC-VPN Gateways im speziellen behandelt. Jeder Abschnitt besteht aus einer einleitenden Beschreibung inkl. der Aufgaben des jeweiligen Teilsystems, einer Auflistung von Schutzzielen und Gefährdungen, abgeleiteten Sicherheitsanforderungen, bereits umgesetzten sowie zukünftigen, geplanten Sicherheitsmaßnahmen. Zuletzt erfolgt eine abschließende Beurteilung des Gesamtsystems.

==Freifunk-Router==
Freifunk-WLAN-Router bilden die Grundelemente des Freifunk-Netzes. Sie werden auch als Netzwerkknoten bezeichnet. Bei Freifunk-Routern handelt sich um handelsübliche WLAN-Router, welche durch das Einspielen eines speziellen Betriebssystems ("Freifunk-Firmware") modifiziert werden. Freifunk-Router erfüllen die folgenden Aufgaben:
* Spontane Bildung des Freifunk-Maschennetzwerks via WLAN mit allen in Reichweite befindlichen Freifunk-Routern (lokale Funkwolke).
* Optional die Errichtung von Tunnelverbindungen zu Bündel-Servern über das Internet für den Datenaustausch mit entfernten Funkwolken.
* Austausch von Routen-Informationen, um die zielgerichtete Zustellung von Daten zu ermöglichen.
* Zugangspunkt zum Freifunk-Netzwerk für WLAN-Klienten (z.B. Smartphones, Tablets, Notebooks).
* Optional die Anbindung von Servern und/oder lokalen Klienten mittels einer direkten Kabelverbindung.

===Schutzziele und Gefährdungen===
# Freifunk-Router sind vor dem Zugriff unbefugter Dritter geschützt.
# Freifunk-Router ermöglichen Dritten den Zugang zum Freifunk-Netz, nicht jedoch den Zugang zum privaten Netz des Router-Betreibers.
# Fehler und Sicherheitslücken in der Freifunk-Firmware werden behoben.
# Übertragene Daten sind vor dem Zugriff Dritter geschützt.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.

===Abgeleitete Sicherheitsanforderungen===
# Freifunk-Router sind vor dem Zugriff unbefugter Dritter geschützt.
#* Die Einstellungen des Freifunk-Routers lassen sich lediglich in einem gesonderten Konfigurationsmodus verändern.
#* In der Standardkonfiguration des Freifunk-Routers ist kein Zugang auf der Ebene des Betriebssystems ("Shell Login") möglich.
#* Optional kann durch den Router-Betreiber ein verschlüsselter Zugang (z.B. via SSH) aktiviert werden, um die Wartung aus der Ferne zu ermöglichen.
# Freifunk-Router ermöglichen Dritten den Zugang zum Freifunk-Netz, nicht jedoch den Zugang zum privaten Netz des Router-Betreibers.
#* Eine Firewall auf dem Freifunk-Router (Layer 2 und/oder Layer 3) verhindert den Zugriff auf das private Netz des Betreibers.
#* Ausgenommen ist der Aufbau einer Tunnelverbindung zu den Bündelservern, sofern der Betreiber dies in der Konfiguration ausdrücklich gestattet ("opt in").
# Fehler und Sicherheitslücken in der Freifunk-Firmware werden behoben.
#* Die Firmware der Freifunk-Router wird in angemessenen Intervallen automatisch über das Freifunk-Netzt aktualisiert ("Autoupdater").
#* Die Authentizität der Firmware wird durch ein elektronisches Signaturverfahren sichergestellt.
#* Neue Firmware-Versionen werden vor dem Ausrollen gem. eines festgelegten Schemas getestet.
# Übertragene Daten sind vor dem Zugriff Dritter geschützt.
#* Die Datenübertragung zu den Bündel-Servern erfolgt mittels verschlüsselter Tunnelverbindungen (End-zu-Endverschlüsselung) unter Verwendung von nach heutigem Wissenssand sicherer Verfahren.
#* Die Authentizität der Endpunkte wird zum Schutz vor Mann-in-der-Mitte-Angriffen mittels eines asymmetrischen Schlüsselverfahrens sichergestellt.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.
#* Der Ausfall einzelner Freifunk-Router führt nicht zur Störung des restlichen Netzes.
#* Das Routing des Freifunk-Netzes ist "selbstheilend". Durch Ausfall bedingte Unterbrechungenwerden automatisch behoben.
#* Die Funktionstüchtigkeit der Router wird überwacht und der fehlerhafte Betrieb detektiert.

===Umgesetzte Sichgerheitsmaßnahmen===
# Freifunk-Router sind vor dem Zugriff unbefugter Dritter geschützt.
#* Die verwendete Gluon-Firmware unterstützt einen separaten Konfigurationsmodus. Dieser ist nach dem Aufspielen der Firmware aktiviert. Er kann zu einem späteren Zeitpunkt durch längeres Drücken der Reset-Taste am Router erneut aktiviert werden. Die Konfiguration wird über eine Web-Oberfläche unter der Adresse http://192.168.0.1 vorgenommen. Nach Abschluss der Konfiguration wechselt der Router in den Betriebsmodus. Eine Änderung der Konfiguration über die Web-Obewrfläche ist in der Folge nicht mehr möglich.
#* In der Standardkonfiguration der Gluon-Firmware ist der Shell Login auf den Router deaktiviert. Er muss explizit im Konfigurationsmodus aktiviert werden, indem ein Passwort oder Schlüssel für den Zugang via SSH gesetzt wird.
# Freifunk-Router ermöglichen Dritten den Zugang zum Freifunk-Netz, nicht jedoch den Zugang zum privaten Netz des Router-Betreibers.
#* Das Freifunk-Netz und das private Netz des Router-Betreibers werden in der Gluon-Netzwerkkonfiguration strikt getrennt. Die Zugänge zu den beiden Netzen sind in Form separater Brücken zusammengefasst (''br-client'' und ''br-wan'').
#* Die verwendete Gluon-Firmware konfiguriert Firewall-Regeln (bereitgestellt durch das Paket ''gluon-ebtables''), welche auf der Netzzugangsschicht (Layer 2) den Zugriff auf das private Netz unterbindet.
#* Eine Ausnahme bildet der Aufbau einer optionalen Tunnelverbindung zu den Bündel-Servern durch die VPN-Software ''fastd''. Diese Option muss vom Betreiber im Konfigurationsmodus explizit aktiviert werden ("opt-in").
# Fehler und Sicherheitslücken in der Freifunk-Firmware werden behoben.
#* Der FF3L betreibt einen Aktualisierungs-Dienst, welcher über das Freifunk-Netz erreichbar ist. Mit Hilfe des Aktualisierungsdienstes lassen sich neuere Versionen der Firmware auf den Routern automatisch einspielen. Die Konfiguration der Freifunk-Router bleibt hierbei soweit möglich erhalten.
#* Der Aktualisierungs-Dienst ist in der Standardkonfiguration der Freifunk-Firmware aktiviert (Zweig "stable"). Der Aktualisierungs-Dienst kann im Konfigurationsmodus in den Experteneinstellungen deaktiviert werden ("opt-out").
#* Die Authentitizät der Firmware-Images wird durch ein Signaturverfahren gewährleistet (signiertes Manifest). Neue Images werden von den Freifunk-Routern nur bei vorhandensein einer gültigen Signatur installiert (siehe auch [http://gluon.readthedocs.org/en/v2014.4/index.html Gluon-Dokumentation]).
#* Veröffentlichte Firmware-Images werden in die Zweige "experimental", "beta" und "stable" unterteilt. Neue Firmware-Versionen werden in eben dieser Reihenfolge ausgerollt, um einen ausreichenden Testbetrieb vor der Verbreitung zu gewährleisten.
#* Die Aktuelle Praxis bezüglich der Veröffentlichung von neuen Firmware-Versionen ist im [http://wiki.freifunk-3laendereck.net/Freifunk-Router:Firmware Wiki] des FF3L dokumentiert.
# Übertragene Daten sind vor dem Zugriff Dritter geschützt.
#* Die Datenübertragung zu den Bündel-Servern erfolgt mittels der VPN-Software fastd über das Internet. Die übertragenen Daten sind mittels des Chiffre Salsa20/12 verschlüsselt.
#* Die Authentifizierung erfolgt mittels der asymmetrischen Schlüsselverfahren UMAC oder GMAC. Die öffentlichen Schlüssel müssen einmalig vor dem Aufbau der Verbindung ausgetauscht werden. Dies geschieht im Rahmen der Registrierung des Knotens.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.
#* Der Ausfall einzelner Server führt nicht zu Störungen innerhalb des Netzes, sofern alternative Routen existieren. In diesem Fällen wird das Routing durch das verwendete Routing-Protokoll batman-adv automatisch korrigiert und die Lücke geschlossen
#* Die Freifunk-Firmware stellt auf den Knoten eine Stauts-Seite bereit. Auf dieser kann man sehen, ob der Knoten mit dem Freifunk-Netz und auf welche Weise er mit dem Freifunk-Netz verbunden ist.
#* Der Status aller Knoten wird zusätzlich in Form einer Knotenkarte auf den Servern des FF3L visualisiert. Der Karte lässt sich neben der Lage des Knotes (freiwillige Angabe) entnehmen, ob ein Knoten mit dem Freifunk-Netz verbunden ist und wie er vebunden ist.

===Bekannte Lücken sowie geplante, zukünftige Sicherheitsmaßnahmen===
# Freifunk-Router sind vor dem Zugriff unbefugter Dritter geschützt.
#* Freifunk-Router werden prinzipiell nicht vom FF3L betrieben. Für den Schutz vor physikalischem Zugriff und ggf. damit einhergehender Manipulation ist der Knoten-Betreiber verantwortlich.
# Freifunk-Router ermöglichen Dritten den Zugang zum Freifunk-Netz, nicht jedoch den Zugang zum privaten Netz des Router-Betreibers.
#* Die an bestimmten Freifunk-Routern verfügbaren LAN-Ports ermöglichen eine direkte Verbindung von Endgeräten (z.B. Servern) mit dem Freifunk-Netz. LAN-Ports sind von den WAN-Ports zu unterscheiden, über welche die Freifunk-Router mit dem Internet verbunden werden.
#* Im Fall einer Verwechslung der Ports, kann das private Netze des Freifunk-Betreibers in das Freifunk-Netz überbrückt werden.
#* Um Knotenbetreiber im Fall einer Verwechselung zu schützen, sollen die LAN-Ports in der Standardkonfiguration deaktiviert werden. Eine Aktivierung erfolgt über den Konfigurationsmodus des Routers.
# Fehler und Sicherheitslücken in der Freifunk-Firmware werden behoben.
#* Der Aktualisierungs-Dienst für die Freifunk-Firmware ist in der Standardkonfiguration aktiviert. Die entsprechende Einstellung verbirgt sich jedoch unter den Experteneinstellungen im Konfigurationsmodus.
#* Um Knotenbetreiber auf diesen Umstand aufmerksam zu machen, ist eine Verlegung der Einstellungen in den allgemeinen Teil des Konfigurationsmnodus geplant.
# Übertragene Daten sind vor dem Zugriff Dritter geschützt.
#* Die Datenübertragung zwischen den Freifunk-Routern erfolgt auf Grund der eingesetzen Technologie unverschlüsselt. Sie ist damit durch Dritte vor Ort abhörbar.
#* Umfassende Sicherheit lässt sich allein durch End-zu-End-Verschlüsselung gewährleisten. Die Anwendung dieser erfolgt auf den Endgeräten und liegt damit in der Verantwortung der Freifunk-Nutzer und nicht des FF3L.
#* Um eine sichere Übetragung von den Klienten zu den Bündel-Servern zu gewährleisten, soll optional ein VPN-Zugang für Klienten angeboten werden (z.B. [http://www.openvpn.net OpenVPN]).
#* Um eine sichere Übertragung von Endpunkt zu Endpunkt innerhalb des Freifunk-Netzes anzubieten, ist die Einrichtung eines verschlüsselten Overlay-Netzes angedacht (z.B. [http://cjdns.info/ cjDNS]).
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet
#* Keine geplanten Maßnahmen.

==Server==
Im Folgenden Abschnitt sind die allgemeinen Schutzziele und Gefährdungen für Freifunk-Server zusammengefasst. Freifunk-Server werden in der Regel - jedoch nicht ausschließlich - bei Host Providern angemietet (physikalische und virtualisierte Root Server). Die Einrichtung, der Betrieb und die Wartung erfolgt durch den FF3L. Der Begriff "Freifunk-Server" umfasst hierbei die weiter unten aufgeführten Bündel-Server, Internet sowie IC-VPN Gateways. Diese werden entsprechend ihrer Aufgaben noch einmal separat abgehandelt. In der Praxis werde die verschiedenen Server meist zusammengefasst. Ausgeschlossen sind Server, welche von Freifunkern als Privatpersonen innerhalb des Freifunknetzes betrieben werden.

===Schutzziele und Gefährdungen===
# Server sind vor dem Zugriff unbefugter Dritter geschützt.
# Fehler und Sicherheitslücken in der verwendeten Software werden behoben.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.

===Abgeleitete Sicherheitsanforderungen===
# Server sind vor dem Zugriff unbefugter Dritter geschützt.
#* Der Zugriff auf die Server (physikalisch und über das Internet) ist auf einen engen, definierten Personenkreis beschränkt.
#* Zugriffsrechte werden nach Bedarf und maßgeschneidert erteilt.
#* Der Zugang aus dem Netz erfolgt exklusiv über verschlüsselte Verbindungen (z.B. SSH).
#* Eine Firewall beschränkt Zugriffe aus dem Netz auf das notwendige Minimum.
#* Spezielle Sicherheitssoftware zur Erkennung von Eindringlingen wird verwendet.
# Fehler und Sicherheitslücken in der verwendeten Software werden behoben.
#* Server werden auf der Grundlage eines gepflegten, quelloffenen Betriebssystems errichtet.
#* Verwendete Software wird in adequaten Intervallen aktualisiert.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.
#* Die Funktionstüchtigkeit der Server wird überwacht und der fehlerhafte Betrieb detektiert.
#* Server sind vor DoS-Attacken aus dem Internet geschützt.

===Umgesetzte Sicherheitsmaßnahmen===
# Server sind vor dem Zugriff unbefugter Dritter geschützt.
#* Der Zugriff auf die Server des FF3L ist auf Mitglieder des Administratoren-Teams begrenzt. Das Aministratoren-Team wird durch den Vorstand des Vereins benannt.
#* Der Shell-Login ist ausschließlich über SSH möglich. Die Authentifizierung erfolgt mittels eines Passworts (LDAP) oder eines hinterlegten Schlüssels.
#* Server werden durch Firewall-Regeln auf der Basis von ''iptables'' geschützt. Die Standardvorgabe ist, dass eingehende und weiterzuleitende Pakete verworfen werden. Die Freigabe von Ports bzw. der Weiterleitung erfolgt mittels spezifischer Regeln wo erwünscht.
# Fehler und Sicherheitslücken in der verwendeten Software werden behoben.
#* Die Freifunk-Server werden auf Basis der Debian Linux-Distribution betrieben. Sofern möglich, wird die jeweils letzte stabile Version verwendet.
#* Es werden in angemessenen Intervallen empfohlene Sicherheitsaktualisierungen mittels der offiziellen Paketverwaltung eingespielt.
#* Das Administratoren-Team verfolgt sicherheitsrelevante Ankündigungen über die Mailing-Liste debian-security-announce@lists.debian.org.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.
#* Kritische Server und Dienste werden über ein zentrales Monitoring auf der Basis von Nagios(-Derivaten) überwacht. Das Monitoring ist redundant aufgesetzt. Der aktuelle Zustand aller Server und Diense ist über eine Web-Oberfläche einsehbar. Optional erfolgt eine Mitteilung per e-Mail im Fall von Statusänderungen.
#* Die Server des FF3L werden von Host Providern angemietet. Diese bieten üblicherweise einen gewissen Schutz vor DoS-Angriffen in der Form adaptiver Firewalls.

===Bekannte Lücken sowie geplante, zukünftige Sicherheitsmaßnahmen===
# Server sind vor dem Zugriff unbefugter Dritter geschützt.
#* Die Erteilung von Zugriffsrechten erfolgt derzeit weitestgehend monolithisch, soll in Zukunft jedoch granular und nach Bedarf erfolgen. Erteilte Rechte sollen an geeigneter Stelle transparent dokumentiert und veröffentlicht werden.
#* Bzgl. der verwendbaren Passwörter gibt es aktuell keine Vorgaben. In der Zukunft soll eine Überprüfung der Passwortstärke sowie Vorgabe einer minimalen Entropie implementiert werden.
#* Die Authentizfizierung im Rahmen des Shell-Login via SSH ist aktuell mittels eines Passworts möglich. Die Authentifizierung soll auf asymmetrische Schlüsselverfahren beschränkt werden, um die Folgen von Man-in-der-Mitte-Angriffen zu mildern.
#* Sicherheitssoftware zur Erkennung von Eindringlingen wird aktuell nur auf einem Teil der Freifunk-Server verwendet. Die Erstellung und Umsetzung eines flächendeckenden Konzepts steht nachwievor aus.
# Fehler und Sicherheitslücken in der verwendeten Software werden behoben.
#* Keine geplanten Maßnahmen.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.
#* Keine geplanten Maßnahmen.

==Bündel-Server==
Bündel-Server dienen der Verbindung isolierter Funkwolken innerhalb des Freifunk-Netzes. Vom Prinzip her sind Sie den Freifunk-Routern gleichgestellte Netzwerkknoten, erfüllen jedoch zusätzliche Aufgaben. Bündel-Server unterhalten im Normalfall eine hohe Anzahl an Verbindungen zu Freifunk-Routern. Da ein erheblicher Teil des Datenverkehrs über die Bündel-Server läuft, sind diese als besonders sicherheitskritisch einzustufen. Konkret erfüllen Bündel-Server die folgenden Aufgaben:
* Verbindung entfernter Freifunk-Router mittels Tunnelverbindungen über das Internet.
* Austausch von Routen-Informationen, um die zielgerichtete Zustellung von Daten zu ermöglichen.
* Automatische Netzwerkkonfiguration von Klienten.
* Namensauflösung innerhalb des Freifunk-Netzes.

===Schutzziele und Gefährdungen===
# Übertragene Daten sind vor dem Zugriff Dritter geschützt.
# Die Namensauflösung ist vor Manipulationen durch Dritte geschützt.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.

Zusätzlich gelten die Schutzziele und Gefährdungen für Server im allgemeinen.

===Abgeleitete Sicherheitsanforderungen===
# Übertragene Daten sind vor dem Zugriff Dritter geschützt.
#* Die Datenübertragung zu den Freifunk-Routern erfolgt mittels verschlüsselter Tunnelverbindungen (End-zu-Endverschlüsselung) unter Verwendung von nach heutigem Wissenssand sicherer Verfahren.
#* Die Authentizität der Endpunkte wird zum Schutz vor Mann-in-der-Mitte-Angriffen mittels eines asymmetrischen Schlüsselverfahrens sichergestellt.
# Die Namensauflösung ist vor Manipulationen durch Dritte geschützt.
#* Die Authentizität der Endpunkte wird zum Schutz vor Mann-in-der-Mitte-Angriffen mittels eines asymmetrischen Schlüsselverfahrens sichergestellt.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.
#* Der Ausfall eines Bündel-Servers führt nicht zur Störung des restlichen Netzes.
#* Die Netzstabilität wird durch Redundanz gewährleistet. Die Bündel-Server sind über mehrere Rechenzeitung verteilt.
#* Das Routing des Freifunk-Netzes ist "selbstheilend". Durch Ausfall bedingte Unterbrechungen werden automatisch behoben.
#* Die verfügbare Bandbreite wird gleichmäßig auf alle verbundenen Knoten/Klienten verteilt.

===Umgesetzte Sichgerheitsmaßnahmen===

===Bekannte Lücken sowie geplante, zukünftige Sicherheitsmaßnahmen===

==Internet Gateways==
Internet Gateways stellen die Verbindung zwischen dem Freifunk-Netz und dem Internet her. Sie werden auch als "Exit Nodes" bezeichnet und stellen die Standard-Route innerhalb des Freifunk-Netzes. In der aktuellen Konfiguration ist das Routing auf IPv4 beschränkt. Die lokalen IPv4-Adressen der Klienten werden auf die öffentlichen IPv4-Adressen der Gateways abgebildet. Konkret erfüllen Internet Gateways die folgenden Aufgaben:
* Routing von Verkehr zwischen dem Freifunk-Netz und dem Internet (nur IPv4)
* Adressübersetzung (nur IPv4)
* Namensauflösung für das Internet

===Schutzziele und Gefährdungen===
# Gleichmäßige Verteilung der verfügbaren Bandbreite auf alle Klienten sowie adequate Priorisierung des Verkehrs nach Diensten.
# Unterbindung von Rechtsverletzungen

Zusätzlich gelten die Schutzziele und Gefährdungen für Server im allgemeinen.

===Abgeleitete Sicherheitsanforderungen===
# Gleichmäßige Verteilung der verfügbaren Bandbreite auf alle Klienten sowie adequate Priorisierung des Verkehrs nach Diensten.
#* Verwendung geeigneter Queueing Disciplines.

# Unterbindung von Rechtsverletzungen
#* Unterbindung des Versands von SPAM-Nachrichten.
#* Einschränkung von P2P-Dateiübertragungen auf ein tolerierbares Maß.

===Umgesetzte Sicherheitsmaßnahmen===

===Geplante, zukünftige Sicherheitsmaßnahmen===

==IC-VPN Gateways==
IC-VPN Gateways stellen die Verbindung zwischen dem Freifunk-Netz und anderen Freifunk-Netzen innerhalb des Intercity VPNs (IC-VPN) her. Die Verbindung erfolgt über ein virtuelles Transportnetz. Die zugeheörigen Routen werden mittels BGP ausgetauscht. In der aktuellen Konfiguration wird zusätzlich der Verkehr ins Internet via IPv6 durch das IC-VPN zu den "Exit Nodes" anderer Freifunk-Netze geroutet. Konkret erfüllen IC-VPN Gateways die folgenden Aufgaben:
* Peering mit IC-VPN Gateways anderer Freifunk-Netze
* Austausch von Routeninformation via BGP
* Routing von Verkehr zwischen den Freifunk-Netzen
* Namensauflösung für Domänen innerhalb des IC-VPN
* Routing von Internetverkehr (IPv6) zu den Internet Gateways anderer Freifunk-Netze

===Schutzziele und Gefährdungen===
# Übertragene Daten sind vor dem Zugriff Dritter geschützt.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.

Zusätzlich gelten die Schutzziele und Gefährdungen wie für Bündel-Server.

===Abgeleitete Sichgerheitsanforderungen===
# Übertragene Daten sind vor dem Zugriff Dritter geschützt.
#* Die Datenübertragung zu den Bündel-Servern erfolgt mittels verschlüsselter Tunnelverbindungen (End-zu Endverschlüsselung) unter Verwendung von nach heutigem Wissenssand sicherer Verfahren.
#* Die Authentizität der Endpunkte wird zum Schutz vor Mann-in-der-Mitte-Angriffen mittels eines asymmetrischen Schlüsselverfahrens sichergestellt.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.
#* Der Ausfall des IC-VPN-Gateways führt nicht zur Störung des restlichen Netzes.

===Umgesetzte Sicherheitsmaßnahmen===

===Bekannte Lücken sowie geplante, zukünftige Sicherheitsmaßnahmen===

==Bewertung des Gesamtsystems==
Welche Risiken ergeben sich aus dem Zusammnenwirken der Teilsysteme?

==Mitteilungspflichten==

Welche Sicherheitsverletzungen und/oder Störungen würden wir der Bundesnetzagentur mitteilen wollen?

=Ideen=

Integration in Freifunk-API? Community füllt lediglich Formular zu den einzelnen Teilsystemen aus. Das Sicherheitskonzept wird im Anschluss automatisch erstellt und im Netz veröffentlicht.

Sicherheitskonzept (intern)

2015-05-17T14:57:25Z

Langweiler: /* Internet Gateways */

{{Tip|Dieses Dokument befindet sich noch in der Entstehung.}}

=Präambel=
Freifunk Dreiländereck ("FF3L") ist ein parteipolitischer, unabhängiger, eingetragener Verein, der sich als Teil der weltweiten Open Wireless-Bewegung versteht, welche in Deutschland durch die Freifunk-Initiative repärsentiert wird.

Zur Umsetzung des Vereinszwecks unterhält der FF3L eine Netzwerkinfrastruktur, welche in Kombination mit den Freifunk-WLAN-Routern das Freifunk-Netz bildet. Weiterhin stellt er eine Firmware für Freifunk-Router zur Verfügung. Er ist bei der Bundesnetzagentur seit dem xx.xx.xxxx. als Telekommunikationsdienstleister (Access Provider) registriert.

Mit dem vorliegenden Sicherheitskonzept werden die folgenden Absichten verfolgt:
* Erfüllung der Verpflichtung zur Erstellung und Umsetzung eines Sicherheitskonzeptes nach § 109 TKG.
* Transparente Dokumentation des Status Quo bezüglich Informationssicherheit als Grundlage für die kontinuierliche Verbesserung.
* Aufzeigen von inherenten Limitierungen, die sich auf Grund der Funktionsweise des Freifunk-Netzes ergeben.
* Darstellung der Pflichten von Freifunk-Nutzern hinsichtlich Gewährleistung ihrer eigene Sicherheit.

=Umfang=
Der Umfang des Sicherheitskonzepts beschränkt sich ausschließlich auf die vom FF3L (also dem Verein, und nicht von Freifunkern als Privatpersonen) betriebene Netzwerkinfrastruktur. Explizit beinhaltet dies die vom FF3L betriebenen Bündel-Server, Internet und IC-VPN Gateways. Aspekte der Freifunk-Router werden insofern abgehandelt, wie sie mit der vom Verein herausgegebenen Freifunk-Firmware in Verbindung stehen. Nicht im Umfang enthalten sind Server und Engeräte, welche von Freifunk-Nutzern betrieben werden.

Der Begriff Freifunk-Netz in diesem Dokument bezieht sich auschließlich auf das Freifunk-Netz im Dreiländereck (CH-DE-FR), dessen Aufbau und Betrieb durch den FF3L gefördert wird. Gleiches gilt für die Begriffe Freifunk-Router, Freifunk-Firmware und Freifunk-Server. Eine Übertragung auf Freifunk-Netze anderer Commnunities ist nicht zulässig.

=Kontinuierliche Verbesserung=
Das vorliegende Sicherheitskonzept ist als lebendes Dokument konzipiert. Es dient als Grundlage für die Arbeit des Sicherheitsbeauftragten. Dieser analysiert und aktualisiert gemeinsam mit dem Administratoren-Team des FF3L sowie allen interessierten Freifunkern in regelmäßigen Abständen die Anforderungen an die vom FF3L betriebenen Teilsysteme, die Zulänglichkeit der umgesetzten Maßnahmen sowie die Planung zukünftiger Maßnahmen zur weiteren Verbesserung der Sicherheit.

=Gesetzlicher Hintergrund=
Auszug aus dem "Katalog von Sicherheitsanforderungen für das Betreiben von Telekommunikations- und Datenverarbeitungssystemen sowie für die Verarbeitung personenbezogener Daten nach § 109 Telekommunikationsgesetz (TKG):

Für das Betreiben öffentlicher Telekkommunikatiosnetze sowie das Erbringen öffentlich zugänglicher Telekommunikationsdiense schreibt § 109 TKG Vorkehrungen und sonstige Maßnahmen

* zum Schutz des Fernmeldegehimnisses,
* gegen die Verletzung des Schutzes personenbezogener Daten,
* gegen Störungen, die zu erheblichen Beeinträchtigungen von Telekommunikationsnetzen und -diensten führen, auch soweit sie durch äußere Angriffe und Einwirkungen von Katastrophen bedingt sein könnten,
als Mindestanforderungen vor.

Ziel und Zweck der zu treffenden Maßnahmen sind insbesondere

* die Sicherheit vor unerlaubtem Zugriffen auf Telekommunikations- und Datenverarbeitungssysteme
* die Reduzierung / Minimierung der Auswirkungen von Sicherheitsverletzungen auf Nutzer oder auf zusammengeschaltete Netze
* die Gewährleistung eines ordnungsgemäßen Betriebes der Netze und dadurch die Sicherstellung der fortlaufenden Verfügbarkeit der über die Netze erbrachten Dienste.

=Netzstruktur=
Das Freifunknetz ist ein offenes, sich spontan ausbildendes und selbstheilendes Maschennetzwerk. Die Grundbausteine ("Knoten") des Freifunk-Netzes sind die Freifunk-Router. Der Begriff Maschennetzwerk
bedeutet, dass die einzelnen Knoten mit einem oder mehreren Knoten auf nicht hierarschische Weise verbunden sind.

Die Freifunk-Router sinde handelsübliche WLAN-Router, ausgestattet mit einer speziellen Software ("Firmware"). Die spezielle Firmware gestattet es den Freifunk-Routern spontan Verbindung mit anderen Freifunk-Routern in Reichweite aufzunehmen. Hierbei kommt der offizielle, zugelassene WLAN-Standard 802.11n zum Einsatz. Gleichzeitig agieren die Router als WLAN-Zugangspunkt und ermöglichen damit Klienten (z.B. Smartphones) den direkten Zugang zum Freifunknetz.

Damit die Daten in dieser chaotischen Struktur ihren Weg finden, kommt ein spezielles Routing-Protokoll zum Einsatz. Im Fall des FF3L handelt es sich um das Protokoll [http://www.open-mesh.org/projects/batman-adv/wiki B.A.T.M.A.N. Advanced]. Dieses arbeitet auf der Netzzugangsschicht (Layer 2 nach dem OSI-Netzwerkschichtmodell). Das Freifunk-Netz verhält sich damit effektiv so, als wären alle Knoten über einen einzigen Netzwerk-Switch miteinander verbunden.

Neben der direkten Verbindung von Freifunk-Routern via WLAN gibt es die Option, isolierte Funkwolken über Tunnelverbindungen zu zentralen Servern ("Bündel-Servern") miteinander zu verbinden. Die Tunnelverbindungen laufen über das Internet und sind verschlüsselt (d.h. der Inhalt ist für Dritte nicht einsehbar). Der Internetanschluss wird hierbei auf freiwilliger Basis von den Knotenbetreibern zur Vefügung gestellt.

Weiterhin bietet das Freifunknetz über zentrale Gateways eine Verbindung ins Internet ("Internet Gateways") sowie den Verbund aller Freifunk-Netze ("IC-VPN Gateways"). Der Verein Freifunk Dreiländreck e.V. agiert damit als Zugangsanbieter ("Access Provider"). Die indirekte Weiterleitung ins Internet schützt die Knotenbetreiber vor ewaigen Haftungsansprüchen ("Störherhaftung") im Fall eines Missbrauchs durch Dritte.

Zusätzlich können Applikations-Server in das Freifunk-Netz integriert werden. Diese agieren als reguläre Netzwerkknoten und sind den Freifunk-Routern gleichgestellt.

[[Datei:Netzstrukturplan.png]]

=Sicherheitsteilsysteme=
In den folgenden Abschnitten werden die sicherheitskritischen Teilsysteme des Freifunk-Netzes definiert und diskutiert. Konkret werden als Teilsysteme die Freifunk-Router und Freifunk-Server im allgmeienen sowie Bündel-Server, Internet und IC-VPN Gateways im speziellen behandelt. Jeder Abschnitt besteht aus einer einleitenden Beschreibung inkl. der Aufgaben des jeweiligen Teilsystems, einer Auflistung von Schutzzielen und Gefährdungen, abgeleiteten Sicherheitsanforderungen, bereits umgesetzten sowie zukünftigen, geplanten Sicherheitsmaßnahmen. Zuletzt erfolgt eine abschließende Beurteilung des Gesamtsystems.

==Freifunk-Router==
Freifunk-WLAN-Router bilden die Grundelemente des Freifunk-Netzes. Sie werden auch als Netzwerkknoten bezeichnet. Bei Freifunk-Routern handelt sich um handelsübliche WLAN-Router, welche durch das Einspielen eines speziellen Betriebssystems ("Freifunk-Firmware") modifiziert werden. Freifunk-Router erfüllen die folgenden Aufgaben:
* Spontane Bildung des Freifunk-Maschennetzwerks via WLAN mit allen in Reichweite befindlichen Freifunk-Routern (lokale Funkwolke).
* Optional die Errichtung von Tunnelverbindungen zu Bündel-Servern über das Internet für den Datenaustausch mit entfernten Funkwolken.
* Austausch von Routen-Informationen, um die zielgerichtete Zustellung von Daten zu ermöglichen.
* Zugangspunkt zum Freifunk-Netzwerk für WLAN-Klienten (z.B. Smartphones, Tablets, Notebooks).
* Optional die Anbindung von Servern und/oder lokalen Klienten mittels einer direkten Kabelverbindung.

===Schutzziele und Gefährdungen===
# Freifunk-Router sind vor dem Zugriff unbefugter Dritter geschützt.
# Freifunk-Router ermöglichen Dritten den Zugang zum Freifunk-Netz, nicht jedoch den Zugang zum privaten Netz des Router-Betreibers.
# Fehler und Sicherheitslücken in der Freifunk-Firmware werden behoben.
# Übertragene Daten sind vor dem Zugriff Dritter geschützt.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.

===Abgeleitete Sicherheitsanforderungen===
# Freifunk-Router sind vor dem Zugriff unbefugter Dritter geschützt.
#* Die Einstellungen des Freifunk-Routers lassen sich lediglich in einem gesonderten Konfigurationsmodus verändern.
#* In der Standardkonfiguration des Freifunk-Routers ist kein Zugang auf der Ebene des Betriebssystems ("Shell Login") möglich.
#* Optional kann durch den Router-Betreiber ein verschlüsselter Zugang (z.B. via SSH) aktiviert werden, um die Wartung aus der Ferne zu ermöglichen.
# Freifunk-Router ermöglichen Dritten den Zugang zum Freifunk-Netz, nicht jedoch den Zugang zum privaten Netz des Router-Betreibers.
#* Eine Firewall auf dem Freifunk-Router (Layer 2 und/oder Layer 3) verhindert den Zugriff auf das private Netz des Betreibers.
#* Ausgenommen ist der Aufbau einer Tunnelverbindung zu den Bündelservern, sofern der Betreiber dies in der Konfiguration ausdrücklich gestattet ("opt in").
# Fehler und Sicherheitslücken in der Freifunk-Firmware werden behoben.
#* Die Firmware der Freifunk-Router wird in angemessenen Intervallen automatisch über das Freifunk-Netzt aktualisiert ("Autoupdater").
#* Die Authentizität der Firmware wird durch ein elektronisches Signaturverfahren sichergestellt.
#* Neue Firmware-Versionen werden vor dem Ausrollen gem. eines festgelegten Schemas getestet.
# Übertragene Daten sind vor dem Zugriff Dritter geschützt.
#* Die Datenübertragung zu den Bündel-Servern erfolgt mittels verschlüsselter Tunnelverbindungen (End-zu-Endverschlüsselung) unter Verwendung von nach heutigem Wissenssand sicherer Verfahren.
#* Die Authentizität der Endpunkte wird zum Schutz vor Mann-in-der-Mitte-Angriffen mittels eines asymmetrischen Schlüsselverfahrens sichergestellt.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.
#* Der Ausfall einzelner Freifunk-Router führt nicht zur Störung des restlichen Netzes.
#* Das Routing des Freifunk-Netzes ist "selbstheilend". Durch Ausfall bedingte Unterbrechungenwerden automatisch behoben.
#* Die Funktionstüchtigkeit der Router wird überwacht und der fehlerhafte Betrieb detektiert.

===Umgesetzte Sichgerheitsmaßnahmen===
# Freifunk-Router sind vor dem Zugriff unbefugter Dritter geschützt.
#* Die verwendete Gluon-Firmware unterstützt einen separaten Konfigurationsmodus. Dieser ist nach dem Aufspielen der Firmware aktiviert. Er kann zu einem späteren Zeitpunkt durch längeres Drücken der Reset-Taste am Router erneut aktiviert werden. Die Konfiguration wird über eine Web-Oberfläche unter der Adresse http://192.168.0.1 vorgenommen. Nach Abschluss der Konfiguration wechselt der Router in den Betriebsmodus. Eine Änderung der Konfiguration über die Web-Obewrfläche ist in der Folge nicht mehr möglich.
#* In der Standardkonfiguration der Gluon-Firmware ist der Shell Login auf den Router deaktiviert. Er muss explizit im Konfigurationsmodus aktiviert werden, indem ein Passwort oder Schlüssel für den Zugang via SSH gesetzt wird.
# Freifunk-Router ermöglichen Dritten den Zugang zum Freifunk-Netz, nicht jedoch den Zugang zum privaten Netz des Router-Betreibers.
#* Das Freifunk-Netz und das private Netz des Router-Betreibers werden in der Gluon-Netzwerkkonfiguration strikt getrennt. Die Zugänge zu den beiden Netzen sind in Form separater Brücken zusammengefasst (''br-client'' und ''br-wan'').
#* Die verwendete Gluon-Firmware konfiguriert Firewall-Regeln (bereitgestellt durch das Paket ''gluon-ebtables''), welche auf der Netzzugangsschicht (Layer 2) den Zugriff auf das private Netz unterbindet.
#* Eine Ausnahme bildet der Aufbau einer optionalen Tunnelverbindung zu den Bündel-Servern durch die VPN-Software ''fastd''. Diese Option muss vom Betreiber im Konfigurationsmodus explizit aktiviert werden ("opt-in").
# Fehler und Sicherheitslücken in der Freifunk-Firmware werden behoben.
#* Der FF3L betreibt einen Aktualisierungs-Dienst, welcher über das Freifunk-Netz erreichbar ist. Mit Hilfe des Aktualisierungsdienstes lassen sich neuere Versionen der Firmware auf den Routern automatisch einspielen. Die Konfiguration der Freifunk-Router bleibt hierbei soweit möglich erhalten.
#* Der Aktualisierungs-Dienst ist in der Standardkonfiguration der Freifunk-Firmware aktiviert (Zweig "stable"). Der Aktualisierungs-Dienst kann im Konfigurationsmodus in den Experteneinstellungen deaktiviert werden ("opt-out").
#* Die Authentitizät der Firmware-Images wird durch ein Signaturverfahren gewährleistet (signiertes Manifest). Neue Images werden von den Freifunk-Routern nur bei vorhandensein einer gültigen Signatur installiert (siehe auch [http://gluon.readthedocs.org/en/v2014.4/index.html Gluon-Dokumentation]).
#* Veröffentlichte Firmware-Images werden in die Zweige "experimental", "beta" und "stable" unterteilt. Neue Firmware-Versionen werden in eben dieser Reihenfolge ausgerollt, um einen ausreichenden Testbetrieb vor der Verbreitung zu gewährleisten.
#* Die Aktuelle Praxis bezüglich der Veröffentlichung von neuen Firmware-Versionen ist im [http://wiki.freifunk-3laendereck.net/Freifunk-Router:Firmware Wiki] des FF3L dokumentiert.
# Übertragene Daten sind vor dem Zugriff Dritter geschützt.
#* Die Datenübertragung zu den Bündel-Servern erfolgt mittels der VPN-Software fastd über das Internet. Die übertragenen Daten sind mittels des Chiffre Salsa20/12 verschlüsselt.
#* Die Authentifizierung erfolgt mittels der asymmetrischen Schlüsselverfahren UMAC oder GMAC. Die öffentlichen Schlüssel müssen einmalig vor dem Aufbau der Verbindung ausgetauscht werden. Dies geschieht im Rahmen der Registrierung des Knotens.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.
#* Der Ausfall einzelner Server führt nicht zu Störungen innerhalb des Netzes, sofern alternative Routen existieren. In diesem Fällen wird das Routing durch das verwendete Routing-Protokoll batman-adv automatisch korrigiert und die Lücke geschlossen
#* Die Freifunk-Firmware stellt auf den Knoten eine Stauts-Seite bereit. Auf dieser kann man sehen, ob der Knoten mit dem Freifunk-Netz und auf welche Weise er mit dem Freifunk-Netz verbunden ist.
#* Der Status aller Knoten wird zusätzlich in Form einer Knotenkarte auf den Servern des FF3L visualisiert. Der Karte lässt sich neben der Lage des Knotes (freiwillige Angabe) entnehmen, ob ein Knoten mit dem Freifunk-Netz verbunden ist und wie er vebunden ist.

===Bekannte Lücken sowie geplante, zukünftige Sicherheitsmaßnahmen===
# Freifunk-Router sind vor dem Zugriff unbefugter Dritter geschützt.
#* Freifunk-Router werden prinzipiell nicht vom FF3L betrieben. Für den Schutz vor physikalischem Zugriff und ggf. damit einhergehender Manipulation ist der Knoten-Betreiber verantwortlich.
# Freifunk-Router ermöglichen Dritten den Zugang zum Freifunk-Netz, nicht jedoch den Zugang zum privaten Netz des Router-Betreibers.
#* Die an bestimmten Freifunk-Routern verfügbaren LAN-Ports ermöglichen eine direkte Verbindung von Endgeräten (z.B. Servern) mit dem Freifunk-Netz. LAN-Ports sind von den WAN-Ports zu unterscheiden, über welche die Freifunk-Router mit dem Internet verbunden werden.
#* Im Fall einer Verwechslung der Ports, kann das private Netze des Freifunk-Betreibers in das Freifunk-Netz überbrückt werden.
#* Um Knotenbetreiber im Fall einer Verwechselung zu schützen, sollen die LAN-Ports in der Standardkonfiguration deaktiviert werden. Eine Aktivierung erfolgt über den Konfigurationsmodus des Routers.
# Fehler und Sicherheitslücken in der Freifunk-Firmware werden behoben.
#* Der Aktualisierungs-Dienst für die Freifunk-Firmware ist in der Standardkonfiguration aktiviert. Die entsprechende Einstellung verbirgt sich jedoch unter den Experteneinstellungen im Konfigurationsmodus.
#* Um Knotenbetreiber auf diesen Umstand aufmerksam zu machen, ist eine Verlegung der Einstellungen in den allgemeinen Teil des Konfigurationsmnodus geplant.
# Übertragene Daten sind vor dem Zugriff Dritter geschützt.
#* Die Datenübertragung zwischen den Freifunk-Routern erfolgt auf Grund der eingesetzen Technologie unverschlüsselt. Sie ist damit durch Dritte vor Ort abhörbar.
#* Umfassende Sicherheit lässt sich allein durch End-zu-End-Verschlüsselung gewährleisten. Die Anwendung dieser erfolgt auf den Endgeräten und liegt damit in der Verantwortung der Freifunk-Nutzer und nicht des FF3L.
#* Um eine sichere Übetragung von den Klienten zu den Bündel-Servern zu gewährleisten, soll optional ein VPN-Zugang für Klienten angeboten werden (z.B. [http://www.openvpn.net OpenVPN]).
#* Um eine sichere Übertragung von Endpunkt zu Endpunkt innerhalb des Freifunk-Netzes anzubieten, ist die Einrichtung eines verschlüsselten Overlay-Netzes angedacht (z.B. [http://cjdns.info/ cjDNS]).
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet
#* Keine geplanten Maßnahmen.

==Server==
Im Folgenden Abschnitt sind die allgemeinen Schutzziele und Gefährdungen für Freifunk-Server zusammengefasst. Freifunk-Server werden in der Regel - jedoch nicht ausschließlich - bei Host Providern angemietet (physikalische und virtualisierte Root Server). Die Einrichtung, der Betrieb und die Wartung erfolgt durch den FF3L. Der Begriff "Freifunk-Server" umfasst hierbei die weiter unten aufgeführten Bündel-Server, Internet sowie IC-VPN Gateways. Diese werden entsprechend ihrer Aufgaben noch einmal separat abgehandelt. In der Praxis werde die verschiedenen Server meist zusammengefasst. Ausgeschlossen sind Server, welche von Freifunkern als Privatpersonen innerhalb des Freifunknetzes betrieben werden.

===Schutzziele und Gefährdungen===
# Server sind vor dem Zugriff unbefugter Dritter geschützt.
# Fehler und Sicherheitslücken in der verwendeten Software werden behoben.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.

===Abgeleitete Sicherheitsanforderungen===
# Server sind vor dem Zugriff unbefugter Dritter geschützt.
#* Der Zugriff auf die Server (physikalisch und über das Internet) ist auf einen engen, definierten Personenkreis beschränkt.
#* Zugriffsrechte werden nach Bedarf und maßgeschneidert erteilt.
#* Der Zugang aus dem Netz erfolgt exklusiv über verschlüsselte Verbindungen (z.B. SSH).
#* Eine Firewall beschränkt Zugriffe aus dem Netz auf das notwendige Minimum.
#* Spezielle Sicherheitssoftware zur Erkennung von Eindringlingen wird verwendet.
# Fehler und Sicherheitslücken in der verwendeten Software werden behoben.
#* Server werden auf der Grundlage eines gepflegten, quelloffenen Betriebssystems errichtet.
#* Verwendete Software wird in adequaten Intervallen aktualisiert.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.
#* Die Funktionstüchtigkeit der Server wird überwacht und der fehlerhafte Betrieb detektiert.
#* Server sind vor DoS-Attacken aus dem Internet geschützt.

===Umgesetzte Sicherheitsmaßnahmen===
# Server sind vor dem Zugriff unbefugter Dritter geschützt.
#* Der Zugriff auf die Server des FF3L ist auf Mitglieder des Administratoren-Teams begrenzt. Das Aministratoren-Team wird durch den Vorstand des Vereins benannt.
#* Der Shell-Login ist ausschließlich über SSH möglich. Die Authentifizierung erfolgt mittels eines Passworts (LDAP) oder eines hinterlegten Schlüssels.
#* Server werden durch Firewall-Regeln auf der Basis von ''iptables'' geschützt. Die Standardvorgabe ist, dass eingehende und weiterzuleitende Pakete verworfen werden. Die Freigabe von Ports bzw. der Weiterleitung erfolgt mittels spezifischer Regeln wo erwünscht.
# Fehler und Sicherheitslücken in der verwendeten Software werden behoben.
#* Die Freifunk-Server werden auf Basis der Debian Linux-Distribution betrieben. Sofern möglich, wird die jeweils letzte stabile Version verwendet.
#* Es werden in angemessenen Intervallen empfohlene Sicherheitsaktualisierungen mittels der offiziellen Paketverwaltung eingespielt.
#* Das Administratoren-Team verfolgt sicherheitsrelevante Ankündigungen über die Mailing-Liste debian-security-announce@lists.debian.org.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.
#* Kritische Server und Dienste werden über ein zentrales Monitoring auf der Basis von Nagios(-Derivaten) überwacht. Das Monitoring ist redundant aufgesetzt. Der aktuelle Zustand aller Server und Diense ist über eine Web-Oberfläche einsehbar. Optional erfolgt eine Mitteilung per e-Mail im Fall von Statusänderungen.
#* Die Server des FF3L werden von Host Providern angemietet. Diese bieten üblicherweise einen gewissen Schutz vor DoS-Angriffen in der Form adaptiver Firewalls.

===Bekannte Lücken sowie geplante, zukünftige Sicherheitsmaßnahmen===
# Server sind vor dem Zugriff unbefugter Dritter geschützt.
#* Die Erteilung von Zugriffsrechten erfolgt derzeit weitestgehend monolithisch, soll in Zukunft jedoch granular und nach Bedarf erfolgen. Erteilte Rechte sollen an geeigneter Stelle transparent dokumentiert und veröffentlicht werden.
#* Bzgl. der verwendbaren Passwörter gibt es aktuell keine Vorgaben. In der Zukunft soll eine Überprüfung der Passwortstärke sowie Vorgabe einer minimalen Entropie implementiert werden.
#* Die Authentizfizierung im Rahmen des Shell-Login via SSH ist aktuell mittels eines Passworts möglich. Die Authentifizierung soll auf asymmetrische Schlüsselverfahren beschränkt werden, um die Folgen von Man-in-der-Mitte-Angriffen zu mildern.
#* Sicherheitssoftware zur Erkennung von Eindringlingen wird aktuell nur auf einem Teil der Freifunk-Server verwendet. Die Erstellung und Umsetzung eines flächendeckenden Konzepts steht nachwievor aus.
# Fehler und Sicherheitslücken in der verwendeten Software werden behoben.
#* Keine geplanten Maßnahmen.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.
#* Keine geplanten Maßnahmen.

==Bündel-Server==
Bündel-Server dienen der Verbindung isolierter Funkwolken innerhalb des Freifunk-Netzes. Vom Prinzip her sind Sie den Freifunk-Routern gleichgestellte Netzwerkknoten, erfüllen jedoch zusätzliche Aufgaben. Bündel-Server unterhalten im Normalfall eine hohe Anzahl an Verbindungen zu Freifunk-Routern. Da ein erheblicher Teil des Datenverkehrs über die Bündel-Server läuft, sind diese als besonders sicherheitskritisch einzustufen. Konkret erfüllen Bündel-Server die folgenden Aufgaben:
* Verbindung entfernter Freifunk-Router mittels Tunnelverbindungen über das Internet.
* Austausch von Routen-Informationen, um die zielgerichtete Zustellung von Daten zu ermöglichen.
* Automatische Netzwerkkonfiguration von Klienten.
* Namensauflösung innerhalb des Freifunk-Netzes.

===Schutzziele und Gefährdungen===
# Übertragene Daten sind vor dem Zugriff Dritter geschützt.
# Die Namensauflösung ist vor Manipulationen durch Dritte geschützt.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.

Zusätzlich gelten die Schutzziele und Gefährdungen für Server im allgemeinen.

===Abgeleitete Sicherheitsanforderungen===
# Übertragene Daten sind vor dem Zugriff Dritter geschützt.
#* Die Datenübertragung zu den Freifunk-Routern erfolgt mittels verschlüsselter Tunnelverbindungen (End-zu-Endverschlüsselung) unter Verwendung von nach heutigem Wissenssand sicherer Verfahren.
#* Die Authentizität der Endpunkte wird zum Schutz vor Mann-in-der-Mitte-Angriffen mittels eines asymmetrischen Schlüsselverfahrens sichergestellt.
# Die Namensauflösung ist vor Manipulationen durch Dritte geschützt.
#* Die Authentizität der Endpunkte wird zum Schutz vor Mann-in-der-Mitte-Angriffen mittels eines asymmetrischen Schlüsselverfahrens sichergestellt.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.
#* Der Ausfall eines Bündel-Servers führt nicht zur Störung des restlichen Netzes.
#* Die Netzstabilität wird durch Redundanz gewährleistet. Die Bündel-Server sind über mehrere Rechenzeitung verteilt.
#* Das Routing des Freifunk-Netzes ist "selbstheilend". Durch Ausfall bedingte Unterbrechungen werden automatisch behoben.
#* Die verfügbare Bandbreite wird gleichmäßig auf alle verbundenen Knoten/Klienten verteilt.

===Umgesetzte Sichgerheitsmaßnahmen===

===Bekannte Lücken sowie geplante, zukünftige Sicherheitsmaßnahmen===

==Internet Gateways==
Internet Gateways stellen die Verbindung zwischen dem Freifunk-Netz und dem Internet her. Sie werden auch als "Exit Nodes" bezeichnet und stellen die Standard-Route innerhalb des Freifunk-Netzes. In der aktuellen Konfiguration ist das Routing auf IPv4 beschränkt. Die lokalen IPv4-Adressen der Klienten werden auf die öffentlichen IPv4-Adressen der Gateways abgebildet. Konkret erfüllen Internet Gateways die folgenden Aufgaben:
* Routing von Verkehr zwischen dem Freifunk-Netz und dem Internet (nur IPv4)
* Adressübersetzung (nur IPv4)
* Namensauflösung für das Internet

===Schutzziele und Gefährdungen===
# Gleichmäßige Verteilung der verfügbaren Bandbreite auf alle Klienten sowie adequate Priorisierung des Verkehrs nach Diensten.
# Unterbindung von Rechtsverletzungen

Zusätzlich gelten die Schutzziele und Gefährdungen für Server im allgemeinen.

===Abgeleitete Sicherheitsanforderungen===
# Gleichmäßige Verteilung der verfügbaren Bandbreite auf alle Klienten sowie adequate Priorisierung des Verkehrs nach Diensten.
#* Verwendung geeigneter Queueing Disciplines.

# Unterbindung von Rechtsverletzungen
#* Unterbindung des Versands von SPAM-Nachrichten.
#* Einschränkung von P2P-Dateiübertragungen auf ein tolerierbares Maß.

===Umgesetzte Sicherheitsmaßnahmen===

===Geplante, zukünftige Sicherheitsmaßnahmen===

==IC-VPN Gateways==
IC-VPN Gateways stellen die Verbindung zwischen dem Freifunk-Netz und anderen Freifunk-Netzen innerhalb des Intercity VPNs (IC-VPN) her. Der Verkehr wird hierbei in beide Richtungen geleitet. Konkret erfüllen IC-VPN Gateways die folgenden Aufgaben:
* Peering mit IC-VPN Gateways anderer Freifunk-Netze
* Austausch von Routeninformation via BGP
* Routing von Verkehr zwischen den Freifunk-Netzen
* Namensauflösung für Domänen innerhalb des IC-VPN
* Routing von Internetverkehr (IPv6) zu den Internet Gateways anderer Freifunk-Netze

===Schutzziele und Gefährdungen===
# Übertragene Daten sind vor dem Zugriff Dritter geschützt.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.
# Der Ausfall des IC-VPN-Gateways führt nicht zur Störung des restlichen Netzes.

Zusätzlich gelten die Schutzziele und Gefährdungen wie für Bündel-Server.

===Abgeleitete Sichgerheitsmaßnahmen===
# Übertragene Daten sind vor dem Zugriff Dritter geschützt.
#* Die Datenübertragung zu den Bündel-Servern erfolgt mittels verschlüsselter Tunnelverbindungen (End-zu Endverschlüsselung) unter Verwendung von nach heutigem Wissenssand sicherer Verfahren.
#* Die Authentizität der Endpunkte wird zum Schutz vor Mann-in-der-Mitte-Angriffen mittels eines asymmetrischen Schlüsselverfahrens sichergestellt.

===Geplante, zukünftige Sicherheitsmaßnahmen===

==Bewertung des Gesamtsystems==
Welche Risiken ergeben sich aus dem Zusammnenwirken der Teilsysteme?

==Mitteilungspflichten==

Welche Sicherheitsverletzungen und/oder Störungen würden wir der Bundesnetzagentur mitteilen wollen?

=Ideen=

Integration in Freifunk-API? Community füllt lediglich Formular zu den einzelnen Teilsystemen aus. Das Sicherheitskonzept wird im Anschluss automatisch erstellt und im Netz veröffentlicht.

Sicherheitskonzept (intern)

2015-05-17T14:52:30Z

Langweiler: /* IC-VPN Gateways */

{{Tip|Dieses Dokument befindet sich noch in der Entstehung.}}

=Präambel=
Freifunk Dreiländereck ("FF3L") ist ein parteipolitischer, unabhängiger, eingetragener Verein, der sich als Teil der weltweiten Open Wireless-Bewegung versteht, welche in Deutschland durch die Freifunk-Initiative repärsentiert wird.

Zur Umsetzung des Vereinszwecks unterhält der FF3L eine Netzwerkinfrastruktur, welche in Kombination mit den Freifunk-WLAN-Routern das Freifunk-Netz bildet. Weiterhin stellt er eine Firmware für Freifunk-Router zur Verfügung. Er ist bei der Bundesnetzagentur seit dem xx.xx.xxxx. als Telekommunikationsdienstleister (Access Provider) registriert.

Mit dem vorliegenden Sicherheitskonzept werden die folgenden Absichten verfolgt:
* Erfüllung der Verpflichtung zur Erstellung und Umsetzung eines Sicherheitskonzeptes nach § 109 TKG.
* Transparente Dokumentation des Status Quo bezüglich Informationssicherheit als Grundlage für die kontinuierliche Verbesserung.
* Aufzeigen von inherenten Limitierungen, die sich auf Grund der Funktionsweise des Freifunk-Netzes ergeben.
* Darstellung der Pflichten von Freifunk-Nutzern hinsichtlich Gewährleistung ihrer eigene Sicherheit.

=Umfang=
Der Umfang des Sicherheitskonzepts beschränkt sich ausschließlich auf die vom FF3L (also dem Verein, und nicht von Freifunkern als Privatpersonen) betriebene Netzwerkinfrastruktur. Explizit beinhaltet dies die vom FF3L betriebenen Bündel-Server, Internet und IC-VPN Gateways. Aspekte der Freifunk-Router werden insofern abgehandelt, wie sie mit der vom Verein herausgegebenen Freifunk-Firmware in Verbindung stehen. Nicht im Umfang enthalten sind Server und Engeräte, welche von Freifunk-Nutzern betrieben werden.

Der Begriff Freifunk-Netz in diesem Dokument bezieht sich auschließlich auf das Freifunk-Netz im Dreiländereck (CH-DE-FR), dessen Aufbau und Betrieb durch den FF3L gefördert wird. Gleiches gilt für die Begriffe Freifunk-Router, Freifunk-Firmware und Freifunk-Server. Eine Übertragung auf Freifunk-Netze anderer Commnunities ist nicht zulässig.

=Kontinuierliche Verbesserung=
Das vorliegende Sicherheitskonzept ist als lebendes Dokument konzipiert. Es dient als Grundlage für die Arbeit des Sicherheitsbeauftragten. Dieser analysiert und aktualisiert gemeinsam mit dem Administratoren-Team des FF3L sowie allen interessierten Freifunkern in regelmäßigen Abständen die Anforderungen an die vom FF3L betriebenen Teilsysteme, die Zulänglichkeit der umgesetzten Maßnahmen sowie die Planung zukünftiger Maßnahmen zur weiteren Verbesserung der Sicherheit.

=Gesetzlicher Hintergrund=
Auszug aus dem "Katalog von Sicherheitsanforderungen für das Betreiben von Telekommunikations- und Datenverarbeitungssystemen sowie für die Verarbeitung personenbezogener Daten nach § 109 Telekommunikationsgesetz (TKG):

Für das Betreiben öffentlicher Telekkommunikatiosnetze sowie das Erbringen öffentlich zugänglicher Telekommunikationsdiense schreibt § 109 TKG Vorkehrungen und sonstige Maßnahmen

* zum Schutz des Fernmeldegehimnisses,
* gegen die Verletzung des Schutzes personenbezogener Daten,
* gegen Störungen, die zu erheblichen Beeinträchtigungen von Telekommunikationsnetzen und -diensten führen, auch soweit sie durch äußere Angriffe und Einwirkungen von Katastrophen bedingt sein könnten,
als Mindestanforderungen vor.

Ziel und Zweck der zu treffenden Maßnahmen sind insbesondere

* die Sicherheit vor unerlaubtem Zugriffen auf Telekommunikations- und Datenverarbeitungssysteme
* die Reduzierung / Minimierung der Auswirkungen von Sicherheitsverletzungen auf Nutzer oder auf zusammengeschaltete Netze
* die Gewährleistung eines ordnungsgemäßen Betriebes der Netze und dadurch die Sicherstellung der fortlaufenden Verfügbarkeit der über die Netze erbrachten Dienste.

=Netzstruktur=
Das Freifunknetz ist ein offenes, sich spontan ausbildendes und selbstheilendes Maschennetzwerk. Die Grundbausteine ("Knoten") des Freifunk-Netzes sind die Freifunk-Router. Der Begriff Maschennetzwerk
bedeutet, dass die einzelnen Knoten mit einem oder mehreren Knoten auf nicht hierarschische Weise verbunden sind.

Die Freifunk-Router sinde handelsübliche WLAN-Router, ausgestattet mit einer speziellen Software ("Firmware"). Die spezielle Firmware gestattet es den Freifunk-Routern spontan Verbindung mit anderen Freifunk-Routern in Reichweite aufzunehmen. Hierbei kommt der offizielle, zugelassene WLAN-Standard 802.11n zum Einsatz. Gleichzeitig agieren die Router als WLAN-Zugangspunkt und ermöglichen damit Klienten (z.B. Smartphones) den direkten Zugang zum Freifunknetz.

Damit die Daten in dieser chaotischen Struktur ihren Weg finden, kommt ein spezielles Routing-Protokoll zum Einsatz. Im Fall des FF3L handelt es sich um das Protokoll [http://www.open-mesh.org/projects/batman-adv/wiki B.A.T.M.A.N. Advanced]. Dieses arbeitet auf der Netzzugangsschicht (Layer 2 nach dem OSI-Netzwerkschichtmodell). Das Freifunk-Netz verhält sich damit effektiv so, als wären alle Knoten über einen einzigen Netzwerk-Switch miteinander verbunden.

Neben der direkten Verbindung von Freifunk-Routern via WLAN gibt es die Option, isolierte Funkwolken über Tunnelverbindungen zu zentralen Servern ("Bündel-Servern") miteinander zu verbinden. Die Tunnelverbindungen laufen über das Internet und sind verschlüsselt (d.h. der Inhalt ist für Dritte nicht einsehbar). Der Internetanschluss wird hierbei auf freiwilliger Basis von den Knotenbetreibern zur Vefügung gestellt.

Weiterhin bietet das Freifunknetz über zentrale Gateways eine Verbindung ins Internet ("Internet Gateways") sowie den Verbund aller Freifunk-Netze ("IC-VPN Gateways"). Der Verein Freifunk Dreiländreck e.V. agiert damit als Zugangsanbieter ("Access Provider"). Die indirekte Weiterleitung ins Internet schützt die Knotenbetreiber vor ewaigen Haftungsansprüchen ("Störherhaftung") im Fall eines Missbrauchs durch Dritte.

Zusätzlich können Applikations-Server in das Freifunk-Netz integriert werden. Diese agieren als reguläre Netzwerkknoten und sind den Freifunk-Routern gleichgestellt.

[[Datei:Netzstrukturplan.png]]

=Sicherheitsteilsysteme=
In den folgenden Abschnitten werden die sicherheitskritischen Teilsysteme des Freifunk-Netzes definiert und diskutiert. Konkret werden als Teilsysteme die Freifunk-Router und Freifunk-Server im allgmeienen sowie Bündel-Server, Internet und IC-VPN Gateways im speziellen behandelt. Jeder Abschnitt besteht aus einer einleitenden Beschreibung inkl. der Aufgaben des jeweiligen Teilsystems, einer Auflistung von Schutzzielen und Gefährdungen, abgeleiteten Sicherheitsanforderungen, bereits umgesetzten sowie zukünftigen, geplanten Sicherheitsmaßnahmen. Zuletzt erfolgt eine abschließende Beurteilung des Gesamtsystems.

==Freifunk-Router==
Freifunk-WLAN-Router bilden die Grundelemente des Freifunk-Netzes. Sie werden auch als Netzwerkknoten bezeichnet. Bei Freifunk-Routern handelt sich um handelsübliche WLAN-Router, welche durch das Einspielen eines speziellen Betriebssystems ("Freifunk-Firmware") modifiziert werden. Freifunk-Router erfüllen die folgenden Aufgaben:
* Spontane Bildung des Freifunk-Maschennetzwerks via WLAN mit allen in Reichweite befindlichen Freifunk-Routern (lokale Funkwolke).
* Optional die Errichtung von Tunnelverbindungen zu Bündel-Servern über das Internet für den Datenaustausch mit entfernten Funkwolken.
* Austausch von Routen-Informationen, um die zielgerichtete Zustellung von Daten zu ermöglichen.
* Zugangspunkt zum Freifunk-Netzwerk für WLAN-Klienten (z.B. Smartphones, Tablets, Notebooks).
* Optional die Anbindung von Servern und/oder lokalen Klienten mittels einer direkten Kabelverbindung.

===Schutzziele und Gefährdungen===
# Freifunk-Router sind vor dem Zugriff unbefugter Dritter geschützt.
# Freifunk-Router ermöglichen Dritten den Zugang zum Freifunk-Netz, nicht jedoch den Zugang zum privaten Netz des Router-Betreibers.
# Fehler und Sicherheitslücken in der Freifunk-Firmware werden behoben.
# Übertragene Daten sind vor dem Zugriff Dritter geschützt.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.

===Abgeleitete Sicherheitsanforderungen===
# Freifunk-Router sind vor dem Zugriff unbefugter Dritter geschützt.
#* Die Einstellungen des Freifunk-Routers lassen sich lediglich in einem gesonderten Konfigurationsmodus verändern.
#* In der Standardkonfiguration des Freifunk-Routers ist kein Zugang auf der Ebene des Betriebssystems ("Shell Login") möglich.
#* Optional kann durch den Router-Betreiber ein verschlüsselter Zugang (z.B. via SSH) aktiviert werden, um die Wartung aus der Ferne zu ermöglichen.
# Freifunk-Router ermöglichen Dritten den Zugang zum Freifunk-Netz, nicht jedoch den Zugang zum privaten Netz des Router-Betreibers.
#* Eine Firewall auf dem Freifunk-Router (Layer 2 und/oder Layer 3) verhindert den Zugriff auf das private Netz des Betreibers.
#* Ausgenommen ist der Aufbau einer Tunnelverbindung zu den Bündelservern, sofern der Betreiber dies in der Konfiguration ausdrücklich gestattet ("opt in").
# Fehler und Sicherheitslücken in der Freifunk-Firmware werden behoben.
#* Die Firmware der Freifunk-Router wird in angemessenen Intervallen automatisch über das Freifunk-Netzt aktualisiert ("Autoupdater").
#* Die Authentizität der Firmware wird durch ein elektronisches Signaturverfahren sichergestellt.
#* Neue Firmware-Versionen werden vor dem Ausrollen gem. eines festgelegten Schemas getestet.
# Übertragene Daten sind vor dem Zugriff Dritter geschützt.
#* Die Datenübertragung zu den Bündel-Servern erfolgt mittels verschlüsselter Tunnelverbindungen (End-zu-Endverschlüsselung) unter Verwendung von nach heutigem Wissenssand sicherer Verfahren.
#* Die Authentizität der Endpunkte wird zum Schutz vor Mann-in-der-Mitte-Angriffen mittels eines asymmetrischen Schlüsselverfahrens sichergestellt.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.
#* Der Ausfall einzelner Freifunk-Router führt nicht zur Störung des restlichen Netzes.
#* Das Routing des Freifunk-Netzes ist "selbstheilend". Durch Ausfall bedingte Unterbrechungenwerden automatisch behoben.
#* Die Funktionstüchtigkeit der Router wird überwacht und der fehlerhafte Betrieb detektiert.

===Umgesetzte Sichgerheitsmaßnahmen===
# Freifunk-Router sind vor dem Zugriff unbefugter Dritter geschützt.
#* Die verwendete Gluon-Firmware unterstützt einen separaten Konfigurationsmodus. Dieser ist nach dem Aufspielen der Firmware aktiviert. Er kann zu einem späteren Zeitpunkt durch längeres Drücken der Reset-Taste am Router erneut aktiviert werden. Die Konfiguration wird über eine Web-Oberfläche unter der Adresse http://192.168.0.1 vorgenommen. Nach Abschluss der Konfiguration wechselt der Router in den Betriebsmodus. Eine Änderung der Konfiguration über die Web-Obewrfläche ist in der Folge nicht mehr möglich.
#* In der Standardkonfiguration der Gluon-Firmware ist der Shell Login auf den Router deaktiviert. Er muss explizit im Konfigurationsmodus aktiviert werden, indem ein Passwort oder Schlüssel für den Zugang via SSH gesetzt wird.
# Freifunk-Router ermöglichen Dritten den Zugang zum Freifunk-Netz, nicht jedoch den Zugang zum privaten Netz des Router-Betreibers.
#* Das Freifunk-Netz und das private Netz des Router-Betreibers werden in der Gluon-Netzwerkkonfiguration strikt getrennt. Die Zugänge zu den beiden Netzen sind in Form separater Brücken zusammengefasst (''br-client'' und ''br-wan'').
#* Die verwendete Gluon-Firmware konfiguriert Firewall-Regeln (bereitgestellt durch das Paket ''gluon-ebtables''), welche auf der Netzzugangsschicht (Layer 2) den Zugriff auf das private Netz unterbindet.
#* Eine Ausnahme bildet der Aufbau einer optionalen Tunnelverbindung zu den Bündel-Servern durch die VPN-Software ''fastd''. Diese Option muss vom Betreiber im Konfigurationsmodus explizit aktiviert werden ("opt-in").
# Fehler und Sicherheitslücken in der Freifunk-Firmware werden behoben.
#* Der FF3L betreibt einen Aktualisierungs-Dienst, welcher über das Freifunk-Netz erreichbar ist. Mit Hilfe des Aktualisierungsdienstes lassen sich neuere Versionen der Firmware auf den Routern automatisch einspielen. Die Konfiguration der Freifunk-Router bleibt hierbei soweit möglich erhalten.
#* Der Aktualisierungs-Dienst ist in der Standardkonfiguration der Freifunk-Firmware aktiviert (Zweig "stable"). Der Aktualisierungs-Dienst kann im Konfigurationsmodus in den Experteneinstellungen deaktiviert werden ("opt-out").
#* Die Authentitizät der Firmware-Images wird durch ein Signaturverfahren gewährleistet (signiertes Manifest). Neue Images werden von den Freifunk-Routern nur bei vorhandensein einer gültigen Signatur installiert (siehe auch [http://gluon.readthedocs.org/en/v2014.4/index.html Gluon-Dokumentation]).
#* Veröffentlichte Firmware-Images werden in die Zweige "experimental", "beta" und "stable" unterteilt. Neue Firmware-Versionen werden in eben dieser Reihenfolge ausgerollt, um einen ausreichenden Testbetrieb vor der Verbreitung zu gewährleisten.
#* Die Aktuelle Praxis bezüglich der Veröffentlichung von neuen Firmware-Versionen ist im [http://wiki.freifunk-3laendereck.net/Freifunk-Router:Firmware Wiki] des FF3L dokumentiert.
# Übertragene Daten sind vor dem Zugriff Dritter geschützt.
#* Die Datenübertragung zu den Bündel-Servern erfolgt mittels der VPN-Software fastd über das Internet. Die übertragenen Daten sind mittels des Chiffre Salsa20/12 verschlüsselt.
#* Die Authentifizierung erfolgt mittels der asymmetrischen Schlüsselverfahren UMAC oder GMAC. Die öffentlichen Schlüssel müssen einmalig vor dem Aufbau der Verbindung ausgetauscht werden. Dies geschieht im Rahmen der Registrierung des Knotens.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.
#* Der Ausfall einzelner Server führt nicht zu Störungen innerhalb des Netzes, sofern alternative Routen existieren. In diesem Fällen wird das Routing durch das verwendete Routing-Protokoll batman-adv automatisch korrigiert und die Lücke geschlossen
#* Die Freifunk-Firmware stellt auf den Knoten eine Stauts-Seite bereit. Auf dieser kann man sehen, ob der Knoten mit dem Freifunk-Netz und auf welche Weise er mit dem Freifunk-Netz verbunden ist.
#* Der Status aller Knoten wird zusätzlich in Form einer Knotenkarte auf den Servern des FF3L visualisiert. Der Karte lässt sich neben der Lage des Knotes (freiwillige Angabe) entnehmen, ob ein Knoten mit dem Freifunk-Netz verbunden ist und wie er vebunden ist.

===Bekannte Lücken sowie geplante, zukünftige Sicherheitsmaßnahmen===
# Freifunk-Router sind vor dem Zugriff unbefugter Dritter geschützt.
#* Freifunk-Router werden prinzipiell nicht vom FF3L betrieben. Für den Schutz vor physikalischem Zugriff und ggf. damit einhergehender Manipulation ist der Knoten-Betreiber verantwortlich.
# Freifunk-Router ermöglichen Dritten den Zugang zum Freifunk-Netz, nicht jedoch den Zugang zum privaten Netz des Router-Betreibers.
#* Die an bestimmten Freifunk-Routern verfügbaren LAN-Ports ermöglichen eine direkte Verbindung von Endgeräten (z.B. Servern) mit dem Freifunk-Netz. LAN-Ports sind von den WAN-Ports zu unterscheiden, über welche die Freifunk-Router mit dem Internet verbunden werden.
#* Im Fall einer Verwechslung der Ports, kann das private Netze des Freifunk-Betreibers in das Freifunk-Netz überbrückt werden.
#* Um Knotenbetreiber im Fall einer Verwechselung zu schützen, sollen die LAN-Ports in der Standardkonfiguration deaktiviert werden. Eine Aktivierung erfolgt über den Konfigurationsmodus des Routers.
# Fehler und Sicherheitslücken in der Freifunk-Firmware werden behoben.
#* Der Aktualisierungs-Dienst für die Freifunk-Firmware ist in der Standardkonfiguration aktiviert. Die entsprechende Einstellung verbirgt sich jedoch unter den Experteneinstellungen im Konfigurationsmodus.
#* Um Knotenbetreiber auf diesen Umstand aufmerksam zu machen, ist eine Verlegung der Einstellungen in den allgemeinen Teil des Konfigurationsmnodus geplant.
# Übertragene Daten sind vor dem Zugriff Dritter geschützt.
#* Die Datenübertragung zwischen den Freifunk-Routern erfolgt auf Grund der eingesetzen Technologie unverschlüsselt. Sie ist damit durch Dritte vor Ort abhörbar.
#* Umfassende Sicherheit lässt sich allein durch End-zu-End-Verschlüsselung gewährleisten. Die Anwendung dieser erfolgt auf den Endgeräten und liegt damit in der Verantwortung der Freifunk-Nutzer und nicht des FF3L.
#* Um eine sichere Übetragung von den Klienten zu den Bündel-Servern zu gewährleisten, soll optional ein VPN-Zugang für Klienten angeboten werden (z.B. [http://www.openvpn.net OpenVPN]).
#* Um eine sichere Übertragung von Endpunkt zu Endpunkt innerhalb des Freifunk-Netzes anzubieten, ist die Einrichtung eines verschlüsselten Overlay-Netzes angedacht (z.B. [http://cjdns.info/ cjDNS]).
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet
#* Keine geplanten Maßnahmen.

==Server==
Im Folgenden Abschnitt sind die allgemeinen Schutzziele und Gefährdungen für Freifunk-Server zusammengefasst. Freifunk-Server werden in der Regel - jedoch nicht ausschließlich - bei Host Providern angemietet (physikalische und virtualisierte Root Server). Die Einrichtung, der Betrieb und die Wartung erfolgt durch den FF3L. Der Begriff "Freifunk-Server" umfasst hierbei die weiter unten aufgeführten Bündel-Server, Internet sowie IC-VPN Gateways. Diese werden entsprechend ihrer Aufgaben noch einmal separat abgehandelt. In der Praxis werde die verschiedenen Server meist zusammengefasst. Ausgeschlossen sind Server, welche von Freifunkern als Privatpersonen innerhalb des Freifunknetzes betrieben werden.

===Schutzziele und Gefährdungen===
# Server sind vor dem Zugriff unbefugter Dritter geschützt.
# Fehler und Sicherheitslücken in der verwendeten Software werden behoben.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.

===Abgeleitete Sicherheitsanforderungen===
# Server sind vor dem Zugriff unbefugter Dritter geschützt.
#* Der Zugriff auf die Server (physikalisch und über das Internet) ist auf einen engen, definierten Personenkreis beschränkt.
#* Zugriffsrechte werden nach Bedarf und maßgeschneidert erteilt.
#* Der Zugang aus dem Netz erfolgt exklusiv über verschlüsselte Verbindungen (z.B. SSH).
#* Eine Firewall beschränkt Zugriffe aus dem Netz auf das notwendige Minimum.
#* Spezielle Sicherheitssoftware zur Erkennung von Eindringlingen wird verwendet.
# Fehler und Sicherheitslücken in der verwendeten Software werden behoben.
#* Server werden auf der Grundlage eines gepflegten, quelloffenen Betriebssystems errichtet.
#* Verwendete Software wird in adequaten Intervallen aktualisiert.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.
#* Die Funktionstüchtigkeit der Server wird überwacht und der fehlerhafte Betrieb detektiert.
#* Server sind vor DoS-Attacken aus dem Internet geschützt.

===Umgesetzte Sicherheitsmaßnahmen===
# Server sind vor dem Zugriff unbefugter Dritter geschützt.
#* Der Zugriff auf die Server des FF3L ist auf Mitglieder des Administratoren-Teams begrenzt. Das Aministratoren-Team wird durch den Vorstand des Vereins benannt.
#* Der Shell-Login ist ausschließlich über SSH möglich. Die Authentifizierung erfolgt mittels eines Passworts (LDAP) oder eines hinterlegten Schlüssels.
#* Server werden durch Firewall-Regeln auf der Basis von ''iptables'' geschützt. Die Standardvorgabe ist, dass eingehende und weiterzuleitende Pakete verworfen werden. Die Freigabe von Ports bzw. der Weiterleitung erfolgt mittels spezifischer Regeln wo erwünscht.
# Fehler und Sicherheitslücken in der verwendeten Software werden behoben.
#* Die Freifunk-Server werden auf Basis der Debian Linux-Distribution betrieben. Sofern möglich, wird die jeweils letzte stabile Version verwendet.
#* Es werden in angemessenen Intervallen empfohlene Sicherheitsaktualisierungen mittels der offiziellen Paketverwaltung eingespielt.
#* Das Administratoren-Team verfolgt sicherheitsrelevante Ankündigungen über die Mailing-Liste debian-security-announce@lists.debian.org.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.
#* Kritische Server und Dienste werden über ein zentrales Monitoring auf der Basis von Nagios(-Derivaten) überwacht. Das Monitoring ist redundant aufgesetzt. Der aktuelle Zustand aller Server und Diense ist über eine Web-Oberfläche einsehbar. Optional erfolgt eine Mitteilung per e-Mail im Fall von Statusänderungen.
#* Die Server des FF3L werden von Host Providern angemietet. Diese bieten üblicherweise einen gewissen Schutz vor DoS-Angriffen in der Form adaptiver Firewalls.

===Bekannte Lücken sowie geplante, zukünftige Sicherheitsmaßnahmen===
# Server sind vor dem Zugriff unbefugter Dritter geschützt.
#* Die Erteilung von Zugriffsrechten erfolgt derzeit weitestgehend monolithisch, soll in Zukunft jedoch granular und nach Bedarf erfolgen. Erteilte Rechte sollen an geeigneter Stelle transparent dokumentiert und veröffentlicht werden.
#* Bzgl. der verwendbaren Passwörter gibt es aktuell keine Vorgaben. In der Zukunft soll eine Überprüfung der Passwortstärke sowie Vorgabe einer minimalen Entropie implementiert werden.
#* Die Authentizfizierung im Rahmen des Shell-Login via SSH ist aktuell mittels eines Passworts möglich. Die Authentifizierung soll auf asymmetrische Schlüsselverfahren beschränkt werden, um die Folgen von Man-in-der-Mitte-Angriffen zu mildern.
#* Sicherheitssoftware zur Erkennung von Eindringlingen wird aktuell nur auf einem Teil der Freifunk-Server verwendet. Die Erstellung und Umsetzung eines flächendeckenden Konzepts steht nachwievor aus.
# Fehler und Sicherheitslücken in der verwendeten Software werden behoben.
#* Keine geplanten Maßnahmen.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.
#* Keine geplanten Maßnahmen.

==Bündel-Server==
Bündel-Server dienen der Verbindung isolierter Funkwolken innerhalb des Freifunk-Netzes. Vom Prinzip her sind Sie den Freifunk-Routern gleichgestellte Netzwerkknoten, erfüllen jedoch zusätzliche Aufgaben. Bündel-Server unterhalten im Normalfall eine hohe Anzahl an Verbindungen zu Freifunk-Routern. Da ein erheblicher Teil des Datenverkehrs über die Bündel-Server läuft, sind diese als besonders sicherheitskritisch einzustufen. Konkret erfüllen Bündel-Server die folgenden Aufgaben:
* Verbindung entfernter Freifunk-Router mittels Tunnelverbindungen über das Internet.
* Austausch von Routen-Informationen, um die zielgerichtete Zustellung von Daten zu ermöglichen.
* Automatische Netzwerkkonfiguration von Klienten.
* Namensauflösung innerhalb des Freifunk-Netzes.

===Schutzziele und Gefährdungen===
# Übertragene Daten sind vor dem Zugriff Dritter geschützt.
# Die Namensauflösung ist vor Manipulationen durch Dritte geschützt.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.

Zusätzlich gelten die Schutzziele und Gefährdungen für Server im allgemeinen.

===Abgeleitete Sicherheitsanforderungen===
# Übertragene Daten sind vor dem Zugriff Dritter geschützt.
#* Die Datenübertragung zu den Freifunk-Routern erfolgt mittels verschlüsselter Tunnelverbindungen (End-zu-Endverschlüsselung) unter Verwendung von nach heutigem Wissenssand sicherer Verfahren.
#* Die Authentizität der Endpunkte wird zum Schutz vor Mann-in-der-Mitte-Angriffen mittels eines asymmetrischen Schlüsselverfahrens sichergestellt.
# Die Namensauflösung ist vor Manipulationen durch Dritte geschützt.
#* Die Authentizität der Endpunkte wird zum Schutz vor Mann-in-der-Mitte-Angriffen mittels eines asymmetrischen Schlüsselverfahrens sichergestellt.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.
#* Der Ausfall eines Bündel-Servers führt nicht zur Störung des restlichen Netzes.
#* Die Netzstabilität wird durch Redundanz gewährleistet. Die Bündel-Server sind über mehrere Rechenzeitung verteilt.
#* Das Routing des Freifunk-Netzes ist "selbstheilend". Durch Ausfall bedingte Unterbrechungen werden automatisch behoben.
#* Die verfügbare Bandbreite wird gleichmäßig auf alle verbundenen Knoten/Klienten verteilt.

===Umgesetzte Sichgerheitsmaßnahmen===

===Bekannte Lücken sowie geplante, zukünftige Sicherheitsmaßnahmen===

==Internet Gateways==
Internet Gateways stellen die Verbindung zwischen dem Freifunk-Netz und dem Internet her. Der Verkehr wird hierbei in beide Richtungen geleitet. Konkret erfüllen Internet Gateways die folgenden Aufgaben:
* Routing von Verkehr zwischen dem Freifunk-Netz und dem Internet
* Adressübersetzung (nur IPv4)
* Namensauflösung

===Schutzziele und Gefährdungen===
# Gleichmäßige Verteilung der verfügbaren Bandbreite auf alle Klienten sowie adequate Priorisierung des Verkehrs nach Diensten.
# Unterbindung von Rechtsverletzungen

Zusätzlich gelten die Schutzziele und Gefährdungen für Server im allgemeinen.

===Abgeleitete Sicherheitsanforderungen===
# Gleichmäßige Verteilung der verfügbaren Bandbreite auf alle Klienten sowie adequate Priorisierung des Verkehrs nach Diensten.
#* Verwendung geeigneter Queueing Disciplines.

# Unterbindung von Rechtsverletzungen
#* Unterbindung des Versands von SPAM-Nachrichten.
#* Einschränkung von P2P-Dateiübertragungen auf ein tolerierbares Maß.

===Umgesetzte Sicherheitsmaßnahmen===

===Geplante, zukünftige Sicherheitsmaßnahmen===

==IC-VPN Gateways==
IC-VPN Gateways stellen die Verbindung zwischen dem Freifunk-Netz und anderen Freifunk-Netzen innerhalb des Intercity VPNs (IC-VPN) her. Der Verkehr wird hierbei in beide Richtungen geleitet. Konkret erfüllen IC-VPN Gateways die folgenden Aufgaben:
* Peering mit IC-VPN Gateways anderer Freifunk-Netze
* Austausch von Routeninformation via BGP
* Routing von Verkehr zwischen den Freifunk-Netzen
* Namensauflösung für Domänen innerhalb des IC-VPN
* Routing von Internetverkehr (IPv6) zu den Internet Gateways anderer Freifunk-Netze

===Schutzziele und Gefährdungen===
# Übertragene Daten sind vor dem Zugriff Dritter geschützt.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.
# Der Ausfall des IC-VPN-Gateways führt nicht zur Störung des restlichen Netzes.

Zusätzlich gelten die Schutzziele und Gefährdungen wie für Bündel-Server.

===Abgeleitete Sichgerheitsmaßnahmen===
# Übertragene Daten sind vor dem Zugriff Dritter geschützt.
#* Die Datenübertragung zu den Bündel-Servern erfolgt mittels verschlüsselter Tunnelverbindungen (End-zu Endverschlüsselung) unter Verwendung von nach heutigem Wissenssand sicherer Verfahren.
#* Die Authentizität der Endpunkte wird zum Schutz vor Mann-in-der-Mitte-Angriffen mittels eines asymmetrischen Schlüsselverfahrens sichergestellt.

===Geplante, zukünftige Sicherheitsmaßnahmen===

==Bewertung des Gesamtsystems==
Welche Risiken ergeben sich aus dem Zusammnenwirken der Teilsysteme?

==Mitteilungspflichten==

Welche Sicherheitsverletzungen und/oder Störungen würden wir der Bundesnetzagentur mitteilen wollen?

=Ideen=

Integration in Freifunk-API? Community füllt lediglich Formular zu den einzelnen Teilsystemen aus. Das Sicherheitskonzept wird im Anschluss automatisch erstellt und im Netz veröffentlicht.

Sicherheitskonzept (intern)

2015-05-17T14:46:06Z

Langweiler: /* Internet Gateways */

{{Tip|Dieses Dokument befindet sich noch in der Entstehung.}}

=Präambel=
Freifunk Dreiländereck ("FF3L") ist ein parteipolitischer, unabhängiger, eingetragener Verein, der sich als Teil der weltweiten Open Wireless-Bewegung versteht, welche in Deutschland durch die Freifunk-Initiative repärsentiert wird.

Zur Umsetzung des Vereinszwecks unterhält der FF3L eine Netzwerkinfrastruktur, welche in Kombination mit den Freifunk-WLAN-Routern das Freifunk-Netz bildet. Weiterhin stellt er eine Firmware für Freifunk-Router zur Verfügung. Er ist bei der Bundesnetzagentur seit dem xx.xx.xxxx. als Telekommunikationsdienstleister (Access Provider) registriert.

Mit dem vorliegenden Sicherheitskonzept werden die folgenden Absichten verfolgt:
* Erfüllung der Verpflichtung zur Erstellung und Umsetzung eines Sicherheitskonzeptes nach § 109 TKG.
* Transparente Dokumentation des Status Quo bezüglich Informationssicherheit als Grundlage für die kontinuierliche Verbesserung.
* Aufzeigen von inherenten Limitierungen, die sich auf Grund der Funktionsweise des Freifunk-Netzes ergeben.
* Darstellung der Pflichten von Freifunk-Nutzern hinsichtlich Gewährleistung ihrer eigene Sicherheit.

=Umfang=
Der Umfang des Sicherheitskonzepts beschränkt sich ausschließlich auf die vom FF3L (also dem Verein, und nicht von Freifunkern als Privatpersonen) betriebene Netzwerkinfrastruktur. Explizit beinhaltet dies die vom FF3L betriebenen Bündel-Server, Internet und IC-VPN Gateways. Aspekte der Freifunk-Router werden insofern abgehandelt, wie sie mit der vom Verein herausgegebenen Freifunk-Firmware in Verbindung stehen. Nicht im Umfang enthalten sind Server und Engeräte, welche von Freifunk-Nutzern betrieben werden.

Der Begriff Freifunk-Netz in diesem Dokument bezieht sich auschließlich auf das Freifunk-Netz im Dreiländereck (CH-DE-FR), dessen Aufbau und Betrieb durch den FF3L gefördert wird. Gleiches gilt für die Begriffe Freifunk-Router, Freifunk-Firmware und Freifunk-Server. Eine Übertragung auf Freifunk-Netze anderer Commnunities ist nicht zulässig.

=Kontinuierliche Verbesserung=
Das vorliegende Sicherheitskonzept ist als lebendes Dokument konzipiert. Es dient als Grundlage für die Arbeit des Sicherheitsbeauftragten. Dieser analysiert und aktualisiert gemeinsam mit dem Administratoren-Team des FF3L sowie allen interessierten Freifunkern in regelmäßigen Abständen die Anforderungen an die vom FF3L betriebenen Teilsysteme, die Zulänglichkeit der umgesetzten Maßnahmen sowie die Planung zukünftiger Maßnahmen zur weiteren Verbesserung der Sicherheit.

=Gesetzlicher Hintergrund=
Auszug aus dem "Katalog von Sicherheitsanforderungen für das Betreiben von Telekommunikations- und Datenverarbeitungssystemen sowie für die Verarbeitung personenbezogener Daten nach § 109 Telekommunikationsgesetz (TKG):

Für das Betreiben öffentlicher Telekkommunikatiosnetze sowie das Erbringen öffentlich zugänglicher Telekommunikationsdiense schreibt § 109 TKG Vorkehrungen und sonstige Maßnahmen

* zum Schutz des Fernmeldegehimnisses,
* gegen die Verletzung des Schutzes personenbezogener Daten,
* gegen Störungen, die zu erheblichen Beeinträchtigungen von Telekommunikationsnetzen und -diensten führen, auch soweit sie durch äußere Angriffe und Einwirkungen von Katastrophen bedingt sein könnten,
als Mindestanforderungen vor.

Ziel und Zweck der zu treffenden Maßnahmen sind insbesondere

* die Sicherheit vor unerlaubtem Zugriffen auf Telekommunikations- und Datenverarbeitungssysteme
* die Reduzierung / Minimierung der Auswirkungen von Sicherheitsverletzungen auf Nutzer oder auf zusammengeschaltete Netze
* die Gewährleistung eines ordnungsgemäßen Betriebes der Netze und dadurch die Sicherstellung der fortlaufenden Verfügbarkeit der über die Netze erbrachten Dienste.

=Netzstruktur=
Das Freifunknetz ist ein offenes, sich spontan ausbildendes und selbstheilendes Maschennetzwerk. Die Grundbausteine ("Knoten") des Freifunk-Netzes sind die Freifunk-Router. Der Begriff Maschennetzwerk
bedeutet, dass die einzelnen Knoten mit einem oder mehreren Knoten auf nicht hierarschische Weise verbunden sind.

Die Freifunk-Router sinde handelsübliche WLAN-Router, ausgestattet mit einer speziellen Software ("Firmware"). Die spezielle Firmware gestattet es den Freifunk-Routern spontan Verbindung mit anderen Freifunk-Routern in Reichweite aufzunehmen. Hierbei kommt der offizielle, zugelassene WLAN-Standard 802.11n zum Einsatz. Gleichzeitig agieren die Router als WLAN-Zugangspunkt und ermöglichen damit Klienten (z.B. Smartphones) den direkten Zugang zum Freifunknetz.

Damit die Daten in dieser chaotischen Struktur ihren Weg finden, kommt ein spezielles Routing-Protokoll zum Einsatz. Im Fall des FF3L handelt es sich um das Protokoll [http://www.open-mesh.org/projects/batman-adv/wiki B.A.T.M.A.N. Advanced]. Dieses arbeitet auf der Netzzugangsschicht (Layer 2 nach dem OSI-Netzwerkschichtmodell). Das Freifunk-Netz verhält sich damit effektiv so, als wären alle Knoten über einen einzigen Netzwerk-Switch miteinander verbunden.

Neben der direkten Verbindung von Freifunk-Routern via WLAN gibt es die Option, isolierte Funkwolken über Tunnelverbindungen zu zentralen Servern ("Bündel-Servern") miteinander zu verbinden. Die Tunnelverbindungen laufen über das Internet und sind verschlüsselt (d.h. der Inhalt ist für Dritte nicht einsehbar). Der Internetanschluss wird hierbei auf freiwilliger Basis von den Knotenbetreibern zur Vefügung gestellt.

Weiterhin bietet das Freifunknetz über zentrale Gateways eine Verbindung ins Internet ("Internet Gateways") sowie den Verbund aller Freifunk-Netze ("IC-VPN Gateways"). Der Verein Freifunk Dreiländreck e.V. agiert damit als Zugangsanbieter ("Access Provider"). Die indirekte Weiterleitung ins Internet schützt die Knotenbetreiber vor ewaigen Haftungsansprüchen ("Störherhaftung") im Fall eines Missbrauchs durch Dritte.

Zusätzlich können Applikations-Server in das Freifunk-Netz integriert werden. Diese agieren als reguläre Netzwerkknoten und sind den Freifunk-Routern gleichgestellt.

[[Datei:Netzstrukturplan.png]]

=Sicherheitsteilsysteme=
In den folgenden Abschnitten werden die sicherheitskritischen Teilsysteme des Freifunk-Netzes definiert und diskutiert. Konkret werden als Teilsysteme die Freifunk-Router und Freifunk-Server im allgmeienen sowie Bündel-Server, Internet und IC-VPN Gateways im speziellen behandelt. Jeder Abschnitt besteht aus einer einleitenden Beschreibung inkl. der Aufgaben des jeweiligen Teilsystems, einer Auflistung von Schutzzielen und Gefährdungen, abgeleiteten Sicherheitsanforderungen, bereits umgesetzten sowie zukünftigen, geplanten Sicherheitsmaßnahmen. Zuletzt erfolgt eine abschließende Beurteilung des Gesamtsystems.

==Freifunk-Router==
Freifunk-WLAN-Router bilden die Grundelemente des Freifunk-Netzes. Sie werden auch als Netzwerkknoten bezeichnet. Bei Freifunk-Routern handelt sich um handelsübliche WLAN-Router, welche durch das Einspielen eines speziellen Betriebssystems ("Freifunk-Firmware") modifiziert werden. Freifunk-Router erfüllen die folgenden Aufgaben:
* Spontane Bildung des Freifunk-Maschennetzwerks via WLAN mit allen in Reichweite befindlichen Freifunk-Routern (lokale Funkwolke).
* Optional die Errichtung von Tunnelverbindungen zu Bündel-Servern über das Internet für den Datenaustausch mit entfernten Funkwolken.
* Austausch von Routen-Informationen, um die zielgerichtete Zustellung von Daten zu ermöglichen.
* Zugangspunkt zum Freifunk-Netzwerk für WLAN-Klienten (z.B. Smartphones, Tablets, Notebooks).
* Optional die Anbindung von Servern und/oder lokalen Klienten mittels einer direkten Kabelverbindung.

===Schutzziele und Gefährdungen===
# Freifunk-Router sind vor dem Zugriff unbefugter Dritter geschützt.
# Freifunk-Router ermöglichen Dritten den Zugang zum Freifunk-Netz, nicht jedoch den Zugang zum privaten Netz des Router-Betreibers.
# Fehler und Sicherheitslücken in der Freifunk-Firmware werden behoben.
# Übertragene Daten sind vor dem Zugriff Dritter geschützt.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.

===Abgeleitete Sicherheitsanforderungen===
# Freifunk-Router sind vor dem Zugriff unbefugter Dritter geschützt.
#* Die Einstellungen des Freifunk-Routers lassen sich lediglich in einem gesonderten Konfigurationsmodus verändern.
#* In der Standardkonfiguration des Freifunk-Routers ist kein Zugang auf der Ebene des Betriebssystems ("Shell Login") möglich.
#* Optional kann durch den Router-Betreiber ein verschlüsselter Zugang (z.B. via SSH) aktiviert werden, um die Wartung aus der Ferne zu ermöglichen.
# Freifunk-Router ermöglichen Dritten den Zugang zum Freifunk-Netz, nicht jedoch den Zugang zum privaten Netz des Router-Betreibers.
#* Eine Firewall auf dem Freifunk-Router (Layer 2 und/oder Layer 3) verhindert den Zugriff auf das private Netz des Betreibers.
#* Ausgenommen ist der Aufbau einer Tunnelverbindung zu den Bündelservern, sofern der Betreiber dies in der Konfiguration ausdrücklich gestattet ("opt in").
# Fehler und Sicherheitslücken in der Freifunk-Firmware werden behoben.
#* Die Firmware der Freifunk-Router wird in angemessenen Intervallen automatisch über das Freifunk-Netzt aktualisiert ("Autoupdater").
#* Die Authentizität der Firmware wird durch ein elektronisches Signaturverfahren sichergestellt.
#* Neue Firmware-Versionen werden vor dem Ausrollen gem. eines festgelegten Schemas getestet.
# Übertragene Daten sind vor dem Zugriff Dritter geschützt.
#* Die Datenübertragung zu den Bündel-Servern erfolgt mittels verschlüsselter Tunnelverbindungen (End-zu-Endverschlüsselung) unter Verwendung von nach heutigem Wissenssand sicherer Verfahren.
#* Die Authentizität der Endpunkte wird zum Schutz vor Mann-in-der-Mitte-Angriffen mittels eines asymmetrischen Schlüsselverfahrens sichergestellt.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.
#* Der Ausfall einzelner Freifunk-Router führt nicht zur Störung des restlichen Netzes.
#* Das Routing des Freifunk-Netzes ist "selbstheilend". Durch Ausfall bedingte Unterbrechungenwerden automatisch behoben.
#* Die Funktionstüchtigkeit der Router wird überwacht und der fehlerhafte Betrieb detektiert.

===Umgesetzte Sichgerheitsmaßnahmen===
# Freifunk-Router sind vor dem Zugriff unbefugter Dritter geschützt.
#* Die verwendete Gluon-Firmware unterstützt einen separaten Konfigurationsmodus. Dieser ist nach dem Aufspielen der Firmware aktiviert. Er kann zu einem späteren Zeitpunkt durch längeres Drücken der Reset-Taste am Router erneut aktiviert werden. Die Konfiguration wird über eine Web-Oberfläche unter der Adresse http://192.168.0.1 vorgenommen. Nach Abschluss der Konfiguration wechselt der Router in den Betriebsmodus. Eine Änderung der Konfiguration über die Web-Obewrfläche ist in der Folge nicht mehr möglich.
#* In der Standardkonfiguration der Gluon-Firmware ist der Shell Login auf den Router deaktiviert. Er muss explizit im Konfigurationsmodus aktiviert werden, indem ein Passwort oder Schlüssel für den Zugang via SSH gesetzt wird.
# Freifunk-Router ermöglichen Dritten den Zugang zum Freifunk-Netz, nicht jedoch den Zugang zum privaten Netz des Router-Betreibers.
#* Das Freifunk-Netz und das private Netz des Router-Betreibers werden in der Gluon-Netzwerkkonfiguration strikt getrennt. Die Zugänge zu den beiden Netzen sind in Form separater Brücken zusammengefasst (''br-client'' und ''br-wan'').
#* Die verwendete Gluon-Firmware konfiguriert Firewall-Regeln (bereitgestellt durch das Paket ''gluon-ebtables''), welche auf der Netzzugangsschicht (Layer 2) den Zugriff auf das private Netz unterbindet.
#* Eine Ausnahme bildet der Aufbau einer optionalen Tunnelverbindung zu den Bündel-Servern durch die VPN-Software ''fastd''. Diese Option muss vom Betreiber im Konfigurationsmodus explizit aktiviert werden ("opt-in").
# Fehler und Sicherheitslücken in der Freifunk-Firmware werden behoben.
#* Der FF3L betreibt einen Aktualisierungs-Dienst, welcher über das Freifunk-Netz erreichbar ist. Mit Hilfe des Aktualisierungsdienstes lassen sich neuere Versionen der Firmware auf den Routern automatisch einspielen. Die Konfiguration der Freifunk-Router bleibt hierbei soweit möglich erhalten.
#* Der Aktualisierungs-Dienst ist in der Standardkonfiguration der Freifunk-Firmware aktiviert (Zweig "stable"). Der Aktualisierungs-Dienst kann im Konfigurationsmodus in den Experteneinstellungen deaktiviert werden ("opt-out").
#* Die Authentitizät der Firmware-Images wird durch ein Signaturverfahren gewährleistet (signiertes Manifest). Neue Images werden von den Freifunk-Routern nur bei vorhandensein einer gültigen Signatur installiert (siehe auch [http://gluon.readthedocs.org/en/v2014.4/index.html Gluon-Dokumentation]).
#* Veröffentlichte Firmware-Images werden in die Zweige "experimental", "beta" und "stable" unterteilt. Neue Firmware-Versionen werden in eben dieser Reihenfolge ausgerollt, um einen ausreichenden Testbetrieb vor der Verbreitung zu gewährleisten.
#* Die Aktuelle Praxis bezüglich der Veröffentlichung von neuen Firmware-Versionen ist im [http://wiki.freifunk-3laendereck.net/Freifunk-Router:Firmware Wiki] des FF3L dokumentiert.
# Übertragene Daten sind vor dem Zugriff Dritter geschützt.
#* Die Datenübertragung zu den Bündel-Servern erfolgt mittels der VPN-Software fastd über das Internet. Die übertragenen Daten sind mittels des Chiffre Salsa20/12 verschlüsselt.
#* Die Authentifizierung erfolgt mittels der asymmetrischen Schlüsselverfahren UMAC oder GMAC. Die öffentlichen Schlüssel müssen einmalig vor dem Aufbau der Verbindung ausgetauscht werden. Dies geschieht im Rahmen der Registrierung des Knotens.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.
#* Der Ausfall einzelner Server führt nicht zu Störungen innerhalb des Netzes, sofern alternative Routen existieren. In diesem Fällen wird das Routing durch das verwendete Routing-Protokoll batman-adv automatisch korrigiert und die Lücke geschlossen
#* Die Freifunk-Firmware stellt auf den Knoten eine Stauts-Seite bereit. Auf dieser kann man sehen, ob der Knoten mit dem Freifunk-Netz und auf welche Weise er mit dem Freifunk-Netz verbunden ist.
#* Der Status aller Knoten wird zusätzlich in Form einer Knotenkarte auf den Servern des FF3L visualisiert. Der Karte lässt sich neben der Lage des Knotes (freiwillige Angabe) entnehmen, ob ein Knoten mit dem Freifunk-Netz verbunden ist und wie er vebunden ist.

===Bekannte Lücken sowie geplante, zukünftige Sicherheitsmaßnahmen===
# Freifunk-Router sind vor dem Zugriff unbefugter Dritter geschützt.
#* Freifunk-Router werden prinzipiell nicht vom FF3L betrieben. Für den Schutz vor physikalischem Zugriff und ggf. damit einhergehender Manipulation ist der Knoten-Betreiber verantwortlich.
# Freifunk-Router ermöglichen Dritten den Zugang zum Freifunk-Netz, nicht jedoch den Zugang zum privaten Netz des Router-Betreibers.
#* Die an bestimmten Freifunk-Routern verfügbaren LAN-Ports ermöglichen eine direkte Verbindung von Endgeräten (z.B. Servern) mit dem Freifunk-Netz. LAN-Ports sind von den WAN-Ports zu unterscheiden, über welche die Freifunk-Router mit dem Internet verbunden werden.
#* Im Fall einer Verwechslung der Ports, kann das private Netze des Freifunk-Betreibers in das Freifunk-Netz überbrückt werden.
#* Um Knotenbetreiber im Fall einer Verwechselung zu schützen, sollen die LAN-Ports in der Standardkonfiguration deaktiviert werden. Eine Aktivierung erfolgt über den Konfigurationsmodus des Routers.
# Fehler und Sicherheitslücken in der Freifunk-Firmware werden behoben.
#* Der Aktualisierungs-Dienst für die Freifunk-Firmware ist in der Standardkonfiguration aktiviert. Die entsprechende Einstellung verbirgt sich jedoch unter den Experteneinstellungen im Konfigurationsmodus.
#* Um Knotenbetreiber auf diesen Umstand aufmerksam zu machen, ist eine Verlegung der Einstellungen in den allgemeinen Teil des Konfigurationsmnodus geplant.
# Übertragene Daten sind vor dem Zugriff Dritter geschützt.
#* Die Datenübertragung zwischen den Freifunk-Routern erfolgt auf Grund der eingesetzen Technologie unverschlüsselt. Sie ist damit durch Dritte vor Ort abhörbar.
#* Umfassende Sicherheit lässt sich allein durch End-zu-End-Verschlüsselung gewährleisten. Die Anwendung dieser erfolgt auf den Endgeräten und liegt damit in der Verantwortung der Freifunk-Nutzer und nicht des FF3L.
#* Um eine sichere Übetragung von den Klienten zu den Bündel-Servern zu gewährleisten, soll optional ein VPN-Zugang für Klienten angeboten werden (z.B. [http://www.openvpn.net OpenVPN]).
#* Um eine sichere Übertragung von Endpunkt zu Endpunkt innerhalb des Freifunk-Netzes anzubieten, ist die Einrichtung eines verschlüsselten Overlay-Netzes angedacht (z.B. [http://cjdns.info/ cjDNS]).
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet
#* Keine geplanten Maßnahmen.

==Server==
Im Folgenden Abschnitt sind die allgemeinen Schutzziele und Gefährdungen für Freifunk-Server zusammengefasst. Freifunk-Server werden in der Regel - jedoch nicht ausschließlich - bei Host Providern angemietet (physikalische und virtualisierte Root Server). Die Einrichtung, der Betrieb und die Wartung erfolgt durch den FF3L. Der Begriff "Freifunk-Server" umfasst hierbei die weiter unten aufgeführten Bündel-Server, Internet sowie IC-VPN Gateways. Diese werden entsprechend ihrer Aufgaben noch einmal separat abgehandelt. In der Praxis werde die verschiedenen Server meist zusammengefasst. Ausgeschlossen sind Server, welche von Freifunkern als Privatpersonen innerhalb des Freifunknetzes betrieben werden.

===Schutzziele und Gefährdungen===
# Server sind vor dem Zugriff unbefugter Dritter geschützt.
# Fehler und Sicherheitslücken in der verwendeten Software werden behoben.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.

===Abgeleitete Sicherheitsanforderungen===
# Server sind vor dem Zugriff unbefugter Dritter geschützt.
#* Der Zugriff auf die Server (physikalisch und über das Internet) ist auf einen engen, definierten Personenkreis beschränkt.
#* Zugriffsrechte werden nach Bedarf und maßgeschneidert erteilt.
#* Der Zugang aus dem Netz erfolgt exklusiv über verschlüsselte Verbindungen (z.B. SSH).
#* Eine Firewall beschränkt Zugriffe aus dem Netz auf das notwendige Minimum.
#* Spezielle Sicherheitssoftware zur Erkennung von Eindringlingen wird verwendet.
# Fehler und Sicherheitslücken in der verwendeten Software werden behoben.
#* Server werden auf der Grundlage eines gepflegten, quelloffenen Betriebssystems errichtet.
#* Verwendete Software wird in adequaten Intervallen aktualisiert.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.
#* Die Funktionstüchtigkeit der Server wird überwacht und der fehlerhafte Betrieb detektiert.
#* Server sind vor DoS-Attacken aus dem Internet geschützt.

===Umgesetzte Sicherheitsmaßnahmen===
# Server sind vor dem Zugriff unbefugter Dritter geschützt.
#* Der Zugriff auf die Server des FF3L ist auf Mitglieder des Administratoren-Teams begrenzt. Das Aministratoren-Team wird durch den Vorstand des Vereins benannt.
#* Der Shell-Login ist ausschließlich über SSH möglich. Die Authentifizierung erfolgt mittels eines Passworts (LDAP) oder eines hinterlegten Schlüssels.
#* Server werden durch Firewall-Regeln auf der Basis von ''iptables'' geschützt. Die Standardvorgabe ist, dass eingehende und weiterzuleitende Pakete verworfen werden. Die Freigabe von Ports bzw. der Weiterleitung erfolgt mittels spezifischer Regeln wo erwünscht.
# Fehler und Sicherheitslücken in der verwendeten Software werden behoben.
#* Die Freifunk-Server werden auf Basis der Debian Linux-Distribution betrieben. Sofern möglich, wird die jeweils letzte stabile Version verwendet.
#* Es werden in angemessenen Intervallen empfohlene Sicherheitsaktualisierungen mittels der offiziellen Paketverwaltung eingespielt.
#* Das Administratoren-Team verfolgt sicherheitsrelevante Ankündigungen über die Mailing-Liste debian-security-announce@lists.debian.org.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.
#* Kritische Server und Dienste werden über ein zentrales Monitoring auf der Basis von Nagios(-Derivaten) überwacht. Das Monitoring ist redundant aufgesetzt. Der aktuelle Zustand aller Server und Diense ist über eine Web-Oberfläche einsehbar. Optional erfolgt eine Mitteilung per e-Mail im Fall von Statusänderungen.
#* Die Server des FF3L werden von Host Providern angemietet. Diese bieten üblicherweise einen gewissen Schutz vor DoS-Angriffen in der Form adaptiver Firewalls.

===Bekannte Lücken sowie geplante, zukünftige Sicherheitsmaßnahmen===
# Server sind vor dem Zugriff unbefugter Dritter geschützt.
#* Die Erteilung von Zugriffsrechten erfolgt derzeit weitestgehend monolithisch, soll in Zukunft jedoch granular und nach Bedarf erfolgen. Erteilte Rechte sollen an geeigneter Stelle transparent dokumentiert und veröffentlicht werden.
#* Bzgl. der verwendbaren Passwörter gibt es aktuell keine Vorgaben. In der Zukunft soll eine Überprüfung der Passwortstärke sowie Vorgabe einer minimalen Entropie implementiert werden.
#* Die Authentizfizierung im Rahmen des Shell-Login via SSH ist aktuell mittels eines Passworts möglich. Die Authentifizierung soll auf asymmetrische Schlüsselverfahren beschränkt werden, um die Folgen von Man-in-der-Mitte-Angriffen zu mildern.
#* Sicherheitssoftware zur Erkennung von Eindringlingen wird aktuell nur auf einem Teil der Freifunk-Server verwendet. Die Erstellung und Umsetzung eines flächendeckenden Konzepts steht nachwievor aus.
# Fehler und Sicherheitslücken in der verwendeten Software werden behoben.
#* Keine geplanten Maßnahmen.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.
#* Keine geplanten Maßnahmen.

==Bündel-Server==
Bündel-Server dienen der Verbindung isolierter Funkwolken innerhalb des Freifunk-Netzes. Vom Prinzip her sind Sie den Freifunk-Routern gleichgestellte Netzwerkknoten, erfüllen jedoch zusätzliche Aufgaben. Bündel-Server unterhalten im Normalfall eine hohe Anzahl an Verbindungen zu Freifunk-Routern. Da ein erheblicher Teil des Datenverkehrs über die Bündel-Server läuft, sind diese als besonders sicherheitskritisch einzustufen. Konkret erfüllen Bündel-Server die folgenden Aufgaben:
* Verbindung entfernter Freifunk-Router mittels Tunnelverbindungen über das Internet.
* Austausch von Routen-Informationen, um die zielgerichtete Zustellung von Daten zu ermöglichen.
* Automatische Netzwerkkonfiguration von Klienten.
* Namensauflösung innerhalb des Freifunk-Netzes.

===Schutzziele und Gefährdungen===
# Übertragene Daten sind vor dem Zugriff Dritter geschützt.
# Die Namensauflösung ist vor Manipulationen durch Dritte geschützt.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.

Zusätzlich gelten die Schutzziele und Gefährdungen für Server im allgemeinen.

===Abgeleitete Sicherheitsanforderungen===
# Übertragene Daten sind vor dem Zugriff Dritter geschützt.
#* Die Datenübertragung zu den Freifunk-Routern erfolgt mittels verschlüsselter Tunnelverbindungen (End-zu-Endverschlüsselung) unter Verwendung von nach heutigem Wissenssand sicherer Verfahren.
#* Die Authentizität der Endpunkte wird zum Schutz vor Mann-in-der-Mitte-Angriffen mittels eines asymmetrischen Schlüsselverfahrens sichergestellt.
# Die Namensauflösung ist vor Manipulationen durch Dritte geschützt.
#* Die Authentizität der Endpunkte wird zum Schutz vor Mann-in-der-Mitte-Angriffen mittels eines asymmetrischen Schlüsselverfahrens sichergestellt.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.
#* Der Ausfall eines Bündel-Servers führt nicht zur Störung des restlichen Netzes.
#* Die Netzstabilität wird durch Redundanz gewährleistet. Die Bündel-Server sind über mehrere Rechenzeitung verteilt.
#* Das Routing des Freifunk-Netzes ist "selbstheilend". Durch Ausfall bedingte Unterbrechungen werden automatisch behoben.
#* Die verfügbare Bandbreite wird gleichmäßig auf alle verbundenen Knoten/Klienten verteilt.

===Umgesetzte Sichgerheitsmaßnahmen===

===Bekannte Lücken sowie geplante, zukünftige Sicherheitsmaßnahmen===

==Internet Gateways==
Internet Gateways stellen die Verbindung zwischen dem Freifunk-Netz und dem Internet her. Der Verkehr wird hierbei in beide Richtungen geleitet. Konkret erfüllen Internet Gateways die folgenden Aufgaben:
* Routing von Verkehr zwischen dem Freifunk-Netz und dem Internet
* Adressübersetzung (nur IPv4)
* Namensauflösung

===Schutzziele und Gefährdungen===
# Gleichmäßige Verteilung der verfügbaren Bandbreite auf alle Klienten sowie adequate Priorisierung des Verkehrs nach Diensten.
# Unterbindung von Rechtsverletzungen

Zusätzlich gelten die Schutzziele und Gefährdungen für Server im allgemeinen.

===Abgeleitete Sicherheitsanforderungen===
# Gleichmäßige Verteilung der verfügbaren Bandbreite auf alle Klienten sowie adequate Priorisierung des Verkehrs nach Diensten.
#* Verwendung geeigneter Queueing Disciplines.

# Unterbindung von Rechtsverletzungen
#* Unterbindung des Versands von SPAM-Nachrichten.
#* Einschränkung von P2P-Dateiübertragungen auf ein tolerierbares Maß.

===Umgesetzte Sicherheitsmaßnahmen===

===Geplante, zukünftige Sicherheitsmaßnahmen===

==IC-VPN Gateways==
Aufgaben:
* Verbindung des Freifunk-Netzes mit anderen Freifunk-Netzen innerhalb des IC-VPNs
* Austausch von Routeninformationen
* Namensauflösung für Domänen innerhalb des IC-VPN
* Optional Routing von Internetverkehr zu den Gateways anderer Freifunk-Netze

===Schutzziele und Gefährdungen===
# Übertragene Daten sind vor dem Zugriff Dritter geschützt.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.
# Der Ausfall des IC-VPN-Gateways führt nicht zur Störung des restlichen Netzes.

Zusätzlich gelten die Schutzziele und Gefährdungen wie für Bündel-Server.

===Abgeleitete Sichgerheitsmaßnahmen===
# Übertragene Daten sind vor dem Zugriff Dritter geschützt.
#* Die Datenübertragung zu den Bündel-Servern erfolgt mittels verschlüsselter Tunnelverbindungen (End-zu Endverschlüsselung) unter Verwendung von nach heutigem Wissenssand sicherer Verfahren.
#* Die Authentizität der Endpunkte wird zum Schutz vor Mann-in-der-Mitte-Angriffen mittels eines asymmetrischen Schlüsselverfahrens sichergestellt.

===Geplante, zukünftige Sicherheitsmaßnahmen===

==Bewertung des Gesamtsystems==
Welche Risiken ergeben sich aus dem Zusammnenwirken der Teilsysteme?

==Mitteilungspflichten==

Welche Sicherheitsverletzungen und/oder Störungen würden wir der Bundesnetzagentur mitteilen wollen?

=Ideen=

Integration in Freifunk-API? Community füllt lediglich Formular zu den einzelnen Teilsystemen aus. Das Sicherheitskonzept wird im Anschluss automatisch erstellt und im Netz veröffentlicht.

Sicherheitskonzept (intern)

2015-05-17T13:59:28Z

Langweiler: /* Abgeleitete Sichgerheitsmaßnahmen */

{{Tip|Dieses Dokument befindet sich noch in der Entstehung.}}

=Präambel=
Freifunk Dreiländereck ("FF3L") ist ein parteipolitischer, unabhängiger, eingetragener Verein, der sich als Teil der weltweiten Open Wireless-Bewegung versteht, welche in Deutschland durch die Freifunk-Initiative repärsentiert wird.

Zur Umsetzung des Vereinszwecks unterhält der FF3L eine Netzwerkinfrastruktur, welche in Kombination mit den Freifunk-WLAN-Routern das Freifunk-Netz bildet. Weiterhin stellt er eine Firmware für Freifunk-Router zur Verfügung. Er ist bei der Bundesnetzagentur seit dem xx.xx.xxxx. als Telekommunikationsdienstleister (Access Provider) registriert.

Mit dem vorliegenden Sicherheitskonzept werden die folgenden Absichten verfolgt:
* Erfüllung der Verpflichtung zur Erstellung und Umsetzung eines Sicherheitskonzeptes nach § 109 TKG.
* Transparente Dokumentation des Status Quo bezüglich Informationssicherheit als Grundlage für die kontinuierliche Verbesserung.
* Aufzeigen von inherenten Limitierungen, die sich auf Grund der Funktionsweise des Freifunk-Netzes ergeben.
* Darstellung der Pflichten von Freifunk-Nutzern hinsichtlich Gewährleistung ihrer eigene Sicherheit.

=Umfang=
Der Umfang des Sicherheitskonzepts beschränkt sich ausschließlich auf die vom FF3L (also dem Verein, und nicht von Freifunkern als Privatpersonen) betriebene Netzwerkinfrastruktur. Explizit beinhaltet dies die vom FF3L betriebenen Bündel-Server, Internet und IC-VPN Gateways. Aspekte der Freifunk-Router werden insofern abgehandelt, wie sie mit der vom Verein herausgegebenen Freifunk-Firmware in Verbindung stehen. Nicht im Umfang enthalten sind Server und Engeräte, welche von Freifunk-Nutzern betrieben werden.

Der Begriff Freifunk-Netz in diesem Dokument bezieht sich auschließlich auf das Freifunk-Netz im Dreiländereck (CH-DE-FR), dessen Aufbau und Betrieb durch den FF3L gefördert wird. Gleiches gilt für die Begriffe Freifunk-Router, Freifunk-Firmware und Freifunk-Server. Eine Übertragung auf Freifunk-Netze anderer Commnunities ist nicht zulässig.

=Kontinuierliche Verbesserung=
Das vorliegende Sicherheitskonzept ist als lebendes Dokument konzipiert. Es dient als Grundlage für die Arbeit des Sicherheitsbeauftragten. Dieser analysiert und aktualisiert gemeinsam mit dem Administratoren-Team des FF3L sowie allen interessierten Freifunkern in regelmäßigen Abständen die Anforderungen an die vom FF3L betriebenen Teilsysteme, die Zulänglichkeit der umgesetzten Maßnahmen sowie die Planung zukünftiger Maßnahmen zur weiteren Verbesserung der Sicherheit.

=Gesetzlicher Hintergrund=
Auszug aus dem "Katalog von Sicherheitsanforderungen für das Betreiben von Telekommunikations- und Datenverarbeitungssystemen sowie für die Verarbeitung personenbezogener Daten nach § 109 Telekommunikationsgesetz (TKG):

Für das Betreiben öffentlicher Telekkommunikatiosnetze sowie das Erbringen öffentlich zugänglicher Telekommunikationsdiense schreibt § 109 TKG Vorkehrungen und sonstige Maßnahmen

* zum Schutz des Fernmeldegehimnisses,
* gegen die Verletzung des Schutzes personenbezogener Daten,
* gegen Störungen, die zu erheblichen Beeinträchtigungen von Telekommunikationsnetzen und -diensten führen, auch soweit sie durch äußere Angriffe und Einwirkungen von Katastrophen bedingt sein könnten,
als Mindestanforderungen vor.

Ziel und Zweck der zu treffenden Maßnahmen sind insbesondere

* die Sicherheit vor unerlaubtem Zugriffen auf Telekommunikations- und Datenverarbeitungssysteme
* die Reduzierung / Minimierung der Auswirkungen von Sicherheitsverletzungen auf Nutzer oder auf zusammengeschaltete Netze
* die Gewährleistung eines ordnungsgemäßen Betriebes der Netze und dadurch die Sicherstellung der fortlaufenden Verfügbarkeit der über die Netze erbrachten Dienste.

=Netzstruktur=
Das Freifunknetz ist ein offenes, sich spontan ausbildendes und selbstheilendes Maschennetzwerk. Die Grundbausteine ("Knoten") des Freifunk-Netzes sind die Freifunk-Router. Der Begriff Maschennetzwerk
bedeutet, dass die einzelnen Knoten mit einem oder mehreren Knoten auf nicht hierarschische Weise verbunden sind.

Die Freifunk-Router sinde handelsübliche WLAN-Router, ausgestattet mit einer speziellen Software ("Firmware"). Die spezielle Firmware gestattet es den Freifunk-Routern spontan Verbindung mit anderen Freifunk-Routern in Reichweite aufzunehmen. Hierbei kommt der offizielle, zugelassene WLAN-Standard 802.11n zum Einsatz. Gleichzeitig agieren die Router als WLAN-Zugangspunkt und ermöglichen damit Klienten (z.B. Smartphones) den direkten Zugang zum Freifunknetz.

Damit die Daten in dieser chaotischen Struktur ihren Weg finden, kommt ein spezielles Routing-Protokoll zum Einsatz. Im Fall des FF3L handelt es sich um das Protokoll [http://www.open-mesh.org/projects/batman-adv/wiki B.A.T.M.A.N. Advanced]. Dieses arbeitet auf der Netzzugangsschicht (Layer 2 nach dem OSI-Netzwerkschichtmodell). Das Freifunk-Netz verhält sich damit effektiv so, als wären alle Knoten über einen einzigen Netzwerk-Switch miteinander verbunden.

Neben der direkten Verbindung von Freifunk-Routern via WLAN gibt es die Option, isolierte Funkwolken über Tunnelverbindungen zu zentralen Servern ("Bündel-Servern") miteinander zu verbinden. Die Tunnelverbindungen laufen über das Internet und sind verschlüsselt (d.h. der Inhalt ist für Dritte nicht einsehbar). Der Internetanschluss wird hierbei auf freiwilliger Basis von den Knotenbetreibern zur Vefügung gestellt.

Weiterhin bietet das Freifunknetz über zentrale Gateways eine Verbindung ins Internet ("Internet Gateways") sowie den Verbund aller Freifunk-Netze ("IC-VPN Gateways"). Der Verein Freifunk Dreiländreck e.V. agiert damit als Zugangsanbieter ("Access Provider"). Die indirekte Weiterleitung ins Internet schützt die Knotenbetreiber vor ewaigen Haftungsansprüchen ("Störherhaftung") im Fall eines Missbrauchs durch Dritte.

Zusätzlich können Applikations-Server in das Freifunk-Netz integriert werden. Diese agieren als reguläre Netzwerkknoten und sind den Freifunk-Routern gleichgestellt.

[[Datei:Netzstrukturplan.png]]

=Sicherheitsteilsysteme=
In den folgenden Abschnitten werden die sicherheitskritischen Teilsysteme des Freifunk-Netzes definiert und diskutiert. Konkret werden als Teilsysteme die Freifunk-Router und Freifunk-Server im allgmeienen sowie Bündel-Server, Internet und IC-VPN Gateways im speziellen behandelt. Jeder Abschnitt besteht aus einer einleitenden Beschreibung inkl. der Aufgaben des jeweiligen Teilsystems, einer Auflistung von Schutzzielen und Gefährdungen, abgeleiteten Sicherheitsanforderungen, bereits umgesetzten sowie zukünftigen, geplanten Sicherheitsmaßnahmen. Zuletzt erfolgt eine abschließende Beurteilung des Gesamtsystems.

==Freifunk-Router==
Freifunk-WLAN-Router bilden die Grundelemente des Freifunk-Netzes. Sie werden auch als Netzwerkknoten bezeichnet. Bei Freifunk-Routern handelt sich um handelsübliche WLAN-Router, welche durch das Einspielen eines speziellen Betriebssystems ("Freifunk-Firmware") modifiziert werden. Freifunk-Router erfüllen die folgenden Aufgaben:
* Spontane Bildung des Freifunk-Maschennetzwerks via WLAN mit allen in Reichweite befindlichen Freifunk-Routern (lokale Funkwolke).
* Optional die Errichtung von Tunnelverbindungen zu Bündel-Servern über das Internet für den Datenaustausch mit entfernten Funkwolken.
* Austausch von Routen-Informationen, um die zielgerichtete Zustellung von Daten zu ermöglichen.
* Zugangspunkt zum Freifunk-Netzwerk für WLAN-Klienten (z.B. Smartphones, Tablets, Notebooks).
* Optional die Anbindung von Servern und/oder lokalen Klienten mittels einer direkten Kabelverbindung.

===Schutzziele und Gefährdungen===
# Freifunk-Router sind vor dem Zugriff unbefugter Dritter geschützt.
# Freifunk-Router ermöglichen Dritten den Zugang zum Freifunk-Netz, nicht jedoch den Zugang zum privaten Netz des Router-Betreibers.
# Fehler und Sicherheitslücken in der Freifunk-Firmware werden behoben.
# Übertragene Daten sind vor dem Zugriff Dritter geschützt.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.

===Abgeleitete Sicherheitsanforderungen===
# Freifunk-Router sind vor dem Zugriff unbefugter Dritter geschützt.
#* Die Einstellungen des Freifunk-Routers lassen sich lediglich in einem gesonderten Konfigurationsmodus verändern.
#* In der Standardkonfiguration des Freifunk-Routers ist kein Zugang auf der Ebene des Betriebssystems ("Shell Login") möglich.
#* Optional kann durch den Router-Betreiber ein verschlüsselter Zugang (z.B. via SSH) aktiviert werden, um die Wartung aus der Ferne zu ermöglichen.
# Freifunk-Router ermöglichen Dritten den Zugang zum Freifunk-Netz, nicht jedoch den Zugang zum privaten Netz des Router-Betreibers.
#* Eine Firewall auf dem Freifunk-Router (Layer 2 und/oder Layer 3) verhindert den Zugriff auf das private Netz des Betreibers.
#* Ausgenommen ist der Aufbau einer Tunnelverbindung zu den Bündelservern, sofern der Betreiber dies in der Konfiguration ausdrücklich gestattet ("opt in").
# Fehler und Sicherheitslücken in der Freifunk-Firmware werden behoben.
#* Die Firmware der Freifunk-Router wird in angemessenen Intervallen automatisch über das Freifunk-Netzt aktualisiert ("Autoupdater").
#* Die Authentizität der Firmware wird durch ein elektronisches Signaturverfahren sichergestellt.
#* Neue Firmware-Versionen werden vor dem Ausrollen gem. eines festgelegten Schemas getestet.
# Übertragene Daten sind vor dem Zugriff Dritter geschützt.
#* Die Datenübertragung zu den Bündel-Servern erfolgt mittels verschlüsselter Tunnelverbindungen (End-zu-Endverschlüsselung) unter Verwendung von nach heutigem Wissenssand sicherer Verfahren.
#* Die Authentizität der Endpunkte wird zum Schutz vor Mann-in-der-Mitte-Angriffen mittels eines asymmetrischen Schlüsselverfahrens sichergestellt.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.
#* Der Ausfall einzelner Freifunk-Router führt nicht zur Störung des restlichen Netzes.
#* Das Routing des Freifunk-Netzes ist "selbstheilend". Durch Ausfall bedingte Unterbrechungenwerden automatisch behoben.
#* Die Funktionstüchtigkeit der Router wird überwacht und der fehlerhafte Betrieb detektiert.

===Umgesetzte Sichgerheitsmaßnahmen===
# Freifunk-Router sind vor dem Zugriff unbefugter Dritter geschützt.
#* Die verwendete Gluon-Firmware unterstützt einen separaten Konfigurationsmodus. Dieser ist nach dem Aufspielen der Firmware aktiviert. Er kann zu einem späteren Zeitpunkt durch längeres Drücken der Reset-Taste am Router erneut aktiviert werden. Die Konfiguration wird über eine Web-Oberfläche unter der Adresse http://192.168.0.1 vorgenommen. Nach Abschluss der Konfiguration wechselt der Router in den Betriebsmodus. Eine Änderung der Konfiguration über die Web-Obewrfläche ist in der Folge nicht mehr möglich.
#* In der Standardkonfiguration der Gluon-Firmware ist der Shell Login auf den Router deaktiviert. Er muss explizit im Konfigurationsmodus aktiviert werden, indem ein Passwort oder Schlüssel für den Zugang via SSH gesetzt wird.
# Freifunk-Router ermöglichen Dritten den Zugang zum Freifunk-Netz, nicht jedoch den Zugang zum privaten Netz des Router-Betreibers.
#* Das Freifunk-Netz und das private Netz des Router-Betreibers werden in der Gluon-Netzwerkkonfiguration strikt getrennt. Die Zugänge zu den beiden Netzen sind in Form separater Brücken zusammengefasst (''br-client'' und ''br-wan'').
#* Die verwendete Gluon-Firmware konfiguriert Firewall-Regeln (bereitgestellt durch das Paket ''gluon-ebtables''), welche auf der Netzzugangsschicht (Layer 2) den Zugriff auf das private Netz unterbindet.
#* Eine Ausnahme bildet der Aufbau einer optionalen Tunnelverbindung zu den Bündel-Servern durch die VPN-Software ''fastd''. Diese Option muss vom Betreiber im Konfigurationsmodus explizit aktiviert werden ("opt-in").
# Fehler und Sicherheitslücken in der Freifunk-Firmware werden behoben.
#* Der FF3L betreibt einen Aktualisierungs-Dienst, welcher über das Freifunk-Netz erreichbar ist. Mit Hilfe des Aktualisierungsdienstes lassen sich neuere Versionen der Firmware auf den Routern automatisch einspielen. Die Konfiguration der Freifunk-Router bleibt hierbei soweit möglich erhalten.
#* Der Aktualisierungs-Dienst ist in der Standardkonfiguration der Freifunk-Firmware aktiviert (Zweig "stable"). Der Aktualisierungs-Dienst kann im Konfigurationsmodus in den Experteneinstellungen deaktiviert werden ("opt-out").
#* Die Authentitizät der Firmware-Images wird durch ein Signaturverfahren gewährleistet (signiertes Manifest). Neue Images werden von den Freifunk-Routern nur bei vorhandensein einer gültigen Signatur installiert (siehe auch [http://gluon.readthedocs.org/en/v2014.4/index.html Gluon-Dokumentation]).
#* Veröffentlichte Firmware-Images werden in die Zweige "experimental", "beta" und "stable" unterteilt. Neue Firmware-Versionen werden in eben dieser Reihenfolge ausgerollt, um einen ausreichenden Testbetrieb vor der Verbreitung zu gewährleisten.
#* Die Aktuelle Praxis bezüglich der Veröffentlichung von neuen Firmware-Versionen ist im [http://wiki.freifunk-3laendereck.net/Freifunk-Router:Firmware Wiki] des FF3L dokumentiert.
# Übertragene Daten sind vor dem Zugriff Dritter geschützt.
#* Die Datenübertragung zu den Bündel-Servern erfolgt mittels der VPN-Software fastd über das Internet. Die übertragenen Daten sind mittels des Chiffre Salsa20/12 verschlüsselt.
#* Die Authentifizierung erfolgt mittels der asymmetrischen Schlüsselverfahren UMAC oder GMAC. Die öffentlichen Schlüssel müssen einmalig vor dem Aufbau der Verbindung ausgetauscht werden. Dies geschieht im Rahmen der Registrierung des Knotens.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.
#* Der Ausfall einzelner Server führt nicht zu Störungen innerhalb des Netzes, sofern alternative Routen existieren. In diesem Fällen wird das Routing durch das verwendete Routing-Protokoll batman-adv automatisch korrigiert und die Lücke geschlossen
#* Die Freifunk-Firmware stellt auf den Knoten eine Stauts-Seite bereit. Auf dieser kann man sehen, ob der Knoten mit dem Freifunk-Netz und auf welche Weise er mit dem Freifunk-Netz verbunden ist.
#* Der Status aller Knoten wird zusätzlich in Form einer Knotenkarte auf den Servern des FF3L visualisiert. Der Karte lässt sich neben der Lage des Knotes (freiwillige Angabe) entnehmen, ob ein Knoten mit dem Freifunk-Netz verbunden ist und wie er vebunden ist.

===Bekannte Lücken sowie geplante, zukünftige Sicherheitsmaßnahmen===
# Freifunk-Router sind vor dem Zugriff unbefugter Dritter geschützt.
#* Freifunk-Router werden prinzipiell nicht vom FF3L betrieben. Für den Schutz vor physikalischem Zugriff und ggf. damit einhergehender Manipulation ist der Knoten-Betreiber verantwortlich.
# Freifunk-Router ermöglichen Dritten den Zugang zum Freifunk-Netz, nicht jedoch den Zugang zum privaten Netz des Router-Betreibers.
#* Die an bestimmten Freifunk-Routern verfügbaren LAN-Ports ermöglichen eine direkte Verbindung von Endgeräten (z.B. Servern) mit dem Freifunk-Netz. LAN-Ports sind von den WAN-Ports zu unterscheiden, über welche die Freifunk-Router mit dem Internet verbunden werden.
#* Im Fall einer Verwechslung der Ports, kann das private Netze des Freifunk-Betreibers in das Freifunk-Netz überbrückt werden.
#* Um Knotenbetreiber im Fall einer Verwechselung zu schützen, sollen die LAN-Ports in der Standardkonfiguration deaktiviert werden. Eine Aktivierung erfolgt über den Konfigurationsmodus des Routers.
# Fehler und Sicherheitslücken in der Freifunk-Firmware werden behoben.
#* Der Aktualisierungs-Dienst für die Freifunk-Firmware ist in der Standardkonfiguration aktiviert. Die entsprechende Einstellung verbirgt sich jedoch unter den Experteneinstellungen im Konfigurationsmodus.
#* Um Knotenbetreiber auf diesen Umstand aufmerksam zu machen, ist eine Verlegung der Einstellungen in den allgemeinen Teil des Konfigurationsmnodus geplant.
# Übertragene Daten sind vor dem Zugriff Dritter geschützt.
#* Die Datenübertragung zwischen den Freifunk-Routern erfolgt auf Grund der eingesetzen Technologie unverschlüsselt. Sie ist damit durch Dritte vor Ort abhörbar.
#* Umfassende Sicherheit lässt sich allein durch End-zu-End-Verschlüsselung gewährleisten. Die Anwendung dieser erfolgt auf den Endgeräten und liegt damit in der Verantwortung der Freifunk-Nutzer und nicht des FF3L.
#* Um eine sichere Übetragung von den Klienten zu den Bündel-Servern zu gewährleisten, soll optional ein VPN-Zugang für Klienten angeboten werden (z.B. [http://www.openvpn.net OpenVPN]).
#* Um eine sichere Übertragung von Endpunkt zu Endpunkt innerhalb des Freifunk-Netzes anzubieten, ist die Einrichtung eines verschlüsselten Overlay-Netzes angedacht (z.B. [http://cjdns.info/ cjDNS]).
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet
#* Keine geplanten Maßnahmen.

==Server==
Im Folgenden Abschnitt sind die allgemeinen Schutzziele und Gefährdungen für Freifunk-Server zusammengefasst. Freifunk-Server werden in der Regel - jedoch nicht ausschließlich - bei Host Providern angemietet (physikalische und virtualisierte Root Server). Die Einrichtung, der Betrieb und die Wartung erfolgt durch den FF3L. Der Begriff "Freifunk-Server" umfasst hierbei die weiter unten aufgeführten Bündel-Server, Internet sowie IC-VPN Gateways. Diese werden entsprechend ihrer Aufgaben noch einmal separat abgehandelt. In der Praxis werde die verschiedenen Server meist zusammengefasst. Ausgeschlossen sind Server, welche von Freifunkern als Privatpersonen innerhalb des Freifunknetzes betrieben werden.

===Schutzziele und Gefährdungen===
# Server sind vor dem Zugriff unbefugter Dritter geschützt.
# Fehler und Sicherheitslücken in der verwendeten Software werden behoben.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.

===Abgeleitete Sicherheitsanforderungen===
# Server sind vor dem Zugriff unbefugter Dritter geschützt.
#* Der Zugriff auf die Server (physikalisch und über das Internet) ist auf einen engen, definierten Personenkreis beschränkt.
#* Zugriffsrechte werden nach Bedarf und maßgeschneidert erteilt.
#* Der Zugang aus dem Netz erfolgt exklusiv über verschlüsselte Verbindungen (z.B. SSH).
#* Eine Firewall beschränkt Zugriffe aus dem Netz auf das notwendige Minimum.
#* Spezielle Sicherheitssoftware zur Erkennung von Eindringlingen wird verwendet.
# Fehler und Sicherheitslücken in der verwendeten Software werden behoben.
#* Server werden auf der Grundlage eines gepflegten, quelloffenen Betriebssystems errichtet.
#* Verwendete Software wird in adequaten Intervallen aktualisiert.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.
#* Die Funktionstüchtigkeit der Server wird überwacht und der fehlerhafte Betrieb detektiert.
#* Server sind vor DoS-Attacken aus dem Internet geschützt.

===Umgesetzte Sicherheitsmaßnahmen===
# Server sind vor dem Zugriff unbefugter Dritter geschützt.
#* Der Zugriff auf die Server des FF3L ist auf Mitglieder des Administratoren-Teams begrenzt. Das Aministratoren-Team wird durch den Vorstand des Vereins benannt.
#* Der Shell-Login ist ausschließlich über SSH möglich. Die Authentifizierung erfolgt mittels eines Passworts (LDAP) oder eines hinterlegten Schlüssels.
#* Server werden durch Firewall-Regeln auf der Basis von ''iptables'' geschützt. Die Standardvorgabe ist, dass eingehende und weiterzuleitende Pakete verworfen werden. Die Freigabe von Ports bzw. der Weiterleitung erfolgt mittels spezifischer Regeln wo erwünscht.
# Fehler und Sicherheitslücken in der verwendeten Software werden behoben.
#* Die Freifunk-Server werden auf Basis der Debian Linux-Distribution betrieben. Sofern möglich, wird die jeweils letzte stabile Version verwendet.
#* Es werden in angemessenen Intervallen empfohlene Sicherheitsaktualisierungen mittels der offiziellen Paketverwaltung eingespielt.
#* Das Administratoren-Team verfolgt sicherheitsrelevante Ankündigungen über die Mailing-Liste debian-security-announce@lists.debian.org.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.
#* Kritische Server und Dienste werden über ein zentrales Monitoring auf der Basis von Nagios(-Derivaten) überwacht. Das Monitoring ist redundant aufgesetzt. Der aktuelle Zustand aller Server und Diense ist über eine Web-Oberfläche einsehbar. Optional erfolgt eine Mitteilung per e-Mail im Fall von Statusänderungen.
#* Die Server des FF3L werden von Host Providern angemietet. Diese bieten üblicherweise einen gewissen Schutz vor DoS-Angriffen in der Form adaptiver Firewalls.

===Bekannte Lücken sowie geplante, zukünftige Sicherheitsmaßnahmen===
# Server sind vor dem Zugriff unbefugter Dritter geschützt.
#* Die Erteilung von Zugriffsrechten erfolgt derzeit weitestgehend monolithisch, soll in Zukunft jedoch granular und nach Bedarf erfolgen. Erteilte Rechte sollen an geeigneter Stelle transparent dokumentiert und veröffentlicht werden.
#* Bzgl. der verwendbaren Passwörter gibt es aktuell keine Vorgaben. In der Zukunft soll eine Überprüfung der Passwortstärke sowie Vorgabe einer minimalen Entropie implementiert werden.
#* Die Authentizfizierung im Rahmen des Shell-Login via SSH ist aktuell mittels eines Passworts möglich. Die Authentifizierung soll auf asymmetrische Schlüsselverfahren beschränkt werden, um die Folgen von Man-in-der-Mitte-Angriffen zu mildern.
#* Sicherheitssoftware zur Erkennung von Eindringlingen wird aktuell nur auf einem Teil der Freifunk-Server verwendet. Die Erstellung und Umsetzung eines flächendeckenden Konzepts steht nachwievor aus.
# Fehler und Sicherheitslücken in der verwendeten Software werden behoben.
#* Keine geplanten Maßnahmen.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.
#* Keine geplanten Maßnahmen.

==Bündel-Server==
Bündel-Server dienen der Verbindung isolierter Funkwolken innerhalb des Freifunk-Netzes. Vom Prinzip her sind Sie den Freifunk-Routern gleichgestellte Netzwerkknoten, erfüllen jedoch zusätzliche Aufgaben. Bündel-Server unterhalten im Normalfall eine hohe Anzahl an Verbindungen zu Freifunk-Routern. Da ein erheblicher Teil des Datenverkehrs über die Bündel-Server läuft, sind diese als besonders sicherheitskritisch einzustufen. Konkret erfüllen Bündel-Server die folgenden Aufgaben:
* Verbindung entfernter Freifunk-Router mittels Tunnelverbindungen über das Internet.
* Austausch von Routen-Informationen, um die zielgerichtete Zustellung von Daten zu ermöglichen.
* Automatische Netzwerkkonfiguration von Klienten.
* Namensauflösung innerhalb des Freifunk-Netzes.

===Schutzziele und Gefährdungen===
# Übertragene Daten sind vor dem Zugriff Dritter geschützt.
# Die Namensauflösung ist vor Manipulationen durch Dritte geschützt.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.

Zusätzlich gelten die Schutzziele und Gefährdungen für Server im allgemeinen.

===Abgeleitete Sicherheitsanforderungen===
# Übertragene Daten sind vor dem Zugriff Dritter geschützt.
#* Die Datenübertragung zu den Freifunk-Routern erfolgt mittels verschlüsselter Tunnelverbindungen (End-zu-Endverschlüsselung) unter Verwendung von nach heutigem Wissenssand sicherer Verfahren.
#* Die Authentizität der Endpunkte wird zum Schutz vor Mann-in-der-Mitte-Angriffen mittels eines asymmetrischen Schlüsselverfahrens sichergestellt.
# Die Namensauflösung ist vor Manipulationen durch Dritte geschützt.
#* Die Authentizität der Endpunkte wird zum Schutz vor Mann-in-der-Mitte-Angriffen mittels eines asymmetrischen Schlüsselverfahrens sichergestellt.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.
#* Der Ausfall eines Bündel-Servers führt nicht zur Störung des restlichen Netzes.
#* Die Netzstabilität wird durch Redundanz gewährleistet. Die Bündel-Server sind über mehrere Rechenzeitung verteilt.
#* Das Routing des Freifunk-Netzes ist "selbstheilend". Durch Ausfall bedingte Unterbrechungen werden automatisch behoben.
#* Die verfügbare Bandbreite wird gleichmäßig auf alle verbundenen Knoten/Klienten verteilt.

===Umgesetzte Sichgerheitsmaßnahmen===

===Bekannte Lücken sowie geplante, zukünftige Sicherheitsmaßnahmen===

==Internet Gateways==

Aufgaben:
* Verbindung des Freifunknetzes mit dem restlichen Internet
* Namensauflösung
* optionale Anonymisierung der Clienten

===Schutzziele und Gefährdungen===
# Gleichmäßige Verteilung der verfügbaren Bandbreite auf alle Klienten sowie adeqaute Priorisierung des Verkehrs nach Diensten
# Unterbindung von SPAM-Nachrichten
# Optional die Einschränkung von P2P-Dateiübertragung auf ein vertretbares Maß

Zusätzlich gelten die Schutzziele und Gefährdungen für Server im allgemeinen.

===Abgeleitete Sichgerheitsmaßnahmen===
# Gleichmäßige Verteilung von Bandbreite auf alle Klienten
** Verwendung von geeigneten Queueing Disciplines

# Unterbindung von SPAM-Nachrichten
** Sperrung des Mail Ports 25. Beschränkung auf den Mail Submission Port 587.

# Einschränkung von P2P-Dateiübertragung auf ein erträgliches Maß
** Beschränkung der Zahl aktiver Verbindungen pro Klient

===Geplante, zukünftige Sicherheitsmaßnahmen===

==IC-VPN Gateways==
Aufgaben:
* Verbindung des Freifunk-Netzes mit anderen Freifunk-Netzen innerhalb des IC-VPNs
* Austausch von Routeninformationen
* Namensauflösung für Domänen innerhalb des IC-VPN
* Optional Routing von Internetverkehr zu den Gateways anderer Freifunk-Netze

===Schutzziele und Gefährdungen===
# Übertragene Daten sind vor dem Zugriff Dritter geschützt.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.
# Der Ausfall des IC-VPN-Gateways führt nicht zur Störung des restlichen Netzes.

Zusätzlich gelten die Schutzziele und Gefährdungen wie für Bündel-Server.

===Abgeleitete Sichgerheitsmaßnahmen===
# Übertragene Daten sind vor dem Zugriff Dritter geschützt.
#* Die Datenübertragung zu den Bündel-Servern erfolgt mittels verschlüsselter Tunnelverbindungen (End-zu Endverschlüsselung) unter Verwendung von nach heutigem Wissenssand sicherer Verfahren.
#* Die Authentizität der Endpunkte wird zum Schutz vor Mann-in-der-Mitte-Angriffen mittels eines asymmetrischen Schlüsselverfahrens sichergestellt.

===Geplante, zukünftige Sicherheitsmaßnahmen===

==Bewertung des Gesamtsystems==
Welche Risiken ergeben sich aus dem Zusammnenwirken der Teilsysteme?

==Mitteilungspflichten==

Welche Sicherheitsverletzungen und/oder Störungen würden wir der Bundesnetzagentur mitteilen wollen?

=Ideen=

Integration in Freifunk-API? Community füllt lediglich Formular zu den einzelnen Teilsystemen aus. Das Sicherheitskonzept wird im Anschluss automatisch erstellt und im Netz veröffentlicht.

Sicherheitskonzept (intern)

2015-05-17T13:58:46Z

Langweiler: /* Schutzziele und Gefährdungen */

{{Tip|Dieses Dokument befindet sich noch in der Entstehung.}}

=Präambel=
Freifunk Dreiländereck ("FF3L") ist ein parteipolitischer, unabhängiger, eingetragener Verein, der sich als Teil der weltweiten Open Wireless-Bewegung versteht, welche in Deutschland durch die Freifunk-Initiative repärsentiert wird.

Zur Umsetzung des Vereinszwecks unterhält der FF3L eine Netzwerkinfrastruktur, welche in Kombination mit den Freifunk-WLAN-Routern das Freifunk-Netz bildet. Weiterhin stellt er eine Firmware für Freifunk-Router zur Verfügung. Er ist bei der Bundesnetzagentur seit dem xx.xx.xxxx. als Telekommunikationsdienstleister (Access Provider) registriert.

Mit dem vorliegenden Sicherheitskonzept werden die folgenden Absichten verfolgt:
* Erfüllung der Verpflichtung zur Erstellung und Umsetzung eines Sicherheitskonzeptes nach § 109 TKG.
* Transparente Dokumentation des Status Quo bezüglich Informationssicherheit als Grundlage für die kontinuierliche Verbesserung.
* Aufzeigen von inherenten Limitierungen, die sich auf Grund der Funktionsweise des Freifunk-Netzes ergeben.
* Darstellung der Pflichten von Freifunk-Nutzern hinsichtlich Gewährleistung ihrer eigene Sicherheit.

=Umfang=
Der Umfang des Sicherheitskonzepts beschränkt sich ausschließlich auf die vom FF3L (also dem Verein, und nicht von Freifunkern als Privatpersonen) betriebene Netzwerkinfrastruktur. Explizit beinhaltet dies die vom FF3L betriebenen Bündel-Server, Internet und IC-VPN Gateways. Aspekte der Freifunk-Router werden insofern abgehandelt, wie sie mit der vom Verein herausgegebenen Freifunk-Firmware in Verbindung stehen. Nicht im Umfang enthalten sind Server und Engeräte, welche von Freifunk-Nutzern betrieben werden.

Der Begriff Freifunk-Netz in diesem Dokument bezieht sich auschließlich auf das Freifunk-Netz im Dreiländereck (CH-DE-FR), dessen Aufbau und Betrieb durch den FF3L gefördert wird. Gleiches gilt für die Begriffe Freifunk-Router, Freifunk-Firmware und Freifunk-Server. Eine Übertragung auf Freifunk-Netze anderer Commnunities ist nicht zulässig.

=Kontinuierliche Verbesserung=
Das vorliegende Sicherheitskonzept ist als lebendes Dokument konzipiert. Es dient als Grundlage für die Arbeit des Sicherheitsbeauftragten. Dieser analysiert und aktualisiert gemeinsam mit dem Administratoren-Team des FF3L sowie allen interessierten Freifunkern in regelmäßigen Abständen die Anforderungen an die vom FF3L betriebenen Teilsysteme, die Zulänglichkeit der umgesetzten Maßnahmen sowie die Planung zukünftiger Maßnahmen zur weiteren Verbesserung der Sicherheit.

=Gesetzlicher Hintergrund=
Auszug aus dem "Katalog von Sicherheitsanforderungen für das Betreiben von Telekommunikations- und Datenverarbeitungssystemen sowie für die Verarbeitung personenbezogener Daten nach § 109 Telekommunikationsgesetz (TKG):

Für das Betreiben öffentlicher Telekkommunikatiosnetze sowie das Erbringen öffentlich zugänglicher Telekommunikationsdiense schreibt § 109 TKG Vorkehrungen und sonstige Maßnahmen

* zum Schutz des Fernmeldegehimnisses,
* gegen die Verletzung des Schutzes personenbezogener Daten,
* gegen Störungen, die zu erheblichen Beeinträchtigungen von Telekommunikationsnetzen und -diensten führen, auch soweit sie durch äußere Angriffe und Einwirkungen von Katastrophen bedingt sein könnten,
als Mindestanforderungen vor.

Ziel und Zweck der zu treffenden Maßnahmen sind insbesondere

* die Sicherheit vor unerlaubtem Zugriffen auf Telekommunikations- und Datenverarbeitungssysteme
* die Reduzierung / Minimierung der Auswirkungen von Sicherheitsverletzungen auf Nutzer oder auf zusammengeschaltete Netze
* die Gewährleistung eines ordnungsgemäßen Betriebes der Netze und dadurch die Sicherstellung der fortlaufenden Verfügbarkeit der über die Netze erbrachten Dienste.

=Netzstruktur=
Das Freifunknetz ist ein offenes, sich spontan ausbildendes und selbstheilendes Maschennetzwerk. Die Grundbausteine ("Knoten") des Freifunk-Netzes sind die Freifunk-Router. Der Begriff Maschennetzwerk
bedeutet, dass die einzelnen Knoten mit einem oder mehreren Knoten auf nicht hierarschische Weise verbunden sind.

Die Freifunk-Router sinde handelsübliche WLAN-Router, ausgestattet mit einer speziellen Software ("Firmware"). Die spezielle Firmware gestattet es den Freifunk-Routern spontan Verbindung mit anderen Freifunk-Routern in Reichweite aufzunehmen. Hierbei kommt der offizielle, zugelassene WLAN-Standard 802.11n zum Einsatz. Gleichzeitig agieren die Router als WLAN-Zugangspunkt und ermöglichen damit Klienten (z.B. Smartphones) den direkten Zugang zum Freifunknetz.

Damit die Daten in dieser chaotischen Struktur ihren Weg finden, kommt ein spezielles Routing-Protokoll zum Einsatz. Im Fall des FF3L handelt es sich um das Protokoll [http://www.open-mesh.org/projects/batman-adv/wiki B.A.T.M.A.N. Advanced]. Dieses arbeitet auf der Netzzugangsschicht (Layer 2 nach dem OSI-Netzwerkschichtmodell). Das Freifunk-Netz verhält sich damit effektiv so, als wären alle Knoten über einen einzigen Netzwerk-Switch miteinander verbunden.

Neben der direkten Verbindung von Freifunk-Routern via WLAN gibt es die Option, isolierte Funkwolken über Tunnelverbindungen zu zentralen Servern ("Bündel-Servern") miteinander zu verbinden. Die Tunnelverbindungen laufen über das Internet und sind verschlüsselt (d.h. der Inhalt ist für Dritte nicht einsehbar). Der Internetanschluss wird hierbei auf freiwilliger Basis von den Knotenbetreibern zur Vefügung gestellt.

Weiterhin bietet das Freifunknetz über zentrale Gateways eine Verbindung ins Internet ("Internet Gateways") sowie den Verbund aller Freifunk-Netze ("IC-VPN Gateways"). Der Verein Freifunk Dreiländreck e.V. agiert damit als Zugangsanbieter ("Access Provider"). Die indirekte Weiterleitung ins Internet schützt die Knotenbetreiber vor ewaigen Haftungsansprüchen ("Störherhaftung") im Fall eines Missbrauchs durch Dritte.

Zusätzlich können Applikations-Server in das Freifunk-Netz integriert werden. Diese agieren als reguläre Netzwerkknoten und sind den Freifunk-Routern gleichgestellt.

[[Datei:Netzstrukturplan.png]]

=Sicherheitsteilsysteme=
In den folgenden Abschnitten werden die sicherheitskritischen Teilsysteme des Freifunk-Netzes definiert und diskutiert. Konkret werden als Teilsysteme die Freifunk-Router und Freifunk-Server im allgmeienen sowie Bündel-Server, Internet und IC-VPN Gateways im speziellen behandelt. Jeder Abschnitt besteht aus einer einleitenden Beschreibung inkl. der Aufgaben des jeweiligen Teilsystems, einer Auflistung von Schutzzielen und Gefährdungen, abgeleiteten Sicherheitsanforderungen, bereits umgesetzten sowie zukünftigen, geplanten Sicherheitsmaßnahmen. Zuletzt erfolgt eine abschließende Beurteilung des Gesamtsystems.

==Freifunk-Router==
Freifunk-WLAN-Router bilden die Grundelemente des Freifunk-Netzes. Sie werden auch als Netzwerkknoten bezeichnet. Bei Freifunk-Routern handelt sich um handelsübliche WLAN-Router, welche durch das Einspielen eines speziellen Betriebssystems ("Freifunk-Firmware") modifiziert werden. Freifunk-Router erfüllen die folgenden Aufgaben:
* Spontane Bildung des Freifunk-Maschennetzwerks via WLAN mit allen in Reichweite befindlichen Freifunk-Routern (lokale Funkwolke).
* Optional die Errichtung von Tunnelverbindungen zu Bündel-Servern über das Internet für den Datenaustausch mit entfernten Funkwolken.
* Austausch von Routen-Informationen, um die zielgerichtete Zustellung von Daten zu ermöglichen.
* Zugangspunkt zum Freifunk-Netzwerk für WLAN-Klienten (z.B. Smartphones, Tablets, Notebooks).
* Optional die Anbindung von Servern und/oder lokalen Klienten mittels einer direkten Kabelverbindung.

===Schutzziele und Gefährdungen===
# Freifunk-Router sind vor dem Zugriff unbefugter Dritter geschützt.
# Freifunk-Router ermöglichen Dritten den Zugang zum Freifunk-Netz, nicht jedoch den Zugang zum privaten Netz des Router-Betreibers.
# Fehler und Sicherheitslücken in der Freifunk-Firmware werden behoben.
# Übertragene Daten sind vor dem Zugriff Dritter geschützt.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.

===Abgeleitete Sicherheitsanforderungen===
# Freifunk-Router sind vor dem Zugriff unbefugter Dritter geschützt.
#* Die Einstellungen des Freifunk-Routers lassen sich lediglich in einem gesonderten Konfigurationsmodus verändern.
#* In der Standardkonfiguration des Freifunk-Routers ist kein Zugang auf der Ebene des Betriebssystems ("Shell Login") möglich.
#* Optional kann durch den Router-Betreiber ein verschlüsselter Zugang (z.B. via SSH) aktiviert werden, um die Wartung aus der Ferne zu ermöglichen.
# Freifunk-Router ermöglichen Dritten den Zugang zum Freifunk-Netz, nicht jedoch den Zugang zum privaten Netz des Router-Betreibers.
#* Eine Firewall auf dem Freifunk-Router (Layer 2 und/oder Layer 3) verhindert den Zugriff auf das private Netz des Betreibers.
#* Ausgenommen ist der Aufbau einer Tunnelverbindung zu den Bündelservern, sofern der Betreiber dies in der Konfiguration ausdrücklich gestattet ("opt in").
# Fehler und Sicherheitslücken in der Freifunk-Firmware werden behoben.
#* Die Firmware der Freifunk-Router wird in angemessenen Intervallen automatisch über das Freifunk-Netzt aktualisiert ("Autoupdater").
#* Die Authentizität der Firmware wird durch ein elektronisches Signaturverfahren sichergestellt.
#* Neue Firmware-Versionen werden vor dem Ausrollen gem. eines festgelegten Schemas getestet.
# Übertragene Daten sind vor dem Zugriff Dritter geschützt.
#* Die Datenübertragung zu den Bündel-Servern erfolgt mittels verschlüsselter Tunnelverbindungen (End-zu-Endverschlüsselung) unter Verwendung von nach heutigem Wissenssand sicherer Verfahren.
#* Die Authentizität der Endpunkte wird zum Schutz vor Mann-in-der-Mitte-Angriffen mittels eines asymmetrischen Schlüsselverfahrens sichergestellt.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.
#* Der Ausfall einzelner Freifunk-Router führt nicht zur Störung des restlichen Netzes.
#* Das Routing des Freifunk-Netzes ist "selbstheilend". Durch Ausfall bedingte Unterbrechungenwerden automatisch behoben.
#* Die Funktionstüchtigkeit der Router wird überwacht und der fehlerhafte Betrieb detektiert.

===Umgesetzte Sichgerheitsmaßnahmen===
# Freifunk-Router sind vor dem Zugriff unbefugter Dritter geschützt.
#* Die verwendete Gluon-Firmware unterstützt einen separaten Konfigurationsmodus. Dieser ist nach dem Aufspielen der Firmware aktiviert. Er kann zu einem späteren Zeitpunkt durch längeres Drücken der Reset-Taste am Router erneut aktiviert werden. Die Konfiguration wird über eine Web-Oberfläche unter der Adresse http://192.168.0.1 vorgenommen. Nach Abschluss der Konfiguration wechselt der Router in den Betriebsmodus. Eine Änderung der Konfiguration über die Web-Obewrfläche ist in der Folge nicht mehr möglich.
#* In der Standardkonfiguration der Gluon-Firmware ist der Shell Login auf den Router deaktiviert. Er muss explizit im Konfigurationsmodus aktiviert werden, indem ein Passwort oder Schlüssel für den Zugang via SSH gesetzt wird.
# Freifunk-Router ermöglichen Dritten den Zugang zum Freifunk-Netz, nicht jedoch den Zugang zum privaten Netz des Router-Betreibers.
#* Das Freifunk-Netz und das private Netz des Router-Betreibers werden in der Gluon-Netzwerkkonfiguration strikt getrennt. Die Zugänge zu den beiden Netzen sind in Form separater Brücken zusammengefasst (''br-client'' und ''br-wan'').
#* Die verwendete Gluon-Firmware konfiguriert Firewall-Regeln (bereitgestellt durch das Paket ''gluon-ebtables''), welche auf der Netzzugangsschicht (Layer 2) den Zugriff auf das private Netz unterbindet.
#* Eine Ausnahme bildet der Aufbau einer optionalen Tunnelverbindung zu den Bündel-Servern durch die VPN-Software ''fastd''. Diese Option muss vom Betreiber im Konfigurationsmodus explizit aktiviert werden ("opt-in").
# Fehler und Sicherheitslücken in der Freifunk-Firmware werden behoben.
#* Der FF3L betreibt einen Aktualisierungs-Dienst, welcher über das Freifunk-Netz erreichbar ist. Mit Hilfe des Aktualisierungsdienstes lassen sich neuere Versionen der Firmware auf den Routern automatisch einspielen. Die Konfiguration der Freifunk-Router bleibt hierbei soweit möglich erhalten.
#* Der Aktualisierungs-Dienst ist in der Standardkonfiguration der Freifunk-Firmware aktiviert (Zweig "stable"). Der Aktualisierungs-Dienst kann im Konfigurationsmodus in den Experteneinstellungen deaktiviert werden ("opt-out").
#* Die Authentitizät der Firmware-Images wird durch ein Signaturverfahren gewährleistet (signiertes Manifest). Neue Images werden von den Freifunk-Routern nur bei vorhandensein einer gültigen Signatur installiert (siehe auch [http://gluon.readthedocs.org/en/v2014.4/index.html Gluon-Dokumentation]).
#* Veröffentlichte Firmware-Images werden in die Zweige "experimental", "beta" und "stable" unterteilt. Neue Firmware-Versionen werden in eben dieser Reihenfolge ausgerollt, um einen ausreichenden Testbetrieb vor der Verbreitung zu gewährleisten.
#* Die Aktuelle Praxis bezüglich der Veröffentlichung von neuen Firmware-Versionen ist im [http://wiki.freifunk-3laendereck.net/Freifunk-Router:Firmware Wiki] des FF3L dokumentiert.
# Übertragene Daten sind vor dem Zugriff Dritter geschützt.
#* Die Datenübertragung zu den Bündel-Servern erfolgt mittels der VPN-Software fastd über das Internet. Die übertragenen Daten sind mittels des Chiffre Salsa20/12 verschlüsselt.
#* Die Authentifizierung erfolgt mittels der asymmetrischen Schlüsselverfahren UMAC oder GMAC. Die öffentlichen Schlüssel müssen einmalig vor dem Aufbau der Verbindung ausgetauscht werden. Dies geschieht im Rahmen der Registrierung des Knotens.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.
#* Der Ausfall einzelner Server führt nicht zu Störungen innerhalb des Netzes, sofern alternative Routen existieren. In diesem Fällen wird das Routing durch das verwendete Routing-Protokoll batman-adv automatisch korrigiert und die Lücke geschlossen
#* Die Freifunk-Firmware stellt auf den Knoten eine Stauts-Seite bereit. Auf dieser kann man sehen, ob der Knoten mit dem Freifunk-Netz und auf welche Weise er mit dem Freifunk-Netz verbunden ist.
#* Der Status aller Knoten wird zusätzlich in Form einer Knotenkarte auf den Servern des FF3L visualisiert. Der Karte lässt sich neben der Lage des Knotes (freiwillige Angabe) entnehmen, ob ein Knoten mit dem Freifunk-Netz verbunden ist und wie er vebunden ist.

===Bekannte Lücken sowie geplante, zukünftige Sicherheitsmaßnahmen===
# Freifunk-Router sind vor dem Zugriff unbefugter Dritter geschützt.
#* Freifunk-Router werden prinzipiell nicht vom FF3L betrieben. Für den Schutz vor physikalischem Zugriff und ggf. damit einhergehender Manipulation ist der Knoten-Betreiber verantwortlich.
# Freifunk-Router ermöglichen Dritten den Zugang zum Freifunk-Netz, nicht jedoch den Zugang zum privaten Netz des Router-Betreibers.
#* Die an bestimmten Freifunk-Routern verfügbaren LAN-Ports ermöglichen eine direkte Verbindung von Endgeräten (z.B. Servern) mit dem Freifunk-Netz. LAN-Ports sind von den WAN-Ports zu unterscheiden, über welche die Freifunk-Router mit dem Internet verbunden werden.
#* Im Fall einer Verwechslung der Ports, kann das private Netze des Freifunk-Betreibers in das Freifunk-Netz überbrückt werden.
#* Um Knotenbetreiber im Fall einer Verwechselung zu schützen, sollen die LAN-Ports in der Standardkonfiguration deaktiviert werden. Eine Aktivierung erfolgt über den Konfigurationsmodus des Routers.
# Fehler und Sicherheitslücken in der Freifunk-Firmware werden behoben.
#* Der Aktualisierungs-Dienst für die Freifunk-Firmware ist in der Standardkonfiguration aktiviert. Die entsprechende Einstellung verbirgt sich jedoch unter den Experteneinstellungen im Konfigurationsmodus.
#* Um Knotenbetreiber auf diesen Umstand aufmerksam zu machen, ist eine Verlegung der Einstellungen in den allgemeinen Teil des Konfigurationsmnodus geplant.
# Übertragene Daten sind vor dem Zugriff Dritter geschützt.
#* Die Datenübertragung zwischen den Freifunk-Routern erfolgt auf Grund der eingesetzen Technologie unverschlüsselt. Sie ist damit durch Dritte vor Ort abhörbar.
#* Umfassende Sicherheit lässt sich allein durch End-zu-End-Verschlüsselung gewährleisten. Die Anwendung dieser erfolgt auf den Endgeräten und liegt damit in der Verantwortung der Freifunk-Nutzer und nicht des FF3L.
#* Um eine sichere Übetragung von den Klienten zu den Bündel-Servern zu gewährleisten, soll optional ein VPN-Zugang für Klienten angeboten werden (z.B. [http://www.openvpn.net OpenVPN]).
#* Um eine sichere Übertragung von Endpunkt zu Endpunkt innerhalb des Freifunk-Netzes anzubieten, ist die Einrichtung eines verschlüsselten Overlay-Netzes angedacht (z.B. [http://cjdns.info/ cjDNS]).
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet
#* Keine geplanten Maßnahmen.

==Server==
Im Folgenden Abschnitt sind die allgemeinen Schutzziele und Gefährdungen für Freifunk-Server zusammengefasst. Freifunk-Server werden in der Regel - jedoch nicht ausschließlich - bei Host Providern angemietet (physikalische und virtualisierte Root Server). Die Einrichtung, der Betrieb und die Wartung erfolgt durch den FF3L. Der Begriff "Freifunk-Server" umfasst hierbei die weiter unten aufgeführten Bündel-Server, Internet sowie IC-VPN Gateways. Diese werden entsprechend ihrer Aufgaben noch einmal separat abgehandelt. In der Praxis werde die verschiedenen Server meist zusammengefasst. Ausgeschlossen sind Server, welche von Freifunkern als Privatpersonen innerhalb des Freifunknetzes betrieben werden.

===Schutzziele und Gefährdungen===
# Server sind vor dem Zugriff unbefugter Dritter geschützt.
# Fehler und Sicherheitslücken in der verwendeten Software werden behoben.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.

===Abgeleitete Sicherheitsanforderungen===
# Server sind vor dem Zugriff unbefugter Dritter geschützt.
#* Der Zugriff auf die Server (physikalisch und über das Internet) ist auf einen engen, definierten Personenkreis beschränkt.
#* Zugriffsrechte werden nach Bedarf und maßgeschneidert erteilt.
#* Der Zugang aus dem Netz erfolgt exklusiv über verschlüsselte Verbindungen (z.B. SSH).
#* Eine Firewall beschränkt Zugriffe aus dem Netz auf das notwendige Minimum.
#* Spezielle Sicherheitssoftware zur Erkennung von Eindringlingen wird verwendet.
# Fehler und Sicherheitslücken in der verwendeten Software werden behoben.
#* Server werden auf der Grundlage eines gepflegten, quelloffenen Betriebssystems errichtet.
#* Verwendete Software wird in adequaten Intervallen aktualisiert.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.
#* Die Funktionstüchtigkeit der Server wird überwacht und der fehlerhafte Betrieb detektiert.
#* Server sind vor DoS-Attacken aus dem Internet geschützt.

===Umgesetzte Sicherheitsmaßnahmen===
# Server sind vor dem Zugriff unbefugter Dritter geschützt.
#* Der Zugriff auf die Server des FF3L ist auf Mitglieder des Administratoren-Teams begrenzt. Das Aministratoren-Team wird durch den Vorstand des Vereins benannt.
#* Der Shell-Login ist ausschließlich über SSH möglich. Die Authentifizierung erfolgt mittels eines Passworts (LDAP) oder eines hinterlegten Schlüssels.
#* Server werden durch Firewall-Regeln auf der Basis von ''iptables'' geschützt. Die Standardvorgabe ist, dass eingehende und weiterzuleitende Pakete verworfen werden. Die Freigabe von Ports bzw. der Weiterleitung erfolgt mittels spezifischer Regeln wo erwünscht.
# Fehler und Sicherheitslücken in der verwendeten Software werden behoben.
#* Die Freifunk-Server werden auf Basis der Debian Linux-Distribution betrieben. Sofern möglich, wird die jeweils letzte stabile Version verwendet.
#* Es werden in angemessenen Intervallen empfohlene Sicherheitsaktualisierungen mittels der offiziellen Paketverwaltung eingespielt.
#* Das Administratoren-Team verfolgt sicherheitsrelevante Ankündigungen über die Mailing-Liste debian-security-announce@lists.debian.org.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.
#* Kritische Server und Dienste werden über ein zentrales Monitoring auf der Basis von Nagios(-Derivaten) überwacht. Das Monitoring ist redundant aufgesetzt. Der aktuelle Zustand aller Server und Diense ist über eine Web-Oberfläche einsehbar. Optional erfolgt eine Mitteilung per e-Mail im Fall von Statusänderungen.
#* Die Server des FF3L werden von Host Providern angemietet. Diese bieten üblicherweise einen gewissen Schutz vor DoS-Angriffen in der Form adaptiver Firewalls.

===Bekannte Lücken sowie geplante, zukünftige Sicherheitsmaßnahmen===
# Server sind vor dem Zugriff unbefugter Dritter geschützt.
#* Die Erteilung von Zugriffsrechten erfolgt derzeit weitestgehend monolithisch, soll in Zukunft jedoch granular und nach Bedarf erfolgen. Erteilte Rechte sollen an geeigneter Stelle transparent dokumentiert und veröffentlicht werden.
#* Bzgl. der verwendbaren Passwörter gibt es aktuell keine Vorgaben. In der Zukunft soll eine Überprüfung der Passwortstärke sowie Vorgabe einer minimalen Entropie implementiert werden.
#* Die Authentizfizierung im Rahmen des Shell-Login via SSH ist aktuell mittels eines Passworts möglich. Die Authentifizierung soll auf asymmetrische Schlüsselverfahren beschränkt werden, um die Folgen von Man-in-der-Mitte-Angriffen zu mildern.
#* Sicherheitssoftware zur Erkennung von Eindringlingen wird aktuell nur auf einem Teil der Freifunk-Server verwendet. Die Erstellung und Umsetzung eines flächendeckenden Konzepts steht nachwievor aus.
# Fehler und Sicherheitslücken in der verwendeten Software werden behoben.
#* Keine geplanten Maßnahmen.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.
#* Keine geplanten Maßnahmen.

==Bündel-Server==
Bündel-Server dienen der Verbindung isolierter Funkwolken innerhalb des Freifunk-Netzes. Vom Prinzip her sind Sie den Freifunk-Routern gleichgestellte Netzwerkknoten, erfüllen jedoch zusätzliche Aufgaben. Bündel-Server unterhalten im Normalfall eine hohe Anzahl an Verbindungen zu Freifunk-Routern. Da ein erheblicher Teil des Datenverkehrs über die Bündel-Server läuft, sind diese als besonders sicherheitskritisch einzustufen. Konkret erfüllen Bündel-Server die folgenden Aufgaben:
* Verbindung entfernter Freifunk-Router mittels Tunnelverbindungen über das Internet.
* Austausch von Routen-Informationen, um die zielgerichtete Zustellung von Daten zu ermöglichen.
* Automatische Netzwerkkonfiguration von Klienten.
* Namensauflösung innerhalb des Freifunk-Netzes.

===Schutzziele und Gefährdungen===
# Übertragene Daten sind vor dem Zugriff Dritter geschützt.
# Die Namensauflösung ist vor Manipulationen durch Dritte geschützt.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.

Zusätzlich gelten die Schutzziele und Gefährdungen für Server im allgemeinen.

===Abgeleitete Sicherheitsanforderungen===
# Übertragene Daten sind vor dem Zugriff Dritter geschützt.
#* Die Datenübertragung zu den Freifunk-Routern erfolgt mittels verschlüsselter Tunnelverbindungen (End-zu-Endverschlüsselung) unter Verwendung von nach heutigem Wissenssand sicherer Verfahren.
#* Die Authentizität der Endpunkte wird zum Schutz vor Mann-in-der-Mitte-Angriffen mittels eines asymmetrischen Schlüsselverfahrens sichergestellt.
# Die Namensauflösung ist vor Manipulationen durch Dritte geschützt.
#* Die Authentizität der Endpunkte wird zum Schutz vor Mann-in-der-Mitte-Angriffen mittels eines asymmetrischen Schlüsselverfahrens sichergestellt.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.
#* Der Ausfall eines Bündel-Servers führt nicht zur Störung des restlichen Netzes.
#* Die Netzstabilität wird durch Redundanz gewährleistet. Die Bündel-Server sind über mehrere Rechenzeitung verteilt.
#* Das Routing des Freifunk-Netzes ist "selbstheilend". Durch Ausfall bedingte Unterbrechungen werden automatisch behoben.
#* Die verfügbare Bandbreite wird gleichmäßig auf alle verbundenen Knoten/Klienten verteilt.

===Umgesetzte Sichgerheitsmaßnahmen===

===Bekannte Lücken sowie geplante, zukünftige Sicherheitsmaßnahmen===

==Internet Gateways==

Aufgaben:
* Verbindung des Freifunknetzes mit dem restlichen Internet
* Namensauflösung
* optionale Anonymisierung der Clienten

===Schutzziele und Gefährdungen===
# Gleichmäßige Verteilung der verfügbaren Bandbreite auf alle Klienten sowie adeqaute Priorisierung des Verkehrs nach Diensten
# Unterbindung von SPAM-Nachrichten
# Optional die Einschränkung von P2P-Dateiübertragung auf ein vertretbares Maß

Zusätzlich gelten die Schutzziele und Gefährdungen für Server im allgemeinen.

===Abgeleitete Sichgerheitsmaßnahmen===
# Gleichmäßige Verteilung von Bandbreite auf alle Klienten
** Verwendung von geeigneten Queueing Disciplines

# Unterbindung von SPAM-Nachrichten
** Sperrung des Mail Ports 25. Beschränkung auf den Mail Submission Port 587.

# Einschränkung von P2P-Dateiübertragung auf ein erträgliches Maß
** Beschränkung der Zahl aktiver Verbindungen pro Klient

===Geplante, zukünftige Sicherheitsmaßnahmen===

==IC-VPN Gateways==
Aufgaben:
* Verbindung des Freifunk-Netzes mit anderen Freifunk-Netzen innerhalb des IC-VPNs
* Austausch von Routeninformationen
* Namensauflösung für Domänen innerhalb des IC-VPN
* Optional Routing von Internetverkehr zu den Gateways anderer Freifunk-Netze

===Schutzziele und Gefährdungen===
# Übertragene Daten sind vor dem Zugriff Dritter geschützt.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.
# Der Ausfall des IC-VPN-Gateways führt nicht zur Störung des restlichen Netzes.

Zusätzlich gelten die Schutzziele und Gefährdungen wie für Bündel-Server.

===Abgeleitete Sichgerheitsmaßnahmen===
# Übertragene Daten sind vor dem Zugriff Dritter geschützt.
** Die Datenübertragung zu den Bündel-Servern erfolgt mittels verschlüsselter Tunnelverbindungen (End-zu Endverschlüsselung) unter Verwendung von nach heutigem Wissenssand sicherer Verfahren.
** Die Authentizität der Endpunkte wird zum Schutz vor Mann-in-der-Mitte-Angriffen mittels eines asymmetrischen Schlüsselverfahrens sichergestellt.

===Geplante, zukünftige Sicherheitsmaßnahmen===

==Bewertung des Gesamtsystems==
Welche Risiken ergeben sich aus dem Zusammnenwirken der Teilsysteme?

==Mitteilungspflichten==

Welche Sicherheitsverletzungen und/oder Störungen würden wir der Bundesnetzagentur mitteilen wollen?

=Ideen=

Integration in Freifunk-API? Community füllt lediglich Formular zu den einzelnen Teilsystemen aus. Das Sicherheitskonzept wird im Anschluss automatisch erstellt und im Netz veröffentlicht.

Sicherheitskonzept (intern)

2015-05-17T12:03:41Z

Langweiler: /* Schutzziele und Gefährdungen */

{{Tip|Dieses Dokument befindet sich noch in der Entstehung.}}

=Präambel=
Freifunk Dreiländereck ("FF3L") ist ein parteipolitischer, unabhängiger, eingetragener Verein, der sich als Teil der weltweiten Open Wireless-Bewegung versteht, welche in Deutschland durch die Freifunk-Initiative repärsentiert wird.

Zur Umsetzung des Vereinszwecks unterhält der FF3L eine Netzwerkinfrastruktur, welche in Kombination mit den Freifunk-WLAN-Routern das Freifunk-Netz bildet. Weiterhin stellt er eine Firmware für Freifunk-Router zur Verfügung. Er ist bei der Bundesnetzagentur seit dem xx.xx.xxxx. als Telekommunikationsdienstleister (Access Provider) registriert.

Mit dem vorliegenden Sicherheitskonzept werden die folgenden Absichten verfolgt:
* Erfüllung der Verpflichtung zur Erstellung und Umsetzung eines Sicherheitskonzeptes nach § 109 TKG.
* Transparente Dokumentation des Status Quo bezüglich Informationssicherheit als Grundlage für die kontinuierliche Verbesserung.
* Aufzeigen von inherenten Limitierungen, die sich auf Grund der Funktionsweise des Freifunk-Netzes ergeben.
* Darstellung der Pflichten von Freifunk-Nutzern hinsichtlich Gewährleistung ihrer eigene Sicherheit.

=Umfang=
Der Umfang des Sicherheitskonzepts beschränkt sich ausschließlich auf die vom FF3L (also dem Verein, und nicht von Freifunkern als Privatpersonen) betriebene Netzwerkinfrastruktur. Explizit beinhaltet dies die vom FF3L betriebenen Bündel-Server, Internet und IC-VPN Gateways. Aspekte der Freifunk-Router werden insofern abgehandelt, wie sie mit der vom Verein herausgegebenen Freifunk-Firmware in Verbindung stehen. Nicht im Umfang enthalten sind Server und Engeräte, welche von Freifunk-Nutzern betrieben werden.

Der Begriff Freifunk-Netz in diesem Dokument bezieht sich auschließlich auf das Freifunk-Netz im Dreiländereck (CH-DE-FR), dessen Aufbau und Betrieb durch den FF3L gefördert wird. Gleiches gilt für die Begriffe Freifunk-Router, Freifunk-Firmware und Freifunk-Server. Eine Übertragung auf Freifunk-Netze anderer Commnunities ist nicht zulässig.

=Kontinuierliche Verbesserung=
Das vorliegende Sicherheitskonzept ist als lebendes Dokument konzipiert. Es dient als Grundlage für die Arbeit des Sicherheitsbeauftragten. Dieser analysiert und aktualisiert gemeinsam mit dem Administratoren-Team des FF3L sowie allen interessierten Freifunkern in regelmäßigen Abständen die Anforderungen an die vom FF3L betriebenen Teilsysteme, die Zulänglichkeit der umgesetzten Maßnahmen sowie die Planung zukünftiger Maßnahmen zur weiteren Verbesserung der Sicherheit.

=Gesetzlicher Hintergrund=
Auszug aus dem "Katalog von Sicherheitsanforderungen für das Betreiben von Telekommunikations- und Datenverarbeitungssystemen sowie für die Verarbeitung personenbezogener Daten nach § 109 Telekommunikationsgesetz (TKG):

Für das Betreiben öffentlicher Telekkommunikatiosnetze sowie das Erbringen öffentlich zugänglicher Telekommunikationsdiense schreibt § 109 TKG Vorkehrungen und sonstige Maßnahmen

* zum Schutz des Fernmeldegehimnisses,
* gegen die Verletzung des Schutzes personenbezogener Daten,
* gegen Störungen, die zu erheblichen Beeinträchtigungen von Telekommunikationsnetzen und -diensten führen, auch soweit sie durch äußere Angriffe und Einwirkungen von Katastrophen bedingt sein könnten,
als Mindestanforderungen vor.

Ziel und Zweck der zu treffenden Maßnahmen sind insbesondere

* die Sicherheit vor unerlaubtem Zugriffen auf Telekommunikations- und Datenverarbeitungssysteme
* die Reduzierung / Minimierung der Auswirkungen von Sicherheitsverletzungen auf Nutzer oder auf zusammengeschaltete Netze
* die Gewährleistung eines ordnungsgemäßen Betriebes der Netze und dadurch die Sicherstellung der fortlaufenden Verfügbarkeit der über die Netze erbrachten Dienste.

=Netzstruktur=
Das Freifunknetz ist ein offenes, sich spontan ausbildendes und selbstheilendes Maschennetzwerk. Die Grundbausteine ("Knoten") des Freifunk-Netzes sind die Freifunk-Router. Der Begriff Maschennetzwerk
bedeutet, dass die einzelnen Knoten mit einem oder mehreren Knoten auf nicht hierarschische Weise verbunden sind.

Die Freifunk-Router sinde handelsübliche WLAN-Router, ausgestattet mit einer speziellen Software ("Firmware"). Die spezielle Firmware gestattet es den Freifunk-Routern spontan Verbindung mit anderen Freifunk-Routern in Reichweite aufzunehmen. Hierbei kommt der offizielle, zugelassene WLAN-Standard 802.11n zum Einsatz. Gleichzeitig agieren die Router als WLAN-Zugangspunkt und ermöglichen damit Klienten (z.B. Smartphones) den direkten Zugang zum Freifunknetz.

Damit die Daten in dieser chaotischen Struktur ihren Weg finden, kommt ein spezielles Routing-Protokoll zum Einsatz. Im Fall des FF3L handelt es sich um das Protokoll [http://www.open-mesh.org/projects/batman-adv/wiki B.A.T.M.A.N. Advanced]. Dieses arbeitet auf der Netzzugangsschicht (Layer 2 nach dem OSI-Netzwerkschichtmodell). Das Freifunk-Netz verhält sich damit effektiv so, als wären alle Knoten über einen einzigen Netzwerk-Switch miteinander verbunden.

Neben der direkten Verbindung von Freifunk-Routern via WLAN gibt es die Option, isolierte Funkwolken über Tunnelverbindungen zu zentralen Servern ("Bündel-Servern") miteinander zu verbinden. Die Tunnelverbindungen laufen über das Internet und sind verschlüsselt (d.h. der Inhalt ist für Dritte nicht einsehbar). Der Internetanschluss wird hierbei auf freiwilliger Basis von den Knotenbetreibern zur Vefügung gestellt.

Weiterhin bietet das Freifunknetz über zentrale Gateways eine Verbindung ins Internet ("Internet Gateways") sowie den Verbund aller Freifunk-Netze ("IC-VPN Gateways"). Der Verein Freifunk Dreiländreck e.V. agiert damit als Zugangsanbieter ("Access Provider"). Die indirekte Weiterleitung ins Internet schützt die Knotenbetreiber vor ewaigen Haftungsansprüchen ("Störherhaftung") im Fall eines Missbrauchs durch Dritte.

Zusätzlich können Applikations-Server in das Freifunk-Netz integriert werden. Diese agieren als reguläre Netzwerkknoten und sind den Freifunk-Routern gleichgestellt.

[[Datei:Netzstrukturplan.png]]

=Sicherheitsteilsysteme=
In den folgenden Abschnitten werden die sicherheitskritischen Teilsysteme des Freifunk-Netzes definiert und diskutiert. Konkret werden als Teilsysteme die Freifunk-Router und Freifunk-Server im allgmeienen sowie Bündel-Server, Internet und IC-VPN Gateways im speziellen behandelt. Jeder Abschnitt besteht aus einer einleitenden Beschreibung inkl. der Aufgaben des jeweiligen Teilsystems, einer Auflistung von Schutzzielen und Gefährdungen, abgeleiteten Sicherheitsanforderungen, bereits umgesetzten sowie zukünftigen, geplanten Sicherheitsmaßnahmen. Zuletzt erfolgt eine abschließende Beurteilung des Gesamtsystems.

==Freifunk-Router==
Freifunk-WLAN-Router bilden die Grundelemente des Freifunk-Netzes. Sie werden auch als Netzwerkknoten bezeichnet. Bei Freifunk-Routern handelt sich um handelsübliche WLAN-Router, welche durch das Einspielen eines speziellen Betriebssystems ("Freifunk-Firmware") modifiziert werden. Freifunk-Router erfüllen die folgenden Aufgaben:
* Spontane Bildung des Freifunk-Maschennetzwerks via WLAN mit allen in Reichweite befindlichen Freifunk-Routern (lokale Funkwolke).
* Optional die Errichtung von Tunnelverbindungen zu Bündel-Servern über das Internet für den Datenaustausch mit entfernten Funkwolken.
* Austausch von Routen-Informationen, um die zielgerichtete Zustellung von Daten zu ermöglichen.
* Zugangspunkt zum Freifunk-Netzwerk für WLAN-Klienten (z.B. Smartphones, Tablets, Notebooks).
* Optional die Anbindung von Servern und/oder lokalen Klienten mittels einer direkten Kabelverbindung.

===Schutzziele und Gefährdungen===
# Freifunk-Router sind vor dem Zugriff unbefugter Dritter geschützt.
# Freifunk-Router ermöglichen Dritten den Zugang zum Freifunk-Netz, nicht jedoch den Zugang zum privaten Netz des Router-Betreibers.
# Fehler und Sicherheitslücken in der Freifunk-Firmware werden behoben.
# Übertragene Daten sind vor dem Zugriff Dritter geschützt.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.

===Abgeleitete Sicherheitsanforderungen===
# Freifunk-Router sind vor dem Zugriff unbefugter Dritter geschützt.
#* Die Einstellungen des Freifunk-Routers lassen sich lediglich in einem gesonderten Konfigurationsmodus verändern.
#* In der Standardkonfiguration des Freifunk-Routers ist kein Zugang auf der Ebene des Betriebssystems ("Shell Login") möglich.
#* Optional kann durch den Router-Betreiber ein verschlüsselter Zugang (z.B. via SSH) aktiviert werden, um die Wartung aus der Ferne zu ermöglichen.
# Freifunk-Router ermöglichen Dritten den Zugang zum Freifunk-Netz, nicht jedoch den Zugang zum privaten Netz des Router-Betreibers.
#* Eine Firewall auf dem Freifunk-Router (Layer 2 und/oder Layer 3) verhindert den Zugriff auf das private Netz des Betreibers.
#* Ausgenommen ist der Aufbau einer Tunnelverbindung zu den Bündelservern, sofern der Betreiber dies in der Konfiguration ausdrücklich gestattet ("opt in").
# Fehler und Sicherheitslücken in der Freifunk-Firmware werden behoben.
#* Die Firmware der Freifunk-Router wird in angemessenen Intervallen automatisch über das Freifunk-Netzt aktualisiert ("Autoupdater").
#* Die Authentizität der Firmware wird durch ein elektronisches Signaturverfahren sichergestellt.
#* Neue Firmware-Versionen werden vor dem Ausrollen gem. eines festgelegten Schemas getestet.
# Übertragene Daten sind vor dem Zugriff Dritter geschützt.
#* Die Datenübertragung zu den Bündel-Servern erfolgt mittels verschlüsselter Tunnelverbindungen (End-zu-Endverschlüsselung) unter Verwendung von nach heutigem Wissenssand sicherer Verfahren.
#* Die Authentizität der Endpunkte wird zum Schutz vor Mann-in-der-Mitte-Angriffen mittels eines asymmetrischen Schlüsselverfahrens sichergestellt.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.
#* Der Ausfall einzelner Freifunk-Router führt nicht zur Störung des restlichen Netzes.
#* Das Routing des Freifunk-Netzes ist "selbstheilend". Durch Ausfall bedingte Unterbrechungenwerden automatisch behoben.
#* Die Funktionstüchtigkeit der Router wird überwacht und der fehlerhafte Betrieb detektiert.

===Umgesetzte Sichgerheitsmaßnahmen===
# Freifunk-Router sind vor dem Zugriff unbefugter Dritter geschützt.
#* Die verwendete Gluon-Firmware unterstützt einen separaten Konfigurationsmodus. Dieser ist nach dem Aufspielen der Firmware aktiviert. Er kann zu einem späteren Zeitpunkt durch längeres Drücken der Reset-Taste am Router erneut aktiviert werden. Die Konfiguration wird über eine Web-Oberfläche unter der Adresse http://192.168.0.1 vorgenommen. Nach Abschluss der Konfiguration wechselt der Router in den Betriebsmodus. Eine Änderung der Konfiguration über die Web-Obewrfläche ist in der Folge nicht mehr möglich.
#* In der Standardkonfiguration der Gluon-Firmware ist der Shell Login auf den Router deaktiviert. Er muss explizit im Konfigurationsmodus aktiviert werden, indem ein Passwort oder Schlüssel für den Zugang via SSH gesetzt wird.
# Freifunk-Router ermöglichen Dritten den Zugang zum Freifunk-Netz, nicht jedoch den Zugang zum privaten Netz des Router-Betreibers.
#* Das Freifunk-Netz und das private Netz des Router-Betreibers werden in der Gluon-Netzwerkkonfiguration strikt getrennt. Die Zugänge zu den beiden Netzen sind in Form separater Brücken zusammengefasst (''br-client'' und ''br-wan'').
#* Die verwendete Gluon-Firmware konfiguriert Firewall-Regeln (bereitgestellt durch das Paket ''gluon-ebtables''), welche auf der Netzzugangsschicht (Layer 2) den Zugriff auf das private Netz unterbindet.
#* Eine Ausnahme bildet der Aufbau einer optionalen Tunnelverbindung zu den Bündel-Servern durch die VPN-Software ''fastd''. Diese Option muss vom Betreiber im Konfigurationsmodus explizit aktiviert werden ("opt-in").
# Fehler und Sicherheitslücken in der Freifunk-Firmware werden behoben.
#* Der FF3L betreibt einen Aktualisierungs-Dienst, welcher über das Freifunk-Netz erreichbar ist. Mit Hilfe des Aktualisierungsdienstes lassen sich neuere Versionen der Firmware auf den Routern automatisch einspielen. Die Konfiguration der Freifunk-Router bleibt hierbei soweit möglich erhalten.
#* Der Aktualisierungs-Dienst ist in der Standardkonfiguration der Freifunk-Firmware aktiviert (Zweig "stable"). Der Aktualisierungs-Dienst kann im Konfigurationsmodus in den Experteneinstellungen deaktiviert werden ("opt-out").
#* Die Authentitizät der Firmware-Images wird durch ein Signaturverfahren gewährleistet (signiertes Manifest). Neue Images werden von den Freifunk-Routern nur bei vorhandensein einer gültigen Signatur installiert (siehe auch [http://gluon.readthedocs.org/en/v2014.4/index.html Gluon-Dokumentation]).
#* Veröffentlichte Firmware-Images werden in die Zweige "experimental", "beta" und "stable" unterteilt. Neue Firmware-Versionen werden in eben dieser Reihenfolge ausgerollt, um einen ausreichenden Testbetrieb vor der Verbreitung zu gewährleisten.
#* Die Aktuelle Praxis bezüglich der Veröffentlichung von neuen Firmware-Versionen ist im [http://wiki.freifunk-3laendereck.net/Freifunk-Router:Firmware Wiki] des FF3L dokumentiert.
# Übertragene Daten sind vor dem Zugriff Dritter geschützt.
#* Die Datenübertragung zu den Bündel-Servern erfolgt mittels der VPN-Software fastd über das Internet. Die übertragenen Daten sind mittels des Chiffre Salsa20/12 verschlüsselt.
#* Die Authentifizierung erfolgt mittels der asymmetrischen Schlüsselverfahren UMAC oder GMAC. Die öffentlichen Schlüssel müssen einmalig vor dem Aufbau der Verbindung ausgetauscht werden. Dies geschieht im Rahmen der Registrierung des Knotens.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.
#* Der Ausfall einzelner Server führt nicht zu Störungen innerhalb des Netzes, sofern alternative Routen existieren. In diesem Fällen wird das Routing durch das verwendete Routing-Protokoll batman-adv automatisch korrigiert und die Lücke geschlossen
#* Die Freifunk-Firmware stellt auf den Knoten eine Stauts-Seite bereit. Auf dieser kann man sehen, ob der Knoten mit dem Freifunk-Netz und auf welche Weise er mit dem Freifunk-Netz verbunden ist.
#* Der Status aller Knoten wird zusätzlich in Form einer Knotenkarte auf den Servern des FF3L visualisiert. Der Karte lässt sich neben der Lage des Knotes (freiwillige Angabe) entnehmen, ob ein Knoten mit dem Freifunk-Netz verbunden ist und wie er vebunden ist.

===Bekannte Lücken sowie geplante, zukünftige Sicherheitsmaßnahmen===
# Freifunk-Router sind vor dem Zugriff unbefugter Dritter geschützt.
#* Freifunk-Router werden prinzipiell nicht vom FF3L betrieben. Für den Schutz vor physikalischem Zugriff und ggf. damit einhergehender Manipulation ist der Knoten-Betreiber verantwortlich.
# Freifunk-Router ermöglichen Dritten den Zugang zum Freifunk-Netz, nicht jedoch den Zugang zum privaten Netz des Router-Betreibers.
#* Die an bestimmten Freifunk-Routern verfügbaren LAN-Ports ermöglichen eine direkte Verbindung von Endgeräten (z.B. Servern) mit dem Freifunk-Netz. LAN-Ports sind von den WAN-Ports zu unterscheiden, über welche die Freifunk-Router mit dem Internet verbunden werden.
#* Im Fall einer Verwechslung der Ports, kann das private Netze des Freifunk-Betreibers in das Freifunk-Netz überbrückt werden.
#* Um Knotenbetreiber im Fall einer Verwechselung zu schützen, sollen die LAN-Ports in der Standardkonfiguration deaktiviert werden. Eine Aktivierung erfolgt über den Konfigurationsmodus des Routers.
# Fehler und Sicherheitslücken in der Freifunk-Firmware werden behoben.
#* Der Aktualisierungs-Dienst für die Freifunk-Firmware ist in der Standardkonfiguration aktiviert. Die entsprechende Einstellung verbirgt sich jedoch unter den Experteneinstellungen im Konfigurationsmodus.
#* Um Knotenbetreiber auf diesen Umstand aufmerksam zu machen, ist eine Verlegung der Einstellungen in den allgemeinen Teil des Konfigurationsmnodus geplant.
# Übertragene Daten sind vor dem Zugriff Dritter geschützt.
#* Die Datenübertragung zwischen den Freifunk-Routern erfolgt auf Grund der eingesetzen Technologie unverschlüsselt. Sie ist damit durch Dritte vor Ort abhörbar.
#* Umfassende Sicherheit lässt sich allein durch End-zu-End-Verschlüsselung gewährleisten. Die Anwendung dieser erfolgt auf den Endgeräten und liegt damit in der Verantwortung der Freifunk-Nutzer und nicht des FF3L.
#* Um eine sichere Übetragung von den Klienten zu den Bündel-Servern zu gewährleisten, soll optional ein VPN-Zugang für Klienten angeboten werden (z.B. [http://www.openvpn.net OpenVPN]).
#* Um eine sichere Übertragung von Endpunkt zu Endpunkt innerhalb des Freifunk-Netzes anzubieten, ist die Einrichtung eines verschlüsselten Overlay-Netzes angedacht (z.B. [http://cjdns.info/ cjDNS]).
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet
#* Keine geplanten Maßnahmen.

==Server==
Im Folgenden Abschnitt sind die allgemeinen Schutzziele und Gefährdungen für Freifunk-Server zusammengefasst. Freifunk-Server werden in der Regel - jedoch nicht ausschließlich - bei Host Providern angemietet (physikalische und virtualisierte Root Server). Die Einrichtung, der Betrieb und die Wartung erfolgt durch den FF3L. Der Begriff "Freifunk-Server" umfasst hierbei die weiter unten aufgeführten Bündel-Server, Internet sowie IC-VPN Gateways. Diese werden entsprechend ihrer Aufgaben noch einmal separat abgehandelt. In der Praxis werde die verschiedenen Server meist zusammengefasst. Ausgeschlossen sind Server, welche von Freifunkern als Privatpersonen innerhalb des Freifunknetzes betrieben werden.

===Schutzziele und Gefährdungen===
# Server sind vor dem Zugriff unbefugter Dritter geschützt.
# Fehler und Sicherheitslücken in der verwendeten Software werden behoben.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.

===Abgeleitete Sicherheitsanforderungen===
# Server sind vor dem Zugriff unbefugter Dritter geschützt.
#* Der Zugriff auf die Server (physikalisch und über das Internet) ist auf einen engen, definierten Personenkreis beschränkt.
#* Zugriffsrechte werden nach Bedarf und maßgeschneidert erteilt.
#* Der Zugang aus dem Netz erfolgt exklusiv über verschlüsselte Verbindungen (z.B. SSH).
#* Eine Firewall beschränkt Zugriffe aus dem Netz auf das notwendige Minimum.
#* Spezielle Sicherheitssoftware zur Erkennung von Eindringlingen wird verwendet.
# Fehler und Sicherheitslücken in der verwendeten Software werden behoben.
#* Server werden auf der Grundlage eines gepflegten, quelloffenen Betriebssystems errichtet.
#* Verwendete Software wird in adequaten Intervallen aktualisiert.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.
#* Die Funktionstüchtigkeit der Server wird überwacht und der fehlerhafte Betrieb detektiert.
#* Server sind vor DoS-Attacken aus dem Internet geschützt.

===Umgesetzte Sicherheitsmaßnahmen===
# Server sind vor dem Zugriff unbefugter Dritter geschützt.
#* Der Zugriff auf die Server des FF3L ist auf Mitglieder des Administratoren-Teams begrenzt. Das Aministratoren-Team wird durch den Vorstand des Vereins benannt.
#* Der Shell-Login ist ausschließlich über SSH möglich. Die Authentifizierung erfolgt mittels eines Passworts (LDAP) oder eines hinterlegten Schlüssels.
#* Server werden durch Firewall-Regeln auf der Basis von ''iptables'' geschützt. Die Standardvorgabe ist, dass eingehende und weiterzuleitende Pakete verworfen werden. Die Freigabe von Ports bzw. der Weiterleitung erfolgt mittels spezifischer Regeln wo erwünscht.
# Fehler und Sicherheitslücken in der verwendeten Software werden behoben.
#* Die Freifunk-Server werden auf Basis der Debian Linux-Distribution betrieben. Sofern möglich, wird die jeweils letzte stabile Version verwendet.
#* Es werden in angemessenen Intervallen empfohlene Sicherheitsaktualisierungen mittels der offiziellen Paketverwaltung eingespielt.
#* Das Administratoren-Team verfolgt sicherheitsrelevante Ankündigungen über die Mailing-Liste debian-security-announce@lists.debian.org.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.
#* Kritische Server und Dienste werden über ein zentrales Monitoring auf der Basis von Nagios(-Derivaten) überwacht. Das Monitoring ist redundant aufgesetzt. Der aktuelle Zustand aller Server und Diense ist über eine Web-Oberfläche einsehbar. Optional erfolgt eine Mitteilung per e-Mail im Fall von Statusänderungen.
#* Die Server des FF3L werden von Host Providern angemietet. Diese bieten üblicherweise einen gewissen Schutz vor DoS-Angriffen in der Form adaptiver Firewalls.

===Bekannte Lücken sowie geplante, zukünftige Sicherheitsmaßnahmen===
# Server sind vor dem Zugriff unbefugter Dritter geschützt.
#* Die Erteilung von Zugriffsrechten erfolgt derzeit weitestgehend monolithisch, soll in Zukunft jedoch granular und nach Bedarf erfolgen. Erteilte Rechte sollen an geeigneter Stelle transparent dokumentiert und veröffentlicht werden.
#* Bzgl. der verwendbaren Passwörter gibt es aktuell keine Vorgaben. In der Zukunft soll eine Überprüfung der Passwortstärke sowie Vorgabe einer minimalen Entropie implementiert werden.
#* Die Authentizfizierung im Rahmen des Shell-Login via SSH ist aktuell mittels eines Passworts möglich. Die Authentifizierung soll auf asymmetrische Schlüsselverfahren beschränkt werden, um die Folgen von Man-in-der-Mitte-Angriffen zu mildern.
#* Sicherheitssoftware zur Erkennung von Eindringlingen wird aktuell nur auf einem Teil der Freifunk-Server verwendet. Die Erstellung und Umsetzung eines flächendeckenden Konzepts steht nachwievor aus.
# Fehler und Sicherheitslücken in der verwendeten Software werden behoben.
#* Keine geplanten Maßnahmen.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.
#* Keine geplanten Maßnahmen.

==Bündel-Server==
Bündel-Server dienen der Verbindung isolierter Funkwolken innerhalb des Freifunk-Netzes. Vom Prinzip her sind Sie den Freifunk-Routern gleichgestellte Netzwerkknoten, erfüllen jedoch zusätzliche Aufgaben. Bündel-Server unterhalten im Normalfall eine hohe Anzahl an Verbindungen zu Freifunk-Routern. Da ein erheblicher Teil des Datenverkehrs über die Bündel-Server läuft, sind diese als besonders sicherheitskritisch einzustufen. Konkret erfüllen Bündel-Server die folgenden Aufgaben:
* Verbindung entfernter Freifunk-Router mittels Tunnelverbindungen über das Internet.
* Austausch von Routen-Informationen, um die zielgerichtete Zustellung von Daten zu ermöglichen.
* Automatische Netzwerkkonfiguration von Klienten.
* Namensauflösung innerhalb des Freifunk-Netzes.

===Schutzziele und Gefährdungen===
# Übertragene Daten sind vor dem Zugriff Dritter geschützt.
# Die Namensauflösung ist vor Manipulationen durch Dritte geschützt.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.

Zusätzlich gelten die Schutzziele und Gefährdungen für Server im allgemeinen.

===Abgeleitete Sicherheitsanforderungen===
# Übertragene Daten sind vor dem Zugriff Dritter geschützt.
#* Die Datenübertragung zu den Freifunk-Routern erfolgt mittels verschlüsselter Tunnelverbindungen (End-zu-Endverschlüsselung) unter Verwendung von nach heutigem Wissenssand sicherer Verfahren.
#* Die Authentizität der Endpunkte wird zum Schutz vor Mann-in-der-Mitte-Angriffen mittels eines asymmetrischen Schlüsselverfahrens sichergestellt.
# Die Namensauflösung ist vor Manipulationen durch Dritte geschützt.
#* Die Authentizität der Endpunkte wird zum Schutz vor Mann-in-der-Mitte-Angriffen mittels eines asymmetrischen Schlüsselverfahrens sichergestellt.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.
#* Der Ausfall eines Bündel-Servers führt nicht zur Störung des restlichen Netzes.
#* Die Netzstabilität wird durch Redundanz gewährleistet. Die Bündel-Server sind über mehrere Rechenzeitung verteilt.
#* Das Routing des Freifunk-Netzes ist "selbstheilend". Durch Ausfall bedingte Unterbrechungen werden automatisch behoben.
#* Die verfügbare Bandbreite wird gleichmäßig auf alle verbundenen Knoten/Klienten verteilt.

===Umgesetzte Sichgerheitsmaßnahmen===

===Bekannte Lücken sowie geplante, zukünftige Sicherheitsmaßnahmen===

==Internet Gateways==

Aufgaben:
* Verbindung des Freifunknetzes mit dem restlichen Internet
* Namensauflösung
* optionale Anonymisierung der Clienten

===Schutzziele und Gefährdungen===
# Gleichmäßige Verteilung der verfügbaren Bandbreite auf alle Klienten sowie adeqaute Priorisierung des Verkehrs nach Diensten
# Unterbindung von SPAM-Nachrichten
# Optional die Einschränkung von P2P-Dateiübertragung auf ein vertretbares Maß

Zusätzlich gelten die Schutzziele und Gefährdungen für Server im allgemeinen.

===Abgeleitete Sichgerheitsmaßnahmen===
# Gleichmäßige Verteilung von Bandbreite auf alle Klienten
** Verwendung von geeigneten Queueing Disciplines

# Unterbindung von SPAM-Nachrichten
** Sperrung des Mail Ports 25. Beschränkung auf den Mail Submission Port 587.

# Einschränkung von P2P-Dateiübertragung auf ein erträgliches Maß
** Beschränkung der Zahl aktiver Verbindungen pro Klient

===Geplante, zukünftige Sicherheitsmaßnahmen===

==IC-VPN Gateways==
Aufgaben:
* Verbindung des Freifunk-Netzes mit anderen Freifunk-Netzen innerhalb des IC-VPNs
* Austausch von Routeninformationen
* Namensauflösung für Domänen innerhalb des IC-VPN
* Optional Routing von Internetverkehr zu den Gateways anderer Freifunk-Netze

===Schutzziele und Gefährdungen===
# Übertragene Daten sind vor dem Zugriff Dritter geschützt.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.
# Der Ausfall des IC-VPN-Gateways führt nicht zur Störung des restlichen Netzes.

Zusätzlich gelten die Schutzzile und Gefährdungen wie für Bündel-Server

===Abgeleitete Sichgerheitsmaßnahmen===
# Übertragene Daten sind vor dem Zugriff Dritter geschützt.
** Die Datenübertragung zu den Bündel-Servern erfolgt mittels verschlüsselter Tunnelverbindungen (End-zu Endverschlüsselung) unter Verwendung von nach heutigem Wissenssand sicherer Verfahren.
** Die Authentizität der Endpunkte wird zum Schutz vor Mann-in-der-Mitte-Angriffen mittels eines asymmetrischen Schlüsselverfahrens sichergestellt.

===Geplante, zukünftige Sicherheitsmaßnahmen===

==Bewertung des Gesamtsystems==
Welche Risiken ergeben sich aus dem Zusammnenwirken der Teilsysteme?

==Mitteilungspflichten==

Welche Sicherheitsverletzungen und/oder Störungen würden wir der Bundesnetzagentur mitteilen wollen?

=Ideen=

Integration in Freifunk-API? Community füllt lediglich Formular zu den einzelnen Teilsystemen aus. Das Sicherheitskonzept wird im Anschluss automatisch erstellt und im Netz veröffentlicht.

Sicherheitskonzept (intern)

2015-05-17T12:02:09Z

Langweiler: /* Kontinuierliche Verbesserung */

{{Tip|Dieses Dokument befindet sich noch in der Entstehung.}}

=Präambel=
Freifunk Dreiländereck ("FF3L") ist ein parteipolitischer, unabhängiger, eingetragener Verein, der sich als Teil der weltweiten Open Wireless-Bewegung versteht, welche in Deutschland durch die Freifunk-Initiative repärsentiert wird.

Zur Umsetzung des Vereinszwecks unterhält der FF3L eine Netzwerkinfrastruktur, welche in Kombination mit den Freifunk-WLAN-Routern das Freifunk-Netz bildet. Weiterhin stellt er eine Firmware für Freifunk-Router zur Verfügung. Er ist bei der Bundesnetzagentur seit dem xx.xx.xxxx. als Telekommunikationsdienstleister (Access Provider) registriert.

Mit dem vorliegenden Sicherheitskonzept werden die folgenden Absichten verfolgt:
* Erfüllung der Verpflichtung zur Erstellung und Umsetzung eines Sicherheitskonzeptes nach § 109 TKG.
* Transparente Dokumentation des Status Quo bezüglich Informationssicherheit als Grundlage für die kontinuierliche Verbesserung.
* Aufzeigen von inherenten Limitierungen, die sich auf Grund der Funktionsweise des Freifunk-Netzes ergeben.
* Darstellung der Pflichten von Freifunk-Nutzern hinsichtlich Gewährleistung ihrer eigene Sicherheit.

=Umfang=
Der Umfang des Sicherheitskonzepts beschränkt sich ausschließlich auf die vom FF3L (also dem Verein, und nicht von Freifunkern als Privatpersonen) betriebene Netzwerkinfrastruktur. Explizit beinhaltet dies die vom FF3L betriebenen Bündel-Server, Internet und IC-VPN Gateways. Aspekte der Freifunk-Router werden insofern abgehandelt, wie sie mit der vom Verein herausgegebenen Freifunk-Firmware in Verbindung stehen. Nicht im Umfang enthalten sind Server und Engeräte, welche von Freifunk-Nutzern betrieben werden.

Der Begriff Freifunk-Netz in diesem Dokument bezieht sich auschließlich auf das Freifunk-Netz im Dreiländereck (CH-DE-FR), dessen Aufbau und Betrieb durch den FF3L gefördert wird. Gleiches gilt für die Begriffe Freifunk-Router, Freifunk-Firmware und Freifunk-Server. Eine Übertragung auf Freifunk-Netze anderer Commnunities ist nicht zulässig.

=Kontinuierliche Verbesserung=
Das vorliegende Sicherheitskonzept ist als lebendes Dokument konzipiert. Es dient als Grundlage für die Arbeit des Sicherheitsbeauftragten. Dieser analysiert und aktualisiert gemeinsam mit dem Administratoren-Team des FF3L sowie allen interessierten Freifunkern in regelmäßigen Abständen die Anforderungen an die vom FF3L betriebenen Teilsysteme, die Zulänglichkeit der umgesetzten Maßnahmen sowie die Planung zukünftiger Maßnahmen zur weiteren Verbesserung der Sicherheit.

=Gesetzlicher Hintergrund=
Auszug aus dem "Katalog von Sicherheitsanforderungen für das Betreiben von Telekommunikations- und Datenverarbeitungssystemen sowie für die Verarbeitung personenbezogener Daten nach § 109 Telekommunikationsgesetz (TKG):

Für das Betreiben öffentlicher Telekkommunikatiosnetze sowie das Erbringen öffentlich zugänglicher Telekommunikationsdiense schreibt § 109 TKG Vorkehrungen und sonstige Maßnahmen

* zum Schutz des Fernmeldegehimnisses,
* gegen die Verletzung des Schutzes personenbezogener Daten,
* gegen Störungen, die zu erheblichen Beeinträchtigungen von Telekommunikationsnetzen und -diensten führen, auch soweit sie durch äußere Angriffe und Einwirkungen von Katastrophen bedingt sein könnten,
als Mindestanforderungen vor.

Ziel und Zweck der zu treffenden Maßnahmen sind insbesondere

* die Sicherheit vor unerlaubtem Zugriffen auf Telekommunikations- und Datenverarbeitungssysteme
* die Reduzierung / Minimierung der Auswirkungen von Sicherheitsverletzungen auf Nutzer oder auf zusammengeschaltete Netze
* die Gewährleistung eines ordnungsgemäßen Betriebes der Netze und dadurch die Sicherstellung der fortlaufenden Verfügbarkeit der über die Netze erbrachten Dienste.

=Netzstruktur=
Das Freifunknetz ist ein offenes, sich spontan ausbildendes und selbstheilendes Maschennetzwerk. Die Grundbausteine ("Knoten") des Freifunk-Netzes sind die Freifunk-Router. Der Begriff Maschennetzwerk
bedeutet, dass die einzelnen Knoten mit einem oder mehreren Knoten auf nicht hierarschische Weise verbunden sind.

Die Freifunk-Router sinde handelsübliche WLAN-Router, ausgestattet mit einer speziellen Software ("Firmware"). Die spezielle Firmware gestattet es den Freifunk-Routern spontan Verbindung mit anderen Freifunk-Routern in Reichweite aufzunehmen. Hierbei kommt der offizielle, zugelassene WLAN-Standard 802.11n zum Einsatz. Gleichzeitig agieren die Router als WLAN-Zugangspunkt und ermöglichen damit Klienten (z.B. Smartphones) den direkten Zugang zum Freifunknetz.

Damit die Daten in dieser chaotischen Struktur ihren Weg finden, kommt ein spezielles Routing-Protokoll zum Einsatz. Im Fall des FF3L handelt es sich um das Protokoll [http://www.open-mesh.org/projects/batman-adv/wiki B.A.T.M.A.N. Advanced]. Dieses arbeitet auf der Netzzugangsschicht (Layer 2 nach dem OSI-Netzwerkschichtmodell). Das Freifunk-Netz verhält sich damit effektiv so, als wären alle Knoten über einen einzigen Netzwerk-Switch miteinander verbunden.

Neben der direkten Verbindung von Freifunk-Routern via WLAN gibt es die Option, isolierte Funkwolken über Tunnelverbindungen zu zentralen Servern ("Bündel-Servern") miteinander zu verbinden. Die Tunnelverbindungen laufen über das Internet und sind verschlüsselt (d.h. der Inhalt ist für Dritte nicht einsehbar). Der Internetanschluss wird hierbei auf freiwilliger Basis von den Knotenbetreibern zur Vefügung gestellt.

Weiterhin bietet das Freifunknetz über zentrale Gateways eine Verbindung ins Internet ("Internet Gateways") sowie den Verbund aller Freifunk-Netze ("IC-VPN Gateways"). Der Verein Freifunk Dreiländreck e.V. agiert damit als Zugangsanbieter ("Access Provider"). Die indirekte Weiterleitung ins Internet schützt die Knotenbetreiber vor ewaigen Haftungsansprüchen ("Störherhaftung") im Fall eines Missbrauchs durch Dritte.

Zusätzlich können Applikations-Server in das Freifunk-Netz integriert werden. Diese agieren als reguläre Netzwerkknoten und sind den Freifunk-Routern gleichgestellt.

[[Datei:Netzstrukturplan.png]]

=Sicherheitsteilsysteme=
In den folgenden Abschnitten werden die sicherheitskritischen Teilsysteme des Freifunk-Netzes definiert und diskutiert. Konkret werden als Teilsysteme die Freifunk-Router und Freifunk-Server im allgmeienen sowie Bündel-Server, Internet und IC-VPN Gateways im speziellen behandelt. Jeder Abschnitt besteht aus einer einleitenden Beschreibung inkl. der Aufgaben des jeweiligen Teilsystems, einer Auflistung von Schutzzielen und Gefährdungen, abgeleiteten Sicherheitsanforderungen, bereits umgesetzten sowie zukünftigen, geplanten Sicherheitsmaßnahmen. Zuletzt erfolgt eine abschließende Beurteilung des Gesamtsystems.

==Freifunk-Router==
Freifunk-WLAN-Router bilden die Grundelemente des Freifunk-Netzes. Sie werden auch als Netzwerkknoten bezeichnet. Bei Freifunk-Routern handelt sich um handelsübliche WLAN-Router, welche durch das Einspielen eines speziellen Betriebssystems ("Freifunk-Firmware") modifiziert werden. Freifunk-Router erfüllen die folgenden Aufgaben:
* Spontane Bildung des Freifunk-Maschennetzwerks via WLAN mit allen in Reichweite befindlichen Freifunk-Routern (lokale Funkwolke).
* Optional die Errichtung von Tunnelverbindungen zu Bündel-Servern über das Internet für den Datenaustausch mit entfernten Funkwolken.
* Austausch von Routen-Informationen, um die zielgerichtete Zustellung von Daten zu ermöglichen.
* Zugangspunkt zum Freifunk-Netzwerk für WLAN-Klienten (z.B. Smartphones, Tablets, Notebooks).
* Optional die Anbindung von Servern und/oder lokalen Klienten mittels einer direkten Kabelverbindung.

===Schutzziele und Gefährdungen===
# Freifunk-Router sind vor dem Zugriff unbefugter Dritter geschützt.
# Freifunk-Router ermöglichen Dritten den Zugang zum Freifunk-Netz, nicht jedoch den Zugang zum privaten Netz des Router-Betreibers.
# Fehler und Sicherheitslücken in der Freifunk-Firmware werden behoben.
# Übertragene Daten sind vor dem Zugriff Dritter geschützt.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.

===Abgeleitete Sicherheitsanforderungen===
# Freifunk-Router sind vor dem Zugriff unbefugter Dritter geschützt.
#* Die Einstellungen des Freifunk-Routers lassen sich lediglich in einem gesonderten Konfigurationsmodus verändern.
#* In der Standardkonfiguration des Freifunk-Routers ist kein Zugang auf der Ebene des Betriebssystems ("Shell Login") möglich.
#* Optional kann durch den Router-Betreiber ein verschlüsselter Zugang (z.B. via SSH) aktiviert werden, um die Wartung aus der Ferne zu ermöglichen.
# Freifunk-Router ermöglichen Dritten den Zugang zum Freifunk-Netz, nicht jedoch den Zugang zum privaten Netz des Router-Betreibers.
#* Eine Firewall auf dem Freifunk-Router (Layer 2 und/oder Layer 3) verhindert den Zugriff auf das private Netz des Betreibers.
#* Ausgenommen ist der Aufbau einer Tunnelverbindung zu den Bündelservern, sofern der Betreiber dies in der Konfiguration ausdrücklich gestattet ("opt in").
# Fehler und Sicherheitslücken in der Freifunk-Firmware werden behoben.
#* Die Firmware der Freifunk-Router wird in angemessenen Intervallen automatisch über das Freifunk-Netzt aktualisiert ("Autoupdater").
#* Die Authentizität der Firmware wird durch ein elektronisches Signaturverfahren sichergestellt.
#* Neue Firmware-Versionen werden vor dem Ausrollen gem. eines festgelegten Schemas getestet.
# Übertragene Daten sind vor dem Zugriff Dritter geschützt.
#* Die Datenübertragung zu den Bündel-Servern erfolgt mittels verschlüsselter Tunnelverbindungen (End-zu-Endverschlüsselung) unter Verwendung von nach heutigem Wissenssand sicherer Verfahren.
#* Die Authentizität der Endpunkte wird zum Schutz vor Mann-in-der-Mitte-Angriffen mittels eines asymmetrischen Schlüsselverfahrens sichergestellt.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.
#* Der Ausfall einzelner Freifunk-Router führt nicht zur Störung des restlichen Netzes.
#* Das Routing des Freifunk-Netzes ist "selbstheilend". Durch Ausfall bedingte Unterbrechungenwerden automatisch behoben.
#* Die Funktionstüchtigkeit der Router wird überwacht und der fehlerhafte Betrieb detektiert.

===Umgesetzte Sichgerheitsmaßnahmen===
# Freifunk-Router sind vor dem Zugriff unbefugter Dritter geschützt.
#* Die verwendete Gluon-Firmware unterstützt einen separaten Konfigurationsmodus. Dieser ist nach dem Aufspielen der Firmware aktiviert. Er kann zu einem späteren Zeitpunkt durch längeres Drücken der Reset-Taste am Router erneut aktiviert werden. Die Konfiguration wird über eine Web-Oberfläche unter der Adresse http://192.168.0.1 vorgenommen. Nach Abschluss der Konfiguration wechselt der Router in den Betriebsmodus. Eine Änderung der Konfiguration über die Web-Obewrfläche ist in der Folge nicht mehr möglich.
#* In der Standardkonfiguration der Gluon-Firmware ist der Shell Login auf den Router deaktiviert. Er muss explizit im Konfigurationsmodus aktiviert werden, indem ein Passwort oder Schlüssel für den Zugang via SSH gesetzt wird.
# Freifunk-Router ermöglichen Dritten den Zugang zum Freifunk-Netz, nicht jedoch den Zugang zum privaten Netz des Router-Betreibers.
#* Das Freifunk-Netz und das private Netz des Router-Betreibers werden in der Gluon-Netzwerkkonfiguration strikt getrennt. Die Zugänge zu den beiden Netzen sind in Form separater Brücken zusammengefasst (''br-client'' und ''br-wan'').
#* Die verwendete Gluon-Firmware konfiguriert Firewall-Regeln (bereitgestellt durch das Paket ''gluon-ebtables''), welche auf der Netzzugangsschicht (Layer 2) den Zugriff auf das private Netz unterbindet.
#* Eine Ausnahme bildet der Aufbau einer optionalen Tunnelverbindung zu den Bündel-Servern durch die VPN-Software ''fastd''. Diese Option muss vom Betreiber im Konfigurationsmodus explizit aktiviert werden ("opt-in").
# Fehler und Sicherheitslücken in der Freifunk-Firmware werden behoben.
#* Der FF3L betreibt einen Aktualisierungs-Dienst, welcher über das Freifunk-Netz erreichbar ist. Mit Hilfe des Aktualisierungsdienstes lassen sich neuere Versionen der Firmware auf den Routern automatisch einspielen. Die Konfiguration der Freifunk-Router bleibt hierbei soweit möglich erhalten.
#* Der Aktualisierungs-Dienst ist in der Standardkonfiguration der Freifunk-Firmware aktiviert (Zweig "stable"). Der Aktualisierungs-Dienst kann im Konfigurationsmodus in den Experteneinstellungen deaktiviert werden ("opt-out").
#* Die Authentitizät der Firmware-Images wird durch ein Signaturverfahren gewährleistet (signiertes Manifest). Neue Images werden von den Freifunk-Routern nur bei vorhandensein einer gültigen Signatur installiert (siehe auch [http://gluon.readthedocs.org/en/v2014.4/index.html Gluon-Dokumentation]).
#* Veröffentlichte Firmware-Images werden in die Zweige "experimental", "beta" und "stable" unterteilt. Neue Firmware-Versionen werden in eben dieser Reihenfolge ausgerollt, um einen ausreichenden Testbetrieb vor der Verbreitung zu gewährleisten.
#* Die Aktuelle Praxis bezüglich der Veröffentlichung von neuen Firmware-Versionen ist im [http://wiki.freifunk-3laendereck.net/Freifunk-Router:Firmware Wiki] des FF3L dokumentiert.
# Übertragene Daten sind vor dem Zugriff Dritter geschützt.
#* Die Datenübertragung zu den Bündel-Servern erfolgt mittels der VPN-Software fastd über das Internet. Die übertragenen Daten sind mittels des Chiffre Salsa20/12 verschlüsselt.
#* Die Authentifizierung erfolgt mittels der asymmetrischen Schlüsselverfahren UMAC oder GMAC. Die öffentlichen Schlüssel müssen einmalig vor dem Aufbau der Verbindung ausgetauscht werden. Dies geschieht im Rahmen der Registrierung des Knotens.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.
#* Der Ausfall einzelner Server führt nicht zu Störungen innerhalb des Netzes, sofern alternative Routen existieren. In diesem Fällen wird das Routing durch das verwendete Routing-Protokoll batman-adv automatisch korrigiert und die Lücke geschlossen
#* Die Freifunk-Firmware stellt auf den Knoten eine Stauts-Seite bereit. Auf dieser kann man sehen, ob der Knoten mit dem Freifunk-Netz und auf welche Weise er mit dem Freifunk-Netz verbunden ist.
#* Der Status aller Knoten wird zusätzlich in Form einer Knotenkarte auf den Servern des FF3L visualisiert. Der Karte lässt sich neben der Lage des Knotes (freiwillige Angabe) entnehmen, ob ein Knoten mit dem Freifunk-Netz verbunden ist und wie er vebunden ist.

===Bekannte Lücken sowie geplante, zukünftige Sicherheitsmaßnahmen===
# Freifunk-Router sind vor dem Zugriff unbefugter Dritter geschützt.
#* Freifunk-Router werden prinzipiell nicht vom FF3L betrieben. Für den Schutz vor physikalischem Zugriff und ggf. damit einhergehender Manipulation ist der Knoten-Betreiber verantwortlich.
# Freifunk-Router ermöglichen Dritten den Zugang zum Freifunk-Netz, nicht jedoch den Zugang zum privaten Netz des Router-Betreibers.
#* Die an bestimmten Freifunk-Routern verfügbaren LAN-Ports ermöglichen eine direkte Verbindung von Endgeräten (z.B. Servern) mit dem Freifunk-Netz. LAN-Ports sind von den WAN-Ports zu unterscheiden, über welche die Freifunk-Router mit dem Internet verbunden werden.
#* Im Fall einer Verwechslung der Ports, kann das private Netze des Freifunk-Betreibers in das Freifunk-Netz überbrückt werden.
#* Um Knotenbetreiber im Fall einer Verwechselung zu schützen, sollen die LAN-Ports in der Standardkonfiguration deaktiviert werden. Eine Aktivierung erfolgt über den Konfigurationsmodus des Routers.
# Fehler und Sicherheitslücken in der Freifunk-Firmware werden behoben.
#* Der Aktualisierungs-Dienst für die Freifunk-Firmware ist in der Standardkonfiguration aktiviert. Die entsprechende Einstellung verbirgt sich jedoch unter den Experteneinstellungen im Konfigurationsmodus.
#* Um Knotenbetreiber auf diesen Umstand aufmerksam zu machen, ist eine Verlegung der Einstellungen in den allgemeinen Teil des Konfigurationsmnodus geplant.
# Übertragene Daten sind vor dem Zugriff Dritter geschützt.
#* Die Datenübertragung zwischen den Freifunk-Routern erfolgt auf Grund der eingesetzen Technologie unverschlüsselt. Sie ist damit durch Dritte vor Ort abhörbar.
#* Umfassende Sicherheit lässt sich allein durch End-zu-End-Verschlüsselung gewährleisten. Die Anwendung dieser erfolgt auf den Endgeräten und liegt damit in der Verantwortung der Freifunk-Nutzer und nicht des FF3L.
#* Um eine sichere Übetragung von den Klienten zu den Bündel-Servern zu gewährleisten, soll optional ein VPN-Zugang für Klienten angeboten werden (z.B. [http://www.openvpn.net OpenVPN]).
#* Um eine sichere Übertragung von Endpunkt zu Endpunkt innerhalb des Freifunk-Netzes anzubieten, ist die Einrichtung eines verschlüsselten Overlay-Netzes angedacht (z.B. [http://cjdns.info/ cjDNS]).
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet
#* Keine geplanten Maßnahmen.

==Server==
Im Folgenden Abschnitt sind die allgemeinen Schutzziele und Gefährdungen für Freifunk-Server zusammengefasst. Freifunk-Server werden in der Regel - jedoch nicht ausschließlich - bei Host Providern angemietet (physikalische und virtualisierte Root Server). Die Einrichtung, der Betrieb und die Wartung erfolgt durch den FF3L. Der Begriff "Freifunk-Server" umfasst hierbei die weiter unten aufgeführten Bündel-Server, Internet sowie IC-VPN Gateways. Diese werden entsprechend ihrer Aufgaben noch einmal separat abgehandelt. In der Praxis werde die verschiedenen Server meist zusammengefasst. Ausgeschlossen sind Server, welche von Freifunkern als Privatpersonen innerhalb des Freifunknetzes betrieben werden.

===Schutzziele und Gefährdungen===
# Server sind vor dem Zugriff unbefugter Dritter geschützt.
# Fehler und Sicherheitslücken in der verwendeten Software werden behoben.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.

===Abgeleitete Sicherheitsanforderungen===
# Server sind vor dem Zugriff unbefugter Dritter geschützt.
#* Der Zugriff auf die Server (physikalisch und über das Internet) ist auf einen engen, definierten Personenkreis beschränkt.
#* Zugriffsrechte werden nach Bedarf und maßgeschneidert erteilt.
#* Der Zugang aus dem Netz erfolgt exklusiv über verschlüsselte Verbindungen (z.B. SSH).
#* Eine Firewall beschränkt Zugriffe aus dem Netz auf das notwendige Minimum.
#* Spezielle Sicherheitssoftware zur Erkennung von Eindringlingen wird verwendet.
# Fehler und Sicherheitslücken in der verwendeten Software werden behoben.
#* Server werden auf der Grundlage eines gepflegten, quelloffenen Betriebssystems errichtet.
#* Verwendete Software wird in adequaten Intervallen aktualisiert.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.
#* Die Funktionstüchtigkeit der Server wird überwacht und der fehlerhafte Betrieb detektiert.
#* Server sind vor DoS-Attacken aus dem Internet geschützt.

===Umgesetzte Sicherheitsmaßnahmen===
# Server sind vor dem Zugriff unbefugter Dritter geschützt.
#* Der Zugriff auf die Server des FF3L ist auf Mitglieder des Administratoren-Teams begrenzt. Das Aministratoren-Team wird durch den Vorstand des Vereins benannt.
#* Der Shell-Login ist ausschließlich über SSH möglich. Die Authentifizierung erfolgt mittels eines Passworts (LDAP) oder eines hinterlegten Schlüssels.
#* Server werden durch Firewall-Regeln auf der Basis von ''iptables'' geschützt. Die Standardvorgabe ist, dass eingehende und weiterzuleitende Pakete verworfen werden. Die Freigabe von Ports bzw. der Weiterleitung erfolgt mittels spezifischer Regeln wo erwünscht.
# Fehler und Sicherheitslücken in der verwendeten Software werden behoben.
#* Die Freifunk-Server werden auf Basis der Debian Linux-Distribution betrieben. Sofern möglich, wird die jeweils letzte stabile Version verwendet.
#* Es werden in angemessenen Intervallen empfohlene Sicherheitsaktualisierungen mittels der offiziellen Paketverwaltung eingespielt.
#* Das Administratoren-Team verfolgt sicherheitsrelevante Ankündigungen über die Mailing-Liste debian-security-announce@lists.debian.org.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.
#* Kritische Server und Dienste werden über ein zentrales Monitoring auf der Basis von Nagios(-Derivaten) überwacht. Das Monitoring ist redundant aufgesetzt. Der aktuelle Zustand aller Server und Diense ist über eine Web-Oberfläche einsehbar. Optional erfolgt eine Mitteilung per e-Mail im Fall von Statusänderungen.
#* Die Server des FF3L werden von Host Providern angemietet. Diese bieten üblicherweise einen gewissen Schutz vor DoS-Angriffen in der Form adaptiver Firewalls.

===Bekannte Lücken sowie geplante, zukünftige Sicherheitsmaßnahmen===
# Server sind vor dem Zugriff unbefugter Dritter geschützt.
#* Die Erteilung von Zugriffsrechten erfolgt derzeit weitestgehend monolithisch, soll in Zukunft jedoch granular und nach Bedarf erfolgen. Erteilte Rechte sollen an geeigneter Stelle transparent dokumentiert und veröffentlicht werden.
#* Bzgl. der verwendbaren Passwörter gibt es aktuell keine Vorgaben. In der Zukunft soll eine Überprüfung der Passwortstärke sowie Vorgabe einer minimalen Entropie implementiert werden.
#* Die Authentizfizierung im Rahmen des Shell-Login via SSH ist aktuell mittels eines Passworts möglich. Die Authentifizierung soll auf asymmetrische Schlüsselverfahren beschränkt werden, um die Folgen von Man-in-der-Mitte-Angriffen zu mildern.
#* Sicherheitssoftware zur Erkennung von Eindringlingen wird aktuell nur auf einem Teil der Freifunk-Server verwendet. Die Erstellung und Umsetzung eines flächendeckenden Konzepts steht nachwievor aus.
# Fehler und Sicherheitslücken in der verwendeten Software werden behoben.
#* Keine geplanten Maßnahmen.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.
#* Keine geplanten Maßnahmen.

==Bündel-Server==
Bündel-Server dienen der Verbindung isolierter Funkwolken innerhalb des Freifunk-Netzes. Vom Prinzip her sind Sie den Freifunk-Routern gleichgestellte Netzwerkknoten, erfüllen jedoch zusätzliche Aufgaben. Bündel-Server unterhalten im Normalfall eine hohe Anzahl an Verbindungen zu Freifunk-Routern. Da ein erheblicher Teil des Datenverkehrs über die Bündel-Server läuft, sind diese als besonders sicherheitskritisch einzustufen. Konkret erfüllen Bündel-Server die folgenden Aufgaben:
* Verbindung entfernter Freifunk-Router mittels Tunnelverbindungen über das Internet.
* Austausch von Routen-Informationen, um die zielgerichtete Zustellung von Daten zu ermöglichen.
* Automatische Netzwerkkonfiguration von Klienten.
* Namensauflösung innerhalb des Freifunk-Netzes.

===Schutzziele und Gefährdungen===
# Übertragene Daten sind vor dem Zugriff Dritter geschützt.
# Die Namensauflösung ist vor Manipulationen durch Dritte geschützt.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.

Zusätzlich gelten die Schutzziele und Gefährdungen für Server im allgemeinen.

===Abgeleitete Sicherheitsanforderungen===
# Übertragene Daten sind vor dem Zugriff Dritter geschützt.
#* Die Datenübertragung zu den Freifunk-Routern erfolgt mittels verschlüsselter Tunnelverbindungen (End-zu-Endverschlüsselung) unter Verwendung von nach heutigem Wissenssand sicherer Verfahren.
#* Die Authentizität der Endpunkte wird zum Schutz vor Mann-in-der-Mitte-Angriffen mittels eines asymmetrischen Schlüsselverfahrens sichergestellt.
# Die Namensauflösung ist vor Manipulationen durch Dritte geschützt.
#* Die Authentizität der Endpunkte wird zum Schutz vor Mann-in-der-Mitte-Angriffen mittels eines asymmetrischen Schlüsselverfahrens sichergestellt.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.
#* Der Ausfall eines Bündel-Servers führt nicht zur Störung des restlichen Netzes.
#* Die Netzstabilität wird durch Redundanz gewährleistet. Die Bündel-Server sind über mehrere Rechenzeitung verteilt.
#* Das Routing des Freifunk-Netzes ist "selbstheilend". Durch Ausfall bedingte Unterbrechungen werden automatisch behoben.
#* Die verfügbare Bandbreite wird gleichmäßig auf alle verbundenen Knoten/Klienten verteilt.

===Umgesetzte Sichgerheitsmaßnahmen===

===Bekannte Lücken sowie geplante, zukünftige Sicherheitsmaßnahmen===

==Internet Gateways==

Aufgaben:
* Verbindung des Freifunknetzes mit dem restlichen Internet
* Namensauflösung
* optionale Anonymisierung der Clienten

===Schutzziele und Gefährdungen===
# Gleichmäßige Verteilung der verfügbaren Bandbreite auf alle Klienten sowie adeqaute Priorisierung des Verkehrs nach Diensten
# Unterbindung von SPAM-Nachrichten
# Optional die Einschränkung von P2P-Dateiübertragung auf ein vertretbares Maß

===Abgeleitete Sichgerheitsmaßnahmen===
# Gleichmäßige Verteilung von Bandbreite auf alle Klienten
** Verwendung von geeigneten Queueing Disciplines

# Unterbindung von SPAM-Nachrichten
** Sperrung des Mail Ports 25. Beschränkung auf den Mail Submission Port 587.

# Einschränkung von P2P-Dateiübertragung auf ein erträgliches Maß
** Beschränkung der Zahl aktiver Verbindungen pro Klient

===Geplante, zukünftige Sicherheitsmaßnahmen===

==IC-VPN Gateways==
Aufgaben:
* Verbindung des Freifunk-Netzes mit anderen Freifunk-Netzen innerhalb des IC-VPNs
* Austausch von Routeninformationen
* Namensauflösung für Domänen innerhalb des IC-VPN
* Optional Routing von Internetverkehr zu den Gateways anderer Freifunk-Netze

===Schutzziele und Gefährdungen===
# Übertragene Daten sind vor dem Zugriff Dritter geschützt.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.
# Der Ausfall des IC-VPN-Gateways führt nicht zur Störung des restlichen Netzes.

Zusätzlich gelten die Schutzzile und Gefährdungen wie für Bündel-Server

===Abgeleitete Sichgerheitsmaßnahmen===
# Übertragene Daten sind vor dem Zugriff Dritter geschützt.
** Die Datenübertragung zu den Bündel-Servern erfolgt mittels verschlüsselter Tunnelverbindungen (End-zu Endverschlüsselung) unter Verwendung von nach heutigem Wissenssand sicherer Verfahren.
** Die Authentizität der Endpunkte wird zum Schutz vor Mann-in-der-Mitte-Angriffen mittels eines asymmetrischen Schlüsselverfahrens sichergestellt.

===Geplante, zukünftige Sicherheitsmaßnahmen===

==Bewertung des Gesamtsystems==
Welche Risiken ergeben sich aus dem Zusammnenwirken der Teilsysteme?

==Mitteilungspflichten==

Welche Sicherheitsverletzungen und/oder Störungen würden wir der Bundesnetzagentur mitteilen wollen?

=Ideen=

Integration in Freifunk-API? Community füllt lediglich Formular zu den einzelnen Teilsystemen aus. Das Sicherheitskonzept wird im Anschluss automatisch erstellt und im Netz veröffentlicht.

Sicherheitskonzept (intern)

2015-05-17T12:01:07Z

Langweiler: /* Umfang */

{{Tip|Dieses Dokument befindet sich noch in der Entstehung.}}

=Präambel=
Freifunk Dreiländereck ("FF3L") ist ein parteipolitischer, unabhängiger, eingetragener Verein, der sich als Teil der weltweiten Open Wireless-Bewegung versteht, welche in Deutschland durch die Freifunk-Initiative repärsentiert wird.

Zur Umsetzung des Vereinszwecks unterhält der FF3L eine Netzwerkinfrastruktur, welche in Kombination mit den Freifunk-WLAN-Routern das Freifunk-Netz bildet. Weiterhin stellt er eine Firmware für Freifunk-Router zur Verfügung. Er ist bei der Bundesnetzagentur seit dem xx.xx.xxxx. als Telekommunikationsdienstleister (Access Provider) registriert.

Mit dem vorliegenden Sicherheitskonzept werden die folgenden Absichten verfolgt:
* Erfüllung der Verpflichtung zur Erstellung und Umsetzung eines Sicherheitskonzeptes nach § 109 TKG.
* Transparente Dokumentation des Status Quo bezüglich Informationssicherheit als Grundlage für die kontinuierliche Verbesserung.
* Aufzeigen von inherenten Limitierungen, die sich auf Grund der Funktionsweise des Freifunk-Netzes ergeben.
* Darstellung der Pflichten von Freifunk-Nutzern hinsichtlich Gewährleistung ihrer eigene Sicherheit.

=Umfang=
Der Umfang des Sicherheitskonzepts beschränkt sich ausschließlich auf die vom FF3L (also dem Verein, und nicht von Freifunkern als Privatpersonen) betriebene Netzwerkinfrastruktur. Explizit beinhaltet dies die vom FF3L betriebenen Bündel-Server, Internet und IC-VPN Gateways. Aspekte der Freifunk-Router werden insofern abgehandelt, wie sie mit der vom Verein herausgegebenen Freifunk-Firmware in Verbindung stehen. Nicht im Umfang enthalten sind Server und Engeräte, welche von Freifunk-Nutzern betrieben werden.

Der Begriff Freifunk-Netz in diesem Dokument bezieht sich auschließlich auf das Freifunk-Netz im Dreiländereck (CH-DE-FR), dessen Aufbau und Betrieb durch den FF3L gefördert wird. Gleiches gilt für die Begriffe Freifunk-Router, Freifunk-Firmware und Freifunk-Server. Eine Übertragung auf Freifunk-Netze anderer Commnunities ist nicht zulässig.

=Kontinuierliche Verbesserung=
Das vorliegende Sicherheitskonzept ist als lebendes Dokument konzipiert. Es dient als Grundlage für die Arbeit des Sicherheitsbeauftragten. Dieser analysiert und aktualisiert gemeinsam mit dem Administratoren-Team des FF3L sowie allen interessierten Freifunkern in regelmäßigen Abständen die Anforderungen an die vom FF3L betriebenen Teilsysteme, die Zulänglichkeit der umgesetzten Maßnahmen sowie die Planung zukünftiger Maßnahmen zur weiteren Verbesserung der Sicherheit.

=Gesetzlicher Hintergrund=
Auszug aus dem "Katalog von Sicherheitsanforderungen für das Betreiben von Telekommunikations- und Datenverarbeitungssystemen sowie für die Verarbeitung personenbezogener Daten nach § 109 Telekommunikationsgesetz (TKG):

Für das Betreiben öffentlicher Telekkommunikatiosnetze sowie das Erbringen öffentlich zugänglicher Telekommunikationsdiense schreibt § 109 TKG Vorkehrungen und sonstige Maßnahmen

* zum Schutz des Fernmeldegehimnisses,
* gegen die Verletzung des Schutzes personenbezogener Daten,
* gegen Störungen, die zu erheblichen Beeinträchtigungen von Telekommunikationsnetzen und -diensten führen, auch soweit sie durch äußere Angriffe und Einwirkungen von Katastrophen bedingt sein könnten,
als Mindestanforderungen vor.

Ziel und Zweck der zu treffenden Maßnahmen sind insbesondere

* die Sicherheit vor unerlaubtem Zugriffen auf Telekommunikations- und Datenverarbeitungssysteme
* die Reduzierung / Minimierung der Auswirkungen von Sicherheitsverletzungen auf Nutzer oder auf zusammengeschaltete Netze
* die Gewährleistung eines ordnungsgemäßen Betriebes der Netze und dadurch die Sicherstellung der fortlaufenden Verfügbarkeit der über die Netze erbrachten Dienste.

=Netzstruktur=
Das Freifunknetz ist ein offenes, sich spontan ausbildendes und selbstheilendes Maschennetzwerk. Die Grundbausteine ("Knoten") des Freifunk-Netzes sind die Freifunk-Router. Der Begriff Maschennetzwerk
bedeutet, dass die einzelnen Knoten mit einem oder mehreren Knoten auf nicht hierarschische Weise verbunden sind.

Die Freifunk-Router sinde handelsübliche WLAN-Router, ausgestattet mit einer speziellen Software ("Firmware"). Die spezielle Firmware gestattet es den Freifunk-Routern spontan Verbindung mit anderen Freifunk-Routern in Reichweite aufzunehmen. Hierbei kommt der offizielle, zugelassene WLAN-Standard 802.11n zum Einsatz. Gleichzeitig agieren die Router als WLAN-Zugangspunkt und ermöglichen damit Klienten (z.B. Smartphones) den direkten Zugang zum Freifunknetz.

Damit die Daten in dieser chaotischen Struktur ihren Weg finden, kommt ein spezielles Routing-Protokoll zum Einsatz. Im Fall des FF3L handelt es sich um das Protokoll [http://www.open-mesh.org/projects/batman-adv/wiki B.A.T.M.A.N. Advanced]. Dieses arbeitet auf der Netzzugangsschicht (Layer 2 nach dem OSI-Netzwerkschichtmodell). Das Freifunk-Netz verhält sich damit effektiv so, als wären alle Knoten über einen einzigen Netzwerk-Switch miteinander verbunden.

Neben der direkten Verbindung von Freifunk-Routern via WLAN gibt es die Option, isolierte Funkwolken über Tunnelverbindungen zu zentralen Servern ("Bündel-Servern") miteinander zu verbinden. Die Tunnelverbindungen laufen über das Internet und sind verschlüsselt (d.h. der Inhalt ist für Dritte nicht einsehbar). Der Internetanschluss wird hierbei auf freiwilliger Basis von den Knotenbetreibern zur Vefügung gestellt.

Weiterhin bietet das Freifunknetz über zentrale Gateways eine Verbindung ins Internet ("Internet Gateways") sowie den Verbund aller Freifunk-Netze ("IC-VPN Gateways"). Der Verein Freifunk Dreiländreck e.V. agiert damit als Zugangsanbieter ("Access Provider"). Die indirekte Weiterleitung ins Internet schützt die Knotenbetreiber vor ewaigen Haftungsansprüchen ("Störherhaftung") im Fall eines Missbrauchs durch Dritte.

Zusätzlich können Applikations-Server in das Freifunk-Netz integriert werden. Diese agieren als reguläre Netzwerkknoten und sind den Freifunk-Routern gleichgestellt.

[[Datei:Netzstrukturplan.png]]

=Sicherheitsteilsysteme=
In den folgenden Abschnitten werden die sicherheitskritischen Teilsysteme des Freifunk-Netzes definiert und diskutiert. Konkret werden als Teilsysteme die Freifunk-Router und Freifunk-Server im allgmeienen sowie Bündel-Server, Internet und IC-VPN Gateways im speziellen behandelt. Jeder Abschnitt besteht aus einer einleitenden Beschreibung inkl. der Aufgaben des jeweiligen Teilsystems, einer Auflistung von Schutzzielen und Gefährdungen, abgeleiteten Sicherheitsanforderungen, bereits umgesetzten sowie zukünftigen, geplanten Sicherheitsmaßnahmen. Zuletzt erfolgt eine abschließende Beurteilung des Gesamtsystems.

==Freifunk-Router==
Freifunk-WLAN-Router bilden die Grundelemente des Freifunk-Netzes. Sie werden auch als Netzwerkknoten bezeichnet. Bei Freifunk-Routern handelt sich um handelsübliche WLAN-Router, welche durch das Einspielen eines speziellen Betriebssystems ("Freifunk-Firmware") modifiziert werden. Freifunk-Router erfüllen die folgenden Aufgaben:
* Spontane Bildung des Freifunk-Maschennetzwerks via WLAN mit allen in Reichweite befindlichen Freifunk-Routern (lokale Funkwolke).
* Optional die Errichtung von Tunnelverbindungen zu Bündel-Servern über das Internet für den Datenaustausch mit entfernten Funkwolken.
* Austausch von Routen-Informationen, um die zielgerichtete Zustellung von Daten zu ermöglichen.
* Zugangspunkt zum Freifunk-Netzwerk für WLAN-Klienten (z.B. Smartphones, Tablets, Notebooks).
* Optional die Anbindung von Servern und/oder lokalen Klienten mittels einer direkten Kabelverbindung.

===Schutzziele und Gefährdungen===
# Freifunk-Router sind vor dem Zugriff unbefugter Dritter geschützt.
# Freifunk-Router ermöglichen Dritten den Zugang zum Freifunk-Netz, nicht jedoch den Zugang zum privaten Netz des Router-Betreibers.
# Fehler und Sicherheitslücken in der Freifunk-Firmware werden behoben.
# Übertragene Daten sind vor dem Zugriff Dritter geschützt.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.

===Abgeleitete Sicherheitsanforderungen===
# Freifunk-Router sind vor dem Zugriff unbefugter Dritter geschützt.
#* Die Einstellungen des Freifunk-Routers lassen sich lediglich in einem gesonderten Konfigurationsmodus verändern.
#* In der Standardkonfiguration des Freifunk-Routers ist kein Zugang auf der Ebene des Betriebssystems ("Shell Login") möglich.
#* Optional kann durch den Router-Betreiber ein verschlüsselter Zugang (z.B. via SSH) aktiviert werden, um die Wartung aus der Ferne zu ermöglichen.
# Freifunk-Router ermöglichen Dritten den Zugang zum Freifunk-Netz, nicht jedoch den Zugang zum privaten Netz des Router-Betreibers.
#* Eine Firewall auf dem Freifunk-Router (Layer 2 und/oder Layer 3) verhindert den Zugriff auf das private Netz des Betreibers.
#* Ausgenommen ist der Aufbau einer Tunnelverbindung zu den Bündelservern, sofern der Betreiber dies in der Konfiguration ausdrücklich gestattet ("opt in").
# Fehler und Sicherheitslücken in der Freifunk-Firmware werden behoben.
#* Die Firmware der Freifunk-Router wird in angemessenen Intervallen automatisch über das Freifunk-Netzt aktualisiert ("Autoupdater").
#* Die Authentizität der Firmware wird durch ein elektronisches Signaturverfahren sichergestellt.
#* Neue Firmware-Versionen werden vor dem Ausrollen gem. eines festgelegten Schemas getestet.
# Übertragene Daten sind vor dem Zugriff Dritter geschützt.
#* Die Datenübertragung zu den Bündel-Servern erfolgt mittels verschlüsselter Tunnelverbindungen (End-zu-Endverschlüsselung) unter Verwendung von nach heutigem Wissenssand sicherer Verfahren.
#* Die Authentizität der Endpunkte wird zum Schutz vor Mann-in-der-Mitte-Angriffen mittels eines asymmetrischen Schlüsselverfahrens sichergestellt.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.
#* Der Ausfall einzelner Freifunk-Router führt nicht zur Störung des restlichen Netzes.
#* Das Routing des Freifunk-Netzes ist "selbstheilend". Durch Ausfall bedingte Unterbrechungenwerden automatisch behoben.
#* Die Funktionstüchtigkeit der Router wird überwacht und der fehlerhafte Betrieb detektiert.

===Umgesetzte Sichgerheitsmaßnahmen===
# Freifunk-Router sind vor dem Zugriff unbefugter Dritter geschützt.
#* Die verwendete Gluon-Firmware unterstützt einen separaten Konfigurationsmodus. Dieser ist nach dem Aufspielen der Firmware aktiviert. Er kann zu einem späteren Zeitpunkt durch längeres Drücken der Reset-Taste am Router erneut aktiviert werden. Die Konfiguration wird über eine Web-Oberfläche unter der Adresse http://192.168.0.1 vorgenommen. Nach Abschluss der Konfiguration wechselt der Router in den Betriebsmodus. Eine Änderung der Konfiguration über die Web-Obewrfläche ist in der Folge nicht mehr möglich.
#* In der Standardkonfiguration der Gluon-Firmware ist der Shell Login auf den Router deaktiviert. Er muss explizit im Konfigurationsmodus aktiviert werden, indem ein Passwort oder Schlüssel für den Zugang via SSH gesetzt wird.
# Freifunk-Router ermöglichen Dritten den Zugang zum Freifunk-Netz, nicht jedoch den Zugang zum privaten Netz des Router-Betreibers.
#* Das Freifunk-Netz und das private Netz des Router-Betreibers werden in der Gluon-Netzwerkkonfiguration strikt getrennt. Die Zugänge zu den beiden Netzen sind in Form separater Brücken zusammengefasst (''br-client'' und ''br-wan'').
#* Die verwendete Gluon-Firmware konfiguriert Firewall-Regeln (bereitgestellt durch das Paket ''gluon-ebtables''), welche auf der Netzzugangsschicht (Layer 2) den Zugriff auf das private Netz unterbindet.
#* Eine Ausnahme bildet der Aufbau einer optionalen Tunnelverbindung zu den Bündel-Servern durch die VPN-Software ''fastd''. Diese Option muss vom Betreiber im Konfigurationsmodus explizit aktiviert werden ("opt-in").
# Fehler und Sicherheitslücken in der Freifunk-Firmware werden behoben.
#* Der FF3L betreibt einen Aktualisierungs-Dienst, welcher über das Freifunk-Netz erreichbar ist. Mit Hilfe des Aktualisierungsdienstes lassen sich neuere Versionen der Firmware auf den Routern automatisch einspielen. Die Konfiguration der Freifunk-Router bleibt hierbei soweit möglich erhalten.
#* Der Aktualisierungs-Dienst ist in der Standardkonfiguration der Freifunk-Firmware aktiviert (Zweig "stable"). Der Aktualisierungs-Dienst kann im Konfigurationsmodus in den Experteneinstellungen deaktiviert werden ("opt-out").
#* Die Authentitizät der Firmware-Images wird durch ein Signaturverfahren gewährleistet (signiertes Manifest). Neue Images werden von den Freifunk-Routern nur bei vorhandensein einer gültigen Signatur installiert (siehe auch [http://gluon.readthedocs.org/en/v2014.4/index.html Gluon-Dokumentation]).
#* Veröffentlichte Firmware-Images werden in die Zweige "experimental", "beta" und "stable" unterteilt. Neue Firmware-Versionen werden in eben dieser Reihenfolge ausgerollt, um einen ausreichenden Testbetrieb vor der Verbreitung zu gewährleisten.
#* Die Aktuelle Praxis bezüglich der Veröffentlichung von neuen Firmware-Versionen ist im [http://wiki.freifunk-3laendereck.net/Freifunk-Router:Firmware Wiki] des FF3L dokumentiert.
# Übertragene Daten sind vor dem Zugriff Dritter geschützt.
#* Die Datenübertragung zu den Bündel-Servern erfolgt mittels der VPN-Software fastd über das Internet. Die übertragenen Daten sind mittels des Chiffre Salsa20/12 verschlüsselt.
#* Die Authentifizierung erfolgt mittels der asymmetrischen Schlüsselverfahren UMAC oder GMAC. Die öffentlichen Schlüssel müssen einmalig vor dem Aufbau der Verbindung ausgetauscht werden. Dies geschieht im Rahmen der Registrierung des Knotens.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.
#* Der Ausfall einzelner Server führt nicht zu Störungen innerhalb des Netzes, sofern alternative Routen existieren. In diesem Fällen wird das Routing durch das verwendete Routing-Protokoll batman-adv automatisch korrigiert und die Lücke geschlossen
#* Die Freifunk-Firmware stellt auf den Knoten eine Stauts-Seite bereit. Auf dieser kann man sehen, ob der Knoten mit dem Freifunk-Netz und auf welche Weise er mit dem Freifunk-Netz verbunden ist.
#* Der Status aller Knoten wird zusätzlich in Form einer Knotenkarte auf den Servern des FF3L visualisiert. Der Karte lässt sich neben der Lage des Knotes (freiwillige Angabe) entnehmen, ob ein Knoten mit dem Freifunk-Netz verbunden ist und wie er vebunden ist.

===Bekannte Lücken sowie geplante, zukünftige Sicherheitsmaßnahmen===
# Freifunk-Router sind vor dem Zugriff unbefugter Dritter geschützt.
#* Freifunk-Router werden prinzipiell nicht vom FF3L betrieben. Für den Schutz vor physikalischem Zugriff und ggf. damit einhergehender Manipulation ist der Knoten-Betreiber verantwortlich.
# Freifunk-Router ermöglichen Dritten den Zugang zum Freifunk-Netz, nicht jedoch den Zugang zum privaten Netz des Router-Betreibers.
#* Die an bestimmten Freifunk-Routern verfügbaren LAN-Ports ermöglichen eine direkte Verbindung von Endgeräten (z.B. Servern) mit dem Freifunk-Netz. LAN-Ports sind von den WAN-Ports zu unterscheiden, über welche die Freifunk-Router mit dem Internet verbunden werden.
#* Im Fall einer Verwechslung der Ports, kann das private Netze des Freifunk-Betreibers in das Freifunk-Netz überbrückt werden.
#* Um Knotenbetreiber im Fall einer Verwechselung zu schützen, sollen die LAN-Ports in der Standardkonfiguration deaktiviert werden. Eine Aktivierung erfolgt über den Konfigurationsmodus des Routers.
# Fehler und Sicherheitslücken in der Freifunk-Firmware werden behoben.
#* Der Aktualisierungs-Dienst für die Freifunk-Firmware ist in der Standardkonfiguration aktiviert. Die entsprechende Einstellung verbirgt sich jedoch unter den Experteneinstellungen im Konfigurationsmodus.
#* Um Knotenbetreiber auf diesen Umstand aufmerksam zu machen, ist eine Verlegung der Einstellungen in den allgemeinen Teil des Konfigurationsmnodus geplant.
# Übertragene Daten sind vor dem Zugriff Dritter geschützt.
#* Die Datenübertragung zwischen den Freifunk-Routern erfolgt auf Grund der eingesetzen Technologie unverschlüsselt. Sie ist damit durch Dritte vor Ort abhörbar.
#* Umfassende Sicherheit lässt sich allein durch End-zu-End-Verschlüsselung gewährleisten. Die Anwendung dieser erfolgt auf den Endgeräten und liegt damit in der Verantwortung der Freifunk-Nutzer und nicht des FF3L.
#* Um eine sichere Übetragung von den Klienten zu den Bündel-Servern zu gewährleisten, soll optional ein VPN-Zugang für Klienten angeboten werden (z.B. [http://www.openvpn.net OpenVPN]).
#* Um eine sichere Übertragung von Endpunkt zu Endpunkt innerhalb des Freifunk-Netzes anzubieten, ist die Einrichtung eines verschlüsselten Overlay-Netzes angedacht (z.B. [http://cjdns.info/ cjDNS]).
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet
#* Keine geplanten Maßnahmen.

==Server==
Im Folgenden Abschnitt sind die allgemeinen Schutzziele und Gefährdungen für Freifunk-Server zusammengefasst. Freifunk-Server werden in der Regel - jedoch nicht ausschließlich - bei Host Providern angemietet (physikalische und virtualisierte Root Server). Die Einrichtung, der Betrieb und die Wartung erfolgt durch den FF3L. Der Begriff "Freifunk-Server" umfasst hierbei die weiter unten aufgeführten Bündel-Server, Internet sowie IC-VPN Gateways. Diese werden entsprechend ihrer Aufgaben noch einmal separat abgehandelt. In der Praxis werde die verschiedenen Server meist zusammengefasst. Ausgeschlossen sind Server, welche von Freifunkern als Privatpersonen innerhalb des Freifunknetzes betrieben werden.

===Schutzziele und Gefährdungen===
# Server sind vor dem Zugriff unbefugter Dritter geschützt.
# Fehler und Sicherheitslücken in der verwendeten Software werden behoben.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.

===Abgeleitete Sicherheitsanforderungen===
# Server sind vor dem Zugriff unbefugter Dritter geschützt.
#* Der Zugriff auf die Server (physikalisch und über das Internet) ist auf einen engen, definierten Personenkreis beschränkt.
#* Zugriffsrechte werden nach Bedarf und maßgeschneidert erteilt.
#* Der Zugang aus dem Netz erfolgt exklusiv über verschlüsselte Verbindungen (z.B. SSH).
#* Eine Firewall beschränkt Zugriffe aus dem Netz auf das notwendige Minimum.
#* Spezielle Sicherheitssoftware zur Erkennung von Eindringlingen wird verwendet.
# Fehler und Sicherheitslücken in der verwendeten Software werden behoben.
#* Server werden auf der Grundlage eines gepflegten, quelloffenen Betriebssystems errichtet.
#* Verwendete Software wird in adequaten Intervallen aktualisiert.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.
#* Die Funktionstüchtigkeit der Server wird überwacht und der fehlerhafte Betrieb detektiert.
#* Server sind vor DoS-Attacken aus dem Internet geschützt.

===Umgesetzte Sicherheitsmaßnahmen===
# Server sind vor dem Zugriff unbefugter Dritter geschützt.
#* Der Zugriff auf die Server des FF3L ist auf Mitglieder des Administratoren-Teams begrenzt. Das Aministratoren-Team wird durch den Vorstand des Vereins benannt.
#* Der Shell-Login ist ausschließlich über SSH möglich. Die Authentifizierung erfolgt mittels eines Passworts (LDAP) oder eines hinterlegten Schlüssels.
#* Server werden durch Firewall-Regeln auf der Basis von ''iptables'' geschützt. Die Standardvorgabe ist, dass eingehende und weiterzuleitende Pakete verworfen werden. Die Freigabe von Ports bzw. der Weiterleitung erfolgt mittels spezifischer Regeln wo erwünscht.
# Fehler und Sicherheitslücken in der verwendeten Software werden behoben.
#* Die Freifunk-Server werden auf Basis der Debian Linux-Distribution betrieben. Sofern möglich, wird die jeweils letzte stabile Version verwendet.
#* Es werden in angemessenen Intervallen empfohlene Sicherheitsaktualisierungen mittels der offiziellen Paketverwaltung eingespielt.
#* Das Administratoren-Team verfolgt sicherheitsrelevante Ankündigungen über die Mailing-Liste debian-security-announce@lists.debian.org.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.
#* Kritische Server und Dienste werden über ein zentrales Monitoring auf der Basis von Nagios(-Derivaten) überwacht. Das Monitoring ist redundant aufgesetzt. Der aktuelle Zustand aller Server und Diense ist über eine Web-Oberfläche einsehbar. Optional erfolgt eine Mitteilung per e-Mail im Fall von Statusänderungen.
#* Die Server des FF3L werden von Host Providern angemietet. Diese bieten üblicherweise einen gewissen Schutz vor DoS-Angriffen in der Form adaptiver Firewalls.

===Bekannte Lücken sowie geplante, zukünftige Sicherheitsmaßnahmen===
# Server sind vor dem Zugriff unbefugter Dritter geschützt.
#* Die Erteilung von Zugriffsrechten erfolgt derzeit weitestgehend monolithisch, soll in Zukunft jedoch granular und nach Bedarf erfolgen. Erteilte Rechte sollen an geeigneter Stelle transparent dokumentiert und veröffentlicht werden.
#* Bzgl. der verwendbaren Passwörter gibt es aktuell keine Vorgaben. In der Zukunft soll eine Überprüfung der Passwortstärke sowie Vorgabe einer minimalen Entropie implementiert werden.
#* Die Authentizfizierung im Rahmen des Shell-Login via SSH ist aktuell mittels eines Passworts möglich. Die Authentifizierung soll auf asymmetrische Schlüsselverfahren beschränkt werden, um die Folgen von Man-in-der-Mitte-Angriffen zu mildern.
#* Sicherheitssoftware zur Erkennung von Eindringlingen wird aktuell nur auf einem Teil der Freifunk-Server verwendet. Die Erstellung und Umsetzung eines flächendeckenden Konzepts steht nachwievor aus.
# Fehler und Sicherheitslücken in der verwendeten Software werden behoben.
#* Keine geplanten Maßnahmen.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.
#* Keine geplanten Maßnahmen.

==Bündel-Server==
Bündel-Server dienen der Verbindung isolierter Funkwolken innerhalb des Freifunk-Netzes. Vom Prinzip her sind Sie den Freifunk-Routern gleichgestellte Netzwerkknoten, erfüllen jedoch zusätzliche Aufgaben. Bündel-Server unterhalten im Normalfall eine hohe Anzahl an Verbindungen zu Freifunk-Routern. Da ein erheblicher Teil des Datenverkehrs über die Bündel-Server läuft, sind diese als besonders sicherheitskritisch einzustufen. Konkret erfüllen Bündel-Server die folgenden Aufgaben:
* Verbindung entfernter Freifunk-Router mittels Tunnelverbindungen über das Internet.
* Austausch von Routen-Informationen, um die zielgerichtete Zustellung von Daten zu ermöglichen.
* Automatische Netzwerkkonfiguration von Klienten.
* Namensauflösung innerhalb des Freifunk-Netzes.

===Schutzziele und Gefährdungen===
# Übertragene Daten sind vor dem Zugriff Dritter geschützt.
# Die Namensauflösung ist vor Manipulationen durch Dritte geschützt.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.

Zusätzlich gelten die Schutzziele und Gefährdungen für Server im allgemeinen.

===Abgeleitete Sicherheitsanforderungen===
# Übertragene Daten sind vor dem Zugriff Dritter geschützt.
#* Die Datenübertragung zu den Freifunk-Routern erfolgt mittels verschlüsselter Tunnelverbindungen (End-zu-Endverschlüsselung) unter Verwendung von nach heutigem Wissenssand sicherer Verfahren.
#* Die Authentizität der Endpunkte wird zum Schutz vor Mann-in-der-Mitte-Angriffen mittels eines asymmetrischen Schlüsselverfahrens sichergestellt.
# Die Namensauflösung ist vor Manipulationen durch Dritte geschützt.
#* Die Authentizität der Endpunkte wird zum Schutz vor Mann-in-der-Mitte-Angriffen mittels eines asymmetrischen Schlüsselverfahrens sichergestellt.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.
#* Der Ausfall eines Bündel-Servers führt nicht zur Störung des restlichen Netzes.
#* Die Netzstabilität wird durch Redundanz gewährleistet. Die Bündel-Server sind über mehrere Rechenzeitung verteilt.
#* Das Routing des Freifunk-Netzes ist "selbstheilend". Durch Ausfall bedingte Unterbrechungen werden automatisch behoben.
#* Die verfügbare Bandbreite wird gleichmäßig auf alle verbundenen Knoten/Klienten verteilt.

===Umgesetzte Sichgerheitsmaßnahmen===

===Bekannte Lücken sowie geplante, zukünftige Sicherheitsmaßnahmen===

==Internet Gateways==

Aufgaben:
* Verbindung des Freifunknetzes mit dem restlichen Internet
* Namensauflösung
* optionale Anonymisierung der Clienten

===Schutzziele und Gefährdungen===
# Gleichmäßige Verteilung der verfügbaren Bandbreite auf alle Klienten sowie adeqaute Priorisierung des Verkehrs nach Diensten
# Unterbindung von SPAM-Nachrichten
# Optional die Einschränkung von P2P-Dateiübertragung auf ein vertretbares Maß

===Abgeleitete Sichgerheitsmaßnahmen===
# Gleichmäßige Verteilung von Bandbreite auf alle Klienten
** Verwendung von geeigneten Queueing Disciplines

# Unterbindung von SPAM-Nachrichten
** Sperrung des Mail Ports 25. Beschränkung auf den Mail Submission Port 587.

# Einschränkung von P2P-Dateiübertragung auf ein erträgliches Maß
** Beschränkung der Zahl aktiver Verbindungen pro Klient

===Geplante, zukünftige Sicherheitsmaßnahmen===

==IC-VPN Gateways==
Aufgaben:
* Verbindung des Freifunk-Netzes mit anderen Freifunk-Netzen innerhalb des IC-VPNs
* Austausch von Routeninformationen
* Namensauflösung für Domänen innerhalb des IC-VPN
* Optional Routing von Internetverkehr zu den Gateways anderer Freifunk-Netze

===Schutzziele und Gefährdungen===
# Übertragene Daten sind vor dem Zugriff Dritter geschützt.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.
# Der Ausfall des IC-VPN-Gateways führt nicht zur Störung des restlichen Netzes.

Zusätzlich gelten die Schutzzile und Gefährdungen wie für Bündel-Server

===Abgeleitete Sichgerheitsmaßnahmen===
# Übertragene Daten sind vor dem Zugriff Dritter geschützt.
** Die Datenübertragung zu den Bündel-Servern erfolgt mittels verschlüsselter Tunnelverbindungen (End-zu Endverschlüsselung) unter Verwendung von nach heutigem Wissenssand sicherer Verfahren.
** Die Authentizität der Endpunkte wird zum Schutz vor Mann-in-der-Mitte-Angriffen mittels eines asymmetrischen Schlüsselverfahrens sichergestellt.

===Geplante, zukünftige Sicherheitsmaßnahmen===

==Bewertung des Gesamtsystems==
Welche Risiken ergeben sich aus dem Zusammnenwirken der Teilsysteme?

==Kontinuierliche Verbesserung==

Wie wollen wir die Sicherheit unserer Freifunk-Netze kontinuierlich verbessern?

==Mitteilungspflichten==

Welche Sicherheitsverletzungen und/oder Störungen würden wir der Bundesnetzagentur mitteilen wollen?

=Ideen=

Integration in Freifunk-API? Community füllt lediglich Formular zu den einzelnen Teilsystemen aus. Das Sicherheitskonzept wird im Anschluss automatisch erstellt und im Netz veröffentlicht.

Sicherheitskonzept (intern)

2015-05-17T12:00:40Z

Langweiler: /* Präambel */

{{Tip|Dieses Dokument befindet sich noch in der Entstehung.}}

=Präambel=
Freifunk Dreiländereck ("FF3L") ist ein parteipolitischer, unabhängiger, eingetragener Verein, der sich als Teil der weltweiten Open Wireless-Bewegung versteht, welche in Deutschland durch die Freifunk-Initiative repärsentiert wird.

Zur Umsetzung des Vereinszwecks unterhält der FF3L eine Netzwerkinfrastruktur, welche in Kombination mit den Freifunk-WLAN-Routern das Freifunk-Netz bildet. Weiterhin stellt er eine Firmware für Freifunk-Router zur Verfügung. Er ist bei der Bundesnetzagentur seit dem xx.xx.xxxx. als Telekommunikationsdienstleister (Access Provider) registriert.

Mit dem vorliegenden Sicherheitskonzept werden die folgenden Absichten verfolgt:
* Erfüllung der Verpflichtung zur Erstellung und Umsetzung eines Sicherheitskonzeptes nach § 109 TKG.
* Transparente Dokumentation des Status Quo bezüglich Informationssicherheit als Grundlage für die kontinuierliche Verbesserung.
* Aufzeigen von inherenten Limitierungen, die sich auf Grund der Funktionsweise des Freifunk-Netzes ergeben.
* Darstellung der Pflichten von Freifunk-Nutzern hinsichtlich Gewährleistung ihrer eigene Sicherheit.

=Umfang=
Der Umfang des Sicherheitskonzepts beschränkt sich ausschließlich auf die vom FF3L (also dem Verein, und nicht der Community bzw. Privatpersonen) betriebene Netzwerkinfrastruktur. Explizit beinhaltet dies die vom FF3L betriebenen Bündel-Server, Internet und IC-VPN Gateways. Aspekte der Freifunk-Router werden insofern abgehandelt, wie sie mit der vom Verein herausgegebenen Freifunk-Firmware in Verbindung stehen. Nicht im Umfang enthalten sind Server und Engeräte, welche von Freifunk-Nutzern betrieben werden.

Der Begriff Freifunk-Netz in diesem Dokument bezieht sich auschließlich auf das Freifunk-Netz im Dreiländereck (CH-DE-FR), dessen Aufbau und Betrieb durch den FF3L gefördert wird. Gleiches gilt für die Begriffe Freifunk-Router, Freifunk-Firmware und Freifunk-Server. Eine Übertragung auf Freifunk-Netze anderer Commnunities ist nicht zulässig.

=Kontinuierliche Verbesserung=
Das vorliegende Sicherheitskonzept ist als lebendes Dokument konzipiert. Es dient als Grundlage für die Arbeit des Sicherheitsbeauftragten. Dieser analysiert und aktualisiert gemeinsam mit dem Administratoren-Team des FF3L sowie allen interessierten Freifunkern in regelmäßigen Abständen die Anforderungen an die vom FF3L betriebenen Teilsysteme, die Zulänglichkeit der umgesetzten Maßnahmen sowie die Planung zukünftiger Maßnahmen zur weiteren Verbesserung der Sicherheit.

=Gesetzlicher Hintergrund=
Auszug aus dem "Katalog von Sicherheitsanforderungen für das Betreiben von Telekommunikations- und Datenverarbeitungssystemen sowie für die Verarbeitung personenbezogener Daten nach § 109 Telekommunikationsgesetz (TKG):

Für das Betreiben öffentlicher Telekkommunikatiosnetze sowie das Erbringen öffentlich zugänglicher Telekommunikationsdiense schreibt § 109 TKG Vorkehrungen und sonstige Maßnahmen

* zum Schutz des Fernmeldegehimnisses,
* gegen die Verletzung des Schutzes personenbezogener Daten,
* gegen Störungen, die zu erheblichen Beeinträchtigungen von Telekommunikationsnetzen und -diensten führen, auch soweit sie durch äußere Angriffe und Einwirkungen von Katastrophen bedingt sein könnten,
als Mindestanforderungen vor.

Ziel und Zweck der zu treffenden Maßnahmen sind insbesondere

* die Sicherheit vor unerlaubtem Zugriffen auf Telekommunikations- und Datenverarbeitungssysteme
* die Reduzierung / Minimierung der Auswirkungen von Sicherheitsverletzungen auf Nutzer oder auf zusammengeschaltete Netze
* die Gewährleistung eines ordnungsgemäßen Betriebes der Netze und dadurch die Sicherstellung der fortlaufenden Verfügbarkeit der über die Netze erbrachten Dienste.

=Netzstruktur=
Das Freifunknetz ist ein offenes, sich spontan ausbildendes und selbstheilendes Maschennetzwerk. Die Grundbausteine ("Knoten") des Freifunk-Netzes sind die Freifunk-Router. Der Begriff Maschennetzwerk
bedeutet, dass die einzelnen Knoten mit einem oder mehreren Knoten auf nicht hierarschische Weise verbunden sind.

Die Freifunk-Router sinde handelsübliche WLAN-Router, ausgestattet mit einer speziellen Software ("Firmware"). Die spezielle Firmware gestattet es den Freifunk-Routern spontan Verbindung mit anderen Freifunk-Routern in Reichweite aufzunehmen. Hierbei kommt der offizielle, zugelassene WLAN-Standard 802.11n zum Einsatz. Gleichzeitig agieren die Router als WLAN-Zugangspunkt und ermöglichen damit Klienten (z.B. Smartphones) den direkten Zugang zum Freifunknetz.

Damit die Daten in dieser chaotischen Struktur ihren Weg finden, kommt ein spezielles Routing-Protokoll zum Einsatz. Im Fall des FF3L handelt es sich um das Protokoll [http://www.open-mesh.org/projects/batman-adv/wiki B.A.T.M.A.N. Advanced]. Dieses arbeitet auf der Netzzugangsschicht (Layer 2 nach dem OSI-Netzwerkschichtmodell). Das Freifunk-Netz verhält sich damit effektiv so, als wären alle Knoten über einen einzigen Netzwerk-Switch miteinander verbunden.

Neben der direkten Verbindung von Freifunk-Routern via WLAN gibt es die Option, isolierte Funkwolken über Tunnelverbindungen zu zentralen Servern ("Bündel-Servern") miteinander zu verbinden. Die Tunnelverbindungen laufen über das Internet und sind verschlüsselt (d.h. der Inhalt ist für Dritte nicht einsehbar). Der Internetanschluss wird hierbei auf freiwilliger Basis von den Knotenbetreibern zur Vefügung gestellt.

Weiterhin bietet das Freifunknetz über zentrale Gateways eine Verbindung ins Internet ("Internet Gateways") sowie den Verbund aller Freifunk-Netze ("IC-VPN Gateways"). Der Verein Freifunk Dreiländreck e.V. agiert damit als Zugangsanbieter ("Access Provider"). Die indirekte Weiterleitung ins Internet schützt die Knotenbetreiber vor ewaigen Haftungsansprüchen ("Störherhaftung") im Fall eines Missbrauchs durch Dritte.

Zusätzlich können Applikations-Server in das Freifunk-Netz integriert werden. Diese agieren als reguläre Netzwerkknoten und sind den Freifunk-Routern gleichgestellt.

[[Datei:Netzstrukturplan.png]]

=Sicherheitsteilsysteme=
In den folgenden Abschnitten werden die sicherheitskritischen Teilsysteme des Freifunk-Netzes definiert und diskutiert. Konkret werden als Teilsysteme die Freifunk-Router und Freifunk-Server im allgmeienen sowie Bündel-Server, Internet und IC-VPN Gateways im speziellen behandelt. Jeder Abschnitt besteht aus einer einleitenden Beschreibung inkl. der Aufgaben des jeweiligen Teilsystems, einer Auflistung von Schutzzielen und Gefährdungen, abgeleiteten Sicherheitsanforderungen, bereits umgesetzten sowie zukünftigen, geplanten Sicherheitsmaßnahmen. Zuletzt erfolgt eine abschließende Beurteilung des Gesamtsystems.

==Freifunk-Router==
Freifunk-WLAN-Router bilden die Grundelemente des Freifunk-Netzes. Sie werden auch als Netzwerkknoten bezeichnet. Bei Freifunk-Routern handelt sich um handelsübliche WLAN-Router, welche durch das Einspielen eines speziellen Betriebssystems ("Freifunk-Firmware") modifiziert werden. Freifunk-Router erfüllen die folgenden Aufgaben:
* Spontane Bildung des Freifunk-Maschennetzwerks via WLAN mit allen in Reichweite befindlichen Freifunk-Routern (lokale Funkwolke).
* Optional die Errichtung von Tunnelverbindungen zu Bündel-Servern über das Internet für den Datenaustausch mit entfernten Funkwolken.
* Austausch von Routen-Informationen, um die zielgerichtete Zustellung von Daten zu ermöglichen.
* Zugangspunkt zum Freifunk-Netzwerk für WLAN-Klienten (z.B. Smartphones, Tablets, Notebooks).
* Optional die Anbindung von Servern und/oder lokalen Klienten mittels einer direkten Kabelverbindung.

===Schutzziele und Gefährdungen===
# Freifunk-Router sind vor dem Zugriff unbefugter Dritter geschützt.
# Freifunk-Router ermöglichen Dritten den Zugang zum Freifunk-Netz, nicht jedoch den Zugang zum privaten Netz des Router-Betreibers.
# Fehler und Sicherheitslücken in der Freifunk-Firmware werden behoben.
# Übertragene Daten sind vor dem Zugriff Dritter geschützt.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.

===Abgeleitete Sicherheitsanforderungen===
# Freifunk-Router sind vor dem Zugriff unbefugter Dritter geschützt.
#* Die Einstellungen des Freifunk-Routers lassen sich lediglich in einem gesonderten Konfigurationsmodus verändern.
#* In der Standardkonfiguration des Freifunk-Routers ist kein Zugang auf der Ebene des Betriebssystems ("Shell Login") möglich.
#* Optional kann durch den Router-Betreiber ein verschlüsselter Zugang (z.B. via SSH) aktiviert werden, um die Wartung aus der Ferne zu ermöglichen.
# Freifunk-Router ermöglichen Dritten den Zugang zum Freifunk-Netz, nicht jedoch den Zugang zum privaten Netz des Router-Betreibers.
#* Eine Firewall auf dem Freifunk-Router (Layer 2 und/oder Layer 3) verhindert den Zugriff auf das private Netz des Betreibers.
#* Ausgenommen ist der Aufbau einer Tunnelverbindung zu den Bündelservern, sofern der Betreiber dies in der Konfiguration ausdrücklich gestattet ("opt in").
# Fehler und Sicherheitslücken in der Freifunk-Firmware werden behoben.
#* Die Firmware der Freifunk-Router wird in angemessenen Intervallen automatisch über das Freifunk-Netzt aktualisiert ("Autoupdater").
#* Die Authentizität der Firmware wird durch ein elektronisches Signaturverfahren sichergestellt.
#* Neue Firmware-Versionen werden vor dem Ausrollen gem. eines festgelegten Schemas getestet.
# Übertragene Daten sind vor dem Zugriff Dritter geschützt.
#* Die Datenübertragung zu den Bündel-Servern erfolgt mittels verschlüsselter Tunnelverbindungen (End-zu-Endverschlüsselung) unter Verwendung von nach heutigem Wissenssand sicherer Verfahren.
#* Die Authentizität der Endpunkte wird zum Schutz vor Mann-in-der-Mitte-Angriffen mittels eines asymmetrischen Schlüsselverfahrens sichergestellt.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.
#* Der Ausfall einzelner Freifunk-Router führt nicht zur Störung des restlichen Netzes.
#* Das Routing des Freifunk-Netzes ist "selbstheilend". Durch Ausfall bedingte Unterbrechungenwerden automatisch behoben.
#* Die Funktionstüchtigkeit der Router wird überwacht und der fehlerhafte Betrieb detektiert.

===Umgesetzte Sichgerheitsmaßnahmen===
# Freifunk-Router sind vor dem Zugriff unbefugter Dritter geschützt.
#* Die verwendete Gluon-Firmware unterstützt einen separaten Konfigurationsmodus. Dieser ist nach dem Aufspielen der Firmware aktiviert. Er kann zu einem späteren Zeitpunkt durch längeres Drücken der Reset-Taste am Router erneut aktiviert werden. Die Konfiguration wird über eine Web-Oberfläche unter der Adresse http://192.168.0.1 vorgenommen. Nach Abschluss der Konfiguration wechselt der Router in den Betriebsmodus. Eine Änderung der Konfiguration über die Web-Obewrfläche ist in der Folge nicht mehr möglich.
#* In der Standardkonfiguration der Gluon-Firmware ist der Shell Login auf den Router deaktiviert. Er muss explizit im Konfigurationsmodus aktiviert werden, indem ein Passwort oder Schlüssel für den Zugang via SSH gesetzt wird.
# Freifunk-Router ermöglichen Dritten den Zugang zum Freifunk-Netz, nicht jedoch den Zugang zum privaten Netz des Router-Betreibers.
#* Das Freifunk-Netz und das private Netz des Router-Betreibers werden in der Gluon-Netzwerkkonfiguration strikt getrennt. Die Zugänge zu den beiden Netzen sind in Form separater Brücken zusammengefasst (''br-client'' und ''br-wan'').
#* Die verwendete Gluon-Firmware konfiguriert Firewall-Regeln (bereitgestellt durch das Paket ''gluon-ebtables''), welche auf der Netzzugangsschicht (Layer 2) den Zugriff auf das private Netz unterbindet.
#* Eine Ausnahme bildet der Aufbau einer optionalen Tunnelverbindung zu den Bündel-Servern durch die VPN-Software ''fastd''. Diese Option muss vom Betreiber im Konfigurationsmodus explizit aktiviert werden ("opt-in").
# Fehler und Sicherheitslücken in der Freifunk-Firmware werden behoben.
#* Der FF3L betreibt einen Aktualisierungs-Dienst, welcher über das Freifunk-Netz erreichbar ist. Mit Hilfe des Aktualisierungsdienstes lassen sich neuere Versionen der Firmware auf den Routern automatisch einspielen. Die Konfiguration der Freifunk-Router bleibt hierbei soweit möglich erhalten.
#* Der Aktualisierungs-Dienst ist in der Standardkonfiguration der Freifunk-Firmware aktiviert (Zweig "stable"). Der Aktualisierungs-Dienst kann im Konfigurationsmodus in den Experteneinstellungen deaktiviert werden ("opt-out").
#* Die Authentitizät der Firmware-Images wird durch ein Signaturverfahren gewährleistet (signiertes Manifest). Neue Images werden von den Freifunk-Routern nur bei vorhandensein einer gültigen Signatur installiert (siehe auch [http://gluon.readthedocs.org/en/v2014.4/index.html Gluon-Dokumentation]).
#* Veröffentlichte Firmware-Images werden in die Zweige "experimental", "beta" und "stable" unterteilt. Neue Firmware-Versionen werden in eben dieser Reihenfolge ausgerollt, um einen ausreichenden Testbetrieb vor der Verbreitung zu gewährleisten.
#* Die Aktuelle Praxis bezüglich der Veröffentlichung von neuen Firmware-Versionen ist im [http://wiki.freifunk-3laendereck.net/Freifunk-Router:Firmware Wiki] des FF3L dokumentiert.
# Übertragene Daten sind vor dem Zugriff Dritter geschützt.
#* Die Datenübertragung zu den Bündel-Servern erfolgt mittels der VPN-Software fastd über das Internet. Die übertragenen Daten sind mittels des Chiffre Salsa20/12 verschlüsselt.
#* Die Authentifizierung erfolgt mittels der asymmetrischen Schlüsselverfahren UMAC oder GMAC. Die öffentlichen Schlüssel müssen einmalig vor dem Aufbau der Verbindung ausgetauscht werden. Dies geschieht im Rahmen der Registrierung des Knotens.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.
#* Der Ausfall einzelner Server führt nicht zu Störungen innerhalb des Netzes, sofern alternative Routen existieren. In diesem Fällen wird das Routing durch das verwendete Routing-Protokoll batman-adv automatisch korrigiert und die Lücke geschlossen
#* Die Freifunk-Firmware stellt auf den Knoten eine Stauts-Seite bereit. Auf dieser kann man sehen, ob der Knoten mit dem Freifunk-Netz und auf welche Weise er mit dem Freifunk-Netz verbunden ist.
#* Der Status aller Knoten wird zusätzlich in Form einer Knotenkarte auf den Servern des FF3L visualisiert. Der Karte lässt sich neben der Lage des Knotes (freiwillige Angabe) entnehmen, ob ein Knoten mit dem Freifunk-Netz verbunden ist und wie er vebunden ist.

===Bekannte Lücken sowie geplante, zukünftige Sicherheitsmaßnahmen===
# Freifunk-Router sind vor dem Zugriff unbefugter Dritter geschützt.
#* Freifunk-Router werden prinzipiell nicht vom FF3L betrieben. Für den Schutz vor physikalischem Zugriff und ggf. damit einhergehender Manipulation ist der Knoten-Betreiber verantwortlich.
# Freifunk-Router ermöglichen Dritten den Zugang zum Freifunk-Netz, nicht jedoch den Zugang zum privaten Netz des Router-Betreibers.
#* Die an bestimmten Freifunk-Routern verfügbaren LAN-Ports ermöglichen eine direkte Verbindung von Endgeräten (z.B. Servern) mit dem Freifunk-Netz. LAN-Ports sind von den WAN-Ports zu unterscheiden, über welche die Freifunk-Router mit dem Internet verbunden werden.
#* Im Fall einer Verwechslung der Ports, kann das private Netze des Freifunk-Betreibers in das Freifunk-Netz überbrückt werden.
#* Um Knotenbetreiber im Fall einer Verwechselung zu schützen, sollen die LAN-Ports in der Standardkonfiguration deaktiviert werden. Eine Aktivierung erfolgt über den Konfigurationsmodus des Routers.
# Fehler und Sicherheitslücken in der Freifunk-Firmware werden behoben.
#* Der Aktualisierungs-Dienst für die Freifunk-Firmware ist in der Standardkonfiguration aktiviert. Die entsprechende Einstellung verbirgt sich jedoch unter den Experteneinstellungen im Konfigurationsmodus.
#* Um Knotenbetreiber auf diesen Umstand aufmerksam zu machen, ist eine Verlegung der Einstellungen in den allgemeinen Teil des Konfigurationsmnodus geplant.
# Übertragene Daten sind vor dem Zugriff Dritter geschützt.
#* Die Datenübertragung zwischen den Freifunk-Routern erfolgt auf Grund der eingesetzen Technologie unverschlüsselt. Sie ist damit durch Dritte vor Ort abhörbar.
#* Umfassende Sicherheit lässt sich allein durch End-zu-End-Verschlüsselung gewährleisten. Die Anwendung dieser erfolgt auf den Endgeräten und liegt damit in der Verantwortung der Freifunk-Nutzer und nicht des FF3L.
#* Um eine sichere Übetragung von den Klienten zu den Bündel-Servern zu gewährleisten, soll optional ein VPN-Zugang für Klienten angeboten werden (z.B. [http://www.openvpn.net OpenVPN]).
#* Um eine sichere Übertragung von Endpunkt zu Endpunkt innerhalb des Freifunk-Netzes anzubieten, ist die Einrichtung eines verschlüsselten Overlay-Netzes angedacht (z.B. [http://cjdns.info/ cjDNS]).
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet
#* Keine geplanten Maßnahmen.

==Server==
Im Folgenden Abschnitt sind die allgemeinen Schutzziele und Gefährdungen für Freifunk-Server zusammengefasst. Freifunk-Server werden in der Regel - jedoch nicht ausschließlich - bei Host Providern angemietet (physikalische und virtualisierte Root Server). Die Einrichtung, der Betrieb und die Wartung erfolgt durch den FF3L. Der Begriff "Freifunk-Server" umfasst hierbei die weiter unten aufgeführten Bündel-Server, Internet sowie IC-VPN Gateways. Diese werden entsprechend ihrer Aufgaben noch einmal separat abgehandelt. In der Praxis werde die verschiedenen Server meist zusammengefasst. Ausgeschlossen sind Server, welche von Freifunkern als Privatpersonen innerhalb des Freifunknetzes betrieben werden.

===Schutzziele und Gefährdungen===
# Server sind vor dem Zugriff unbefugter Dritter geschützt.
# Fehler und Sicherheitslücken in der verwendeten Software werden behoben.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.

===Abgeleitete Sicherheitsanforderungen===
# Server sind vor dem Zugriff unbefugter Dritter geschützt.
#* Der Zugriff auf die Server (physikalisch und über das Internet) ist auf einen engen, definierten Personenkreis beschränkt.
#* Zugriffsrechte werden nach Bedarf und maßgeschneidert erteilt.
#* Der Zugang aus dem Netz erfolgt exklusiv über verschlüsselte Verbindungen (z.B. SSH).
#* Eine Firewall beschränkt Zugriffe aus dem Netz auf das notwendige Minimum.
#* Spezielle Sicherheitssoftware zur Erkennung von Eindringlingen wird verwendet.
# Fehler und Sicherheitslücken in der verwendeten Software werden behoben.
#* Server werden auf der Grundlage eines gepflegten, quelloffenen Betriebssystems errichtet.
#* Verwendete Software wird in adequaten Intervallen aktualisiert.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.
#* Die Funktionstüchtigkeit der Server wird überwacht und der fehlerhafte Betrieb detektiert.
#* Server sind vor DoS-Attacken aus dem Internet geschützt.

===Umgesetzte Sicherheitsmaßnahmen===
# Server sind vor dem Zugriff unbefugter Dritter geschützt.
#* Der Zugriff auf die Server des FF3L ist auf Mitglieder des Administratoren-Teams begrenzt. Das Aministratoren-Team wird durch den Vorstand des Vereins benannt.
#* Der Shell-Login ist ausschließlich über SSH möglich. Die Authentifizierung erfolgt mittels eines Passworts (LDAP) oder eines hinterlegten Schlüssels.
#* Server werden durch Firewall-Regeln auf der Basis von ''iptables'' geschützt. Die Standardvorgabe ist, dass eingehende und weiterzuleitende Pakete verworfen werden. Die Freigabe von Ports bzw. der Weiterleitung erfolgt mittels spezifischer Regeln wo erwünscht.
# Fehler und Sicherheitslücken in der verwendeten Software werden behoben.
#* Die Freifunk-Server werden auf Basis der Debian Linux-Distribution betrieben. Sofern möglich, wird die jeweils letzte stabile Version verwendet.
#* Es werden in angemessenen Intervallen empfohlene Sicherheitsaktualisierungen mittels der offiziellen Paketverwaltung eingespielt.
#* Das Administratoren-Team verfolgt sicherheitsrelevante Ankündigungen über die Mailing-Liste debian-security-announce@lists.debian.org.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.
#* Kritische Server und Dienste werden über ein zentrales Monitoring auf der Basis von Nagios(-Derivaten) überwacht. Das Monitoring ist redundant aufgesetzt. Der aktuelle Zustand aller Server und Diense ist über eine Web-Oberfläche einsehbar. Optional erfolgt eine Mitteilung per e-Mail im Fall von Statusänderungen.
#* Die Server des FF3L werden von Host Providern angemietet. Diese bieten üblicherweise einen gewissen Schutz vor DoS-Angriffen in der Form adaptiver Firewalls.

===Bekannte Lücken sowie geplante, zukünftige Sicherheitsmaßnahmen===
# Server sind vor dem Zugriff unbefugter Dritter geschützt.
#* Die Erteilung von Zugriffsrechten erfolgt derzeit weitestgehend monolithisch, soll in Zukunft jedoch granular und nach Bedarf erfolgen. Erteilte Rechte sollen an geeigneter Stelle transparent dokumentiert und veröffentlicht werden.
#* Bzgl. der verwendbaren Passwörter gibt es aktuell keine Vorgaben. In der Zukunft soll eine Überprüfung der Passwortstärke sowie Vorgabe einer minimalen Entropie implementiert werden.
#* Die Authentizfizierung im Rahmen des Shell-Login via SSH ist aktuell mittels eines Passworts möglich. Die Authentifizierung soll auf asymmetrische Schlüsselverfahren beschränkt werden, um die Folgen von Man-in-der-Mitte-Angriffen zu mildern.
#* Sicherheitssoftware zur Erkennung von Eindringlingen wird aktuell nur auf einem Teil der Freifunk-Server verwendet. Die Erstellung und Umsetzung eines flächendeckenden Konzepts steht nachwievor aus.
# Fehler und Sicherheitslücken in der verwendeten Software werden behoben.
#* Keine geplanten Maßnahmen.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.
#* Keine geplanten Maßnahmen.

==Bündel-Server==
Bündel-Server dienen der Verbindung isolierter Funkwolken innerhalb des Freifunk-Netzes. Vom Prinzip her sind Sie den Freifunk-Routern gleichgestellte Netzwerkknoten, erfüllen jedoch zusätzliche Aufgaben. Bündel-Server unterhalten im Normalfall eine hohe Anzahl an Verbindungen zu Freifunk-Routern. Da ein erheblicher Teil des Datenverkehrs über die Bündel-Server läuft, sind diese als besonders sicherheitskritisch einzustufen. Konkret erfüllen Bündel-Server die folgenden Aufgaben:
* Verbindung entfernter Freifunk-Router mittels Tunnelverbindungen über das Internet.
* Austausch von Routen-Informationen, um die zielgerichtete Zustellung von Daten zu ermöglichen.
* Automatische Netzwerkkonfiguration von Klienten.
* Namensauflösung innerhalb des Freifunk-Netzes.

===Schutzziele und Gefährdungen===
# Übertragene Daten sind vor dem Zugriff Dritter geschützt.
# Die Namensauflösung ist vor Manipulationen durch Dritte geschützt.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.

Zusätzlich gelten die Schutzziele und Gefährdungen für Server im allgemeinen.

===Abgeleitete Sicherheitsanforderungen===
# Übertragene Daten sind vor dem Zugriff Dritter geschützt.
#* Die Datenübertragung zu den Freifunk-Routern erfolgt mittels verschlüsselter Tunnelverbindungen (End-zu-Endverschlüsselung) unter Verwendung von nach heutigem Wissenssand sicherer Verfahren.
#* Die Authentizität der Endpunkte wird zum Schutz vor Mann-in-der-Mitte-Angriffen mittels eines asymmetrischen Schlüsselverfahrens sichergestellt.
# Die Namensauflösung ist vor Manipulationen durch Dritte geschützt.
#* Die Authentizität der Endpunkte wird zum Schutz vor Mann-in-der-Mitte-Angriffen mittels eines asymmetrischen Schlüsselverfahrens sichergestellt.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.
#* Der Ausfall eines Bündel-Servers führt nicht zur Störung des restlichen Netzes.
#* Die Netzstabilität wird durch Redundanz gewährleistet. Die Bündel-Server sind über mehrere Rechenzeitung verteilt.
#* Das Routing des Freifunk-Netzes ist "selbstheilend". Durch Ausfall bedingte Unterbrechungen werden automatisch behoben.
#* Die verfügbare Bandbreite wird gleichmäßig auf alle verbundenen Knoten/Klienten verteilt.

===Umgesetzte Sichgerheitsmaßnahmen===

===Bekannte Lücken sowie geplante, zukünftige Sicherheitsmaßnahmen===

==Internet Gateways==

Aufgaben:
* Verbindung des Freifunknetzes mit dem restlichen Internet
* Namensauflösung
* optionale Anonymisierung der Clienten

===Schutzziele und Gefährdungen===
# Gleichmäßige Verteilung der verfügbaren Bandbreite auf alle Klienten sowie adeqaute Priorisierung des Verkehrs nach Diensten
# Unterbindung von SPAM-Nachrichten
# Optional die Einschränkung von P2P-Dateiübertragung auf ein vertretbares Maß

===Abgeleitete Sichgerheitsmaßnahmen===
# Gleichmäßige Verteilung von Bandbreite auf alle Klienten
** Verwendung von geeigneten Queueing Disciplines

# Unterbindung von SPAM-Nachrichten
** Sperrung des Mail Ports 25. Beschränkung auf den Mail Submission Port 587.

# Einschränkung von P2P-Dateiübertragung auf ein erträgliches Maß
** Beschränkung der Zahl aktiver Verbindungen pro Klient

===Geplante, zukünftige Sicherheitsmaßnahmen===

==IC-VPN Gateways==
Aufgaben:
* Verbindung des Freifunk-Netzes mit anderen Freifunk-Netzen innerhalb des IC-VPNs
* Austausch von Routeninformationen
* Namensauflösung für Domänen innerhalb des IC-VPN
* Optional Routing von Internetverkehr zu den Gateways anderer Freifunk-Netze

===Schutzziele und Gefährdungen===
# Übertragene Daten sind vor dem Zugriff Dritter geschützt.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.
# Der Ausfall des IC-VPN-Gateways führt nicht zur Störung des restlichen Netzes.

Zusätzlich gelten die Schutzzile und Gefährdungen wie für Bündel-Server

===Abgeleitete Sichgerheitsmaßnahmen===
# Übertragene Daten sind vor dem Zugriff Dritter geschützt.
** Die Datenübertragung zu den Bündel-Servern erfolgt mittels verschlüsselter Tunnelverbindungen (End-zu Endverschlüsselung) unter Verwendung von nach heutigem Wissenssand sicherer Verfahren.
** Die Authentizität der Endpunkte wird zum Schutz vor Mann-in-der-Mitte-Angriffen mittels eines asymmetrischen Schlüsselverfahrens sichergestellt.

===Geplante, zukünftige Sicherheitsmaßnahmen===

==Bewertung des Gesamtsystems==
Welche Risiken ergeben sich aus dem Zusammnenwirken der Teilsysteme?

==Kontinuierliche Verbesserung==

Wie wollen wir die Sicherheit unserer Freifunk-Netze kontinuierlich verbessern?

==Mitteilungspflichten==

Welche Sicherheitsverletzungen und/oder Störungen würden wir der Bundesnetzagentur mitteilen wollen?

=Ideen=

Integration in Freifunk-API? Community füllt lediglich Formular zu den einzelnen Teilsystemen aus. Das Sicherheitskonzept wird im Anschluss automatisch erstellt und im Netz veröffentlicht.

Sicherheitskonzept (intern)

2015-05-17T11:50:10Z

Langweiler: /* Präambel */

{{Tip|Dieses Dokument befindet sich noch in der Entstehung.}}

=Präambel=
Freifunk Dreiländereck ("FF3L") ist ein parteipolitischer, unabhängiger, eingetragener Verein, der sich als Teil der weltweiten Open Wireless-Bewegung versteht, welche in Deutschland durch die Freifunk-Initiative repärsentiert wird.

Zur Umsetzung des Vereinszwecks unterhält der FF3L eine Netzwerkinfrastruktur, welche in Kombination mit den Freifunk-WLAN-Routern das Freifunk-Netz bildet. Weiterhin stellt er eine Firmware für Freifunk-Router zur Verfügung. Er ist bei der Bundesnetzagentur seit dem xx.xx.xxxx. als Telekommunikationsdienstleister (Access Provider) registriert.

Mit dem vorliegenden Sicherheitskonzept werden die folgenden Absichten verfolgt:
* Erfüllung der Verpflichtung zur Erstellung und Umsetzung eines Sicherheitskonzeptes nach § 109 TKG.
* Transparente Dokumentation des Status Quo in Bezug auf Informationssicherheit als Grundlage für die kontinuierliche Verbesserung.
* Aufzeigen von inherenten Limitierungen, die sich auf Grund der Funktionsweise des Freifunk-Netzes ergeben.
* Darstellung der Pflichten von Freifunk-Nutzern hinsichtlich Gewährleistung ihrer eigene Sicherheit.

Der Umfang des Sicherheitskonzepts beschränkt sich ausschließlich auf die vom FF3L (also dem Verein, und nicht der Community bzw. Privatpersonen) betriebene Netzwerkinfrastruktur. Explizit beinhaltet dies die vom FF3L betriebenen Bündel-Server, Internet und IC-VPN Gateways. Aspekte der Freifunk-Router werden insofern abgehandelt, wie sie mit der vom Verein herausgegebenen Freifunk-Firmware in Verbindung stehen. Nicht im Umfang enthalten sind Server und Engeräte, welche von Freifunk-Nutzern betrieben werden.

Der Begriff Freifunk-Netz in diesem Dokument bezieht sich auschließlich auf das Freifunk-Netz im Dreiländereck (CH-DE-FR), dessen Aufbau und Betrieb durch den FF3L gefördert wird. Gleiches gilt für die Begriffe Freifunk-Router, Freifunk-Firmware und Freifunk-Server. Eine Übertragung auf Freifunk-Netze anderer Commnunities ist nicht zulässig.

=Gesetzlicher Hintergrund=
Auszug aus dem "Katalog von Sicherheitsanforderungen für das Betreiben von Telekommunikations- und Datenverarbeitungssystemen sowie für die Verarbeitung personenbezogener Daten nach § 109 Telekommunikationsgesetz (TKG):

Für das Betreiben öffentlicher Telekkommunikatiosnetze sowie das Erbringen öffentlich zugänglicher Telekommunikationsdiense schreibt § 109 TKG Vorkehrungen und sonstige Maßnahmen

* zum Schutz des Fernmeldegehimnisses,
* gegen die Verletzung des Schutzes personenbezogener Daten,
* gegen Störungen, die zu erheblichen Beeinträchtigungen von Telekommunikationsnetzen und -diensten führen, auch soweit sie durch äußere Angriffe und Einwirkungen von Katastrophen bedingt sein könnten,
als Mindestanforderungen vor.

Ziel und Zweck der zu treffenden Maßnahmen sind insbesondere

* die Sicherheit vor unerlaubtem Zugriffen auf Telekommunikations- und Datenverarbeitungssysteme
* die Reduzierung / Minimierung der Auswirkungen von Sicherheitsverletzungen auf Nutzer oder auf zusammengeschaltete Netze
* die Gewährleistung eines ordnungsgemäßen Betriebes der Netze und dadurch die Sicherstellung der fortlaufenden Verfügbarkeit der über die Netze erbrachten Dienste.

=Netzstruktur=
Das Freifunknetz ist ein offenes, sich spontan ausbildendes und selbstheilendes Maschennetzwerk. Die Grundbausteine ("Knoten") des Freifunk-Netzes sind die Freifunk-Router. Der Begriff Maschennetzwerk
bedeutet, dass die einzelnen Knoten mit einem oder mehreren Knoten auf nicht hierarschische Weise verbunden sind.

Die Freifunk-Router sinde handelsübliche WLAN-Router, ausgestattet mit einer speziellen Software ("Firmware"). Die spezielle Firmware gestattet es den Freifunk-Routern spontan Verbindung mit anderen Freifunk-Routern in Reichweite aufzunehmen. Hierbei kommt der offizielle, zugelassene WLAN-Standard 802.11n zum Einsatz. Gleichzeitig agieren die Router als WLAN-Zugangspunkt und ermöglichen damit Klienten (z.B. Smartphones) den direkten Zugang zum Freifunknetz.

Damit die Daten in dieser chaotischen Struktur ihren Weg finden, kommt ein spezielles Routing-Protokoll zum Einsatz. Im Fall des FF3L handelt es sich um das Protokoll [http://www.open-mesh.org/projects/batman-adv/wiki B.A.T.M.A.N. Advanced]. Dieses arbeitet auf der Netzzugangsschicht (Layer 2 nach dem OSI-Netzwerkschichtmodell). Das Freifunk-Netz verhält sich damit effektiv so, als wären alle Knoten über einen einzigen Netzwerk-Switch miteinander verbunden.

Neben der direkten Verbindung von Freifunk-Routern via WLAN gibt es die Option, isolierte Funkwolken über Tunnelverbindungen zu zentralen Servern ("Bündel-Servern") miteinander zu verbinden. Die Tunnelverbindungen laufen über das Internet und sind verschlüsselt (d.h. der Inhalt ist für Dritte nicht einsehbar). Der Internetanschluss wird hierbei auf freiwilliger Basis von den Knotenbetreibern zur Vefügung gestellt.

Weiterhin bietet das Freifunknetz über zentrale Gateways eine Verbindung ins Internet ("Internet Gateways") sowie den Verbund aller Freifunk-Netze ("IC-VPN Gateways"). Der Verein Freifunk Dreiländreck e.V. agiert damit als Zugangsanbieter ("Access Provider"). Die indirekte Weiterleitung ins Internet schützt die Knotenbetreiber vor ewaigen Haftungsansprüchen ("Störherhaftung") im Fall eines Missbrauchs durch Dritte.

Zusätzlich können Applikations-Server in das Freifunk-Netz integriert werden. Diese agieren als reguläre Netzwerkknoten und sind den Freifunk-Routern gleichgestellt.

[[Datei:Netzstrukturplan.png]]

=Sicherheitsteilsysteme=
In den folgenden Abschnitten werden die sicherheitskritischen Teilsysteme des Freifunk-Netzes definiert und diskutiert. Konkret werden als Teilsysteme die Freifunk-Router und Freifunk-Server im allgmeienen sowie Bündel-Server, Internet und IC-VPN Gateways im speziellen behandelt. Jeder Abschnitt besteht aus einer einleitenden Beschreibung inkl. der Aufgaben des jeweiligen Teilsystems, einer Auflistung von Schutzzielen und Gefährdungen, abgeleiteten Sicherheitsanforderungen, bereits umgesetzten sowie zukünftigen, geplanten Sicherheitsmaßnahmen. Zuletzt erfolgt eine abschließende Beurteilung des Gesamtsystems.

==Freifunk-Router==
Freifunk-WLAN-Router bilden die Grundelemente des Freifunk-Netzes. Sie werden auch als Netzwerkknoten bezeichnet. Bei Freifunk-Routern handelt sich um handelsübliche WLAN-Router, welche durch das Einspielen eines speziellen Betriebssystems ("Freifunk-Firmware") modifiziert werden. Freifunk-Router erfüllen die folgenden Aufgaben:
* Spontane Bildung des Freifunk-Maschennetzwerks via WLAN mit allen in Reichweite befindlichen Freifunk-Routern (lokale Funkwolke).
* Optional die Errichtung von Tunnelverbindungen zu Bündel-Servern über das Internet für den Datenaustausch mit entfernten Funkwolken.
* Austausch von Routen-Informationen, um die zielgerichtete Zustellung von Daten zu ermöglichen.
* Zugangspunkt zum Freifunk-Netzwerk für WLAN-Klienten (z.B. Smartphones, Tablets, Notebooks).
* Optional die Anbindung von Servern und/oder lokalen Klienten mittels einer direkten Kabelverbindung.

===Schutzziele und Gefährdungen===
# Freifunk-Router sind vor dem Zugriff unbefugter Dritter geschützt.
# Freifunk-Router ermöglichen Dritten den Zugang zum Freifunk-Netz, nicht jedoch den Zugang zum privaten Netz des Router-Betreibers.
# Fehler und Sicherheitslücken in der Freifunk-Firmware werden behoben.
# Übertragene Daten sind vor dem Zugriff Dritter geschützt.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.

===Abgeleitete Sicherheitsanforderungen===
# Freifunk-Router sind vor dem Zugriff unbefugter Dritter geschützt.
#* Die Einstellungen des Freifunk-Routers lassen sich lediglich in einem gesonderten Konfigurationsmodus verändern.
#* In der Standardkonfiguration des Freifunk-Routers ist kein Zugang auf der Ebene des Betriebssystems ("Shell Login") möglich.
#* Optional kann durch den Router-Betreiber ein verschlüsselter Zugang (z.B. via SSH) aktiviert werden, um die Wartung aus der Ferne zu ermöglichen.
# Freifunk-Router ermöglichen Dritten den Zugang zum Freifunk-Netz, nicht jedoch den Zugang zum privaten Netz des Router-Betreibers.
#* Eine Firewall auf dem Freifunk-Router (Layer 2 und/oder Layer 3) verhindert den Zugriff auf das private Netz des Betreibers.
#* Ausgenommen ist der Aufbau einer Tunnelverbindung zu den Bündelservern, sofern der Betreiber dies in der Konfiguration ausdrücklich gestattet ("opt in").
# Fehler und Sicherheitslücken in der Freifunk-Firmware werden behoben.
#* Die Firmware der Freifunk-Router wird in angemessenen Intervallen automatisch über das Freifunk-Netzt aktualisiert ("Autoupdater").
#* Die Authentizität der Firmware wird durch ein elektronisches Signaturverfahren sichergestellt.
#* Neue Firmware-Versionen werden vor dem Ausrollen gem. eines festgelegten Schemas getestet.
# Übertragene Daten sind vor dem Zugriff Dritter geschützt.
#* Die Datenübertragung zu den Bündel-Servern erfolgt mittels verschlüsselter Tunnelverbindungen (End-zu-Endverschlüsselung) unter Verwendung von nach heutigem Wissenssand sicherer Verfahren.
#* Die Authentizität der Endpunkte wird zum Schutz vor Mann-in-der-Mitte-Angriffen mittels eines asymmetrischen Schlüsselverfahrens sichergestellt.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.
#* Der Ausfall einzelner Freifunk-Router führt nicht zur Störung des restlichen Netzes.
#* Das Routing des Freifunk-Netzes ist "selbstheilend". Durch Ausfall bedingte Unterbrechungenwerden automatisch behoben.
#* Die Funktionstüchtigkeit der Router wird überwacht und der fehlerhafte Betrieb detektiert.

===Umgesetzte Sichgerheitsmaßnahmen===
# Freifunk-Router sind vor dem Zugriff unbefugter Dritter geschützt.
#* Die verwendete Gluon-Firmware unterstützt einen separaten Konfigurationsmodus. Dieser ist nach dem Aufspielen der Firmware aktiviert. Er kann zu einem späteren Zeitpunkt durch längeres Drücken der Reset-Taste am Router erneut aktiviert werden. Die Konfiguration wird über eine Web-Oberfläche unter der Adresse http://192.168.0.1 vorgenommen. Nach Abschluss der Konfiguration wechselt der Router in den Betriebsmodus. Eine Änderung der Konfiguration über die Web-Obewrfläche ist in der Folge nicht mehr möglich.
#* In der Standardkonfiguration der Gluon-Firmware ist der Shell Login auf den Router deaktiviert. Er muss explizit im Konfigurationsmodus aktiviert werden, indem ein Passwort oder Schlüssel für den Zugang via SSH gesetzt wird.
# Freifunk-Router ermöglichen Dritten den Zugang zum Freifunk-Netz, nicht jedoch den Zugang zum privaten Netz des Router-Betreibers.
#* Das Freifunk-Netz und das private Netz des Router-Betreibers werden in der Gluon-Netzwerkkonfiguration strikt getrennt. Die Zugänge zu den beiden Netzen sind in Form separater Brücken zusammengefasst (''br-client'' und ''br-wan'').
#* Die verwendete Gluon-Firmware konfiguriert Firewall-Regeln (bereitgestellt durch das Paket ''gluon-ebtables''), welche auf der Netzzugangsschicht (Layer 2) den Zugriff auf das private Netz unterbindet.
#* Eine Ausnahme bildet der Aufbau einer optionalen Tunnelverbindung zu den Bündel-Servern durch die VPN-Software ''fastd''. Diese Option muss vom Betreiber im Konfigurationsmodus explizit aktiviert werden ("opt-in").
# Fehler und Sicherheitslücken in der Freifunk-Firmware werden behoben.
#* Der FF3L betreibt einen Aktualisierungs-Dienst, welcher über das Freifunk-Netz erreichbar ist. Mit Hilfe des Aktualisierungsdienstes lassen sich neuere Versionen der Firmware auf den Routern automatisch einspielen. Die Konfiguration der Freifunk-Router bleibt hierbei soweit möglich erhalten.
#* Der Aktualisierungs-Dienst ist in der Standardkonfiguration der Freifunk-Firmware aktiviert (Zweig "stable"). Der Aktualisierungs-Dienst kann im Konfigurationsmodus in den Experteneinstellungen deaktiviert werden ("opt-out").
#* Die Authentitizät der Firmware-Images wird durch ein Signaturverfahren gewährleistet (signiertes Manifest). Neue Images werden von den Freifunk-Routern nur bei vorhandensein einer gültigen Signatur installiert (siehe auch [http://gluon.readthedocs.org/en/v2014.4/index.html Gluon-Dokumentation]).
#* Veröffentlichte Firmware-Images werden in die Zweige "experimental", "beta" und "stable" unterteilt. Neue Firmware-Versionen werden in eben dieser Reihenfolge ausgerollt, um einen ausreichenden Testbetrieb vor der Verbreitung zu gewährleisten.
#* Die Aktuelle Praxis bezüglich der Veröffentlichung von neuen Firmware-Versionen ist im [http://wiki.freifunk-3laendereck.net/Freifunk-Router:Firmware Wiki] des FF3L dokumentiert.
# Übertragene Daten sind vor dem Zugriff Dritter geschützt.
#* Die Datenübertragung zu den Bündel-Servern erfolgt mittels der VPN-Software fastd über das Internet. Die übertragenen Daten sind mittels des Chiffre Salsa20/12 verschlüsselt.
#* Die Authentifizierung erfolgt mittels der asymmetrischen Schlüsselverfahren UMAC oder GMAC. Die öffentlichen Schlüssel müssen einmalig vor dem Aufbau der Verbindung ausgetauscht werden. Dies geschieht im Rahmen der Registrierung des Knotens.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.
#* Der Ausfall einzelner Server führt nicht zu Störungen innerhalb des Netzes, sofern alternative Routen existieren. In diesem Fällen wird das Routing durch das verwendete Routing-Protokoll batman-adv automatisch korrigiert und die Lücke geschlossen
#* Die Freifunk-Firmware stellt auf den Knoten eine Stauts-Seite bereit. Auf dieser kann man sehen, ob der Knoten mit dem Freifunk-Netz und auf welche Weise er mit dem Freifunk-Netz verbunden ist.
#* Der Status aller Knoten wird zusätzlich in Form einer Knotenkarte auf den Servern des FF3L visualisiert. Der Karte lässt sich neben der Lage des Knotes (freiwillige Angabe) entnehmen, ob ein Knoten mit dem Freifunk-Netz verbunden ist und wie er vebunden ist.

===Bekannte Lücken sowie geplante, zukünftige Sicherheitsmaßnahmen===
# Freifunk-Router sind vor dem Zugriff unbefugter Dritter geschützt.
#* Freifunk-Router werden prinzipiell nicht vom FF3L betrieben. Für den Schutz vor physikalischem Zugriff und ggf. damit einhergehender Manipulation ist der Knoten-Betreiber verantwortlich.
# Freifunk-Router ermöglichen Dritten den Zugang zum Freifunk-Netz, nicht jedoch den Zugang zum privaten Netz des Router-Betreibers.
#* Die an bestimmten Freifunk-Routern verfügbaren LAN-Ports ermöglichen eine direkte Verbindung von Endgeräten (z.B. Servern) mit dem Freifunk-Netz. LAN-Ports sind von den WAN-Ports zu unterscheiden, über welche die Freifunk-Router mit dem Internet verbunden werden.
#* Im Fall einer Verwechslung der Ports, kann das private Netze des Freifunk-Betreibers in das Freifunk-Netz überbrückt werden.
#* Um Knotenbetreiber im Fall einer Verwechselung zu schützen, sollen die LAN-Ports in der Standardkonfiguration deaktiviert werden. Eine Aktivierung erfolgt über den Konfigurationsmodus des Routers.
# Fehler und Sicherheitslücken in der Freifunk-Firmware werden behoben.
#* Der Aktualisierungs-Dienst für die Freifunk-Firmware ist in der Standardkonfiguration aktiviert. Die entsprechende Einstellung verbirgt sich jedoch unter den Experteneinstellungen im Konfigurationsmodus.
#* Um Knotenbetreiber auf diesen Umstand aufmerksam zu machen, ist eine Verlegung der Einstellungen in den allgemeinen Teil des Konfigurationsmnodus geplant.
# Übertragene Daten sind vor dem Zugriff Dritter geschützt.
#* Die Datenübertragung zwischen den Freifunk-Routern erfolgt auf Grund der eingesetzen Technologie unverschlüsselt. Sie ist damit durch Dritte vor Ort abhörbar.
#* Umfassende Sicherheit lässt sich allein durch End-zu-End-Verschlüsselung gewährleisten. Die Anwendung dieser erfolgt auf den Endgeräten und liegt damit in der Verantwortung der Freifunk-Nutzer und nicht des FF3L.
#* Um eine sichere Übetragung von den Klienten zu den Bündel-Servern zu gewährleisten, soll optional ein VPN-Zugang für Klienten angeboten werden (z.B. [http://www.openvpn.net OpenVPN]).
#* Um eine sichere Übertragung von Endpunkt zu Endpunkt innerhalb des Freifunk-Netzes anzubieten, ist die Einrichtung eines verschlüsselten Overlay-Netzes angedacht (z.B. [http://cjdns.info/ cjDNS]).
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet
#* Keine geplanten Maßnahmen.

==Server==
Im Folgenden Abschnitt sind die allgemeinen Schutzziele und Gefährdungen für Freifunk-Server zusammengefasst. Freifunk-Server werden in der Regel - jedoch nicht ausschließlich - bei Host Providern angemietet (physikalische und virtualisierte Root Server). Die Einrichtung, der Betrieb und die Wartung erfolgt durch den FF3L. Der Begriff "Freifunk-Server" umfasst hierbei die weiter unten aufgeführten Bündel-Server, Internet sowie IC-VPN Gateways. Diese werden entsprechend ihrer Aufgaben noch einmal separat abgehandelt. In der Praxis werde die verschiedenen Server meist zusammengefasst. Ausgeschlossen sind Server, welche von Freifunkern als Privatpersonen innerhalb des Freifunknetzes betrieben werden.

===Schutzziele und Gefährdungen===
# Server sind vor dem Zugriff unbefugter Dritter geschützt.
# Fehler und Sicherheitslücken in der verwendeten Software werden behoben.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.

===Abgeleitete Sicherheitsanforderungen===
# Server sind vor dem Zugriff unbefugter Dritter geschützt.
#* Der Zugriff auf die Server (physikalisch und über das Internet) ist auf einen engen, definierten Personenkreis beschränkt.
#* Zugriffsrechte werden nach Bedarf und maßgeschneidert erteilt.
#* Der Zugang aus dem Netz erfolgt exklusiv über verschlüsselte Verbindungen (z.B. SSH).
#* Eine Firewall beschränkt Zugriffe aus dem Netz auf das notwendige Minimum.
#* Spezielle Sicherheitssoftware zur Erkennung von Eindringlingen wird verwendet.
# Fehler und Sicherheitslücken in der verwendeten Software werden behoben.
#* Server werden auf der Grundlage eines gepflegten, quelloffenen Betriebssystems errichtet.
#* Verwendete Software wird in adequaten Intervallen aktualisiert.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.
#* Die Funktionstüchtigkeit der Server wird überwacht und der fehlerhafte Betrieb detektiert.
#* Server sind vor DoS-Attacken aus dem Internet geschützt.

===Umgesetzte Sicherheitsmaßnahmen===
# Server sind vor dem Zugriff unbefugter Dritter geschützt.
#* Der Zugriff auf die Server des FF3L ist auf Mitglieder des Administratoren-Teams begrenzt. Das Aministratoren-Team wird durch den Vorstand des Vereins benannt.
#* Der Shell-Login ist ausschließlich über SSH möglich. Die Authentifizierung erfolgt mittels eines Passworts (LDAP) oder eines hinterlegten Schlüssels.
#* Server werden durch Firewall-Regeln auf der Basis von ''iptables'' geschützt. Die Standardvorgabe ist, dass eingehende und weiterzuleitende Pakete verworfen werden. Die Freigabe von Ports bzw. der Weiterleitung erfolgt mittels spezifischer Regeln wo erwünscht.
# Fehler und Sicherheitslücken in der verwendeten Software werden behoben.
#* Die Freifunk-Server werden auf Basis der Debian Linux-Distribution betrieben. Sofern möglich, wird die jeweils letzte stabile Version verwendet.
#* Es werden in angemessenen Intervallen empfohlene Sicherheitsaktualisierungen mittels der offiziellen Paketverwaltung eingespielt.
#* Das Administratoren-Team verfolgt sicherheitsrelevante Ankündigungen über die Mailing-Liste debian-security-announce@lists.debian.org.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.
#* Kritische Server und Dienste werden über ein zentrales Monitoring auf der Basis von Nagios(-Derivaten) überwacht. Das Monitoring ist redundant aufgesetzt. Der aktuelle Zustand aller Server und Diense ist über eine Web-Oberfläche einsehbar. Optional erfolgt eine Mitteilung per e-Mail im Fall von Statusänderungen.
#* Die Server des FF3L werden von Host Providern angemietet. Diese bieten üblicherweise einen gewissen Schutz vor DoS-Angriffen in der Form adaptiver Firewalls.

===Bekannte Lücken sowie geplante, zukünftige Sicherheitsmaßnahmen===
# Server sind vor dem Zugriff unbefugter Dritter geschützt.
#* Die Erteilung von Zugriffsrechten erfolgt derzeit weitestgehend monolithisch, soll in Zukunft jedoch granular und nach Bedarf erfolgen. Erteilte Rechte sollen an geeigneter Stelle transparent dokumentiert und veröffentlicht werden.
#* Bzgl. der verwendbaren Passwörter gibt es aktuell keine Vorgaben. In der Zukunft soll eine Überprüfung der Passwortstärke sowie Vorgabe einer minimalen Entropie implementiert werden.
#* Die Authentizfizierung im Rahmen des Shell-Login via SSH ist aktuell mittels eines Passworts möglich. Die Authentifizierung soll auf asymmetrische Schlüsselverfahren beschränkt werden, um die Folgen von Man-in-der-Mitte-Angriffen zu mildern.
#* Sicherheitssoftware zur Erkennung von Eindringlingen wird aktuell nur auf einem Teil der Freifunk-Server verwendet. Die Erstellung und Umsetzung eines flächendeckenden Konzepts steht nachwievor aus.
# Fehler und Sicherheitslücken in der verwendeten Software werden behoben.
#* Keine geplanten Maßnahmen.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.
#* Keine geplanten Maßnahmen.

==Bündel-Server==
Bündel-Server dienen der Verbindung isolierter Funkwolken innerhalb des Freifunk-Netzes. Vom Prinzip her sind Sie den Freifunk-Routern gleichgestellte Netzwerkknoten, erfüllen jedoch zusätzliche Aufgaben. Bündel-Server unterhalten im Normalfall eine hohe Anzahl an Verbindungen zu Freifunk-Routern. Da ein erheblicher Teil des Datenverkehrs über die Bündel-Server läuft, sind diese als besonders sicherheitskritisch einzustufen. Konkret erfüllen Bündel-Server die folgenden Aufgaben:
* Verbindung entfernter Freifunk-Router mittels Tunnelverbindungen über das Internet.
* Austausch von Routen-Informationen, um die zielgerichtete Zustellung von Daten zu ermöglichen.
* Automatische Netzwerkkonfiguration von Klienten.
* Namensauflösung innerhalb des Freifunk-Netzes.

===Schutzziele und Gefährdungen===
# Übertragene Daten sind vor dem Zugriff Dritter geschützt.
# Die Namensauflösung ist vor Manipulationen durch Dritte geschützt.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.

Zusätzlich gelten die Schutzziele und Gefährdungen für Server im allgemeinen.

===Abgeleitete Sicherheitsanforderungen===
# Übertragene Daten sind vor dem Zugriff Dritter geschützt.
#* Die Datenübertragung zu den Freifunk-Routern erfolgt mittels verschlüsselter Tunnelverbindungen (End-zu-Endverschlüsselung) unter Verwendung von nach heutigem Wissenssand sicherer Verfahren.
#* Die Authentizität der Endpunkte wird zum Schutz vor Mann-in-der-Mitte-Angriffen mittels eines asymmetrischen Schlüsselverfahrens sichergestellt.
# Die Namensauflösung ist vor Manipulationen durch Dritte geschützt.
#* Die Authentizität der Endpunkte wird zum Schutz vor Mann-in-der-Mitte-Angriffen mittels eines asymmetrischen Schlüsselverfahrens sichergestellt.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.
#* Der Ausfall eines Bündel-Servers führt nicht zur Störung des restlichen Netzes.
#* Die Netzstabilität wird durch Redundanz gewährleistet. Die Bündel-Server sind über mehrere Rechenzeitung verteilt.
#* Das Routing des Freifunk-Netzes ist "selbstheilend". Durch Ausfall bedingte Unterbrechungen werden automatisch behoben.
#* Die verfügbare Bandbreite wird gleichmäßig auf alle verbundenen Knoten/Klienten verteilt.

===Umgesetzte Sichgerheitsmaßnahmen===

===Bekannte Lücken sowie geplante, zukünftige Sicherheitsmaßnahmen===

==Internet Gateways==

Aufgaben:
* Verbindung des Freifunknetzes mit dem restlichen Internet
* Namensauflösung
* optionale Anonymisierung der Clienten

===Schutzziele und Gefährdungen===
# Gleichmäßige Verteilung der verfügbaren Bandbreite auf alle Klienten sowie adeqaute Priorisierung des Verkehrs nach Diensten
# Unterbindung von SPAM-Nachrichten
# Optional die Einschränkung von P2P-Dateiübertragung auf ein vertretbares Maß

===Abgeleitete Sichgerheitsmaßnahmen===
# Gleichmäßige Verteilung von Bandbreite auf alle Klienten
** Verwendung von geeigneten Queueing Disciplines

# Unterbindung von SPAM-Nachrichten
** Sperrung des Mail Ports 25. Beschränkung auf den Mail Submission Port 587.

# Einschränkung von P2P-Dateiübertragung auf ein erträgliches Maß
** Beschränkung der Zahl aktiver Verbindungen pro Klient

===Geplante, zukünftige Sicherheitsmaßnahmen===

==IC-VPN Gateways==
Aufgaben:
* Verbindung des Freifunk-Netzes mit anderen Freifunk-Netzen innerhalb des IC-VPNs
* Austausch von Routeninformationen
* Namensauflösung für Domänen innerhalb des IC-VPN
* Optional Routing von Internetverkehr zu den Gateways anderer Freifunk-Netze

===Schutzziele und Gefährdungen===
# Übertragene Daten sind vor dem Zugriff Dritter geschützt.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.
# Der Ausfall des IC-VPN-Gateways führt nicht zur Störung des restlichen Netzes.

Zusätzlich gelten die Schutzzile und Gefährdungen wie für Bündel-Server

===Abgeleitete Sichgerheitsmaßnahmen===
# Übertragene Daten sind vor dem Zugriff Dritter geschützt.
** Die Datenübertragung zu den Bündel-Servern erfolgt mittels verschlüsselter Tunnelverbindungen (End-zu Endverschlüsselung) unter Verwendung von nach heutigem Wissenssand sicherer Verfahren.
** Die Authentizität der Endpunkte wird zum Schutz vor Mann-in-der-Mitte-Angriffen mittels eines asymmetrischen Schlüsselverfahrens sichergestellt.

===Geplante, zukünftige Sicherheitsmaßnahmen===

==Bewertung des Gesamtsystems==
Welche Risiken ergeben sich aus dem Zusammnenwirken der Teilsysteme?

==Kontinuierliche Verbesserung==

Wie wollen wir die Sicherheit unserer Freifunk-Netze kontinuierlich verbessern?

==Mitteilungspflichten==

Welche Sicherheitsverletzungen und/oder Störungen würden wir der Bundesnetzagentur mitteilen wollen?

=Ideen=

Integration in Freifunk-API? Community füllt lediglich Formular zu den einzelnen Teilsystemen aus. Das Sicherheitskonzept wird im Anschluss automatisch erstellt und im Netz veröffentlicht.

Sicherheitskonzept (intern)

2015-05-17T11:45:10Z

Langweiler:

{{Tip|Dieses Dokument befindet sich noch in der Entstehung.}}

=Präambel=
Freifunk Dreiländereck ("FF3L") ist ein parteipolitischer, unabhängiger, eingetragener Verein, der sich als Teil der weltweiten Open Wireless-Bewegung versteht, welche in Deutschland durch die Freifunk-Initiative repärsentiert wird.

Zur Umsetzung des Vereinszwecks unterhält der FF3L eine Netzwerkinfrastruktur, welche in Kombination mit den Freifunk-WLAN-Routern das Freifunk-Netz bildet. Weiterhin stellt er eine Firmware für Freifunk-Router zur Verfügung. Er ist bei der Bundesnetzagentur seit dem xx.xx.xxxx. als Telekommunikationsdienstleister (Access Provider) registriert.

Mit dem vorliegenden Sicherheitskonzept werden die folgenden Absichten verfolgt:
* Erfüllung der Verpflichtung zur Erstellung und Umsetzung eines Sicherheitskonzeptes nach § 109 TKG.
* Transparente Dokumentation des Status Quo in Bezug auf Informationssicherheit als Grundlage für die kontinuierliche Verbesserung.
* Aufzeigen von inherenten Limitierungen, die sich auf Grund der Funktionsweise des Freifunk-Netzes ergeben.
* Darstellung der Pflichten von Freifunk-Nutzern hinsichtlich Gewährleistung ihrer eigene Sicherheit.

Der Umfang des Sicherheitskonzepts beschränkt sich ausschließlich auf die vom FF3L (also dem Verein, und nicht der Community bzw. Privatpersonen) betriebene Netzwerkinfrastruktur. Explizit beinhaltet dies die vom FF3L betriebenen Bündel-Server, Internet und IC-VPN Gateways. Aspekte der Freifunk-Router werden insofern abgehandelt, wie sie mit der vom Verein herausgegebenen Freifunk-Firmware in Zusammenhang stehen. Nicht im Umfang enthalten sind Server und Engeräte, welche von Freifunk-Nutzern betrieben werden.

=Gesetzlicher Hintergrund=
Auszug aus dem "Katalog von Sicherheitsanforderungen für das Betreiben von Telekommunikations- und Datenverarbeitungssystemen sowie für die Verarbeitung personenbezogener Daten nach § 109 Telekommunikationsgesetz (TKG):

Für das Betreiben öffentlicher Telekkommunikatiosnetze sowie das Erbringen öffentlich zugänglicher Telekommunikationsdiense schreibt § 109 TKG Vorkehrungen und sonstige Maßnahmen

* zum Schutz des Fernmeldegehimnisses,
* gegen die Verletzung des Schutzes personenbezogener Daten,
* gegen Störungen, die zu erheblichen Beeinträchtigungen von Telekommunikationsnetzen und -diensten führen, auch soweit sie durch äußere Angriffe und Einwirkungen von Katastrophen bedingt sein könnten,
als Mindestanforderungen vor.

Ziel und Zweck der zu treffenden Maßnahmen sind insbesondere

* die Sicherheit vor unerlaubtem Zugriffen auf Telekommunikations- und Datenverarbeitungssysteme
* die Reduzierung / Minimierung der Auswirkungen von Sicherheitsverletzungen auf Nutzer oder auf zusammengeschaltete Netze
* die Gewährleistung eines ordnungsgemäßen Betriebes der Netze und dadurch die Sicherstellung der fortlaufenden Verfügbarkeit der über die Netze erbrachten Dienste.

=Netzstruktur=
Das Freifunknetz ist ein offenes, sich spontan ausbildendes und selbstheilendes Maschennetzwerk. Die Grundbausteine ("Knoten") des Freifunk-Netzes sind die Freifunk-Router. Der Begriff Maschennetzwerk
bedeutet, dass die einzelnen Knoten mit einem oder mehreren Knoten auf nicht hierarschische Weise verbunden sind.

Die Freifunk-Router sinde handelsübliche WLAN-Router, ausgestattet mit einer speziellen Software ("Firmware"). Die spezielle Firmware gestattet es den Freifunk-Routern spontan Verbindung mit anderen Freifunk-Routern in Reichweite aufzunehmen. Hierbei kommt der offizielle, zugelassene WLAN-Standard 802.11n zum Einsatz. Gleichzeitig agieren die Router als WLAN-Zugangspunkt und ermöglichen damit Klienten (z.B. Smartphones) den direkten Zugang zum Freifunknetz.

Damit die Daten in dieser chaotischen Struktur ihren Weg finden, kommt ein spezielles Routing-Protokoll zum Einsatz. Im Fall des FF3L handelt es sich um das Protokoll [http://www.open-mesh.org/projects/batman-adv/wiki B.A.T.M.A.N. Advanced]. Dieses arbeitet auf der Netzzugangsschicht (Layer 2 nach dem OSI-Netzwerkschichtmodell). Das Freifunk-Netz verhält sich damit effektiv so, als wären alle Knoten über einen einzigen Netzwerk-Switch miteinander verbunden.

Neben der direkten Verbindung von Freifunk-Routern via WLAN gibt es die Option, isolierte Funkwolken über Tunnelverbindungen zu zentralen Servern ("Bündel-Servern") miteinander zu verbinden. Die Tunnelverbindungen laufen über das Internet und sind verschlüsselt (d.h. der Inhalt ist für Dritte nicht einsehbar). Der Internetanschluss wird hierbei auf freiwilliger Basis von den Knotenbetreibern zur Vefügung gestellt.

Weiterhin bietet das Freifunknetz über zentrale Gateways eine Verbindung ins Internet ("Internet Gateways") sowie den Verbund aller Freifunk-Netze ("IC-VPN Gateways"). Der Verein Freifunk Dreiländreck e.V. agiert damit als Zugangsanbieter ("Access Provider"). Die indirekte Weiterleitung ins Internet schützt die Knotenbetreiber vor ewaigen Haftungsansprüchen ("Störherhaftung") im Fall eines Missbrauchs durch Dritte.

Zusätzlich können Applikations-Server in das Freifunk-Netz integriert werden. Diese agieren als reguläre Netzwerkknoten und sind den Freifunk-Routern gleichgestellt.

[[Datei:Netzstrukturplan.png]]

=Sicherheitsteilsysteme=
In den folgenden Abschnitten werden die sicherheitskritischen Teilsysteme des Freifunk-Netzes definiert und diskutiert. Konkret werden als Teilsysteme die Freifunk-Router und Freifunk-Server im allgmeienen sowie Bündel-Server, Internet und IC-VPN Gateways im speziellen behandelt. Jeder Abschnitt besteht aus einer einleitenden Beschreibung inkl. der Aufgaben des jeweiligen Teilsystems, einer Auflistung von Schutzzielen und Gefährdungen, abgeleiteten Sicherheitsanforderungen, bereits umgesetzten sowie zukünftigen, geplanten Sicherheitsmaßnahmen. Zuletzt erfolgt eine abschließende Beurteilung des Gesamtsystems.

==Freifunk-Router==
Freifunk-WLAN-Router bilden die Grundelemente des Freifunk-Netzes. Sie werden auch als Netzwerkknoten bezeichnet. Bei Freifunk-Routern handelt sich um handelsübliche WLAN-Router, welche durch das Einspielen eines speziellen Betriebssystems ("Freifunk-Firmware") modifiziert werden. Freifunk-Router erfüllen die folgenden Aufgaben:
* Spontane Bildung des Freifunk-Maschennetzwerks via WLAN mit allen in Reichweite befindlichen Freifunk-Routern (lokale Funkwolke).
* Optional die Errichtung von Tunnelverbindungen zu Bündel-Servern über das Internet für den Datenaustausch mit entfernten Funkwolken.
* Austausch von Routen-Informationen, um die zielgerichtete Zustellung von Daten zu ermöglichen.
* Zugangspunkt zum Freifunk-Netzwerk für WLAN-Klienten (z.B. Smartphones, Tablets, Notebooks).
* Optional die Anbindung von Servern und/oder lokalen Klienten mittels einer direkten Kabelverbindung.

===Schutzziele und Gefährdungen===
# Freifunk-Router sind vor dem Zugriff unbefugter Dritter geschützt.
# Freifunk-Router ermöglichen Dritten den Zugang zum Freifunk-Netz, nicht jedoch den Zugang zum privaten Netz des Router-Betreibers.
# Fehler und Sicherheitslücken in der Freifunk-Firmware werden behoben.
# Übertragene Daten sind vor dem Zugriff Dritter geschützt.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.

===Abgeleitete Sicherheitsanforderungen===
# Freifunk-Router sind vor dem Zugriff unbefugter Dritter geschützt.
#* Die Einstellungen des Freifunk-Routers lassen sich lediglich in einem gesonderten Konfigurationsmodus verändern.
#* In der Standardkonfiguration des Freifunk-Routers ist kein Zugang auf der Ebene des Betriebssystems ("Shell Login") möglich.
#* Optional kann durch den Router-Betreiber ein verschlüsselter Zugang (z.B. via SSH) aktiviert werden, um die Wartung aus der Ferne zu ermöglichen.
# Freifunk-Router ermöglichen Dritten den Zugang zum Freifunk-Netz, nicht jedoch den Zugang zum privaten Netz des Router-Betreibers.
#* Eine Firewall auf dem Freifunk-Router (Layer 2 und/oder Layer 3) verhindert den Zugriff auf das private Netz des Betreibers.
#* Ausgenommen ist der Aufbau einer Tunnelverbindung zu den Bündelservern, sofern der Betreiber dies in der Konfiguration ausdrücklich gestattet ("opt in").
# Fehler und Sicherheitslücken in der Freifunk-Firmware werden behoben.
#* Die Firmware der Freifunk-Router wird in angemessenen Intervallen automatisch über das Freifunk-Netzt aktualisiert ("Autoupdater").
#* Die Authentizität der Firmware wird durch ein elektronisches Signaturverfahren sichergestellt.
#* Neue Firmware-Versionen werden vor dem Ausrollen gem. eines festgelegten Schemas getestet.
# Übertragene Daten sind vor dem Zugriff Dritter geschützt.
#* Die Datenübertragung zu den Bündel-Servern erfolgt mittels verschlüsselter Tunnelverbindungen (End-zu-Endverschlüsselung) unter Verwendung von nach heutigem Wissenssand sicherer Verfahren.
#* Die Authentizität der Endpunkte wird zum Schutz vor Mann-in-der-Mitte-Angriffen mittels eines asymmetrischen Schlüsselverfahrens sichergestellt.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.
#* Der Ausfall einzelner Freifunk-Router führt nicht zur Störung des restlichen Netzes.
#* Das Routing des Freifunk-Netzes ist "selbstheilend". Durch Ausfall bedingte Unterbrechungenwerden automatisch behoben.
#* Die Funktionstüchtigkeit der Router wird überwacht und der fehlerhafte Betrieb detektiert.

===Umgesetzte Sichgerheitsmaßnahmen===
# Freifunk-Router sind vor dem Zugriff unbefugter Dritter geschützt.
#* Die verwendete Gluon-Firmware unterstützt einen separaten Konfigurationsmodus. Dieser ist nach dem Aufspielen der Firmware aktiviert. Er kann zu einem späteren Zeitpunkt durch längeres Drücken der Reset-Taste am Router erneut aktiviert werden. Die Konfiguration wird über eine Web-Oberfläche unter der Adresse http://192.168.0.1 vorgenommen. Nach Abschluss der Konfiguration wechselt der Router in den Betriebsmodus. Eine Änderung der Konfiguration über die Web-Obewrfläche ist in der Folge nicht mehr möglich.
#* In der Standardkonfiguration der Gluon-Firmware ist der Shell Login auf den Router deaktiviert. Er muss explizit im Konfigurationsmodus aktiviert werden, indem ein Passwort oder Schlüssel für den Zugang via SSH gesetzt wird.
# Freifunk-Router ermöglichen Dritten den Zugang zum Freifunk-Netz, nicht jedoch den Zugang zum privaten Netz des Router-Betreibers.
#* Das Freifunk-Netz und das private Netz des Router-Betreibers werden in der Gluon-Netzwerkkonfiguration strikt getrennt. Die Zugänge zu den beiden Netzen sind in Form separater Brücken zusammengefasst (''br-client'' und ''br-wan'').
#* Die verwendete Gluon-Firmware konfiguriert Firewall-Regeln (bereitgestellt durch das Paket ''gluon-ebtables''), welche auf der Netzzugangsschicht (Layer 2) den Zugriff auf das private Netz unterbindet.
#* Eine Ausnahme bildet der Aufbau einer optionalen Tunnelverbindung zu den Bündel-Servern durch die VPN-Software ''fastd''. Diese Option muss vom Betreiber im Konfigurationsmodus explizit aktiviert werden ("opt-in").
# Fehler und Sicherheitslücken in der Freifunk-Firmware werden behoben.
#* Der FF3L betreibt einen Aktualisierungs-Dienst, welcher über das Freifunk-Netz erreichbar ist. Mit Hilfe des Aktualisierungsdienstes lassen sich neuere Versionen der Firmware auf den Routern automatisch einspielen. Die Konfiguration der Freifunk-Router bleibt hierbei soweit möglich erhalten.
#* Der Aktualisierungs-Dienst ist in der Standardkonfiguration der Freifunk-Firmware aktiviert (Zweig "stable"). Der Aktualisierungs-Dienst kann im Konfigurationsmodus in den Experteneinstellungen deaktiviert werden ("opt-out").
#* Die Authentitizät der Firmware-Images wird durch ein Signaturverfahren gewährleistet (signiertes Manifest). Neue Images werden von den Freifunk-Routern nur bei vorhandensein einer gültigen Signatur installiert (siehe auch [http://gluon.readthedocs.org/en/v2014.4/index.html Gluon-Dokumentation]).
#* Veröffentlichte Firmware-Images werden in die Zweige "experimental", "beta" und "stable" unterteilt. Neue Firmware-Versionen werden in eben dieser Reihenfolge ausgerollt, um einen ausreichenden Testbetrieb vor der Verbreitung zu gewährleisten.
#* Die Aktuelle Praxis bezüglich der Veröffentlichung von neuen Firmware-Versionen ist im [http://wiki.freifunk-3laendereck.net/Freifunk-Router:Firmware Wiki] des FF3L dokumentiert.
# Übertragene Daten sind vor dem Zugriff Dritter geschützt.
#* Die Datenübertragung zu den Bündel-Servern erfolgt mittels der VPN-Software fastd über das Internet. Die übertragenen Daten sind mittels des Chiffre Salsa20/12 verschlüsselt.
#* Die Authentifizierung erfolgt mittels der asymmetrischen Schlüsselverfahren UMAC oder GMAC. Die öffentlichen Schlüssel müssen einmalig vor dem Aufbau der Verbindung ausgetauscht werden. Dies geschieht im Rahmen der Registrierung des Knotens.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.
#* Der Ausfall einzelner Server führt nicht zu Störungen innerhalb des Netzes, sofern alternative Routen existieren. In diesem Fällen wird das Routing durch das verwendete Routing-Protokoll batman-adv automatisch korrigiert und die Lücke geschlossen
#* Die Freifunk-Firmware stellt auf den Knoten eine Stauts-Seite bereit. Auf dieser kann man sehen, ob der Knoten mit dem Freifunk-Netz und auf welche Weise er mit dem Freifunk-Netz verbunden ist.
#* Der Status aller Knoten wird zusätzlich in Form einer Knotenkarte auf den Servern des FF3L visualisiert. Der Karte lässt sich neben der Lage des Knotes (freiwillige Angabe) entnehmen, ob ein Knoten mit dem Freifunk-Netz verbunden ist und wie er vebunden ist.

===Bekannte Lücken sowie geplante, zukünftige Sicherheitsmaßnahmen===
# Freifunk-Router sind vor dem Zugriff unbefugter Dritter geschützt.
#* Freifunk-Router werden prinzipiell nicht vom FF3L betrieben. Für den Schutz vor physikalischem Zugriff und ggf. damit einhergehender Manipulation ist der Knoten-Betreiber verantwortlich.
# Freifunk-Router ermöglichen Dritten den Zugang zum Freifunk-Netz, nicht jedoch den Zugang zum privaten Netz des Router-Betreibers.
#* Die an bestimmten Freifunk-Routern verfügbaren LAN-Ports ermöglichen eine direkte Verbindung von Endgeräten (z.B. Servern) mit dem Freifunk-Netz. LAN-Ports sind von den WAN-Ports zu unterscheiden, über welche die Freifunk-Router mit dem Internet verbunden werden.
#* Im Fall einer Verwechslung der Ports, kann das private Netze des Freifunk-Betreibers in das Freifunk-Netz überbrückt werden.
#* Um Knotenbetreiber im Fall einer Verwechselung zu schützen, sollen die LAN-Ports in der Standardkonfiguration deaktiviert werden. Eine Aktivierung erfolgt über den Konfigurationsmodus des Routers.
# Fehler und Sicherheitslücken in der Freifunk-Firmware werden behoben.
#* Der Aktualisierungs-Dienst für die Freifunk-Firmware ist in der Standardkonfiguration aktiviert. Die entsprechende Einstellung verbirgt sich jedoch unter den Experteneinstellungen im Konfigurationsmodus.
#* Um Knotenbetreiber auf diesen Umstand aufmerksam zu machen, ist eine Verlegung der Einstellungen in den allgemeinen Teil des Konfigurationsmnodus geplant.
# Übertragene Daten sind vor dem Zugriff Dritter geschützt.
#* Die Datenübertragung zwischen den Freifunk-Routern erfolgt auf Grund der eingesetzen Technologie unverschlüsselt. Sie ist damit durch Dritte vor Ort abhörbar.
#* Umfassende Sicherheit lässt sich allein durch End-zu-End-Verschlüsselung gewährleisten. Die Anwendung dieser erfolgt auf den Endgeräten und liegt damit in der Verantwortung der Freifunk-Nutzer und nicht des FF3L.
#* Um eine sichere Übetragung von den Klienten zu den Bündel-Servern zu gewährleisten, soll optional ein VPN-Zugang für Klienten angeboten werden (z.B. [http://www.openvpn.net OpenVPN]).
#* Um eine sichere Übertragung von Endpunkt zu Endpunkt innerhalb des Freifunk-Netzes anzubieten, ist die Einrichtung eines verschlüsselten Overlay-Netzes angedacht (z.B. [http://cjdns.info/ cjDNS]).
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet
#* Keine geplanten Maßnahmen.

==Server==
Im Folgenden Abschnitt sind die allgemeinen Schutzziele und Gefährdungen für Freifunk-Server zusammengefasst. Freifunk-Server werden in der Regel - jedoch nicht ausschließlich - bei Host Providern angemietet (physikalische und virtualisierte Root Server). Die Einrichtung, der Betrieb und die Wartung erfolgt durch den FF3L. Der Begriff "Freifunk-Server" umfasst hierbei die weiter unten aufgeführten Bündel-Server, Internet sowie IC-VPN Gateways. Diese werden entsprechend ihrer Aufgaben noch einmal separat abgehandelt. In der Praxis werde die verschiedenen Server meist zusammengefasst. Ausgeschlossen sind Server, welche von Freifunkern als Privatpersonen innerhalb des Freifunknetzes betrieben werden.

===Schutzziele und Gefährdungen===
# Server sind vor dem Zugriff unbefugter Dritter geschützt.
# Fehler und Sicherheitslücken in der verwendeten Software werden behoben.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.

===Abgeleitete Sicherheitsanforderungen===
# Server sind vor dem Zugriff unbefugter Dritter geschützt.
#* Der Zugriff auf die Server (physikalisch und über das Internet) ist auf einen engen, definierten Personenkreis beschränkt.
#* Zugriffsrechte werden nach Bedarf und maßgeschneidert erteilt.
#* Der Zugang aus dem Netz erfolgt exklusiv über verschlüsselte Verbindungen (z.B. SSH).
#* Eine Firewall beschränkt Zugriffe aus dem Netz auf das notwendige Minimum.
#* Spezielle Sicherheitssoftware zur Erkennung von Eindringlingen wird verwendet.
# Fehler und Sicherheitslücken in der verwendeten Software werden behoben.
#* Server werden auf der Grundlage eines gepflegten, quelloffenen Betriebssystems errichtet.
#* Verwendete Software wird in adequaten Intervallen aktualisiert.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.
#* Die Funktionstüchtigkeit der Server wird überwacht und der fehlerhafte Betrieb detektiert.
#* Server sind vor DoS-Attacken aus dem Internet geschützt.

===Umgesetzte Sicherheitsmaßnahmen===
# Server sind vor dem Zugriff unbefugter Dritter geschützt.
#* Der Zugriff auf die Server des FF3L ist auf Mitglieder des Administratoren-Teams begrenzt. Das Aministratoren-Team wird durch den Vorstand des Vereins benannt.
#* Der Shell-Login ist ausschließlich über SSH möglich. Die Authentifizierung erfolgt mittels eines Passworts (LDAP) oder eines hinterlegten Schlüssels.
#* Server werden durch Firewall-Regeln auf der Basis von ''iptables'' geschützt. Die Standardvorgabe ist, dass eingehende und weiterzuleitende Pakete verworfen werden. Die Freigabe von Ports bzw. der Weiterleitung erfolgt mittels spezifischer Regeln wo erwünscht.
# Fehler und Sicherheitslücken in der verwendeten Software werden behoben.
#* Die Freifunk-Server werden auf Basis der Debian Linux-Distribution betrieben. Sofern möglich, wird die jeweils letzte stabile Version verwendet.
#* Es werden in angemessenen Intervallen empfohlene Sicherheitsaktualisierungen mittels der offiziellen Paketverwaltung eingespielt.
#* Das Administratoren-Team verfolgt sicherheitsrelevante Ankündigungen über die Mailing-Liste debian-security-announce@lists.debian.org.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.
#* Kritische Server und Dienste werden über ein zentrales Monitoring auf der Basis von Nagios(-Derivaten) überwacht. Das Monitoring ist redundant aufgesetzt. Der aktuelle Zustand aller Server und Diense ist über eine Web-Oberfläche einsehbar. Optional erfolgt eine Mitteilung per e-Mail im Fall von Statusänderungen.
#* Die Server des FF3L werden von Host Providern angemietet. Diese bieten üblicherweise einen gewissen Schutz vor DoS-Angriffen in der Form adaptiver Firewalls.

===Bekannte Lücken sowie geplante, zukünftige Sicherheitsmaßnahmen===
# Server sind vor dem Zugriff unbefugter Dritter geschützt.
#* Die Erteilung von Zugriffsrechten erfolgt derzeit weitestgehend monolithisch, soll in Zukunft jedoch granular und nach Bedarf erfolgen. Erteilte Rechte sollen an geeigneter Stelle transparent dokumentiert und veröffentlicht werden.
#* Bzgl. der verwendbaren Passwörter gibt es aktuell keine Vorgaben. In der Zukunft soll eine Überprüfung der Passwortstärke sowie Vorgabe einer minimalen Entropie implementiert werden.
#* Die Authentizfizierung im Rahmen des Shell-Login via SSH ist aktuell mittels eines Passworts möglich. Die Authentifizierung soll auf asymmetrische Schlüsselverfahren beschränkt werden, um die Folgen von Man-in-der-Mitte-Angriffen zu mildern.
#* Sicherheitssoftware zur Erkennung von Eindringlingen wird aktuell nur auf einem Teil der Freifunk-Server verwendet. Die Erstellung und Umsetzung eines flächendeckenden Konzepts steht nachwievor aus.
# Fehler und Sicherheitslücken in der verwendeten Software werden behoben.
#* Keine geplanten Maßnahmen.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.
#* Keine geplanten Maßnahmen.

==Bündel-Server==
Bündel-Server dienen der Verbindung isolierter Funkwolken innerhalb des Freifunk-Netzes. Vom Prinzip her sind Sie den Freifunk-Routern gleichgestellte Netzwerkknoten, erfüllen jedoch zusätzliche Aufgaben. Bündel-Server unterhalten im Normalfall eine hohe Anzahl an Verbindungen zu Freifunk-Routern. Da ein erheblicher Teil des Datenverkehrs über die Bündel-Server läuft, sind diese als besonders sicherheitskritisch einzustufen. Konkret erfüllen Bündel-Server die folgenden Aufgaben:
* Verbindung entfernter Freifunk-Router mittels Tunnelverbindungen über das Internet.
* Austausch von Routen-Informationen, um die zielgerichtete Zustellung von Daten zu ermöglichen.
* Automatische Netzwerkkonfiguration von Klienten.
* Namensauflösung innerhalb des Freifunk-Netzes.

===Schutzziele und Gefährdungen===
# Übertragene Daten sind vor dem Zugriff Dritter geschützt.
# Die Namensauflösung ist vor Manipulationen durch Dritte geschützt.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.

Zusätzlich gelten die Schutzziele und Gefährdungen für Server im allgemeinen.

===Abgeleitete Sicherheitsanforderungen===
# Übertragene Daten sind vor dem Zugriff Dritter geschützt.
#* Die Datenübertragung zu den Freifunk-Routern erfolgt mittels verschlüsselter Tunnelverbindungen (End-zu-Endverschlüsselung) unter Verwendung von nach heutigem Wissenssand sicherer Verfahren.
#* Die Authentizität der Endpunkte wird zum Schutz vor Mann-in-der-Mitte-Angriffen mittels eines asymmetrischen Schlüsselverfahrens sichergestellt.
# Die Namensauflösung ist vor Manipulationen durch Dritte geschützt.
#* Die Authentizität der Endpunkte wird zum Schutz vor Mann-in-der-Mitte-Angriffen mittels eines asymmetrischen Schlüsselverfahrens sichergestellt.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.
#* Der Ausfall eines Bündel-Servers führt nicht zur Störung des restlichen Netzes.
#* Die Netzstabilität wird durch Redundanz gewährleistet. Die Bündel-Server sind über mehrere Rechenzeitung verteilt.
#* Das Routing des Freifunk-Netzes ist "selbstheilend". Durch Ausfall bedingte Unterbrechungen werden automatisch behoben.
#* Die verfügbare Bandbreite wird gleichmäßig auf alle verbundenen Knoten/Klienten verteilt.

===Umgesetzte Sichgerheitsmaßnahmen===

===Bekannte Lücken sowie geplante, zukünftige Sicherheitsmaßnahmen===

==Internet Gateways==

Aufgaben:
* Verbindung des Freifunknetzes mit dem restlichen Internet
* Namensauflösung
* optionale Anonymisierung der Clienten

===Schutzziele und Gefährdungen===
# Gleichmäßige Verteilung der verfügbaren Bandbreite auf alle Klienten sowie adeqaute Priorisierung des Verkehrs nach Diensten
# Unterbindung von SPAM-Nachrichten
# Optional die Einschränkung von P2P-Dateiübertragung auf ein vertretbares Maß

===Abgeleitete Sichgerheitsmaßnahmen===
# Gleichmäßige Verteilung von Bandbreite auf alle Klienten
** Verwendung von geeigneten Queueing Disciplines

# Unterbindung von SPAM-Nachrichten
** Sperrung des Mail Ports 25. Beschränkung auf den Mail Submission Port 587.

# Einschränkung von P2P-Dateiübertragung auf ein erträgliches Maß
** Beschränkung der Zahl aktiver Verbindungen pro Klient

===Geplante, zukünftige Sicherheitsmaßnahmen===

==IC-VPN Gateways==
Aufgaben:
* Verbindung des Freifunk-Netzes mit anderen Freifunk-Netzen innerhalb des IC-VPNs
* Austausch von Routeninformationen
* Namensauflösung für Domänen innerhalb des IC-VPN
* Optional Routing von Internetverkehr zu den Gateways anderer Freifunk-Netze

===Schutzziele und Gefährdungen===
# Übertragene Daten sind vor dem Zugriff Dritter geschützt.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.
# Der Ausfall des IC-VPN-Gateways führt nicht zur Störung des restlichen Netzes.

Zusätzlich gelten die Schutzzile und Gefährdungen wie für Bündel-Server

===Abgeleitete Sichgerheitsmaßnahmen===
# Übertragene Daten sind vor dem Zugriff Dritter geschützt.
** Die Datenübertragung zu den Bündel-Servern erfolgt mittels verschlüsselter Tunnelverbindungen (End-zu Endverschlüsselung) unter Verwendung von nach heutigem Wissenssand sicherer Verfahren.
** Die Authentizität der Endpunkte wird zum Schutz vor Mann-in-der-Mitte-Angriffen mittels eines asymmetrischen Schlüsselverfahrens sichergestellt.

===Geplante, zukünftige Sicherheitsmaßnahmen===

==Bewertung des Gesamtsystems==
Welche Risiken ergeben sich aus dem Zusammnenwirken der Teilsysteme?

==Kontinuierliche Verbesserung==

Wie wollen wir die Sicherheit unserer Freifunk-Netze kontinuierlich verbessern?

==Mitteilungspflichten==

Welche Sicherheitsverletzungen und/oder Störungen würden wir der Bundesnetzagentur mitteilen wollen?

=Ideen=

Integration in Freifunk-API? Community füllt lediglich Formular zu den einzelnen Teilsystemen aus. Das Sicherheitskonzept wird im Anschluss automatisch erstellt und im Netz veröffentlicht.

Sicherheitskonzept (intern)

2015-05-17T11:44:24Z

Langweiler: /* Präambel */

=Präambel=
Freifunk Dreiländereck ("FF3L") ist ein parteipolitischer, unabhängiger, eingetragener Verein, der sich als Teil der weltweiten Open Wireless-Bewegung versteht, welche in Deutschland durch die Freifunk-Initiative repärsentiert wird.

Zur Umsetzung des Vereinszwecks unterhält der FF3L eine Netzwerkinfrastruktur, welche in Kombination mit den Freifunk-WLAN-Routern das Freifunk-Netz bildet. Weiterhin stellt er eine Firmware für Freifunk-Router zur Verfügung. Er ist bei der Bundesnetzagentur seit dem xx.xx.xxxx. als Telekommunikationsdienstleister (Access Provider) registriert.

Mit dem vorliegenden Sicherheitskonzept werden die folgenden Absichten verfolgt:
* Erfüllung der Verpflichtung zur Erstellung und Umsetzung eines Sicherheitskonzeptes nach § 109 TKG.
* Transparente Dokumentation des Status Quo in Bezug auf Informationssicherheit als Grundlage für die kontinuierliche Verbesserung.
* Aufzeigen von inherenten Limitierungen, die sich auf Grund der Funktionsweise des Freifunk-Netzes ergeben.
* Darstellung der Pflichten von Freifunk-Nutzern hinsichtlich Gewährleistung ihrer eigene Sicherheit.

Der Umfang des Sicherheitskonzepts beschränkt sich ausschließlich auf die vom FF3L (also dem Verein, und nicht der Community bzw. Privatpersonen) betriebene Netzwerkinfrastruktur. Explizit beinhaltet dies die vom FF3L betriebenen Bündel-Server, Internet und IC-VPN Gateways. Aspekte der Freifunk-Router werden insofern abgehandelt, wie sie mit der vom Verein herausgegebenen Freifunk-Firmware in Zusammenhang stehen. Nicht im Umfang enthalten sind Server und Engeräte, welche von Freifunk-Nutzern betrieben werden.

=Gesetzlicher Hintergrund=
Auszug aus dem "Katalog von Sicherheitsanforderungen für das Betreiben von Telekommunikations- und Datenverarbeitungssystemen sowie für die Verarbeitung personenbezogener Daten nach § 109 Telekommunikationsgesetz (TKG):

Für das Betreiben öffentlicher Telekkommunikatiosnetze sowie das Erbringen öffentlich zugänglicher Telekommunikationsdiense schreibt § 109 TKG Vorkehrungen und sonstige Maßnahmen

* zum Schutz des Fernmeldegehimnisses,
* gegen die Verletzung des Schutzes personenbezogener Daten,
* gegen Störungen, die zu erheblichen Beeinträchtigungen von Telekommunikationsnetzen und -diensten führen, auch soweit sie durch äußere Angriffe und Einwirkungen von Katastrophen bedingt sein könnten,
als Mindestanforderungen vor.

Ziel und Zweck der zu treffenden Maßnahmen sind insbesondere

* die Sicherheit vor unerlaubtem Zugriffen auf Telekommunikations- und Datenverarbeitungssysteme
* die Reduzierung / Minimierung der Auswirkungen von Sicherheitsverletzungen auf Nutzer oder auf zusammengeschaltete Netze
* die Gewährleistung eines ordnungsgemäßen Betriebes der Netze und dadurch die Sicherstellung der fortlaufenden Verfügbarkeit der über die Netze erbrachten Dienste.

=Netzstruktur=
Das Freifunknetz ist ein offenes, sich spontan ausbildendes und selbstheilendes Maschennetzwerk. Die Grundbausteine ("Knoten") des Freifunk-Netzes sind die Freifunk-Router. Der Begriff Maschennetzwerk
bedeutet, dass die einzelnen Knoten mit einem oder mehreren Knoten auf nicht hierarschische Weise verbunden sind.

Die Freifunk-Router sinde handelsübliche WLAN-Router, ausgestattet mit einer speziellen Software ("Firmware"). Die spezielle Firmware gestattet es den Freifunk-Routern spontan Verbindung mit anderen Freifunk-Routern in Reichweite aufzunehmen. Hierbei kommt der offizielle, zugelassene WLAN-Standard 802.11n zum Einsatz. Gleichzeitig agieren die Router als WLAN-Zugangspunkt und ermöglichen damit Klienten (z.B. Smartphones) den direkten Zugang zum Freifunknetz.

Damit die Daten in dieser chaotischen Struktur ihren Weg finden, kommt ein spezielles Routing-Protokoll zum Einsatz. Im Fall des FF3L handelt es sich um das Protokoll [http://www.open-mesh.org/projects/batman-adv/wiki B.A.T.M.A.N. Advanced]. Dieses arbeitet auf der Netzzugangsschicht (Layer 2 nach dem OSI-Netzwerkschichtmodell). Das Freifunk-Netz verhält sich damit effektiv so, als wären alle Knoten über einen einzigen Netzwerk-Switch miteinander verbunden.

Neben der direkten Verbindung von Freifunk-Routern via WLAN gibt es die Option, isolierte Funkwolken über Tunnelverbindungen zu zentralen Servern ("Bündel-Servern") miteinander zu verbinden. Die Tunnelverbindungen laufen über das Internet und sind verschlüsselt (d.h. der Inhalt ist für Dritte nicht einsehbar). Der Internetanschluss wird hierbei auf freiwilliger Basis von den Knotenbetreibern zur Vefügung gestellt.

Weiterhin bietet das Freifunknetz über zentrale Gateways eine Verbindung ins Internet ("Internet Gateways") sowie den Verbund aller Freifunk-Netze ("IC-VPN Gateways"). Der Verein Freifunk Dreiländreck e.V. agiert damit als Zugangsanbieter ("Access Provider"). Die indirekte Weiterleitung ins Internet schützt die Knotenbetreiber vor ewaigen Haftungsansprüchen ("Störherhaftung") im Fall eines Missbrauchs durch Dritte.

Zusätzlich können Applikations-Server in das Freifunk-Netz integriert werden. Diese agieren als reguläre Netzwerkknoten und sind den Freifunk-Routern gleichgestellt.

[[Datei:Netzstrukturplan.png]]

=Sicherheitsteilsysteme=
In den folgenden Abschnitten werden die sicherheitskritischen Teilsysteme des Freifunk-Netzes definiert und diskutiert. Konkret werden als Teilsysteme die Freifunk-Router und Freifunk-Server im allgmeienen sowie Bündel-Server, Internet und IC-VPN Gateways im speziellen behandelt. Jeder Abschnitt besteht aus einer einleitenden Beschreibung inkl. der Aufgaben des jeweiligen Teilsystems, einer Auflistung von Schutzzielen und Gefährdungen, abgeleiteten Sicherheitsanforderungen, bereits umgesetzten sowie zukünftigen, geplanten Sicherheitsmaßnahmen. Zuletzt erfolgt eine abschließende Beurteilung des Gesamtsystems.

==Freifunk-Router==
Freifunk-WLAN-Router bilden die Grundelemente des Freifunk-Netzes. Sie werden auch als Netzwerkknoten bezeichnet. Bei Freifunk-Routern handelt sich um handelsübliche WLAN-Router, welche durch das Einspielen eines speziellen Betriebssystems ("Freifunk-Firmware") modifiziert werden. Freifunk-Router erfüllen die folgenden Aufgaben:
* Spontane Bildung des Freifunk-Maschennetzwerks via WLAN mit allen in Reichweite befindlichen Freifunk-Routern (lokale Funkwolke).
* Optional die Errichtung von Tunnelverbindungen zu Bündel-Servern über das Internet für den Datenaustausch mit entfernten Funkwolken.
* Austausch von Routen-Informationen, um die zielgerichtete Zustellung von Daten zu ermöglichen.
* Zugangspunkt zum Freifunk-Netzwerk für WLAN-Klienten (z.B. Smartphones, Tablets, Notebooks).
* Optional die Anbindung von Servern und/oder lokalen Klienten mittels einer direkten Kabelverbindung.

===Schutzziele und Gefährdungen===
# Freifunk-Router sind vor dem Zugriff unbefugter Dritter geschützt.
# Freifunk-Router ermöglichen Dritten den Zugang zum Freifunk-Netz, nicht jedoch den Zugang zum privaten Netz des Router-Betreibers.
# Fehler und Sicherheitslücken in der Freifunk-Firmware werden behoben.
# Übertragene Daten sind vor dem Zugriff Dritter geschützt.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.

===Abgeleitete Sicherheitsanforderungen===
# Freifunk-Router sind vor dem Zugriff unbefugter Dritter geschützt.
#* Die Einstellungen des Freifunk-Routers lassen sich lediglich in einem gesonderten Konfigurationsmodus verändern.
#* In der Standardkonfiguration des Freifunk-Routers ist kein Zugang auf der Ebene des Betriebssystems ("Shell Login") möglich.
#* Optional kann durch den Router-Betreiber ein verschlüsselter Zugang (z.B. via SSH) aktiviert werden, um die Wartung aus der Ferne zu ermöglichen.
# Freifunk-Router ermöglichen Dritten den Zugang zum Freifunk-Netz, nicht jedoch den Zugang zum privaten Netz des Router-Betreibers.
#* Eine Firewall auf dem Freifunk-Router (Layer 2 und/oder Layer 3) verhindert den Zugriff auf das private Netz des Betreibers.
#* Ausgenommen ist der Aufbau einer Tunnelverbindung zu den Bündelservern, sofern der Betreiber dies in der Konfiguration ausdrücklich gestattet ("opt in").
# Fehler und Sicherheitslücken in der Freifunk-Firmware werden behoben.
#* Die Firmware der Freifunk-Router wird in angemessenen Intervallen automatisch über das Freifunk-Netzt aktualisiert ("Autoupdater").
#* Die Authentizität der Firmware wird durch ein elektronisches Signaturverfahren sichergestellt.
#* Neue Firmware-Versionen werden vor dem Ausrollen gem. eines festgelegten Schemas getestet.
# Übertragene Daten sind vor dem Zugriff Dritter geschützt.
#* Die Datenübertragung zu den Bündel-Servern erfolgt mittels verschlüsselter Tunnelverbindungen (End-zu-Endverschlüsselung) unter Verwendung von nach heutigem Wissenssand sicherer Verfahren.
#* Die Authentizität der Endpunkte wird zum Schutz vor Mann-in-der-Mitte-Angriffen mittels eines asymmetrischen Schlüsselverfahrens sichergestellt.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.
#* Der Ausfall einzelner Freifunk-Router führt nicht zur Störung des restlichen Netzes.
#* Das Routing des Freifunk-Netzes ist "selbstheilend". Durch Ausfall bedingte Unterbrechungenwerden automatisch behoben.
#* Die Funktionstüchtigkeit der Router wird überwacht und der fehlerhafte Betrieb detektiert.

===Umgesetzte Sichgerheitsmaßnahmen===
# Freifunk-Router sind vor dem Zugriff unbefugter Dritter geschützt.
#* Die verwendete Gluon-Firmware unterstützt einen separaten Konfigurationsmodus. Dieser ist nach dem Aufspielen der Firmware aktiviert. Er kann zu einem späteren Zeitpunkt durch längeres Drücken der Reset-Taste am Router erneut aktiviert werden. Die Konfiguration wird über eine Web-Oberfläche unter der Adresse http://192.168.0.1 vorgenommen. Nach Abschluss der Konfiguration wechselt der Router in den Betriebsmodus. Eine Änderung der Konfiguration über die Web-Obewrfläche ist in der Folge nicht mehr möglich.
#* In der Standardkonfiguration der Gluon-Firmware ist der Shell Login auf den Router deaktiviert. Er muss explizit im Konfigurationsmodus aktiviert werden, indem ein Passwort oder Schlüssel für den Zugang via SSH gesetzt wird.
# Freifunk-Router ermöglichen Dritten den Zugang zum Freifunk-Netz, nicht jedoch den Zugang zum privaten Netz des Router-Betreibers.
#* Das Freifunk-Netz und das private Netz des Router-Betreibers werden in der Gluon-Netzwerkkonfiguration strikt getrennt. Die Zugänge zu den beiden Netzen sind in Form separater Brücken zusammengefasst (''br-client'' und ''br-wan'').
#* Die verwendete Gluon-Firmware konfiguriert Firewall-Regeln (bereitgestellt durch das Paket ''gluon-ebtables''), welche auf der Netzzugangsschicht (Layer 2) den Zugriff auf das private Netz unterbindet.
#* Eine Ausnahme bildet der Aufbau einer optionalen Tunnelverbindung zu den Bündel-Servern durch die VPN-Software ''fastd''. Diese Option muss vom Betreiber im Konfigurationsmodus explizit aktiviert werden ("opt-in").
# Fehler und Sicherheitslücken in der Freifunk-Firmware werden behoben.
#* Der FF3L betreibt einen Aktualisierungs-Dienst, welcher über das Freifunk-Netz erreichbar ist. Mit Hilfe des Aktualisierungsdienstes lassen sich neuere Versionen der Firmware auf den Routern automatisch einspielen. Die Konfiguration der Freifunk-Router bleibt hierbei soweit möglich erhalten.
#* Der Aktualisierungs-Dienst ist in der Standardkonfiguration der Freifunk-Firmware aktiviert (Zweig "stable"). Der Aktualisierungs-Dienst kann im Konfigurationsmodus in den Experteneinstellungen deaktiviert werden ("opt-out").
#* Die Authentitizät der Firmware-Images wird durch ein Signaturverfahren gewährleistet (signiertes Manifest). Neue Images werden von den Freifunk-Routern nur bei vorhandensein einer gültigen Signatur installiert (siehe auch [http://gluon.readthedocs.org/en/v2014.4/index.html Gluon-Dokumentation]).
#* Veröffentlichte Firmware-Images werden in die Zweige "experimental", "beta" und "stable" unterteilt. Neue Firmware-Versionen werden in eben dieser Reihenfolge ausgerollt, um einen ausreichenden Testbetrieb vor der Verbreitung zu gewährleisten.
#* Die Aktuelle Praxis bezüglich der Veröffentlichung von neuen Firmware-Versionen ist im [http://wiki.freifunk-3laendereck.net/Freifunk-Router:Firmware Wiki] des FF3L dokumentiert.
# Übertragene Daten sind vor dem Zugriff Dritter geschützt.
#* Die Datenübertragung zu den Bündel-Servern erfolgt mittels der VPN-Software fastd über das Internet. Die übertragenen Daten sind mittels des Chiffre Salsa20/12 verschlüsselt.
#* Die Authentifizierung erfolgt mittels der asymmetrischen Schlüsselverfahren UMAC oder GMAC. Die öffentlichen Schlüssel müssen einmalig vor dem Aufbau der Verbindung ausgetauscht werden. Dies geschieht im Rahmen der Registrierung des Knotens.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.
#* Der Ausfall einzelner Server führt nicht zu Störungen innerhalb des Netzes, sofern alternative Routen existieren. In diesem Fällen wird das Routing durch das verwendete Routing-Protokoll batman-adv automatisch korrigiert und die Lücke geschlossen
#* Die Freifunk-Firmware stellt auf den Knoten eine Stauts-Seite bereit. Auf dieser kann man sehen, ob der Knoten mit dem Freifunk-Netz und auf welche Weise er mit dem Freifunk-Netz verbunden ist.
#* Der Status aller Knoten wird zusätzlich in Form einer Knotenkarte auf den Servern des FF3L visualisiert. Der Karte lässt sich neben der Lage des Knotes (freiwillige Angabe) entnehmen, ob ein Knoten mit dem Freifunk-Netz verbunden ist und wie er vebunden ist.

===Bekannte Lücken sowie geplante, zukünftige Sicherheitsmaßnahmen===
# Freifunk-Router sind vor dem Zugriff unbefugter Dritter geschützt.
#* Freifunk-Router werden prinzipiell nicht vom FF3L betrieben. Für den Schutz vor physikalischem Zugriff und ggf. damit einhergehender Manipulation ist der Knoten-Betreiber verantwortlich.
# Freifunk-Router ermöglichen Dritten den Zugang zum Freifunk-Netz, nicht jedoch den Zugang zum privaten Netz des Router-Betreibers.
#* Die an bestimmten Freifunk-Routern verfügbaren LAN-Ports ermöglichen eine direkte Verbindung von Endgeräten (z.B. Servern) mit dem Freifunk-Netz. LAN-Ports sind von den WAN-Ports zu unterscheiden, über welche die Freifunk-Router mit dem Internet verbunden werden.
#* Im Fall einer Verwechslung der Ports, kann das private Netze des Freifunk-Betreibers in das Freifunk-Netz überbrückt werden.
#* Um Knotenbetreiber im Fall einer Verwechselung zu schützen, sollen die LAN-Ports in der Standardkonfiguration deaktiviert werden. Eine Aktivierung erfolgt über den Konfigurationsmodus des Routers.
# Fehler und Sicherheitslücken in der Freifunk-Firmware werden behoben.
#* Der Aktualisierungs-Dienst für die Freifunk-Firmware ist in der Standardkonfiguration aktiviert. Die entsprechende Einstellung verbirgt sich jedoch unter den Experteneinstellungen im Konfigurationsmodus.
#* Um Knotenbetreiber auf diesen Umstand aufmerksam zu machen, ist eine Verlegung der Einstellungen in den allgemeinen Teil des Konfigurationsmnodus geplant.
# Übertragene Daten sind vor dem Zugriff Dritter geschützt.
#* Die Datenübertragung zwischen den Freifunk-Routern erfolgt auf Grund der eingesetzen Technologie unverschlüsselt. Sie ist damit durch Dritte vor Ort abhörbar.
#* Umfassende Sicherheit lässt sich allein durch End-zu-End-Verschlüsselung gewährleisten. Die Anwendung dieser erfolgt auf den Endgeräten und liegt damit in der Verantwortung der Freifunk-Nutzer und nicht des FF3L.
#* Um eine sichere Übetragung von den Klienten zu den Bündel-Servern zu gewährleisten, soll optional ein VPN-Zugang für Klienten angeboten werden (z.B. [http://www.openvpn.net OpenVPN]).
#* Um eine sichere Übertragung von Endpunkt zu Endpunkt innerhalb des Freifunk-Netzes anzubieten, ist die Einrichtung eines verschlüsselten Overlay-Netzes angedacht (z.B. [http://cjdns.info/ cjDNS]).
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet
#* Keine geplanten Maßnahmen.

==Server==
Im Folgenden Abschnitt sind die allgemeinen Schutzziele und Gefährdungen für Freifunk-Server zusammengefasst. Freifunk-Server werden in der Regel - jedoch nicht ausschließlich - bei Host Providern angemietet (physikalische und virtualisierte Root Server). Die Einrichtung, der Betrieb und die Wartung erfolgt durch den FF3L. Der Begriff "Freifunk-Server" umfasst hierbei die weiter unten aufgeführten Bündel-Server, Internet sowie IC-VPN Gateways. Diese werden entsprechend ihrer Aufgaben noch einmal separat abgehandelt. In der Praxis werde die verschiedenen Server meist zusammengefasst. Ausgeschlossen sind Server, welche von Freifunkern als Privatpersonen innerhalb des Freifunknetzes betrieben werden.

===Schutzziele und Gefährdungen===
# Server sind vor dem Zugriff unbefugter Dritter geschützt.
# Fehler und Sicherheitslücken in der verwendeten Software werden behoben.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.

===Abgeleitete Sicherheitsanforderungen===
# Server sind vor dem Zugriff unbefugter Dritter geschützt.
#* Der Zugriff auf die Server (physikalisch und über das Internet) ist auf einen engen, definierten Personenkreis beschränkt.
#* Zugriffsrechte werden nach Bedarf und maßgeschneidert erteilt.
#* Der Zugang aus dem Netz erfolgt exklusiv über verschlüsselte Verbindungen (z.B. SSH).
#* Eine Firewall beschränkt Zugriffe aus dem Netz auf das notwendige Minimum.
#* Spezielle Sicherheitssoftware zur Erkennung von Eindringlingen wird verwendet.
# Fehler und Sicherheitslücken in der verwendeten Software werden behoben.
#* Server werden auf der Grundlage eines gepflegten, quelloffenen Betriebssystems errichtet.
#* Verwendete Software wird in adequaten Intervallen aktualisiert.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.
#* Die Funktionstüchtigkeit der Server wird überwacht und der fehlerhafte Betrieb detektiert.
#* Server sind vor DoS-Attacken aus dem Internet geschützt.

===Umgesetzte Sicherheitsmaßnahmen===
# Server sind vor dem Zugriff unbefugter Dritter geschützt.
#* Der Zugriff auf die Server des FF3L ist auf Mitglieder des Administratoren-Teams begrenzt. Das Aministratoren-Team wird durch den Vorstand des Vereins benannt.
#* Der Shell-Login ist ausschließlich über SSH möglich. Die Authentifizierung erfolgt mittels eines Passworts (LDAP) oder eines hinterlegten Schlüssels.
#* Server werden durch Firewall-Regeln auf der Basis von ''iptables'' geschützt. Die Standardvorgabe ist, dass eingehende und weiterzuleitende Pakete verworfen werden. Die Freigabe von Ports bzw. der Weiterleitung erfolgt mittels spezifischer Regeln wo erwünscht.
# Fehler und Sicherheitslücken in der verwendeten Software werden behoben.
#* Die Freifunk-Server werden auf Basis der Debian Linux-Distribution betrieben. Sofern möglich, wird die jeweils letzte stabile Version verwendet.
#* Es werden in angemessenen Intervallen empfohlene Sicherheitsaktualisierungen mittels der offiziellen Paketverwaltung eingespielt.
#* Das Administratoren-Team verfolgt sicherheitsrelevante Ankündigungen über die Mailing-Liste debian-security-announce@lists.debian.org.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.
#* Kritische Server und Dienste werden über ein zentrales Monitoring auf der Basis von Nagios(-Derivaten) überwacht. Das Monitoring ist redundant aufgesetzt. Der aktuelle Zustand aller Server und Diense ist über eine Web-Oberfläche einsehbar. Optional erfolgt eine Mitteilung per e-Mail im Fall von Statusänderungen.
#* Die Server des FF3L werden von Host Providern angemietet. Diese bieten üblicherweise einen gewissen Schutz vor DoS-Angriffen in der Form adaptiver Firewalls.

===Bekannte Lücken sowie geplante, zukünftige Sicherheitsmaßnahmen===
# Server sind vor dem Zugriff unbefugter Dritter geschützt.
#* Die Erteilung von Zugriffsrechten erfolgt derzeit weitestgehend monolithisch, soll in Zukunft jedoch granular und nach Bedarf erfolgen. Erteilte Rechte sollen an geeigneter Stelle transparent dokumentiert und veröffentlicht werden.
#* Bzgl. der verwendbaren Passwörter gibt es aktuell keine Vorgaben. In der Zukunft soll eine Überprüfung der Passwortstärke sowie Vorgabe einer minimalen Entropie implementiert werden.
#* Die Authentizfizierung im Rahmen des Shell-Login via SSH ist aktuell mittels eines Passworts möglich. Die Authentifizierung soll auf asymmetrische Schlüsselverfahren beschränkt werden, um die Folgen von Man-in-der-Mitte-Angriffen zu mildern.
#* Sicherheitssoftware zur Erkennung von Eindringlingen wird aktuell nur auf einem Teil der Freifunk-Server verwendet. Die Erstellung und Umsetzung eines flächendeckenden Konzepts steht nachwievor aus.
# Fehler und Sicherheitslücken in der verwendeten Software werden behoben.
#* Keine geplanten Maßnahmen.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.
#* Keine geplanten Maßnahmen.

==Bündel-Server==
Bündel-Server dienen der Verbindung isolierter Funkwolken innerhalb des Freifunk-Netzes. Vom Prinzip her sind Sie den Freifunk-Routern gleichgestellte Netzwerkknoten, erfüllen jedoch zusätzliche Aufgaben. Bündel-Server unterhalten im Normalfall eine hohe Anzahl an Verbindungen zu Freifunk-Routern. Da ein erheblicher Teil des Datenverkehrs über die Bündel-Server läuft, sind diese als besonders sicherheitskritisch einzustufen. Konkret erfüllen Bündel-Server die folgenden Aufgaben:
* Verbindung entfernter Freifunk-Router mittels Tunnelverbindungen über das Internet.
* Austausch von Routen-Informationen, um die zielgerichtete Zustellung von Daten zu ermöglichen.
* Automatische Netzwerkkonfiguration von Klienten.
* Namensauflösung innerhalb des Freifunk-Netzes.

===Schutzziele und Gefährdungen===
# Übertragene Daten sind vor dem Zugriff Dritter geschützt.
# Die Namensauflösung ist vor Manipulationen durch Dritte geschützt.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.

Zusätzlich gelten die Schutzziele und Gefährdungen für Server im allgemeinen.

===Abgeleitete Sicherheitsanforderungen===
# Übertragene Daten sind vor dem Zugriff Dritter geschützt.
#* Die Datenübertragung zu den Freifunk-Routern erfolgt mittels verschlüsselter Tunnelverbindungen (End-zu-Endverschlüsselung) unter Verwendung von nach heutigem Wissenssand sicherer Verfahren.
#* Die Authentizität der Endpunkte wird zum Schutz vor Mann-in-der-Mitte-Angriffen mittels eines asymmetrischen Schlüsselverfahrens sichergestellt.
# Die Namensauflösung ist vor Manipulationen durch Dritte geschützt.
#* Die Authentizität der Endpunkte wird zum Schutz vor Mann-in-der-Mitte-Angriffen mittels eines asymmetrischen Schlüsselverfahrens sichergestellt.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.
#* Der Ausfall eines Bündel-Servers führt nicht zur Störung des restlichen Netzes.
#* Die Netzstabilität wird durch Redundanz gewährleistet. Die Bündel-Server sind über mehrere Rechenzeitung verteilt.
#* Das Routing des Freifunk-Netzes ist "selbstheilend". Durch Ausfall bedingte Unterbrechungen werden automatisch behoben.
#* Die verfügbare Bandbreite wird gleichmäßig auf alle verbundenen Knoten/Klienten verteilt.

===Umgesetzte Sichgerheitsmaßnahmen===

===Bekannte Lücken sowie geplante, zukünftige Sicherheitsmaßnahmen===

==Internet Gateways==

Aufgaben:
* Verbindung des Freifunknetzes mit dem restlichen Internet
* Namensauflösung
* optionale Anonymisierung der Clienten

===Schutzziele und Gefährdungen===
# Gleichmäßige Verteilung der verfügbaren Bandbreite auf alle Klienten sowie adeqaute Priorisierung des Verkehrs nach Diensten
# Unterbindung von SPAM-Nachrichten
# Optional die Einschränkung von P2P-Dateiübertragung auf ein vertretbares Maß

===Abgeleitete Sichgerheitsmaßnahmen===
# Gleichmäßige Verteilung von Bandbreite auf alle Klienten
** Verwendung von geeigneten Queueing Disciplines

# Unterbindung von SPAM-Nachrichten
** Sperrung des Mail Ports 25. Beschränkung auf den Mail Submission Port 587.

# Einschränkung von P2P-Dateiübertragung auf ein erträgliches Maß
** Beschränkung der Zahl aktiver Verbindungen pro Klient

===Geplante, zukünftige Sicherheitsmaßnahmen===

==IC-VPN Gateways==
Aufgaben:
* Verbindung des Freifunk-Netzes mit anderen Freifunk-Netzen innerhalb des IC-VPNs
* Austausch von Routeninformationen
* Namensauflösung für Domänen innerhalb des IC-VPN
* Optional Routing von Internetverkehr zu den Gateways anderer Freifunk-Netze

===Schutzziele und Gefährdungen===
# Übertragene Daten sind vor dem Zugriff Dritter geschützt.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.
# Der Ausfall des IC-VPN-Gateways führt nicht zur Störung des restlichen Netzes.

Zusätzlich gelten die Schutzzile und Gefährdungen wie für Bündel-Server

===Abgeleitete Sichgerheitsmaßnahmen===
# Übertragene Daten sind vor dem Zugriff Dritter geschützt.
** Die Datenübertragung zu den Bündel-Servern erfolgt mittels verschlüsselter Tunnelverbindungen (End-zu Endverschlüsselung) unter Verwendung von nach heutigem Wissenssand sicherer Verfahren.
** Die Authentizität der Endpunkte wird zum Schutz vor Mann-in-der-Mitte-Angriffen mittels eines asymmetrischen Schlüsselverfahrens sichergestellt.

===Geplante, zukünftige Sicherheitsmaßnahmen===

==Bewertung des Gesamtsystems==
Welche Risiken ergeben sich aus dem Zusammnenwirken der Teilsysteme?

==Kontinuierliche Verbesserung==

Wie wollen wir die Sicherheit unserer Freifunk-Netze kontinuierlich verbessern?

==Mitteilungspflichten==

Welche Sicherheitsverletzungen und/oder Störungen würden wir der Bundesnetzagentur mitteilen wollen?

=Ideen=

Integration in Freifunk-API? Community füllt lediglich Formular zu den einzelnen Teilsystemen aus. Das Sicherheitskonzept wird im Anschluss automatisch erstellt und im Netz veröffentlicht.

Sicherheitskonzept (intern)

2015-05-17T09:45:54Z

Langweiler: /* Bündel-Server */

=Präambel=
Freifunk Dreiländereck ("FF3L") ist ein parteipolitischer, unabhängiger, eingetragener Verein, der sich als Teil der weltweiten Open Wireless-Bewegung versteht, welche in Deutschland durch die Freifunk-Initiative repärsentiert wird.

Zur Umsetzung des Vereinszwecks unterhält der FF3L eine Netzwerkinfrastruktur, welche in Kombination mit den Freifunk-WLAN-Routern das Freifunk-Netz bildet. Er ist bei der Bundesnetzagentur seit dem xx.xx.xxxx. als Telekommunikationsdienstleister (Access Provider) registriert.

Mit dem vorliegenden Sicherheitskonzept werden die folgenden Absichten verfolgt:
* Erfüllung der Verpflichtung zur Erstellung und Umsetzung eines Sicherheitskonzeptes nach § 109 TKG.
* Transparente Dokumentation des Status Quo in Bezug auf Informationssicherheit als Grundlage für die kontinuierliche Verbesserung.
* Aufzeigen von inherenten Limitierungen, die sich auf Grund der Funktionsweise des Freifunk-Netzes ergeben.
* Darstellung der Pflichten von Freifunk-Nutzern hinsichtlich Gewährleistung ihrer eigene Sicherheit.

=Gesetzlicher Hintergrund=
Auszug aus dem "Katalog von Sicherheitsanforderungen für das Betreiben von Telekommunikations- und Datenverarbeitungssystemen sowie für die Verarbeitung personenbezogener Daten nach § 109 Telekommunikationsgesetz (TKG):

Für das Betreiben öffentlicher Telekkommunikatiosnetze sowie das Erbringen öffentlich zugänglicher Telekommunikationsdiense schreibt § 109 TKG Vorkehrungen und sonstige Maßnahmen

* zum Schutz des Fernmeldegehimnisses,
* gegen die Verletzung des Schutzes personenbezogener Daten,
* gegen Störungen, die zu erheblichen Beeinträchtigungen von Telekommunikationsnetzen und -diensten führen, auch soweit sie durch äußere Angriffe und Einwirkungen von Katastrophen bedingt sein könnten,
als Mindestanforderungen vor.

Ziel und Zweck der zu treffenden Maßnahmen sind insbesondere

* die Sicherheit vor unerlaubtem Zugriffen auf Telekommunikations- und Datenverarbeitungssysteme
* die Reduzierung / Minimierung der Auswirkungen von Sicherheitsverletzungen auf Nutzer oder auf zusammengeschaltete Netze
* die Gewährleistung eines ordnungsgemäßen Betriebes der Netze und dadurch die Sicherstellung der fortlaufenden Verfügbarkeit der über die Netze erbrachten Dienste.

=Netzstruktur=
Das Freifunknetz ist ein offenes, sich spontan ausbildendes und selbstheilendes Maschennetzwerk. Die Grundbausteine ("Knoten") des Freifunk-Netzes sind die Freifunk-Router. Der Begriff Maschennetzwerk
bedeutet, dass die einzelnen Knoten mit einem oder mehreren Knoten auf nicht hierarschische Weise verbunden sind.

Die Freifunk-Router sinde handelsübliche WLAN-Router, ausgestattet mit einer speziellen Software ("Firmware"). Die spezielle Firmware gestattet es den Freifunk-Routern spontan Verbindung mit anderen Freifunk-Routern in Reichweite aufzunehmen. Hierbei kommt der offizielle, zugelassene WLAN-Standard 802.11n zum Einsatz. Gleichzeitig agieren die Router als WLAN-Zugangspunkt und ermöglichen damit Klienten (z.B. Smartphones) den direkten Zugang zum Freifunknetz.

Damit die Daten in dieser chaotischen Struktur ihren Weg finden, kommt ein spezielles Routing-Protokoll zum Einsatz. Im Fall des FF3L handelt es sich um das Protokoll [http://www.open-mesh.org/projects/batman-adv/wiki B.A.T.M.A.N. Advanced]. Dieses arbeitet auf der Netzzugangsschicht (Layer 2 nach dem OSI-Netzwerkschichtmodell). Das Freifunk-Netz verhält sich damit effektiv so, als wären alle Knoten über einen einzigen Netzwerk-Switch miteinander verbunden.

Neben der direkten Verbindung von Freifunk-Routern via WLAN gibt es die Option, isolierte Funkwolken über Tunnelverbindungen zu zentralen Servern ("Bündel-Servern") miteinander zu verbinden. Die Tunnelverbindungen laufen über das Internet und sind verschlüsselt (d.h. der Inhalt ist für Dritte nicht einsehbar). Der Internetanschluss wird hierbei auf freiwilliger Basis von den Knotenbetreibern zur Vefügung gestellt.

Weiterhin bietet das Freifunknetz über zentrale Gateways eine Verbindung ins Internet ("Internet Gateways") sowie den Verbund aller Freifunk-Netze ("IC-VPN Gateways"). Der Verein Freifunk Dreiländreck e.V. agiert damit als Zugangsanbieter ("Access Provider"). Die indirekte Weiterleitung ins Internet schützt die Knotenbetreiber vor ewaigen Haftungsansprüchen ("Störherhaftung") im Fall eines Missbrauchs durch Dritte.

Zusätzlich können Applikations-Server in das Freifunk-Netz integriert werden. Diese agieren als reguläre Netzwerkknoten und sind den Freifunk-Routern gleichgestellt.

[[Datei:Netzstrukturplan.png]]

=Sicherheitsteilsysteme=
In den folgenden Abschnitten werden die sicherheitskritischen Teilsysteme des Freifunk-Netzes definiert und diskutiert. Konkret werden als Teilsysteme die Freifunk-Router und Freifunk-Server im allgmeienen sowie Bündel-Server, Internet und IC-VPN Gateways im speziellen behandelt. Jeder Abschnitt besteht aus einer einleitenden Beschreibung inkl. der Aufgaben des jeweiligen Teilsystems, einer Auflistung von Schutzzielen und Gefährdungen, abgeleiteten Sicherheitsanforderungen, bereits umgesetzten sowie zukünftigen, geplanten Sicherheitsmaßnahmen. Zuletzt erfolgt eine abschließende Beurteilung des Gesamtsystems.

==Freifunk-Router==
Freifunk-WLAN-Router bilden die Grundelemente des Freifunk-Netzes. Sie werden auch als Netzwerkknoten bezeichnet. Bei Freifunk-Routern handelt sich um handelsübliche WLAN-Router, welche durch das Einspielen eines speziellen Betriebssystems ("Freifunk-Firmware") modifiziert werden. Freifunk-Router erfüllen die folgenden Aufgaben:
* Spontane Bildung des Freifunk-Maschennetzwerks via WLAN mit allen in Reichweite befindlichen Freifunk-Routern (lokale Funkwolke).
* Optional die Errichtung von Tunnelverbindungen zu Bündel-Servern über das Internet für den Datenaustausch mit entfernten Funkwolken.
* Austausch von Routen-Informationen, um die zielgerichtete Zustellung von Daten zu ermöglichen.
* Zugangspunkt zum Freifunk-Netzwerk für WLAN-Klienten (z.B. Smartphones, Tablets, Notebooks).
* Optional die Anbindung von Servern und/oder lokalen Klienten mittels einer direkten Kabelverbindung.

===Schutzziele und Gefährdungen===
# Freifunk-Router sind vor dem Zugriff unbefugter Dritter geschützt.
# Freifunk-Router ermöglichen Dritten den Zugang zum Freifunk-Netz, nicht jedoch den Zugang zum privaten Netz des Router-Betreibers.
# Fehler und Sicherheitslücken in der Freifunk-Firmware werden behoben.
# Übertragene Daten sind vor dem Zugriff Dritter geschützt.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.

===Abgeleitete Sicherheitsanforderungen===
# Freifunk-Router sind vor dem Zugriff unbefugter Dritter geschützt.
#* Die Einstellungen des Freifunk-Routers lassen sich lediglich in einem gesonderten Konfigurationsmodus verändern.
#* In der Standardkonfiguration des Freifunk-Routers ist kein Zugang auf der Ebene des Betriebssystems ("Shell Login") möglich.
#* Optional kann durch den Router-Betreiber ein verschlüsselter Zugang (z.B. via SSH) aktiviert werden, um die Wartung aus der Ferne zu ermöglichen.
# Freifunk-Router ermöglichen Dritten den Zugang zum Freifunk-Netz, nicht jedoch den Zugang zum privaten Netz des Router-Betreibers.
#* Eine Firewall auf dem Freifunk-Router (Layer 2 und/oder Layer 3) verhindert den Zugriff auf das private Netz des Betreibers.
#* Ausgenommen ist der Aufbau einer Tunnelverbindung zu den Bündelservern, sofern der Betreiber dies in der Konfiguration ausdrücklich gestattet ("opt in").
# Fehler und Sicherheitslücken in der Freifunk-Firmware werden behoben.
#* Die Firmware der Freifunk-Router wird in angemessenen Intervallen automatisch über das Freifunk-Netzt aktualisiert ("Autoupdater").
#* Die Authentizität der Firmware wird durch ein elektronisches Signaturverfahren sichergestellt.
#* Neue Firmware-Versionen werden vor dem Ausrollen gem. eines festgelegten Schemas getestet.
# Übertragene Daten sind vor dem Zugriff Dritter geschützt.
#* Die Datenübertragung zu den Bündel-Servern erfolgt mittels verschlüsselter Tunnelverbindungen (End-zu-Endverschlüsselung) unter Verwendung von nach heutigem Wissenssand sicherer Verfahren.
#* Die Authentizität der Endpunkte wird zum Schutz vor Mann-in-der-Mitte-Angriffen mittels eines asymmetrischen Schlüsselverfahrens sichergestellt.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.
#* Der Ausfall einzelner Freifunk-Router führt nicht zur Störung des restlichen Netzes.
#* Das Routing des Freifunk-Netzes ist "selbstheilend". Durch Ausfall bedingte Unterbrechungenwerden automatisch behoben.
#* Die Funktionstüchtigkeit der Router wird überwacht und der fehlerhafte Betrieb detektiert.

===Umgesetzte Sichgerheitsmaßnahmen===
# Freifunk-Router sind vor dem Zugriff unbefugter Dritter geschützt.
#* Die verwendete Gluon-Firmware unterstützt einen separaten Konfigurationsmodus. Dieser ist nach dem Aufspielen der Firmware aktiviert. Er kann zu einem späteren Zeitpunkt durch längeres Drücken der Reset-Taste am Router erneut aktiviert werden. Die Konfiguration wird über eine Web-Oberfläche unter der Adresse http://192.168.0.1 vorgenommen. Nach Abschluss der Konfiguration wechselt der Router in den Betriebsmodus. Eine Änderung der Konfiguration über die Web-Obewrfläche ist in der Folge nicht mehr möglich.
#* In der Standardkonfiguration der Gluon-Firmware ist der Shell Login auf den Router deaktiviert. Er muss explizit im Konfigurationsmodus aktiviert werden, indem ein Passwort oder Schlüssel für den Zugang via SSH gesetzt wird.
# Freifunk-Router ermöglichen Dritten den Zugang zum Freifunk-Netz, nicht jedoch den Zugang zum privaten Netz des Router-Betreibers.
#* Das Freifunk-Netz und das private Netz des Router-Betreibers werden in der Gluon-Netzwerkkonfiguration strikt getrennt. Die Zugänge zu den beiden Netzen sind in Form separater Brücken zusammengefasst (''br-client'' und ''br-wan'').
#* Die verwendete Gluon-Firmware konfiguriert Firewall-Regeln (bereitgestellt durch das Paket ''gluon-ebtables''), welche auf der Netzzugangsschicht (Layer 2) den Zugriff auf das private Netz unterbindet.
#* Eine Ausnahme bildet der Aufbau einer optionalen Tunnelverbindung zu den Bündel-Servern durch die VPN-Software ''fastd''. Diese Option muss vom Betreiber im Konfigurationsmodus explizit aktiviert werden ("opt-in").
# Fehler und Sicherheitslücken in der Freifunk-Firmware werden behoben.
#* Der FF3L betreibt einen Aktualisierungs-Dienst, welcher über das Freifunk-Netz erreichbar ist. Mit Hilfe des Aktualisierungsdienstes lassen sich neuere Versionen der Firmware auf den Routern automatisch einspielen. Die Konfiguration der Freifunk-Router bleibt hierbei soweit möglich erhalten.
#* Der Aktualisierungs-Dienst ist in der Standardkonfiguration der Freifunk-Firmware aktiviert (Zweig "stable"). Der Aktualisierungs-Dienst kann im Konfigurationsmodus in den Experteneinstellungen deaktiviert werden ("opt-out").
#* Die Authentitizät der Firmware-Images wird durch ein Signaturverfahren gewährleistet (signiertes Manifest). Neue Images werden von den Freifunk-Routern nur bei vorhandensein einer gültigen Signatur installiert (siehe auch [http://gluon.readthedocs.org/en/v2014.4/index.html Gluon-Dokumentation]).
#* Veröffentlichte Firmware-Images werden in die Zweige "experimental", "beta" und "stable" unterteilt. Neue Firmware-Versionen werden in eben dieser Reihenfolge ausgerollt, um einen ausreichenden Testbetrieb vor der Verbreitung zu gewährleisten.
#* Die Aktuelle Praxis bezüglich der Veröffentlichung von neuen Firmware-Versionen ist im [http://wiki.freifunk-3laendereck.net/Freifunk-Router:Firmware Wiki] des FF3L dokumentiert.
# Übertragene Daten sind vor dem Zugriff Dritter geschützt.
#* Die Datenübertragung zu den Bündel-Servern erfolgt mittels der VPN-Software fastd über das Internet. Die übertragenen Daten sind mittels des Chiffre Salsa20/12 verschlüsselt.
#* Die Authentifizierung erfolgt mittels der asymmetrischen Schlüsselverfahren UMAC oder GMAC. Die öffentlichen Schlüssel müssen einmalig vor dem Aufbau der Verbindung ausgetauscht werden. Dies geschieht im Rahmen der Registrierung des Knotens.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.
#* Der Ausfall einzelner Server führt nicht zu Störungen innerhalb des Netzes, sofern alternative Routen existieren. In diesem Fällen wird das Routing durch das verwendete Routing-Protokoll batman-adv automatisch korrigiert und die Lücke geschlossen
#* Die Freifunk-Firmware stellt auf den Knoten eine Stauts-Seite bereit. Auf dieser kann man sehen, ob der Knoten mit dem Freifunk-Netz und auf welche Weise er mit dem Freifunk-Netz verbunden ist.
#* Der Status aller Knoten wird zusätzlich in Form einer Knotenkarte auf den Servern des FF3L visualisiert. Der Karte lässt sich neben der Lage des Knotes (freiwillige Angabe) entnehmen, ob ein Knoten mit dem Freifunk-Netz verbunden ist und wie er vebunden ist.

===Bekannte Lücken sowie geplante, zukünftige Sicherheitsmaßnahmen===
# Freifunk-Router sind vor dem Zugriff unbefugter Dritter geschützt.
#* Freifunk-Router werden prinzipiell nicht vom FF3L betrieben. Für den Schutz vor physikalischem Zugriff und ggf. damit einhergehender Manipulation ist der Knoten-Betreiber verantwortlich.
# Freifunk-Router ermöglichen Dritten den Zugang zum Freifunk-Netz, nicht jedoch den Zugang zum privaten Netz des Router-Betreibers.
#* Die an bestimmten Freifunk-Routern verfügbaren LAN-Ports ermöglichen eine direkte Verbindung von Endgeräten (z.B. Servern) mit dem Freifunk-Netz. LAN-Ports sind von den WAN-Ports zu unterscheiden, über welche die Freifunk-Router mit dem Internet verbunden werden.
#* Im Fall einer Verwechslung der Ports, kann das private Netze des Freifunk-Betreibers in das Freifunk-Netz überbrückt werden.
#* Um Knotenbetreiber im Fall einer Verwechselung zu schützen, sollen die LAN-Ports in der Standardkonfiguration deaktiviert werden. Eine Aktivierung erfolgt über den Konfigurationsmodus des Routers.
# Fehler und Sicherheitslücken in der Freifunk-Firmware werden behoben.
#* Der Aktualisierungs-Dienst für die Freifunk-Firmware ist in der Standardkonfiguration aktiviert. Die entsprechende Einstellung verbirgt sich jedoch unter den Experteneinstellungen im Konfigurationsmodus.
#* Um Knotenbetreiber auf diesen Umstand aufmerksam zu machen, ist eine Verlegung der Einstellungen in den allgemeinen Teil des Konfigurationsmnodus geplant.
# Übertragene Daten sind vor dem Zugriff Dritter geschützt.
#* Die Datenübertragung zwischen den Freifunk-Routern erfolgt auf Grund der eingesetzen Technologie unverschlüsselt. Sie ist damit durch Dritte vor Ort abhörbar.
#* Umfassende Sicherheit lässt sich allein durch End-zu-End-Verschlüsselung gewährleisten. Die Anwendung dieser erfolgt auf den Endgeräten und liegt damit in der Verantwortung der Freifunk-Nutzer und nicht des FF3L.
#* Um eine sichere Übetragung von den Klienten zu den Bündel-Servern zu gewährleisten, soll optional ein VPN-Zugang für Klienten angeboten werden (z.B. [http://www.openvpn.net OpenVPN]).
#* Um eine sichere Übertragung von Endpunkt zu Endpunkt innerhalb des Freifunk-Netzes anzubieten, ist die Einrichtung eines verschlüsselten Overlay-Netzes angedacht (z.B. [http://cjdns.info/ cjDNS]).
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet
#* Keine geplanten Maßnahmen.

==Server==
Im Folgenden Abschnitt sind die allgemeinen Schutzziele und Gefährdungen für Freifunk-Server zusammengefasst. Freifunk-Server werden in der Regel - jedoch nicht ausschließlich - bei Host Providern angemietet (physikalische und virtualisierte Root Server). Die Einrichtung, der Betrieb und die Wartung erfolgt durch den FF3L. Der Begriff "Freifunk-Server" umfasst hierbei die weiter unten aufgeführten Bündel-Server, Internet sowie IC-VPN Gateways. Diese werden entsprechend ihrer Aufgaben noch einmal separat abgehandelt. In der Praxis werde die verschiedenen Server meist zusammengefasst. Ausgeschlossen sind Server, welche von Freifunkern als Privatpersonen innerhalb des Freifunknetzes betrieben werden.

===Schutzziele und Gefährdungen===
# Server sind vor dem Zugriff unbefugter Dritter geschützt.
# Fehler und Sicherheitslücken in der verwendeten Software werden behoben.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.

===Abgeleitete Sicherheitsanforderungen===
# Server sind vor dem Zugriff unbefugter Dritter geschützt.
#* Der Zugriff auf die Server (physikalisch und über das Internet) ist auf einen engen, definierten Personenkreis beschränkt.
#* Zugriffsrechte werden nach Bedarf und maßgeschneidert erteilt.
#* Der Zugang aus dem Netz erfolgt exklusiv über verschlüsselte Verbindungen (z.B. SSH).
#* Eine Firewall beschränkt Zugriffe aus dem Netz auf das notwendige Minimum.
#* Spezielle Sicherheitssoftware zur Erkennung von Eindringlingen wird verwendet.
# Fehler und Sicherheitslücken in der verwendeten Software werden behoben.
#* Server werden auf der Grundlage eines gepflegten, quelloffenen Betriebssystems errichtet.
#* Verwendete Software wird in adequaten Intervallen aktualisiert.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.
#* Die Funktionstüchtigkeit der Server wird überwacht und der fehlerhafte Betrieb detektiert.
#* Server sind vor DoS-Attacken aus dem Internet geschützt.

===Umgesetzte Sicherheitsmaßnahmen===
# Server sind vor dem Zugriff unbefugter Dritter geschützt.
#* Der Zugriff auf die Server des FF3L ist auf Mitglieder des Administratoren-Teams begrenzt. Das Aministratoren-Team wird durch den Vorstand des Vereins benannt.
#* Der Shell-Login ist ausschließlich über SSH möglich. Die Authentifizierung erfolgt mittels eines Passworts (LDAP) oder eines hinterlegten Schlüssels.
#* Server werden durch Firewall-Regeln auf der Basis von ''iptables'' geschützt. Die Standardvorgabe ist, dass eingehende und weiterzuleitende Pakete verworfen werden. Die Freigabe von Ports bzw. der Weiterleitung erfolgt mittels spezifischer Regeln wo erwünscht.
# Fehler und Sicherheitslücken in der verwendeten Software werden behoben.
#* Die Freifunk-Server werden auf Basis der Debian Linux-Distribution betrieben. Sofern möglich, wird die jeweils letzte stabile Version verwendet.
#* Es werden in angemessenen Intervallen empfohlene Sicherheitsaktualisierungen mittels der offiziellen Paketverwaltung eingespielt.
#* Das Administratoren-Team verfolgt sicherheitsrelevante Ankündigungen über die Mailing-Liste debian-security-announce@lists.debian.org.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.
#* Kritische Server und Dienste werden über ein zentrales Monitoring auf der Basis von Nagios(-Derivaten) überwacht. Das Monitoring ist redundant aufgesetzt. Der aktuelle Zustand aller Server und Diense ist über eine Web-Oberfläche einsehbar. Optional erfolgt eine Mitteilung per e-Mail im Fall von Statusänderungen.
#* Die Server des FF3L werden von Host Providern angemietet. Diese bieten üblicherweise einen gewissen Schutz vor DoS-Angriffen in der Form adaptiver Firewalls.

===Bekannte Lücken sowie geplante, zukünftige Sicherheitsmaßnahmen===
# Server sind vor dem Zugriff unbefugter Dritter geschützt.
#* Die Erteilung von Zugriffsrechten erfolgt derzeit weitestgehend monolithisch, soll in Zukunft jedoch granular und nach Bedarf erfolgen. Erteilte Rechte sollen an geeigneter Stelle transparent dokumentiert und veröffentlicht werden.
#* Bzgl. der verwendbaren Passwörter gibt es aktuell keine Vorgaben. In der Zukunft soll eine Überprüfung der Passwortstärke sowie Vorgabe einer minimalen Entropie implementiert werden.
#* Die Authentizfizierung im Rahmen des Shell-Login via SSH ist aktuell mittels eines Passworts möglich. Die Authentifizierung soll auf asymmetrische Schlüsselverfahren beschränkt werden, um die Folgen von Man-in-der-Mitte-Angriffen zu mildern.
#* Sicherheitssoftware zur Erkennung von Eindringlingen wird aktuell nur auf einem Teil der Freifunk-Server verwendet. Die Erstellung und Umsetzung eines flächendeckenden Konzepts steht nachwievor aus.
# Fehler und Sicherheitslücken in der verwendeten Software werden behoben.
#* Keine geplanten Maßnahmen.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.
#* Keine geplanten Maßnahmen.

==Bündel-Server==
Bündel-Server dienen der Verbindung isolierter Funkwolken innerhalb des Freifunk-Netzes. Vom Prinzip her sind Sie den Freifunk-Routern gleichgestellte Netzwerkknoten, erfüllen jedoch zusätzliche Aufgaben. Bündel-Server unterhalten im Normalfall eine hohe Anzahl an Verbindungen zu Freifunk-Routern. Da ein erheblicher Teil des Datenverkehrs über die Bündel-Server läuft, sind diese als besonders sicherheitskritisch einzustufen. Konkret erfüllen Bündel-Server die folgenden Aufgaben:
* Verbindung entfernter Freifunk-Router mittels Tunnelverbindungen über das Internet.
* Austausch von Routen-Informationen, um die zielgerichtete Zustellung von Daten zu ermöglichen.
* Automatische Netzwerkkonfiguration von Klienten.
* Namensauflösung innerhalb des Freifunk-Netzes.

===Schutzziele und Gefährdungen===
# Übertragene Daten sind vor dem Zugriff Dritter geschützt.
# Die Namensauflösung ist vor Manipulationen durch Dritte geschützt.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.

Zusätzlich gelten die Schutzziele und Gefährdungen für Server im allgemeinen.

===Abgeleitete Sicherheitsanforderungen===
# Übertragene Daten sind vor dem Zugriff Dritter geschützt.
#* Die Datenübertragung zu den Freifunk-Routern erfolgt mittels verschlüsselter Tunnelverbindungen (End-zu-Endverschlüsselung) unter Verwendung von nach heutigem Wissenssand sicherer Verfahren.
#* Die Authentizität der Endpunkte wird zum Schutz vor Mann-in-der-Mitte-Angriffen mittels eines asymmetrischen Schlüsselverfahrens sichergestellt.
# Die Namensauflösung ist vor Manipulationen durch Dritte geschützt.
#* Die Authentizität der Endpunkte wird zum Schutz vor Mann-in-der-Mitte-Angriffen mittels eines asymmetrischen Schlüsselverfahrens sichergestellt.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.
#* Der Ausfall eines Bündel-Servers führt nicht zur Störung des restlichen Netzes.
#* Die Netzstabilität wird durch Redundanz gewährleistet. Die Bündel-Server sind über mehrere Rechenzeitung verteilt.
#* Das Routing des Freifunk-Netzes ist "selbstheilend". Durch Ausfall bedingte Unterbrechungen werden automatisch behoben.
#* Die verfügbare Bandbreite wird gleichmäßig auf alle verbundenen Knoten/Klienten verteilt.

===Umgesetzte Sichgerheitsmaßnahmen===

===Bekannte Lücken sowie geplante, zukünftige Sicherheitsmaßnahmen===

==Internet Gateways==

Aufgaben:
* Verbindung des Freifunknetzes mit dem restlichen Internet
* Namensauflösung
* optionale Anonymisierung der Clienten

===Schutzziele und Gefährdungen===
# Gleichmäßige Verteilung der verfügbaren Bandbreite auf alle Klienten sowie adeqaute Priorisierung des Verkehrs nach Diensten
# Unterbindung von SPAM-Nachrichten
# Optional die Einschränkung von P2P-Dateiübertragung auf ein vertretbares Maß

===Abgeleitete Sichgerheitsmaßnahmen===
# Gleichmäßige Verteilung von Bandbreite auf alle Klienten
** Verwendung von geeigneten Queueing Disciplines

# Unterbindung von SPAM-Nachrichten
** Sperrung des Mail Ports 25. Beschränkung auf den Mail Submission Port 587.

# Einschränkung von P2P-Dateiübertragung auf ein erträgliches Maß
** Beschränkung der Zahl aktiver Verbindungen pro Klient

===Geplante, zukünftige Sicherheitsmaßnahmen===

==IC-VPN Gateways==
Aufgaben:
* Verbindung des Freifunk-Netzes mit anderen Freifunk-Netzen innerhalb des IC-VPNs
* Austausch von Routeninformationen
* Namensauflösung für Domänen innerhalb des IC-VPN
* Optional Routing von Internetverkehr zu den Gateways anderer Freifunk-Netze

===Schutzziele und Gefährdungen===
# Übertragene Daten sind vor dem Zugriff Dritter geschützt.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.
# Der Ausfall des IC-VPN-Gateways führt nicht zur Störung des restlichen Netzes.

Zusätzlich gelten die Schutzzile und Gefährdungen wie für Bündel-Server

===Abgeleitete Sichgerheitsmaßnahmen===
# Übertragene Daten sind vor dem Zugriff Dritter geschützt.
** Die Datenübertragung zu den Bündel-Servern erfolgt mittels verschlüsselter Tunnelverbindungen (End-zu Endverschlüsselung) unter Verwendung von nach heutigem Wissenssand sicherer Verfahren.
** Die Authentizität der Endpunkte wird zum Schutz vor Mann-in-der-Mitte-Angriffen mittels eines asymmetrischen Schlüsselverfahrens sichergestellt.

===Geplante, zukünftige Sicherheitsmaßnahmen===

==Bewertung des Gesamtsystems==
Welche Risiken ergeben sich aus dem Zusammnenwirken der Teilsysteme?

==Kontinuierliche Verbesserung==

Wie wollen wir die Sicherheit unserer Freifunk-Netze kontinuierlich verbessern?

==Mitteilungspflichten==

Welche Sicherheitsverletzungen und/oder Störungen würden wir der Bundesnetzagentur mitteilen wollen?

=Ideen=

Integration in Freifunk-API? Community füllt lediglich Formular zu den einzelnen Teilsystemen aus. Das Sicherheitskonzept wird im Anschluss automatisch erstellt und im Netz veröffentlicht.

Sicherheitskonzept (intern)

2015-05-17T09:44:50Z

Langweiler: /* Bündel-Server */

=Präambel=
Freifunk Dreiländereck ("FF3L") ist ein parteipolitischer, unabhängiger, eingetragener Verein, der sich als Teil der weltweiten Open Wireless-Bewegung versteht, welche in Deutschland durch die Freifunk-Initiative repärsentiert wird.

Zur Umsetzung des Vereinszwecks unterhält der FF3L eine Netzwerkinfrastruktur, welche in Kombination mit den Freifunk-WLAN-Routern das Freifunk-Netz bildet. Er ist bei der Bundesnetzagentur seit dem xx.xx.xxxx. als Telekommunikationsdienstleister (Access Provider) registriert.

Mit dem vorliegenden Sicherheitskonzept werden die folgenden Absichten verfolgt:
* Erfüllung der Verpflichtung zur Erstellung und Umsetzung eines Sicherheitskonzeptes nach § 109 TKG.
* Transparente Dokumentation des Status Quo in Bezug auf Informationssicherheit als Grundlage für die kontinuierliche Verbesserung.
* Aufzeigen von inherenten Limitierungen, die sich auf Grund der Funktionsweise des Freifunk-Netzes ergeben.
* Darstellung der Pflichten von Freifunk-Nutzern hinsichtlich Gewährleistung ihrer eigene Sicherheit.

=Gesetzlicher Hintergrund=
Auszug aus dem "Katalog von Sicherheitsanforderungen für das Betreiben von Telekommunikations- und Datenverarbeitungssystemen sowie für die Verarbeitung personenbezogener Daten nach § 109 Telekommunikationsgesetz (TKG):

Für das Betreiben öffentlicher Telekkommunikatiosnetze sowie das Erbringen öffentlich zugänglicher Telekommunikationsdiense schreibt § 109 TKG Vorkehrungen und sonstige Maßnahmen

* zum Schutz des Fernmeldegehimnisses,
* gegen die Verletzung des Schutzes personenbezogener Daten,
* gegen Störungen, die zu erheblichen Beeinträchtigungen von Telekommunikationsnetzen und -diensten führen, auch soweit sie durch äußere Angriffe und Einwirkungen von Katastrophen bedingt sein könnten,
als Mindestanforderungen vor.

Ziel und Zweck der zu treffenden Maßnahmen sind insbesondere

* die Sicherheit vor unerlaubtem Zugriffen auf Telekommunikations- und Datenverarbeitungssysteme
* die Reduzierung / Minimierung der Auswirkungen von Sicherheitsverletzungen auf Nutzer oder auf zusammengeschaltete Netze
* die Gewährleistung eines ordnungsgemäßen Betriebes der Netze und dadurch die Sicherstellung der fortlaufenden Verfügbarkeit der über die Netze erbrachten Dienste.

=Netzstruktur=
Das Freifunknetz ist ein offenes, sich spontan ausbildendes und selbstheilendes Maschennetzwerk. Die Grundbausteine ("Knoten") des Freifunk-Netzes sind die Freifunk-Router. Der Begriff Maschennetzwerk
bedeutet, dass die einzelnen Knoten mit einem oder mehreren Knoten auf nicht hierarschische Weise verbunden sind.

Die Freifunk-Router sinde handelsübliche WLAN-Router, ausgestattet mit einer speziellen Software ("Firmware"). Die spezielle Firmware gestattet es den Freifunk-Routern spontan Verbindung mit anderen Freifunk-Routern in Reichweite aufzunehmen. Hierbei kommt der offizielle, zugelassene WLAN-Standard 802.11n zum Einsatz. Gleichzeitig agieren die Router als WLAN-Zugangspunkt und ermöglichen damit Klienten (z.B. Smartphones) den direkten Zugang zum Freifunknetz.

Damit die Daten in dieser chaotischen Struktur ihren Weg finden, kommt ein spezielles Routing-Protokoll zum Einsatz. Im Fall des FF3L handelt es sich um das Protokoll [http://www.open-mesh.org/projects/batman-adv/wiki B.A.T.M.A.N. Advanced]. Dieses arbeitet auf der Netzzugangsschicht (Layer 2 nach dem OSI-Netzwerkschichtmodell). Das Freifunk-Netz verhält sich damit effektiv so, als wären alle Knoten über einen einzigen Netzwerk-Switch miteinander verbunden.

Neben der direkten Verbindung von Freifunk-Routern via WLAN gibt es die Option, isolierte Funkwolken über Tunnelverbindungen zu zentralen Servern ("Bündel-Servern") miteinander zu verbinden. Die Tunnelverbindungen laufen über das Internet und sind verschlüsselt (d.h. der Inhalt ist für Dritte nicht einsehbar). Der Internetanschluss wird hierbei auf freiwilliger Basis von den Knotenbetreibern zur Vefügung gestellt.

Weiterhin bietet das Freifunknetz über zentrale Gateways eine Verbindung ins Internet ("Internet Gateways") sowie den Verbund aller Freifunk-Netze ("IC-VPN Gateways"). Der Verein Freifunk Dreiländreck e.V. agiert damit als Zugangsanbieter ("Access Provider"). Die indirekte Weiterleitung ins Internet schützt die Knotenbetreiber vor ewaigen Haftungsansprüchen ("Störherhaftung") im Fall eines Missbrauchs durch Dritte.

Zusätzlich können Applikations-Server in das Freifunk-Netz integriert werden. Diese agieren als reguläre Netzwerkknoten und sind den Freifunk-Routern gleichgestellt.

[[Datei:Netzstrukturplan.png]]

=Sicherheitsteilsysteme=
In den folgenden Abschnitten werden die sicherheitskritischen Teilsysteme des Freifunk-Netzes definiert und diskutiert. Konkret werden als Teilsysteme die Freifunk-Router und Freifunk-Server im allgmeienen sowie Bündel-Server, Internet und IC-VPN Gateways im speziellen behandelt. Jeder Abschnitt besteht aus einer einleitenden Beschreibung inkl. der Aufgaben des jeweiligen Teilsystems, einer Auflistung von Schutzzielen und Gefährdungen, abgeleiteten Sicherheitsanforderungen, bereits umgesetzten sowie zukünftigen, geplanten Sicherheitsmaßnahmen. Zuletzt erfolgt eine abschließende Beurteilung des Gesamtsystems.

==Freifunk-Router==
Freifunk-WLAN-Router bilden die Grundelemente des Freifunk-Netzes. Sie werden auch als Netzwerkknoten bezeichnet. Bei Freifunk-Routern handelt sich um handelsübliche WLAN-Router, welche durch das Einspielen eines speziellen Betriebssystems ("Freifunk-Firmware") modifiziert werden. Freifunk-Router erfüllen die folgenden Aufgaben:
* Spontane Bildung des Freifunk-Maschennetzwerks via WLAN mit allen in Reichweite befindlichen Freifunk-Routern (lokale Funkwolke).
* Optional die Errichtung von Tunnelverbindungen zu Bündel-Servern über das Internet für den Datenaustausch mit entfernten Funkwolken.
* Austausch von Routen-Informationen, um die zielgerichtete Zustellung von Daten zu ermöglichen.
* Zugangspunkt zum Freifunk-Netzwerk für WLAN-Klienten (z.B. Smartphones, Tablets, Notebooks).
* Optional die Anbindung von Servern und/oder lokalen Klienten mittels einer direkten Kabelverbindung.

===Schutzziele und Gefährdungen===
# Freifunk-Router sind vor dem Zugriff unbefugter Dritter geschützt.
# Freifunk-Router ermöglichen Dritten den Zugang zum Freifunk-Netz, nicht jedoch den Zugang zum privaten Netz des Router-Betreibers.
# Fehler und Sicherheitslücken in der Freifunk-Firmware werden behoben.
# Übertragene Daten sind vor dem Zugriff Dritter geschützt.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.

===Abgeleitete Sicherheitsanforderungen===
# Freifunk-Router sind vor dem Zugriff unbefugter Dritter geschützt.
#* Die Einstellungen des Freifunk-Routers lassen sich lediglich in einem gesonderten Konfigurationsmodus verändern.
#* In der Standardkonfiguration des Freifunk-Routers ist kein Zugang auf der Ebene des Betriebssystems ("Shell Login") möglich.
#* Optional kann durch den Router-Betreiber ein verschlüsselter Zugang (z.B. via SSH) aktiviert werden, um die Wartung aus der Ferne zu ermöglichen.
# Freifunk-Router ermöglichen Dritten den Zugang zum Freifunk-Netz, nicht jedoch den Zugang zum privaten Netz des Router-Betreibers.
#* Eine Firewall auf dem Freifunk-Router (Layer 2 und/oder Layer 3) verhindert den Zugriff auf das private Netz des Betreibers.
#* Ausgenommen ist der Aufbau einer Tunnelverbindung zu den Bündelservern, sofern der Betreiber dies in der Konfiguration ausdrücklich gestattet ("opt in").
# Fehler und Sicherheitslücken in der Freifunk-Firmware werden behoben.
#* Die Firmware der Freifunk-Router wird in angemessenen Intervallen automatisch über das Freifunk-Netzt aktualisiert ("Autoupdater").
#* Die Authentizität der Firmware wird durch ein elektronisches Signaturverfahren sichergestellt.
#* Neue Firmware-Versionen werden vor dem Ausrollen gem. eines festgelegten Schemas getestet.
# Übertragene Daten sind vor dem Zugriff Dritter geschützt.
#* Die Datenübertragung zu den Bündel-Servern erfolgt mittels verschlüsselter Tunnelverbindungen (End-zu-Endverschlüsselung) unter Verwendung von nach heutigem Wissenssand sicherer Verfahren.
#* Die Authentizität der Endpunkte wird zum Schutz vor Mann-in-der-Mitte-Angriffen mittels eines asymmetrischen Schlüsselverfahrens sichergestellt.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.
#* Der Ausfall einzelner Freifunk-Router führt nicht zur Störung des restlichen Netzes.
#* Das Routing des Freifunk-Netzes ist "selbstheilend". Durch Ausfall bedingte Unterbrechungenwerden automatisch behoben.
#* Die Funktionstüchtigkeit der Router wird überwacht und der fehlerhafte Betrieb detektiert.

===Umgesetzte Sichgerheitsmaßnahmen===
# Freifunk-Router sind vor dem Zugriff unbefugter Dritter geschützt.
#* Die verwendete Gluon-Firmware unterstützt einen separaten Konfigurationsmodus. Dieser ist nach dem Aufspielen der Firmware aktiviert. Er kann zu einem späteren Zeitpunkt durch längeres Drücken der Reset-Taste am Router erneut aktiviert werden. Die Konfiguration wird über eine Web-Oberfläche unter der Adresse http://192.168.0.1 vorgenommen. Nach Abschluss der Konfiguration wechselt der Router in den Betriebsmodus. Eine Änderung der Konfiguration über die Web-Obewrfläche ist in der Folge nicht mehr möglich.
#* In der Standardkonfiguration der Gluon-Firmware ist der Shell Login auf den Router deaktiviert. Er muss explizit im Konfigurationsmodus aktiviert werden, indem ein Passwort oder Schlüssel für den Zugang via SSH gesetzt wird.
# Freifunk-Router ermöglichen Dritten den Zugang zum Freifunk-Netz, nicht jedoch den Zugang zum privaten Netz des Router-Betreibers.
#* Das Freifunk-Netz und das private Netz des Router-Betreibers werden in der Gluon-Netzwerkkonfiguration strikt getrennt. Die Zugänge zu den beiden Netzen sind in Form separater Brücken zusammengefasst (''br-client'' und ''br-wan'').
#* Die verwendete Gluon-Firmware konfiguriert Firewall-Regeln (bereitgestellt durch das Paket ''gluon-ebtables''), welche auf der Netzzugangsschicht (Layer 2) den Zugriff auf das private Netz unterbindet.
#* Eine Ausnahme bildet der Aufbau einer optionalen Tunnelverbindung zu den Bündel-Servern durch die VPN-Software ''fastd''. Diese Option muss vom Betreiber im Konfigurationsmodus explizit aktiviert werden ("opt-in").
# Fehler und Sicherheitslücken in der Freifunk-Firmware werden behoben.
#* Der FF3L betreibt einen Aktualisierungs-Dienst, welcher über das Freifunk-Netz erreichbar ist. Mit Hilfe des Aktualisierungsdienstes lassen sich neuere Versionen der Firmware auf den Routern automatisch einspielen. Die Konfiguration der Freifunk-Router bleibt hierbei soweit möglich erhalten.
#* Der Aktualisierungs-Dienst ist in der Standardkonfiguration der Freifunk-Firmware aktiviert (Zweig "stable"). Der Aktualisierungs-Dienst kann im Konfigurationsmodus in den Experteneinstellungen deaktiviert werden ("opt-out").
#* Die Authentitizät der Firmware-Images wird durch ein Signaturverfahren gewährleistet (signiertes Manifest). Neue Images werden von den Freifunk-Routern nur bei vorhandensein einer gültigen Signatur installiert (siehe auch [http://gluon.readthedocs.org/en/v2014.4/index.html Gluon-Dokumentation]).
#* Veröffentlichte Firmware-Images werden in die Zweige "experimental", "beta" und "stable" unterteilt. Neue Firmware-Versionen werden in eben dieser Reihenfolge ausgerollt, um einen ausreichenden Testbetrieb vor der Verbreitung zu gewährleisten.
#* Die Aktuelle Praxis bezüglich der Veröffentlichung von neuen Firmware-Versionen ist im [http://wiki.freifunk-3laendereck.net/Freifunk-Router:Firmware Wiki] des FF3L dokumentiert.
# Übertragene Daten sind vor dem Zugriff Dritter geschützt.
#* Die Datenübertragung zu den Bündel-Servern erfolgt mittels der VPN-Software fastd über das Internet. Die übertragenen Daten sind mittels des Chiffre Salsa20/12 verschlüsselt.
#* Die Authentifizierung erfolgt mittels der asymmetrischen Schlüsselverfahren UMAC oder GMAC. Die öffentlichen Schlüssel müssen einmalig vor dem Aufbau der Verbindung ausgetauscht werden. Dies geschieht im Rahmen der Registrierung des Knotens.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.
#* Der Ausfall einzelner Server führt nicht zu Störungen innerhalb des Netzes, sofern alternative Routen existieren. In diesem Fällen wird das Routing durch das verwendete Routing-Protokoll batman-adv automatisch korrigiert und die Lücke geschlossen
#* Die Freifunk-Firmware stellt auf den Knoten eine Stauts-Seite bereit. Auf dieser kann man sehen, ob der Knoten mit dem Freifunk-Netz und auf welche Weise er mit dem Freifunk-Netz verbunden ist.
#* Der Status aller Knoten wird zusätzlich in Form einer Knotenkarte auf den Servern des FF3L visualisiert. Der Karte lässt sich neben der Lage des Knotes (freiwillige Angabe) entnehmen, ob ein Knoten mit dem Freifunk-Netz verbunden ist und wie er vebunden ist.

===Bekannte Lücken sowie geplante, zukünftige Sicherheitsmaßnahmen===
# Freifunk-Router sind vor dem Zugriff unbefugter Dritter geschützt.
#* Freifunk-Router werden prinzipiell nicht vom FF3L betrieben. Für den Schutz vor physikalischem Zugriff und ggf. damit einhergehender Manipulation ist der Knoten-Betreiber verantwortlich.
# Freifunk-Router ermöglichen Dritten den Zugang zum Freifunk-Netz, nicht jedoch den Zugang zum privaten Netz des Router-Betreibers.
#* Die an bestimmten Freifunk-Routern verfügbaren LAN-Ports ermöglichen eine direkte Verbindung von Endgeräten (z.B. Servern) mit dem Freifunk-Netz. LAN-Ports sind von den WAN-Ports zu unterscheiden, über welche die Freifunk-Router mit dem Internet verbunden werden.
#* Im Fall einer Verwechslung der Ports, kann das private Netze des Freifunk-Betreibers in das Freifunk-Netz überbrückt werden.
#* Um Knotenbetreiber im Fall einer Verwechselung zu schützen, sollen die LAN-Ports in der Standardkonfiguration deaktiviert werden. Eine Aktivierung erfolgt über den Konfigurationsmodus des Routers.
# Fehler und Sicherheitslücken in der Freifunk-Firmware werden behoben.
#* Der Aktualisierungs-Dienst für die Freifunk-Firmware ist in der Standardkonfiguration aktiviert. Die entsprechende Einstellung verbirgt sich jedoch unter den Experteneinstellungen im Konfigurationsmodus.
#* Um Knotenbetreiber auf diesen Umstand aufmerksam zu machen, ist eine Verlegung der Einstellungen in den allgemeinen Teil des Konfigurationsmnodus geplant.
# Übertragene Daten sind vor dem Zugriff Dritter geschützt.
#* Die Datenübertragung zwischen den Freifunk-Routern erfolgt auf Grund der eingesetzen Technologie unverschlüsselt. Sie ist damit durch Dritte vor Ort abhörbar.
#* Umfassende Sicherheit lässt sich allein durch End-zu-End-Verschlüsselung gewährleisten. Die Anwendung dieser erfolgt auf den Endgeräten und liegt damit in der Verantwortung der Freifunk-Nutzer und nicht des FF3L.
#* Um eine sichere Übetragung von den Klienten zu den Bündel-Servern zu gewährleisten, soll optional ein VPN-Zugang für Klienten angeboten werden (z.B. [http://www.openvpn.net OpenVPN]).
#* Um eine sichere Übertragung von Endpunkt zu Endpunkt innerhalb des Freifunk-Netzes anzubieten, ist die Einrichtung eines verschlüsselten Overlay-Netzes angedacht (z.B. [http://cjdns.info/ cjDNS]).
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet
#* Keine geplanten Maßnahmen.

==Server==
Im Folgenden Abschnitt sind die allgemeinen Schutzziele und Gefährdungen für Freifunk-Server zusammengefasst. Freifunk-Server werden in der Regel - jedoch nicht ausschließlich - bei Host Providern angemietet (physikalische und virtualisierte Root Server). Die Einrichtung, der Betrieb und die Wartung erfolgt durch den FF3L. Der Begriff "Freifunk-Server" umfasst hierbei die weiter unten aufgeführten Bündel-Server, Internet sowie IC-VPN Gateways. Diese werden entsprechend ihrer Aufgaben noch einmal separat abgehandelt. In der Praxis werde die verschiedenen Server meist zusammengefasst. Ausgeschlossen sind Server, welche von Freifunkern als Privatpersonen innerhalb des Freifunknetzes betrieben werden.

===Schutzziele und Gefährdungen===
# Server sind vor dem Zugriff unbefugter Dritter geschützt.
# Fehler und Sicherheitslücken in der verwendeten Software werden behoben.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.

===Abgeleitete Sicherheitsanforderungen===
# Server sind vor dem Zugriff unbefugter Dritter geschützt.
#* Der Zugriff auf die Server (physikalisch und über das Internet) ist auf einen engen, definierten Personenkreis beschränkt.
#* Zugriffsrechte werden nach Bedarf und maßgeschneidert erteilt.
#* Der Zugang aus dem Netz erfolgt exklusiv über verschlüsselte Verbindungen (z.B. SSH).
#* Eine Firewall beschränkt Zugriffe aus dem Netz auf das notwendige Minimum.
#* Spezielle Sicherheitssoftware zur Erkennung von Eindringlingen wird verwendet.
# Fehler und Sicherheitslücken in der verwendeten Software werden behoben.
#* Server werden auf der Grundlage eines gepflegten, quelloffenen Betriebssystems errichtet.
#* Verwendete Software wird in adequaten Intervallen aktualisiert.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.
#* Die Funktionstüchtigkeit der Server wird überwacht und der fehlerhafte Betrieb detektiert.
#* Server sind vor DoS-Attacken aus dem Internet geschützt.

===Umgesetzte Sicherheitsmaßnahmen===
# Server sind vor dem Zugriff unbefugter Dritter geschützt.
#* Der Zugriff auf die Server des FF3L ist auf Mitglieder des Administratoren-Teams begrenzt. Das Aministratoren-Team wird durch den Vorstand des Vereins benannt.
#* Der Shell-Login ist ausschließlich über SSH möglich. Die Authentifizierung erfolgt mittels eines Passworts (LDAP) oder eines hinterlegten Schlüssels.
#* Server werden durch Firewall-Regeln auf der Basis von ''iptables'' geschützt. Die Standardvorgabe ist, dass eingehende und weiterzuleitende Pakete verworfen werden. Die Freigabe von Ports bzw. der Weiterleitung erfolgt mittels spezifischer Regeln wo erwünscht.
# Fehler und Sicherheitslücken in der verwendeten Software werden behoben.
#* Die Freifunk-Server werden auf Basis der Debian Linux-Distribution betrieben. Sofern möglich, wird die jeweils letzte stabile Version verwendet.
#* Es werden in angemessenen Intervallen empfohlene Sicherheitsaktualisierungen mittels der offiziellen Paketverwaltung eingespielt.
#* Das Administratoren-Team verfolgt sicherheitsrelevante Ankündigungen über die Mailing-Liste debian-security-announce@lists.debian.org.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.
#* Kritische Server und Dienste werden über ein zentrales Monitoring auf der Basis von Nagios(-Derivaten) überwacht. Das Monitoring ist redundant aufgesetzt. Der aktuelle Zustand aller Server und Diense ist über eine Web-Oberfläche einsehbar. Optional erfolgt eine Mitteilung per e-Mail im Fall von Statusänderungen.
#* Die Server des FF3L werden von Host Providern angemietet. Diese bieten üblicherweise einen gewissen Schutz vor DoS-Angriffen in der Form adaptiver Firewalls.

===Bekannte Lücken sowie geplante, zukünftige Sicherheitsmaßnahmen===
# Server sind vor dem Zugriff unbefugter Dritter geschützt.
#* Die Erteilung von Zugriffsrechten erfolgt derzeit weitestgehend monolithisch, soll in Zukunft jedoch granular und nach Bedarf erfolgen. Erteilte Rechte sollen an geeigneter Stelle transparent dokumentiert und veröffentlicht werden.
#* Bzgl. der verwendbaren Passwörter gibt es aktuell keine Vorgaben. In der Zukunft soll eine Überprüfung der Passwortstärke sowie Vorgabe einer minimalen Entropie implementiert werden.
#* Die Authentizfizierung im Rahmen des Shell-Login via SSH ist aktuell mittels eines Passworts möglich. Die Authentifizierung soll auf asymmetrische Schlüsselverfahren beschränkt werden, um die Folgen von Man-in-der-Mitte-Angriffen zu mildern.
#* Sicherheitssoftware zur Erkennung von Eindringlingen wird aktuell nur auf einem Teil der Freifunk-Server verwendet. Die Erstellung und Umsetzung eines flächendeckenden Konzepts steht nachwievor aus.
# Fehler und Sicherheitslücken in der verwendeten Software werden behoben.
#* Keine geplanten Maßnahmen.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.
#* Keine geplanten Maßnahmen.

==Bündel-Server==
Bündel-Server dienen der Verbindung isolierter Funkwolken innerhalb des Freifunk-Netzes. Vom Prinzip her sind Sie den Freifunk-Routern gleichgestellte Netzwerkknoten, erfüllen jedoch zusätzliche Aufgaben. Bündel-Server unterhalten im Normalfall eine hohe Anzahl an Verbindungen zu Freifunk-Routern. Da ein erheblicher Teil des Datenverkehrs über die Bündel-Server läuft, sind diese als besonders sicherheitskritisch einzustufen. Konkret erfüllen Bündel-Server die folgenden Aufgaben:
* Verbindung entfernter Freifunk-Router mittels Tunnelverbindungen über das Internet.
* Austausch von Routen-Informationen, um die zielgerichtete Zustellung von Daten zu ermöglichen.
* Automatische Netzwerkkonfiguration von Klienten.
* Namensauflösung innerhalb des Freifunk-Netzes.

===Schutzziele und Gefährdungen===
# Übertragene Daten sind vor dem Zugriff Dritter geschützt.
# Die Namensauflösung ist vor Manipulationen durch Dritte geschützt.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.

Zusätzlich gelten die Schutzziele und Gefährdungen für Server im allgemeinen.

===Abgeleitete Sicherheitsanforderungen===
# Übertragene Daten sind vor dem Zugriff Dritter geschützt.
*# Die Datenübertragung zu den Freifunk-Routern erfolgt mittels verschlüsselter Tunnelverbindungen (End-zu-Endverschlüsselung) unter Verwendung von nach heutigem Wissenssand sicherer Verfahren.
*# Die Authentizität der Endpunkte wird zum Schutz vor Mann-in-der-Mitte-Angriffen mittels eines asymmetrischen Schlüsselverfahrens sichergestellt.
# Die Namensauflösung ist vor Manipulationen durch Dritte geschützt.
*# Die Authentizität der Endpunkte wird zum Schutz vor Mann-in-der-Mitte-Angriffen mittels eines asymmetrischen Schlüsselverfahrens sichergestellt.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.
*# Der Ausfall eines Bündel-Servers führt nicht zur Störung des restlichen Netzes.
*# Die Netzstabilität wird durch Redundanz gewährleistet. Die Bündel-Server sind über mehrere Rechenzeitung verteilt.
*# Das Routing des Freifunk-Netzes ist "selbstheilend". Durch Ausfall bedingte Unterbrechungen werden automatisch behoben.
*# Die verfügbare Bandbreite wird gleichmäßig auf alle verbundenen Knoten/Klienten verteilt.

===Umgesetzte Sichgerheitsmaßnahmen===

===Bekannte Lücken sowie geplante, zukünftige Sicherheitsmaßnahmen===

==Internet Gateways==

Aufgaben:
* Verbindung des Freifunknetzes mit dem restlichen Internet
* Namensauflösung
* optionale Anonymisierung der Clienten

===Schutzziele und Gefährdungen===
# Gleichmäßige Verteilung der verfügbaren Bandbreite auf alle Klienten sowie adeqaute Priorisierung des Verkehrs nach Diensten
# Unterbindung von SPAM-Nachrichten
# Optional die Einschränkung von P2P-Dateiübertragung auf ein vertretbares Maß

===Abgeleitete Sichgerheitsmaßnahmen===
# Gleichmäßige Verteilung von Bandbreite auf alle Klienten
** Verwendung von geeigneten Queueing Disciplines

# Unterbindung von SPAM-Nachrichten
** Sperrung des Mail Ports 25. Beschränkung auf den Mail Submission Port 587.

# Einschränkung von P2P-Dateiübertragung auf ein erträgliches Maß
** Beschränkung der Zahl aktiver Verbindungen pro Klient

===Geplante, zukünftige Sicherheitsmaßnahmen===

==IC-VPN Gateways==
Aufgaben:
* Verbindung des Freifunk-Netzes mit anderen Freifunk-Netzen innerhalb des IC-VPNs
* Austausch von Routeninformationen
* Namensauflösung für Domänen innerhalb des IC-VPN
* Optional Routing von Internetverkehr zu den Gateways anderer Freifunk-Netze

===Schutzziele und Gefährdungen===
# Übertragene Daten sind vor dem Zugriff Dritter geschützt.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.
# Der Ausfall des IC-VPN-Gateways führt nicht zur Störung des restlichen Netzes.

Zusätzlich gelten die Schutzzile und Gefährdungen wie für Bündel-Server

===Abgeleitete Sichgerheitsmaßnahmen===
# Übertragene Daten sind vor dem Zugriff Dritter geschützt.
** Die Datenübertragung zu den Bündel-Servern erfolgt mittels verschlüsselter Tunnelverbindungen (End-zu Endverschlüsselung) unter Verwendung von nach heutigem Wissenssand sicherer Verfahren.
** Die Authentizität der Endpunkte wird zum Schutz vor Mann-in-der-Mitte-Angriffen mittels eines asymmetrischen Schlüsselverfahrens sichergestellt.

===Geplante, zukünftige Sicherheitsmaßnahmen===

==Bewertung des Gesamtsystems==
Welche Risiken ergeben sich aus dem Zusammnenwirken der Teilsysteme?

==Kontinuierliche Verbesserung==

Wie wollen wir die Sicherheit unserer Freifunk-Netze kontinuierlich verbessern?

==Mitteilungspflichten==

Welche Sicherheitsverletzungen und/oder Störungen würden wir der Bundesnetzagentur mitteilen wollen?

=Ideen=

Integration in Freifunk-API? Community füllt lediglich Formular zu den einzelnen Teilsystemen aus. Das Sicherheitskonzept wird im Anschluss automatisch erstellt und im Netz veröffentlicht.

Sicherheitskonzept (intern)

2015-05-17T09:44:12Z

Langweiler: /* Bündel-Server */

=Präambel=
Freifunk Dreiländereck ("FF3L") ist ein parteipolitischer, unabhängiger, eingetragener Verein, der sich als Teil der weltweiten Open Wireless-Bewegung versteht, welche in Deutschland durch die Freifunk-Initiative repärsentiert wird.

Zur Umsetzung des Vereinszwecks unterhält der FF3L eine Netzwerkinfrastruktur, welche in Kombination mit den Freifunk-WLAN-Routern das Freifunk-Netz bildet. Er ist bei der Bundesnetzagentur seit dem xx.xx.xxxx. als Telekommunikationsdienstleister (Access Provider) registriert.

Mit dem vorliegenden Sicherheitskonzept werden die folgenden Absichten verfolgt:
* Erfüllung der Verpflichtung zur Erstellung und Umsetzung eines Sicherheitskonzeptes nach § 109 TKG.
* Transparente Dokumentation des Status Quo in Bezug auf Informationssicherheit als Grundlage für die kontinuierliche Verbesserung.
* Aufzeigen von inherenten Limitierungen, die sich auf Grund der Funktionsweise des Freifunk-Netzes ergeben.
* Darstellung der Pflichten von Freifunk-Nutzern hinsichtlich Gewährleistung ihrer eigene Sicherheit.

=Gesetzlicher Hintergrund=
Auszug aus dem "Katalog von Sicherheitsanforderungen für das Betreiben von Telekommunikations- und Datenverarbeitungssystemen sowie für die Verarbeitung personenbezogener Daten nach § 109 Telekommunikationsgesetz (TKG):

Für das Betreiben öffentlicher Telekkommunikatiosnetze sowie das Erbringen öffentlich zugänglicher Telekommunikationsdiense schreibt § 109 TKG Vorkehrungen und sonstige Maßnahmen

* zum Schutz des Fernmeldegehimnisses,
* gegen die Verletzung des Schutzes personenbezogener Daten,
* gegen Störungen, die zu erheblichen Beeinträchtigungen von Telekommunikationsnetzen und -diensten führen, auch soweit sie durch äußere Angriffe und Einwirkungen von Katastrophen bedingt sein könnten,
als Mindestanforderungen vor.

Ziel und Zweck der zu treffenden Maßnahmen sind insbesondere

* die Sicherheit vor unerlaubtem Zugriffen auf Telekommunikations- und Datenverarbeitungssysteme
* die Reduzierung / Minimierung der Auswirkungen von Sicherheitsverletzungen auf Nutzer oder auf zusammengeschaltete Netze
* die Gewährleistung eines ordnungsgemäßen Betriebes der Netze und dadurch die Sicherstellung der fortlaufenden Verfügbarkeit der über die Netze erbrachten Dienste.

=Netzstruktur=
Das Freifunknetz ist ein offenes, sich spontan ausbildendes und selbstheilendes Maschennetzwerk. Die Grundbausteine ("Knoten") des Freifunk-Netzes sind die Freifunk-Router. Der Begriff Maschennetzwerk
bedeutet, dass die einzelnen Knoten mit einem oder mehreren Knoten auf nicht hierarschische Weise verbunden sind.

Die Freifunk-Router sinde handelsübliche WLAN-Router, ausgestattet mit einer speziellen Software ("Firmware"). Die spezielle Firmware gestattet es den Freifunk-Routern spontan Verbindung mit anderen Freifunk-Routern in Reichweite aufzunehmen. Hierbei kommt der offizielle, zugelassene WLAN-Standard 802.11n zum Einsatz. Gleichzeitig agieren die Router als WLAN-Zugangspunkt und ermöglichen damit Klienten (z.B. Smartphones) den direkten Zugang zum Freifunknetz.

Damit die Daten in dieser chaotischen Struktur ihren Weg finden, kommt ein spezielles Routing-Protokoll zum Einsatz. Im Fall des FF3L handelt es sich um das Protokoll [http://www.open-mesh.org/projects/batman-adv/wiki B.A.T.M.A.N. Advanced]. Dieses arbeitet auf der Netzzugangsschicht (Layer 2 nach dem OSI-Netzwerkschichtmodell). Das Freifunk-Netz verhält sich damit effektiv so, als wären alle Knoten über einen einzigen Netzwerk-Switch miteinander verbunden.

Neben der direkten Verbindung von Freifunk-Routern via WLAN gibt es die Option, isolierte Funkwolken über Tunnelverbindungen zu zentralen Servern ("Bündel-Servern") miteinander zu verbinden. Die Tunnelverbindungen laufen über das Internet und sind verschlüsselt (d.h. der Inhalt ist für Dritte nicht einsehbar). Der Internetanschluss wird hierbei auf freiwilliger Basis von den Knotenbetreibern zur Vefügung gestellt.

Weiterhin bietet das Freifunknetz über zentrale Gateways eine Verbindung ins Internet ("Internet Gateways") sowie den Verbund aller Freifunk-Netze ("IC-VPN Gateways"). Der Verein Freifunk Dreiländreck e.V. agiert damit als Zugangsanbieter ("Access Provider"). Die indirekte Weiterleitung ins Internet schützt die Knotenbetreiber vor ewaigen Haftungsansprüchen ("Störherhaftung") im Fall eines Missbrauchs durch Dritte.

Zusätzlich können Applikations-Server in das Freifunk-Netz integriert werden. Diese agieren als reguläre Netzwerkknoten und sind den Freifunk-Routern gleichgestellt.

[[Datei:Netzstrukturplan.png]]

=Sicherheitsteilsysteme=
In den folgenden Abschnitten werden die sicherheitskritischen Teilsysteme des Freifunk-Netzes definiert und diskutiert. Konkret werden als Teilsysteme die Freifunk-Router und Freifunk-Server im allgmeienen sowie Bündel-Server, Internet und IC-VPN Gateways im speziellen behandelt. Jeder Abschnitt besteht aus einer einleitenden Beschreibung inkl. der Aufgaben des jeweiligen Teilsystems, einer Auflistung von Schutzzielen und Gefährdungen, abgeleiteten Sicherheitsanforderungen, bereits umgesetzten sowie zukünftigen, geplanten Sicherheitsmaßnahmen. Zuletzt erfolgt eine abschließende Beurteilung des Gesamtsystems.

==Freifunk-Router==
Freifunk-WLAN-Router bilden die Grundelemente des Freifunk-Netzes. Sie werden auch als Netzwerkknoten bezeichnet. Bei Freifunk-Routern handelt sich um handelsübliche WLAN-Router, welche durch das Einspielen eines speziellen Betriebssystems ("Freifunk-Firmware") modifiziert werden. Freifunk-Router erfüllen die folgenden Aufgaben:
* Spontane Bildung des Freifunk-Maschennetzwerks via WLAN mit allen in Reichweite befindlichen Freifunk-Routern (lokale Funkwolke).
* Optional die Errichtung von Tunnelverbindungen zu Bündel-Servern über das Internet für den Datenaustausch mit entfernten Funkwolken.
* Austausch von Routen-Informationen, um die zielgerichtete Zustellung von Daten zu ermöglichen.
* Zugangspunkt zum Freifunk-Netzwerk für WLAN-Klienten (z.B. Smartphones, Tablets, Notebooks).
* Optional die Anbindung von Servern und/oder lokalen Klienten mittels einer direkten Kabelverbindung.

===Schutzziele und Gefährdungen===
# Freifunk-Router sind vor dem Zugriff unbefugter Dritter geschützt.
# Freifunk-Router ermöglichen Dritten den Zugang zum Freifunk-Netz, nicht jedoch den Zugang zum privaten Netz des Router-Betreibers.
# Fehler und Sicherheitslücken in der Freifunk-Firmware werden behoben.
# Übertragene Daten sind vor dem Zugriff Dritter geschützt.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.

===Abgeleitete Sicherheitsanforderungen===
# Freifunk-Router sind vor dem Zugriff unbefugter Dritter geschützt.
#* Die Einstellungen des Freifunk-Routers lassen sich lediglich in einem gesonderten Konfigurationsmodus verändern.
#* In der Standardkonfiguration des Freifunk-Routers ist kein Zugang auf der Ebene des Betriebssystems ("Shell Login") möglich.
#* Optional kann durch den Router-Betreiber ein verschlüsselter Zugang (z.B. via SSH) aktiviert werden, um die Wartung aus der Ferne zu ermöglichen.
# Freifunk-Router ermöglichen Dritten den Zugang zum Freifunk-Netz, nicht jedoch den Zugang zum privaten Netz des Router-Betreibers.
#* Eine Firewall auf dem Freifunk-Router (Layer 2 und/oder Layer 3) verhindert den Zugriff auf das private Netz des Betreibers.
#* Ausgenommen ist der Aufbau einer Tunnelverbindung zu den Bündelservern, sofern der Betreiber dies in der Konfiguration ausdrücklich gestattet ("opt in").
# Fehler und Sicherheitslücken in der Freifunk-Firmware werden behoben.
#* Die Firmware der Freifunk-Router wird in angemessenen Intervallen automatisch über das Freifunk-Netzt aktualisiert ("Autoupdater").
#* Die Authentizität der Firmware wird durch ein elektronisches Signaturverfahren sichergestellt.
#* Neue Firmware-Versionen werden vor dem Ausrollen gem. eines festgelegten Schemas getestet.
# Übertragene Daten sind vor dem Zugriff Dritter geschützt.
#* Die Datenübertragung zu den Bündel-Servern erfolgt mittels verschlüsselter Tunnelverbindungen (End-zu-Endverschlüsselung) unter Verwendung von nach heutigem Wissenssand sicherer Verfahren.
#* Die Authentizität der Endpunkte wird zum Schutz vor Mann-in-der-Mitte-Angriffen mittels eines asymmetrischen Schlüsselverfahrens sichergestellt.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.
#* Der Ausfall einzelner Freifunk-Router führt nicht zur Störung des restlichen Netzes.
#* Das Routing des Freifunk-Netzes ist "selbstheilend". Durch Ausfall bedingte Unterbrechungenwerden automatisch behoben.
#* Die Funktionstüchtigkeit der Router wird überwacht und der fehlerhafte Betrieb detektiert.

===Umgesetzte Sichgerheitsmaßnahmen===
# Freifunk-Router sind vor dem Zugriff unbefugter Dritter geschützt.
#* Die verwendete Gluon-Firmware unterstützt einen separaten Konfigurationsmodus. Dieser ist nach dem Aufspielen der Firmware aktiviert. Er kann zu einem späteren Zeitpunkt durch längeres Drücken der Reset-Taste am Router erneut aktiviert werden. Die Konfiguration wird über eine Web-Oberfläche unter der Adresse http://192.168.0.1 vorgenommen. Nach Abschluss der Konfiguration wechselt der Router in den Betriebsmodus. Eine Änderung der Konfiguration über die Web-Obewrfläche ist in der Folge nicht mehr möglich.
#* In der Standardkonfiguration der Gluon-Firmware ist der Shell Login auf den Router deaktiviert. Er muss explizit im Konfigurationsmodus aktiviert werden, indem ein Passwort oder Schlüssel für den Zugang via SSH gesetzt wird.
# Freifunk-Router ermöglichen Dritten den Zugang zum Freifunk-Netz, nicht jedoch den Zugang zum privaten Netz des Router-Betreibers.
#* Das Freifunk-Netz und das private Netz des Router-Betreibers werden in der Gluon-Netzwerkkonfiguration strikt getrennt. Die Zugänge zu den beiden Netzen sind in Form separater Brücken zusammengefasst (''br-client'' und ''br-wan'').
#* Die verwendete Gluon-Firmware konfiguriert Firewall-Regeln (bereitgestellt durch das Paket ''gluon-ebtables''), welche auf der Netzzugangsschicht (Layer 2) den Zugriff auf das private Netz unterbindet.
#* Eine Ausnahme bildet der Aufbau einer optionalen Tunnelverbindung zu den Bündel-Servern durch die VPN-Software ''fastd''. Diese Option muss vom Betreiber im Konfigurationsmodus explizit aktiviert werden ("opt-in").
# Fehler und Sicherheitslücken in der Freifunk-Firmware werden behoben.
#* Der FF3L betreibt einen Aktualisierungs-Dienst, welcher über das Freifunk-Netz erreichbar ist. Mit Hilfe des Aktualisierungsdienstes lassen sich neuere Versionen der Firmware auf den Routern automatisch einspielen. Die Konfiguration der Freifunk-Router bleibt hierbei soweit möglich erhalten.
#* Der Aktualisierungs-Dienst ist in der Standardkonfiguration der Freifunk-Firmware aktiviert (Zweig "stable"). Der Aktualisierungs-Dienst kann im Konfigurationsmodus in den Experteneinstellungen deaktiviert werden ("opt-out").
#* Die Authentitizät der Firmware-Images wird durch ein Signaturverfahren gewährleistet (signiertes Manifest). Neue Images werden von den Freifunk-Routern nur bei vorhandensein einer gültigen Signatur installiert (siehe auch [http://gluon.readthedocs.org/en/v2014.4/index.html Gluon-Dokumentation]).
#* Veröffentlichte Firmware-Images werden in die Zweige "experimental", "beta" und "stable" unterteilt. Neue Firmware-Versionen werden in eben dieser Reihenfolge ausgerollt, um einen ausreichenden Testbetrieb vor der Verbreitung zu gewährleisten.
#* Die Aktuelle Praxis bezüglich der Veröffentlichung von neuen Firmware-Versionen ist im [http://wiki.freifunk-3laendereck.net/Freifunk-Router:Firmware Wiki] des FF3L dokumentiert.
# Übertragene Daten sind vor dem Zugriff Dritter geschützt.
#* Die Datenübertragung zu den Bündel-Servern erfolgt mittels der VPN-Software fastd über das Internet. Die übertragenen Daten sind mittels des Chiffre Salsa20/12 verschlüsselt.
#* Die Authentifizierung erfolgt mittels der asymmetrischen Schlüsselverfahren UMAC oder GMAC. Die öffentlichen Schlüssel müssen einmalig vor dem Aufbau der Verbindung ausgetauscht werden. Dies geschieht im Rahmen der Registrierung des Knotens.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.
#* Der Ausfall einzelner Server führt nicht zu Störungen innerhalb des Netzes, sofern alternative Routen existieren. In diesem Fällen wird das Routing durch das verwendete Routing-Protokoll batman-adv automatisch korrigiert und die Lücke geschlossen
#* Die Freifunk-Firmware stellt auf den Knoten eine Stauts-Seite bereit. Auf dieser kann man sehen, ob der Knoten mit dem Freifunk-Netz und auf welche Weise er mit dem Freifunk-Netz verbunden ist.
#* Der Status aller Knoten wird zusätzlich in Form einer Knotenkarte auf den Servern des FF3L visualisiert. Der Karte lässt sich neben der Lage des Knotes (freiwillige Angabe) entnehmen, ob ein Knoten mit dem Freifunk-Netz verbunden ist und wie er vebunden ist.

===Bekannte Lücken sowie geplante, zukünftige Sicherheitsmaßnahmen===
# Freifunk-Router sind vor dem Zugriff unbefugter Dritter geschützt.
#* Freifunk-Router werden prinzipiell nicht vom FF3L betrieben. Für den Schutz vor physikalischem Zugriff und ggf. damit einhergehender Manipulation ist der Knoten-Betreiber verantwortlich.
# Freifunk-Router ermöglichen Dritten den Zugang zum Freifunk-Netz, nicht jedoch den Zugang zum privaten Netz des Router-Betreibers.
#* Die an bestimmten Freifunk-Routern verfügbaren LAN-Ports ermöglichen eine direkte Verbindung von Endgeräten (z.B. Servern) mit dem Freifunk-Netz. LAN-Ports sind von den WAN-Ports zu unterscheiden, über welche die Freifunk-Router mit dem Internet verbunden werden.
#* Im Fall einer Verwechslung der Ports, kann das private Netze des Freifunk-Betreibers in das Freifunk-Netz überbrückt werden.
#* Um Knotenbetreiber im Fall einer Verwechselung zu schützen, sollen die LAN-Ports in der Standardkonfiguration deaktiviert werden. Eine Aktivierung erfolgt über den Konfigurationsmodus des Routers.
# Fehler und Sicherheitslücken in der Freifunk-Firmware werden behoben.
#* Der Aktualisierungs-Dienst für die Freifunk-Firmware ist in der Standardkonfiguration aktiviert. Die entsprechende Einstellung verbirgt sich jedoch unter den Experteneinstellungen im Konfigurationsmodus.
#* Um Knotenbetreiber auf diesen Umstand aufmerksam zu machen, ist eine Verlegung der Einstellungen in den allgemeinen Teil des Konfigurationsmnodus geplant.
# Übertragene Daten sind vor dem Zugriff Dritter geschützt.
#* Die Datenübertragung zwischen den Freifunk-Routern erfolgt auf Grund der eingesetzen Technologie unverschlüsselt. Sie ist damit durch Dritte vor Ort abhörbar.
#* Umfassende Sicherheit lässt sich allein durch End-zu-End-Verschlüsselung gewährleisten. Die Anwendung dieser erfolgt auf den Endgeräten und liegt damit in der Verantwortung der Freifunk-Nutzer und nicht des FF3L.
#* Um eine sichere Übetragung von den Klienten zu den Bündel-Servern zu gewährleisten, soll optional ein VPN-Zugang für Klienten angeboten werden (z.B. [http://www.openvpn.net OpenVPN]).
#* Um eine sichere Übertragung von Endpunkt zu Endpunkt innerhalb des Freifunk-Netzes anzubieten, ist die Einrichtung eines verschlüsselten Overlay-Netzes angedacht (z.B. [http://cjdns.info/ cjDNS]).
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet
#* Keine geplanten Maßnahmen.

==Server==
Im Folgenden Abschnitt sind die allgemeinen Schutzziele und Gefährdungen für Freifunk-Server zusammengefasst. Freifunk-Server werden in der Regel - jedoch nicht ausschließlich - bei Host Providern angemietet (physikalische und virtualisierte Root Server). Die Einrichtung, der Betrieb und die Wartung erfolgt durch den FF3L. Der Begriff "Freifunk-Server" umfasst hierbei die weiter unten aufgeführten Bündel-Server, Internet sowie IC-VPN Gateways. Diese werden entsprechend ihrer Aufgaben noch einmal separat abgehandelt. In der Praxis werde die verschiedenen Server meist zusammengefasst. Ausgeschlossen sind Server, welche von Freifunkern als Privatpersonen innerhalb des Freifunknetzes betrieben werden.

===Schutzziele und Gefährdungen===
# Server sind vor dem Zugriff unbefugter Dritter geschützt.
# Fehler und Sicherheitslücken in der verwendeten Software werden behoben.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.

===Abgeleitete Sicherheitsanforderungen===
# Server sind vor dem Zugriff unbefugter Dritter geschützt.
#* Der Zugriff auf die Server (physikalisch und über das Internet) ist auf einen engen, definierten Personenkreis beschränkt.
#* Zugriffsrechte werden nach Bedarf und maßgeschneidert erteilt.
#* Der Zugang aus dem Netz erfolgt exklusiv über verschlüsselte Verbindungen (z.B. SSH).
#* Eine Firewall beschränkt Zugriffe aus dem Netz auf das notwendige Minimum.
#* Spezielle Sicherheitssoftware zur Erkennung von Eindringlingen wird verwendet.
# Fehler und Sicherheitslücken in der verwendeten Software werden behoben.
#* Server werden auf der Grundlage eines gepflegten, quelloffenen Betriebssystems errichtet.
#* Verwendete Software wird in adequaten Intervallen aktualisiert.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.
#* Die Funktionstüchtigkeit der Server wird überwacht und der fehlerhafte Betrieb detektiert.
#* Server sind vor DoS-Attacken aus dem Internet geschützt.

===Umgesetzte Sicherheitsmaßnahmen===
# Server sind vor dem Zugriff unbefugter Dritter geschützt.
#* Der Zugriff auf die Server des FF3L ist auf Mitglieder des Administratoren-Teams begrenzt. Das Aministratoren-Team wird durch den Vorstand des Vereins benannt.
#* Der Shell-Login ist ausschließlich über SSH möglich. Die Authentifizierung erfolgt mittels eines Passworts (LDAP) oder eines hinterlegten Schlüssels.
#* Server werden durch Firewall-Regeln auf der Basis von ''iptables'' geschützt. Die Standardvorgabe ist, dass eingehende und weiterzuleitende Pakete verworfen werden. Die Freigabe von Ports bzw. der Weiterleitung erfolgt mittels spezifischer Regeln wo erwünscht.
# Fehler und Sicherheitslücken in der verwendeten Software werden behoben.
#* Die Freifunk-Server werden auf Basis der Debian Linux-Distribution betrieben. Sofern möglich, wird die jeweils letzte stabile Version verwendet.
#* Es werden in angemessenen Intervallen empfohlene Sicherheitsaktualisierungen mittels der offiziellen Paketverwaltung eingespielt.
#* Das Administratoren-Team verfolgt sicherheitsrelevante Ankündigungen über die Mailing-Liste debian-security-announce@lists.debian.org.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.
#* Kritische Server und Dienste werden über ein zentrales Monitoring auf der Basis von Nagios(-Derivaten) überwacht. Das Monitoring ist redundant aufgesetzt. Der aktuelle Zustand aller Server und Diense ist über eine Web-Oberfläche einsehbar. Optional erfolgt eine Mitteilung per e-Mail im Fall von Statusänderungen.
#* Die Server des FF3L werden von Host Providern angemietet. Diese bieten üblicherweise einen gewissen Schutz vor DoS-Angriffen in der Form adaptiver Firewalls.

===Bekannte Lücken sowie geplante, zukünftige Sicherheitsmaßnahmen===
# Server sind vor dem Zugriff unbefugter Dritter geschützt.
#* Die Erteilung von Zugriffsrechten erfolgt derzeit weitestgehend monolithisch, soll in Zukunft jedoch granular und nach Bedarf erfolgen. Erteilte Rechte sollen an geeigneter Stelle transparent dokumentiert und veröffentlicht werden.
#* Bzgl. der verwendbaren Passwörter gibt es aktuell keine Vorgaben. In der Zukunft soll eine Überprüfung der Passwortstärke sowie Vorgabe einer minimalen Entropie implementiert werden.
#* Die Authentizfizierung im Rahmen des Shell-Login via SSH ist aktuell mittels eines Passworts möglich. Die Authentifizierung soll auf asymmetrische Schlüsselverfahren beschränkt werden, um die Folgen von Man-in-der-Mitte-Angriffen zu mildern.
#* Sicherheitssoftware zur Erkennung von Eindringlingen wird aktuell nur auf einem Teil der Freifunk-Server verwendet. Die Erstellung und Umsetzung eines flächendeckenden Konzepts steht nachwievor aus.
# Fehler und Sicherheitslücken in der verwendeten Software werden behoben.
#* Keine geplanten Maßnahmen.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.
#* Keine geplanten Maßnahmen.

==Bündel-Server==
Bündel-Server dienen der Verbindung isolierter Funkwolken innerhalb des Freifunk-Netzes. Vom Prinzip her sind Sie den Freifunk-Routern gleichgestellte Netzwerkknoten, erfüllen jedoch zusätzliche Aufgaben. Bündel-Server unterhalten im Normalfall eine hohe Anzahl an Verbindungen zu Freifunk-Routern. Da ein erheblicher Teil des Datenverkehrs über die Bündel-Server läuft, sind diese als besonders sicherheitskritisch einzustufen. Konkret erfüllen Bündel-Server die folgenden Aufgaben:
* Verbindung entferntner Freifunk-Router mittels Tunnelverbindungen über das Internet.
* Austausch von Routen-Informationen, um die zielgerichtete Zustellung von Daten zu ermöglichen.
* Automatische Netzwerkkonfiguration von Klienten.
* Namensauflösung innerhalb des Freifunk-Netzes.

===Schutzziele und Gefährdungen===
# Übertragene Daten sind vor dem Zugriff Dritter geschützt.
# Die Namensauflösung ist vor Manipulationen durch Dritte geschützt.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.

Zusätzlich gelten die Schutzziele und Gefährdungen für Server im allgemeinen.

===Abgeleitete Sicherheitsanforderungen===
# Übertragene Daten sind vor dem Zugriff Dritter geschützt.
*# Die Datenübertragung zu den Freifunk-Routern erfolgt mittels verschlüsselter Tunnelverbindungen (End-zu-Endverschlüsselung) unter Verwendung von nach heutigem Wissenssand sicherer Verfahren.
*# Die Authentizität der Endpunkte wird zum Schutz vor Mann-in-der-Mitte-Angriffen mittels eines asymmetrischen Schlüsselverfahrens sichergestellt.
# Die Namensauflösung ist vor Manipulationen durch Dritte geschützt.
*# Die Authentizität der Endpunkte wird zum Schutz vor Mann-in-der-Mitte-Angriffen mittels eines asymmetrischen Schlüsselverfahrens sichergestellt.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.
*# Der Ausfall eines Bündel-Servers führt nicht zur Störung des restlichen Netzes.
*# Die Netzstabilität wird durch Redundanz gewährleistet. Die Bündel-Server sind über mehrere Rechenzeitung verteilt.
*# Das Routing des Freifunk-Netzes ist "selbstheilend". Durch Ausfall bedingte Unterbrechungen werden automatisch behoben.
*# Die verfügbare Bandbreite wird gleichmäßig auf alle verbundenen Knoten/Klienten verteilt.

===Umgesetzte Sichgerheitsmaßnahmen===

===Bekannte Lücken sowie geplante, zukünftige Sicherheitsmaßnahmen===

==Internet Gateways==

Aufgaben:
* Verbindung des Freifunknetzes mit dem restlichen Internet
* Namensauflösung
* optionale Anonymisierung der Clienten

===Schutzziele und Gefährdungen===
# Gleichmäßige Verteilung der verfügbaren Bandbreite auf alle Klienten sowie adeqaute Priorisierung des Verkehrs nach Diensten
# Unterbindung von SPAM-Nachrichten
# Optional die Einschränkung von P2P-Dateiübertragung auf ein vertretbares Maß

===Abgeleitete Sichgerheitsmaßnahmen===
# Gleichmäßige Verteilung von Bandbreite auf alle Klienten
** Verwendung von geeigneten Queueing Disciplines

# Unterbindung von SPAM-Nachrichten
** Sperrung des Mail Ports 25. Beschränkung auf den Mail Submission Port 587.

# Einschränkung von P2P-Dateiübertragung auf ein erträgliches Maß
** Beschränkung der Zahl aktiver Verbindungen pro Klient

===Geplante, zukünftige Sicherheitsmaßnahmen===

==IC-VPN Gateways==
Aufgaben:
* Verbindung des Freifunk-Netzes mit anderen Freifunk-Netzen innerhalb des IC-VPNs
* Austausch von Routeninformationen
* Namensauflösung für Domänen innerhalb des IC-VPN
* Optional Routing von Internetverkehr zu den Gateways anderer Freifunk-Netze

===Schutzziele und Gefährdungen===
# Übertragene Daten sind vor dem Zugriff Dritter geschützt.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.
# Der Ausfall des IC-VPN-Gateways führt nicht zur Störung des restlichen Netzes.

Zusätzlich gelten die Schutzzile und Gefährdungen wie für Bündel-Server

===Abgeleitete Sichgerheitsmaßnahmen===
# Übertragene Daten sind vor dem Zugriff Dritter geschützt.
** Die Datenübertragung zu den Bündel-Servern erfolgt mittels verschlüsselter Tunnelverbindungen (End-zu Endverschlüsselung) unter Verwendung von nach heutigem Wissenssand sicherer Verfahren.
** Die Authentizität der Endpunkte wird zum Schutz vor Mann-in-der-Mitte-Angriffen mittels eines asymmetrischen Schlüsselverfahrens sichergestellt.

===Geplante, zukünftige Sicherheitsmaßnahmen===

==Bewertung des Gesamtsystems==
Welche Risiken ergeben sich aus dem Zusammnenwirken der Teilsysteme?

==Kontinuierliche Verbesserung==

Wie wollen wir die Sicherheit unserer Freifunk-Netze kontinuierlich verbessern?

==Mitteilungspflichten==

Welche Sicherheitsverletzungen und/oder Störungen würden wir der Bundesnetzagentur mitteilen wollen?

=Ideen=

Integration in Freifunk-API? Community füllt lediglich Formular zu den einzelnen Teilsystemen aus. Das Sicherheitskonzept wird im Anschluss automatisch erstellt und im Netz veröffentlicht.

Sicherheitskonzept (intern)

2015-05-17T09:38:59Z

Langweiler: /* Bündel-Server */

=Präambel=
Freifunk Dreiländereck ("FF3L") ist ein parteipolitischer, unabhängiger, eingetragener Verein, der sich als Teil der weltweiten Open Wireless-Bewegung versteht, welche in Deutschland durch die Freifunk-Initiative repärsentiert wird.

Zur Umsetzung des Vereinszwecks unterhält der FF3L eine Netzwerkinfrastruktur, welche in Kombination mit den Freifunk-WLAN-Routern das Freifunk-Netz bildet. Er ist bei der Bundesnetzagentur seit dem xx.xx.xxxx. als Telekommunikationsdienstleister (Access Provider) registriert.

Mit dem vorliegenden Sicherheitskonzept werden die folgenden Absichten verfolgt:
* Erfüllung der Verpflichtung zur Erstellung und Umsetzung eines Sicherheitskonzeptes nach § 109 TKG.
* Transparente Dokumentation des Status Quo in Bezug auf Informationssicherheit als Grundlage für die kontinuierliche Verbesserung.
* Aufzeigen von inherenten Limitierungen, die sich auf Grund der Funktionsweise des Freifunk-Netzes ergeben.
* Darstellung der Pflichten von Freifunk-Nutzern hinsichtlich Gewährleistung ihrer eigene Sicherheit.

=Gesetzlicher Hintergrund=
Auszug aus dem "Katalog von Sicherheitsanforderungen für das Betreiben von Telekommunikations- und Datenverarbeitungssystemen sowie für die Verarbeitung personenbezogener Daten nach § 109 Telekommunikationsgesetz (TKG):

Für das Betreiben öffentlicher Telekkommunikatiosnetze sowie das Erbringen öffentlich zugänglicher Telekommunikationsdiense schreibt § 109 TKG Vorkehrungen und sonstige Maßnahmen

* zum Schutz des Fernmeldegehimnisses,
* gegen die Verletzung des Schutzes personenbezogener Daten,
* gegen Störungen, die zu erheblichen Beeinträchtigungen von Telekommunikationsnetzen und -diensten führen, auch soweit sie durch äußere Angriffe und Einwirkungen von Katastrophen bedingt sein könnten,
als Mindestanforderungen vor.

Ziel und Zweck der zu treffenden Maßnahmen sind insbesondere

* die Sicherheit vor unerlaubtem Zugriffen auf Telekommunikations- und Datenverarbeitungssysteme
* die Reduzierung / Minimierung der Auswirkungen von Sicherheitsverletzungen auf Nutzer oder auf zusammengeschaltete Netze
* die Gewährleistung eines ordnungsgemäßen Betriebes der Netze und dadurch die Sicherstellung der fortlaufenden Verfügbarkeit der über die Netze erbrachten Dienste.

=Netzstruktur=
Das Freifunknetz ist ein offenes, sich spontan ausbildendes und selbstheilendes Maschennetzwerk. Die Grundbausteine ("Knoten") des Freifunk-Netzes sind die Freifunk-Router. Der Begriff Maschennetzwerk
bedeutet, dass die einzelnen Knoten mit einem oder mehreren Knoten auf nicht hierarschische Weise verbunden sind.

Die Freifunk-Router sinde handelsübliche WLAN-Router, ausgestattet mit einer speziellen Software ("Firmware"). Die spezielle Firmware gestattet es den Freifunk-Routern spontan Verbindung mit anderen Freifunk-Routern in Reichweite aufzunehmen. Hierbei kommt der offizielle, zugelassene WLAN-Standard 802.11n zum Einsatz. Gleichzeitig agieren die Router als WLAN-Zugangspunkt und ermöglichen damit Klienten (z.B. Smartphones) den direkten Zugang zum Freifunknetz.

Damit die Daten in dieser chaotischen Struktur ihren Weg finden, kommt ein spezielles Routing-Protokoll zum Einsatz. Im Fall des FF3L handelt es sich um das Protokoll [http://www.open-mesh.org/projects/batman-adv/wiki B.A.T.M.A.N. Advanced]. Dieses arbeitet auf der Netzzugangsschicht (Layer 2 nach dem OSI-Netzwerkschichtmodell). Das Freifunk-Netz verhält sich damit effektiv so, als wären alle Knoten über einen einzigen Netzwerk-Switch miteinander verbunden.

Neben der direkten Verbindung von Freifunk-Routern via WLAN gibt es die Option, isolierte Funkwolken über Tunnelverbindungen zu zentralen Servern ("Bündel-Servern") miteinander zu verbinden. Die Tunnelverbindungen laufen über das Internet und sind verschlüsselt (d.h. der Inhalt ist für Dritte nicht einsehbar). Der Internetanschluss wird hierbei auf freiwilliger Basis von den Knotenbetreibern zur Vefügung gestellt.

Weiterhin bietet das Freifunknetz über zentrale Gateways eine Verbindung ins Internet ("Internet Gateways") sowie den Verbund aller Freifunk-Netze ("IC-VPN Gateways"). Der Verein Freifunk Dreiländreck e.V. agiert damit als Zugangsanbieter ("Access Provider"). Die indirekte Weiterleitung ins Internet schützt die Knotenbetreiber vor ewaigen Haftungsansprüchen ("Störherhaftung") im Fall eines Missbrauchs durch Dritte.

Zusätzlich können Applikations-Server in das Freifunk-Netz integriert werden. Diese agieren als reguläre Netzwerkknoten und sind den Freifunk-Routern gleichgestellt.

[[Datei:Netzstrukturplan.png]]

=Sicherheitsteilsysteme=
In den folgenden Abschnitten werden die sicherheitskritischen Teilsysteme des Freifunk-Netzes definiert und diskutiert. Konkret werden als Teilsysteme die Freifunk-Router und Freifunk-Server im allgmeienen sowie Bündel-Server, Internet und IC-VPN Gateways im speziellen behandelt. Jeder Abschnitt besteht aus einer einleitenden Beschreibung inkl. der Aufgaben des jeweiligen Teilsystems, einer Auflistung von Schutzzielen und Gefährdungen, abgeleiteten Sicherheitsanforderungen, bereits umgesetzten sowie zukünftigen, geplanten Sicherheitsmaßnahmen. Zuletzt erfolgt eine abschließende Beurteilung des Gesamtsystems.

==Freifunk-Router==
Freifunk-WLAN-Router bilden die Grundelemente des Freifunk-Netzes. Sie werden auch als Netzwerkknoten bezeichnet. Bei Freifunk-Routern handelt sich um handelsübliche WLAN-Router, welche durch das Einspielen eines speziellen Betriebssystems ("Freifunk-Firmware") modifiziert werden. Freifunk-Router erfüllen die folgenden Aufgaben:
* Spontane Bildung des Freifunk-Maschennetzwerks via WLAN mit allen in Reichweite befindlichen Freifunk-Routern (lokale Funkwolke).
* Optional die Errichtung von Tunnelverbindungen zu Bündel-Servern über das Internet für den Datenaustausch mit entfernten Funkwolken.
* Austausch von Routen-Informationen, um die zielgerichtete Zustellung von Daten zu ermöglichen.
* Zugangspunkt zum Freifunk-Netzwerk für WLAN-Klienten (z.B. Smartphones, Tablets, Notebooks).
* Optional die Anbindung von Servern und/oder lokalen Klienten mittels einer direkten Kabelverbindung.

===Schutzziele und Gefährdungen===
# Freifunk-Router sind vor dem Zugriff unbefugter Dritter geschützt.
# Freifunk-Router ermöglichen Dritten den Zugang zum Freifunk-Netz, nicht jedoch den Zugang zum privaten Netz des Router-Betreibers.
# Fehler und Sicherheitslücken in der Freifunk-Firmware werden behoben.
# Übertragene Daten sind vor dem Zugriff Dritter geschützt.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.

===Abgeleitete Sicherheitsanforderungen===
# Freifunk-Router sind vor dem Zugriff unbefugter Dritter geschützt.
#* Die Einstellungen des Freifunk-Routers lassen sich lediglich in einem gesonderten Konfigurationsmodus verändern.
#* In der Standardkonfiguration des Freifunk-Routers ist kein Zugang auf der Ebene des Betriebssystems ("Shell Login") möglich.
#* Optional kann durch den Router-Betreiber ein verschlüsselter Zugang (z.B. via SSH) aktiviert werden, um die Wartung aus der Ferne zu ermöglichen.
# Freifunk-Router ermöglichen Dritten den Zugang zum Freifunk-Netz, nicht jedoch den Zugang zum privaten Netz des Router-Betreibers.
#* Eine Firewall auf dem Freifunk-Router (Layer 2 und/oder Layer 3) verhindert den Zugriff auf das private Netz des Betreibers.
#* Ausgenommen ist der Aufbau einer Tunnelverbindung zu den Bündelservern, sofern der Betreiber dies in der Konfiguration ausdrücklich gestattet ("opt in").
# Fehler und Sicherheitslücken in der Freifunk-Firmware werden behoben.
#* Die Firmware der Freifunk-Router wird in angemessenen Intervallen automatisch über das Freifunk-Netzt aktualisiert ("Autoupdater").
#* Die Authentizität der Firmware wird durch ein elektronisches Signaturverfahren sichergestellt.
#* Neue Firmware-Versionen werden vor dem Ausrollen gem. eines festgelegten Schemas getestet.
# Übertragene Daten sind vor dem Zugriff Dritter geschützt.
#* Die Datenübertragung zu den Bündel-Servern erfolgt mittels verschlüsselter Tunnelverbindungen (End-zu-Endverschlüsselung) unter Verwendung von nach heutigem Wissenssand sicherer Verfahren.
#* Die Authentizität der Endpunkte wird zum Schutz vor Mann-in-der-Mitte-Angriffen mittels eines asymmetrischen Schlüsselverfahrens sichergestellt.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.
#* Der Ausfall einzelner Freifunk-Router führt nicht zur Störung des restlichen Netzes.
#* Das Routing des Freifunk-Netzes ist "selbstheilend". Durch Ausfall bedingte Unterbrechungenwerden automatisch behoben.
#* Die Funktionstüchtigkeit der Router wird überwacht und der fehlerhafte Betrieb detektiert.

===Umgesetzte Sichgerheitsmaßnahmen===
# Freifunk-Router sind vor dem Zugriff unbefugter Dritter geschützt.
#* Die verwendete Gluon-Firmware unterstützt einen separaten Konfigurationsmodus. Dieser ist nach dem Aufspielen der Firmware aktiviert. Er kann zu einem späteren Zeitpunkt durch längeres Drücken der Reset-Taste am Router erneut aktiviert werden. Die Konfiguration wird über eine Web-Oberfläche unter der Adresse http://192.168.0.1 vorgenommen. Nach Abschluss der Konfiguration wechselt der Router in den Betriebsmodus. Eine Änderung der Konfiguration über die Web-Obewrfläche ist in der Folge nicht mehr möglich.
#* In der Standardkonfiguration der Gluon-Firmware ist der Shell Login auf den Router deaktiviert. Er muss explizit im Konfigurationsmodus aktiviert werden, indem ein Passwort oder Schlüssel für den Zugang via SSH gesetzt wird.
# Freifunk-Router ermöglichen Dritten den Zugang zum Freifunk-Netz, nicht jedoch den Zugang zum privaten Netz des Router-Betreibers.
#* Das Freifunk-Netz und das private Netz des Router-Betreibers werden in der Gluon-Netzwerkkonfiguration strikt getrennt. Die Zugänge zu den beiden Netzen sind in Form separater Brücken zusammengefasst (''br-client'' und ''br-wan'').
#* Die verwendete Gluon-Firmware konfiguriert Firewall-Regeln (bereitgestellt durch das Paket ''gluon-ebtables''), welche auf der Netzzugangsschicht (Layer 2) den Zugriff auf das private Netz unterbindet.
#* Eine Ausnahme bildet der Aufbau einer optionalen Tunnelverbindung zu den Bündel-Servern durch die VPN-Software ''fastd''. Diese Option muss vom Betreiber im Konfigurationsmodus explizit aktiviert werden ("opt-in").
# Fehler und Sicherheitslücken in der Freifunk-Firmware werden behoben.
#* Der FF3L betreibt einen Aktualisierungs-Dienst, welcher über das Freifunk-Netz erreichbar ist. Mit Hilfe des Aktualisierungsdienstes lassen sich neuere Versionen der Firmware auf den Routern automatisch einspielen. Die Konfiguration der Freifunk-Router bleibt hierbei soweit möglich erhalten.
#* Der Aktualisierungs-Dienst ist in der Standardkonfiguration der Freifunk-Firmware aktiviert (Zweig "stable"). Der Aktualisierungs-Dienst kann im Konfigurationsmodus in den Experteneinstellungen deaktiviert werden ("opt-out").
#* Die Authentitizät der Firmware-Images wird durch ein Signaturverfahren gewährleistet (signiertes Manifest). Neue Images werden von den Freifunk-Routern nur bei vorhandensein einer gültigen Signatur installiert (siehe auch [http://gluon.readthedocs.org/en/v2014.4/index.html Gluon-Dokumentation]).
#* Veröffentlichte Firmware-Images werden in die Zweige "experimental", "beta" und "stable" unterteilt. Neue Firmware-Versionen werden in eben dieser Reihenfolge ausgerollt, um einen ausreichenden Testbetrieb vor der Verbreitung zu gewährleisten.
#* Die Aktuelle Praxis bezüglich der Veröffentlichung von neuen Firmware-Versionen ist im [http://wiki.freifunk-3laendereck.net/Freifunk-Router:Firmware Wiki] des FF3L dokumentiert.
# Übertragene Daten sind vor dem Zugriff Dritter geschützt.
#* Die Datenübertragung zu den Bündel-Servern erfolgt mittels der VPN-Software fastd über das Internet. Die übertragenen Daten sind mittels des Chiffre Salsa20/12 verschlüsselt.
#* Die Authentifizierung erfolgt mittels der asymmetrischen Schlüsselverfahren UMAC oder GMAC. Die öffentlichen Schlüssel müssen einmalig vor dem Aufbau der Verbindung ausgetauscht werden. Dies geschieht im Rahmen der Registrierung des Knotens.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.
#* Der Ausfall einzelner Server führt nicht zu Störungen innerhalb des Netzes, sofern alternative Routen existieren. In diesem Fällen wird das Routing durch das verwendete Routing-Protokoll batman-adv automatisch korrigiert und die Lücke geschlossen
#* Die Freifunk-Firmware stellt auf den Knoten eine Stauts-Seite bereit. Auf dieser kann man sehen, ob der Knoten mit dem Freifunk-Netz und auf welche Weise er mit dem Freifunk-Netz verbunden ist.
#* Der Status aller Knoten wird zusätzlich in Form einer Knotenkarte auf den Servern des FF3L visualisiert. Der Karte lässt sich neben der Lage des Knotes (freiwillige Angabe) entnehmen, ob ein Knoten mit dem Freifunk-Netz verbunden ist und wie er vebunden ist.

===Bekannte Lücken sowie geplante, zukünftige Sicherheitsmaßnahmen===
# Freifunk-Router sind vor dem Zugriff unbefugter Dritter geschützt.
#* Freifunk-Router werden prinzipiell nicht vom FF3L betrieben. Für den Schutz vor physikalischem Zugriff und ggf. damit einhergehender Manipulation ist der Knoten-Betreiber verantwortlich.
# Freifunk-Router ermöglichen Dritten den Zugang zum Freifunk-Netz, nicht jedoch den Zugang zum privaten Netz des Router-Betreibers.
#* Die an bestimmten Freifunk-Routern verfügbaren LAN-Ports ermöglichen eine direkte Verbindung von Endgeräten (z.B. Servern) mit dem Freifunk-Netz. LAN-Ports sind von den WAN-Ports zu unterscheiden, über welche die Freifunk-Router mit dem Internet verbunden werden.
#* Im Fall einer Verwechslung der Ports, kann das private Netze des Freifunk-Betreibers in das Freifunk-Netz überbrückt werden.
#* Um Knotenbetreiber im Fall einer Verwechselung zu schützen, sollen die LAN-Ports in der Standardkonfiguration deaktiviert werden. Eine Aktivierung erfolgt über den Konfigurationsmodus des Routers.
# Fehler und Sicherheitslücken in der Freifunk-Firmware werden behoben.
#* Der Aktualisierungs-Dienst für die Freifunk-Firmware ist in der Standardkonfiguration aktiviert. Die entsprechende Einstellung verbirgt sich jedoch unter den Experteneinstellungen im Konfigurationsmodus.
#* Um Knotenbetreiber auf diesen Umstand aufmerksam zu machen, ist eine Verlegung der Einstellungen in den allgemeinen Teil des Konfigurationsmnodus geplant.
# Übertragene Daten sind vor dem Zugriff Dritter geschützt.
#* Die Datenübertragung zwischen den Freifunk-Routern erfolgt auf Grund der eingesetzen Technologie unverschlüsselt. Sie ist damit durch Dritte vor Ort abhörbar.
#* Umfassende Sicherheit lässt sich allein durch End-zu-End-Verschlüsselung gewährleisten. Die Anwendung dieser erfolgt auf den Endgeräten und liegt damit in der Verantwortung der Freifunk-Nutzer und nicht des FF3L.
#* Um eine sichere Übetragung von den Klienten zu den Bündel-Servern zu gewährleisten, soll optional ein VPN-Zugang für Klienten angeboten werden (z.B. [http://www.openvpn.net OpenVPN]).
#* Um eine sichere Übertragung von Endpunkt zu Endpunkt innerhalb des Freifunk-Netzes anzubieten, ist die Einrichtung eines verschlüsselten Overlay-Netzes angedacht (z.B. [http://cjdns.info/ cjDNS]).
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet
#* Keine geplanten Maßnahmen.

==Server==
Im Folgenden Abschnitt sind die allgemeinen Schutzziele und Gefährdungen für Freifunk-Server zusammengefasst. Freifunk-Server werden in der Regel - jedoch nicht ausschließlich - bei Host Providern angemietet (physikalische und virtualisierte Root Server). Die Einrichtung, der Betrieb und die Wartung erfolgt durch den FF3L. Der Begriff "Freifunk-Server" umfasst hierbei die weiter unten aufgeführten Bündel-Server, Internet sowie IC-VPN Gateways. Diese werden entsprechend ihrer Aufgaben noch einmal separat abgehandelt. In der Praxis werde die verschiedenen Server meist zusammengefasst. Ausgeschlossen sind Server, welche von Freifunkern als Privatpersonen innerhalb des Freifunknetzes betrieben werden.

===Schutzziele und Gefährdungen===
# Server sind vor dem Zugriff unbefugter Dritter geschützt.
# Fehler und Sicherheitslücken in der verwendeten Software werden behoben.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.

===Abgeleitete Sicherheitsanforderungen===
# Server sind vor dem Zugriff unbefugter Dritter geschützt.
#* Der Zugriff auf die Server (physikalisch und über das Internet) ist auf einen engen, definierten Personenkreis beschränkt.
#* Zugriffsrechte werden nach Bedarf und maßgeschneidert erteilt.
#* Der Zugang aus dem Netz erfolgt exklusiv über verschlüsselte Verbindungen (z.B. SSH).
#* Eine Firewall beschränkt Zugriffe aus dem Netz auf das notwendige Minimum.
#* Spezielle Sicherheitssoftware zur Erkennung von Eindringlingen wird verwendet.
# Fehler und Sicherheitslücken in der verwendeten Software werden behoben.
#* Server werden auf der Grundlage eines gepflegten, quelloffenen Betriebssystems errichtet.
#* Verwendete Software wird in adequaten Intervallen aktualisiert.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.
#* Die Funktionstüchtigkeit der Server wird überwacht und der fehlerhafte Betrieb detektiert.
#* Server sind vor DoS-Attacken aus dem Internet geschützt.

===Umgesetzte Sicherheitsmaßnahmen===
# Server sind vor dem Zugriff unbefugter Dritter geschützt.
#* Der Zugriff auf die Server des FF3L ist auf Mitglieder des Administratoren-Teams begrenzt. Das Aministratoren-Team wird durch den Vorstand des Vereins benannt.
#* Der Shell-Login ist ausschließlich über SSH möglich. Die Authentifizierung erfolgt mittels eines Passworts (LDAP) oder eines hinterlegten Schlüssels.
#* Server werden durch Firewall-Regeln auf der Basis von ''iptables'' geschützt. Die Standardvorgabe ist, dass eingehende und weiterzuleitende Pakete verworfen werden. Die Freigabe von Ports bzw. der Weiterleitung erfolgt mittels spezifischer Regeln wo erwünscht.
# Fehler und Sicherheitslücken in der verwendeten Software werden behoben.
#* Die Freifunk-Server werden auf Basis der Debian Linux-Distribution betrieben. Sofern möglich, wird die jeweils letzte stabile Version verwendet.
#* Es werden in angemessenen Intervallen empfohlene Sicherheitsaktualisierungen mittels der offiziellen Paketverwaltung eingespielt.
#* Das Administratoren-Team verfolgt sicherheitsrelevante Ankündigungen über die Mailing-Liste debian-security-announce@lists.debian.org.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.
#* Kritische Server und Dienste werden über ein zentrales Monitoring auf der Basis von Nagios(-Derivaten) überwacht. Das Monitoring ist redundant aufgesetzt. Der aktuelle Zustand aller Server und Diense ist über eine Web-Oberfläche einsehbar. Optional erfolgt eine Mitteilung per e-Mail im Fall von Statusänderungen.
#* Die Server des FF3L werden von Host Providern angemietet. Diese bieten üblicherweise einen gewissen Schutz vor DoS-Angriffen in der Form adaptiver Firewalls.

===Bekannte Lücken sowie geplante, zukünftige Sicherheitsmaßnahmen===
# Server sind vor dem Zugriff unbefugter Dritter geschützt.
#* Die Erteilung von Zugriffsrechten erfolgt derzeit weitestgehend monolithisch, soll in Zukunft jedoch granular und nach Bedarf erfolgen. Erteilte Rechte sollen an geeigneter Stelle transparent dokumentiert und veröffentlicht werden.
#* Bzgl. der verwendbaren Passwörter gibt es aktuell keine Vorgaben. In der Zukunft soll eine Überprüfung der Passwortstärke sowie Vorgabe einer minimalen Entropie implementiert werden.
#* Die Authentizfizierung im Rahmen des Shell-Login via SSH ist aktuell mittels eines Passworts möglich. Die Authentifizierung soll auf asymmetrische Schlüsselverfahren beschränkt werden, um die Folgen von Man-in-der-Mitte-Angriffen zu mildern.
#* Sicherheitssoftware zur Erkennung von Eindringlingen wird aktuell nur auf einem Teil der Freifunk-Server verwendet. Die Erstellung und Umsetzung eines flächendeckenden Konzepts steht nachwievor aus.
# Fehler und Sicherheitslücken in der verwendeten Software werden behoben.
#* Keine geplanten Maßnahmen.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.
#* Keine geplanten Maßnahmen.

==Bündel-Server==
Bündel-Server dienen der Verbindung isolierter Funkwolken innerhalb des Freifunknetzes. Vom Prinzip her sind Sie den Freifunk-Routern gleichgestellte Netzwerkknoten, erfüllen jedoch zusätzliche Aufgaben. Konkret erfüllen Bündel-Server die folgenden Aufgaben:
* Verbindung entferntner Freifunk-Router mittels Tunnelverbindungen über das Internet.
* Austausch von Routen-Informationen, um die zielgerichtete Zustellung von Daten zu ermöglichen.
* Automatische Netzwerkkonfiguration von Klienten (Gluon).
* Namensauflösung innerhalb des Freifunk-Netzes (Gluon).

===Schutzziele und Gefährdungen===
# Übertragene Daten sind vor dem Zugriff Dritter geschützt.
# Die Namensauflösung ist vor Manipulationen durch Dritte geschützt.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.

Zusätzlich gelten die Schutzziele und Gefährdungen für Server im allgemeinen.

===Abgeleitete Sicherheitsanforderungen===
# Übertragene Daten sind vor dem Zugriff Dritter geschützt.
*# Die Datenübertragung zu den Freifunk-Routern erfolgt mittels verschlüsselter Tunnelverbindungen (End-zu-Endverschlüsselung) unter Verwendung von nach heutigem Wissenssand sicherer Verfahren.
*# Die Authentizität der Endpunkte wird zum Schutz vor Mann-in-der-Mitte-Angriffen mittels eines asymmetrischen Schlüsselverfahrens sichergestellt.
# Die Namensauflösung ist vor Manipulationen durch Dritte geschützt.
*# Die Authentizität der Endpunkte wird zum Schutz vor Mann-in-der-Mitte-Angriffen mittels eines asymmetrischen Schlüsselverfahrens sichergestellt.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.
*# Der Ausfall eines Bündel-Servers führt nicht zur Störung des restlichen Netzes.
*# Die Netzstabilität wird durch Redundanz gewährleistet. Die Bündel-Server sind über mehrere Rechenzeitung verteilt.
*# Das Routing des Freifunk-Netzes ist "selbstheilend". Durch Ausfall bedingte Unterbrechungen werden automatisch behoben.
*# Die verfügbare Bandbreite wird gleichmäßig auf alle verbundenen Knoten/Klienten verteilt.

===Umgesetzte Sichgerheitsmaßnahmen===

===Geplante, zukünftige Sicherheitsmaßnahmen===

==Internet Gateways==

Aufgaben:
* Verbindung des Freifunknetzes mit dem restlichen Internet
* Namensauflösung
* optionale Anonymisierung der Clienten

===Schutzziele und Gefährdungen===
# Gleichmäßige Verteilung der verfügbaren Bandbreite auf alle Klienten sowie adeqaute Priorisierung des Verkehrs nach Diensten
# Unterbindung von SPAM-Nachrichten
# Optional die Einschränkung von P2P-Dateiübertragung auf ein vertretbares Maß

===Abgeleitete Sichgerheitsmaßnahmen===
# Gleichmäßige Verteilung von Bandbreite auf alle Klienten
** Verwendung von geeigneten Queueing Disciplines

# Unterbindung von SPAM-Nachrichten
** Sperrung des Mail Ports 25. Beschränkung auf den Mail Submission Port 587.

# Einschränkung von P2P-Dateiübertragung auf ein erträgliches Maß
** Beschränkung der Zahl aktiver Verbindungen pro Klient

===Geplante, zukünftige Sicherheitsmaßnahmen===

==IC-VPN Gateways==
Aufgaben:
* Verbindung des Freifunk-Netzes mit anderen Freifunk-Netzen innerhalb des IC-VPNs
* Austausch von Routeninformationen
* Namensauflösung für Domänen innerhalb des IC-VPN
* Optional Routing von Internetverkehr zu den Gateways anderer Freifunk-Netze

===Schutzziele und Gefährdungen===
# Übertragene Daten sind vor dem Zugriff Dritter geschützt.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.
# Der Ausfall des IC-VPN-Gateways führt nicht zur Störung des restlichen Netzes.

Zusätzlich gelten die Schutzzile und Gefährdungen wie für Bündel-Server

===Abgeleitete Sichgerheitsmaßnahmen===
# Übertragene Daten sind vor dem Zugriff Dritter geschützt.
** Die Datenübertragung zu den Bündel-Servern erfolgt mittels verschlüsselter Tunnelverbindungen (End-zu Endverschlüsselung) unter Verwendung von nach heutigem Wissenssand sicherer Verfahren.
** Die Authentizität der Endpunkte wird zum Schutz vor Mann-in-der-Mitte-Angriffen mittels eines asymmetrischen Schlüsselverfahrens sichergestellt.

===Geplante, zukünftige Sicherheitsmaßnahmen===

==Bewertung des Gesamtsystems==
Welche Risiken ergeben sich aus dem Zusammnenwirken der Teilsysteme?

==Kontinuierliche Verbesserung==

Wie wollen wir die Sicherheit unserer Freifunk-Netze kontinuierlich verbessern?

==Mitteilungspflichten==

Welche Sicherheitsverletzungen und/oder Störungen würden wir der Bundesnetzagentur mitteilen wollen?

=Ideen=

Integration in Freifunk-API? Community füllt lediglich Formular zu den einzelnen Teilsystemen aus. Das Sicherheitskonzept wird im Anschluss automatisch erstellt und im Netz veröffentlicht.

Sicherheitskonzept (intern)

2015-05-17T09:33:56Z

Langweiler: /* Bekannte Lücken sowie geplante, zukünftige Sicherheitsmaßnahmen */

=Präambel=
Freifunk Dreiländereck ("FF3L") ist ein parteipolitischer, unabhängiger, eingetragener Verein, der sich als Teil der weltweiten Open Wireless-Bewegung versteht, welche in Deutschland durch die Freifunk-Initiative repärsentiert wird.

Zur Umsetzung des Vereinszwecks unterhält der FF3L eine Netzwerkinfrastruktur, welche in Kombination mit den Freifunk-WLAN-Routern das Freifunk-Netz bildet. Er ist bei der Bundesnetzagentur seit dem xx.xx.xxxx. als Telekommunikationsdienstleister (Access Provider) registriert.

Mit dem vorliegenden Sicherheitskonzept werden die folgenden Absichten verfolgt:
* Erfüllung der Verpflichtung zur Erstellung und Umsetzung eines Sicherheitskonzeptes nach § 109 TKG.
* Transparente Dokumentation des Status Quo in Bezug auf Informationssicherheit als Grundlage für die kontinuierliche Verbesserung.
* Aufzeigen von inherenten Limitierungen, die sich auf Grund der Funktionsweise des Freifunk-Netzes ergeben.
* Darstellung der Pflichten von Freifunk-Nutzern hinsichtlich Gewährleistung ihrer eigene Sicherheit.

=Gesetzlicher Hintergrund=
Auszug aus dem "Katalog von Sicherheitsanforderungen für das Betreiben von Telekommunikations- und Datenverarbeitungssystemen sowie für die Verarbeitung personenbezogener Daten nach § 109 Telekommunikationsgesetz (TKG):

Für das Betreiben öffentlicher Telekkommunikatiosnetze sowie das Erbringen öffentlich zugänglicher Telekommunikationsdiense schreibt § 109 TKG Vorkehrungen und sonstige Maßnahmen

* zum Schutz des Fernmeldegehimnisses,
* gegen die Verletzung des Schutzes personenbezogener Daten,
* gegen Störungen, die zu erheblichen Beeinträchtigungen von Telekommunikationsnetzen und -diensten führen, auch soweit sie durch äußere Angriffe und Einwirkungen von Katastrophen bedingt sein könnten,
als Mindestanforderungen vor.

Ziel und Zweck der zu treffenden Maßnahmen sind insbesondere

* die Sicherheit vor unerlaubtem Zugriffen auf Telekommunikations- und Datenverarbeitungssysteme
* die Reduzierung / Minimierung der Auswirkungen von Sicherheitsverletzungen auf Nutzer oder auf zusammengeschaltete Netze
* die Gewährleistung eines ordnungsgemäßen Betriebes der Netze und dadurch die Sicherstellung der fortlaufenden Verfügbarkeit der über die Netze erbrachten Dienste.

=Netzstruktur=
Das Freifunknetz ist ein offenes, sich spontan ausbildendes und selbstheilendes Maschennetzwerk. Die Grundbausteine ("Knoten") des Freifunk-Netzes sind die Freifunk-Router. Der Begriff Maschennetzwerk
bedeutet, dass die einzelnen Knoten mit einem oder mehreren Knoten auf nicht hierarschische Weise verbunden sind.

Die Freifunk-Router sinde handelsübliche WLAN-Router, ausgestattet mit einer speziellen Software ("Firmware"). Die spezielle Firmware gestattet es den Freifunk-Routern spontan Verbindung mit anderen Freifunk-Routern in Reichweite aufzunehmen. Hierbei kommt der offizielle, zugelassene WLAN-Standard 802.11n zum Einsatz. Gleichzeitig agieren die Router als WLAN-Zugangspunkt und ermöglichen damit Klienten (z.B. Smartphones) den direkten Zugang zum Freifunknetz.

Damit die Daten in dieser chaotischen Struktur ihren Weg finden, kommt ein spezielles Routing-Protokoll zum Einsatz. Im Fall des FF3L handelt es sich um das Protokoll [http://www.open-mesh.org/projects/batman-adv/wiki B.A.T.M.A.N. Advanced]. Dieses arbeitet auf der Netzzugangsschicht (Layer 2 nach dem OSI-Netzwerkschichtmodell). Das Freifunk-Netz verhält sich damit effektiv so, als wären alle Knoten über einen einzigen Netzwerk-Switch miteinander verbunden.

Neben der direkten Verbindung von Freifunk-Routern via WLAN gibt es die Option, isolierte Funkwolken über Tunnelverbindungen zu zentralen Servern ("Bündel-Servern") miteinander zu verbinden. Die Tunnelverbindungen laufen über das Internet und sind verschlüsselt (d.h. der Inhalt ist für Dritte nicht einsehbar). Der Internetanschluss wird hierbei auf freiwilliger Basis von den Knotenbetreibern zur Vefügung gestellt.

Weiterhin bietet das Freifunknetz über zentrale Gateways eine Verbindung ins Internet ("Internet Gateways") sowie den Verbund aller Freifunk-Netze ("IC-VPN Gateways"). Der Verein Freifunk Dreiländreck e.V. agiert damit als Zugangsanbieter ("Access Provider"). Die indirekte Weiterleitung ins Internet schützt die Knotenbetreiber vor ewaigen Haftungsansprüchen ("Störherhaftung") im Fall eines Missbrauchs durch Dritte.

Zusätzlich können Applikations-Server in das Freifunk-Netz integriert werden. Diese agieren als reguläre Netzwerkknoten und sind den Freifunk-Routern gleichgestellt.

[[Datei:Netzstrukturplan.png]]

=Sicherheitsteilsysteme=
In den folgenden Abschnitten werden die sicherheitskritischen Teilsysteme des Freifunk-Netzes definiert und diskutiert. Konkret werden als Teilsysteme die Freifunk-Router und Freifunk-Server im allgmeienen sowie Bündel-Server, Internet und IC-VPN Gateways im speziellen behandelt. Jeder Abschnitt besteht aus einer einleitenden Beschreibung inkl. der Aufgaben des jeweiligen Teilsystems, einer Auflistung von Schutzzielen und Gefährdungen, abgeleiteten Sicherheitsanforderungen, bereits umgesetzten sowie zukünftigen, geplanten Sicherheitsmaßnahmen. Zuletzt erfolgt eine abschließende Beurteilung des Gesamtsystems.

==Freifunk-Router==
Freifunk-WLAN-Router bilden die Grundelemente des Freifunk-Netzes. Sie werden auch als Netzwerkknoten bezeichnet. Bei Freifunk-Routern handelt sich um handelsübliche WLAN-Router, welche durch das Einspielen eines speziellen Betriebssystems ("Freifunk-Firmware") modifiziert werden. Freifunk-Router erfüllen die folgenden Aufgaben:
* Spontane Bildung des Freifunk-Maschennetzwerks via WLAN mit allen in Reichweite befindlichen Freifunk-Routern (lokale Funkwolke).
* Optional die Errichtung von Tunnelverbindungen zu Bündel-Servern über das Internet für den Datenaustausch mit entfernten Funkwolken.
* Austausch von Routen-Informationen, um die zielgerichtete Zustellung von Daten zu ermöglichen.
* Zugangspunkt zum Freifunk-Netzwerk für WLAN-Klienten (z.B. Smartphones, Tablets, Notebooks).
* Optional die Anbindung von Servern und/oder lokalen Klienten mittels einer direkten Kabelverbindung.

===Schutzziele und Gefährdungen===
# Freifunk-Router sind vor dem Zugriff unbefugter Dritter geschützt.
# Freifunk-Router ermöglichen Dritten den Zugang zum Freifunk-Netz, nicht jedoch den Zugang zum privaten Netz des Router-Betreibers.
# Fehler und Sicherheitslücken in der Freifunk-Firmware werden behoben.
# Übertragene Daten sind vor dem Zugriff Dritter geschützt.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.

===Abgeleitete Sicherheitsanforderungen===
# Freifunk-Router sind vor dem Zugriff unbefugter Dritter geschützt.
#* Die Einstellungen des Freifunk-Routers lassen sich lediglich in einem gesonderten Konfigurationsmodus verändern.
#* In der Standardkonfiguration des Freifunk-Routers ist kein Zugang auf der Ebene des Betriebssystems ("Shell Login") möglich.
#* Optional kann durch den Router-Betreiber ein verschlüsselter Zugang (z.B. via SSH) aktiviert werden, um die Wartung aus der Ferne zu ermöglichen.
# Freifunk-Router ermöglichen Dritten den Zugang zum Freifunk-Netz, nicht jedoch den Zugang zum privaten Netz des Router-Betreibers.
#* Eine Firewall auf dem Freifunk-Router (Layer 2 und/oder Layer 3) verhindert den Zugriff auf das private Netz des Betreibers.
#* Ausgenommen ist der Aufbau einer Tunnelverbindung zu den Bündelservern, sofern der Betreiber dies in der Konfiguration ausdrücklich gestattet ("opt in").
# Fehler und Sicherheitslücken in der Freifunk-Firmware werden behoben.
#* Die Firmware der Freifunk-Router wird in angemessenen Intervallen automatisch über das Freifunk-Netzt aktualisiert ("Autoupdater").
#* Die Authentizität der Firmware wird durch ein elektronisches Signaturverfahren sichergestellt.
#* Neue Firmware-Versionen werden vor dem Ausrollen gem. eines festgelegten Schemas getestet.
# Übertragene Daten sind vor dem Zugriff Dritter geschützt.
#* Die Datenübertragung zu den Bündel-Servern erfolgt mittels verschlüsselter Tunnelverbindungen (End-zu-Endverschlüsselung) unter Verwendung von nach heutigem Wissenssand sicherer Verfahren.
#* Die Authentizität der Endpunkte wird zum Schutz vor Mann-in-der-Mitte-Angriffen mittels eines asymmetrischen Schlüsselverfahrens sichergestellt.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.
#* Der Ausfall einzelner Freifunk-Router führt nicht zur Störung des restlichen Netzes.
#* Das Routing des Freifunk-Netzes ist "selbstheilend". Durch Ausfall bedingte Unterbrechungenwerden automatisch behoben.
#* Die Funktionstüchtigkeit der Router wird überwacht und der fehlerhafte Betrieb detektiert.

===Umgesetzte Sichgerheitsmaßnahmen===
# Freifunk-Router sind vor dem Zugriff unbefugter Dritter geschützt.
#* Die verwendete Gluon-Firmware unterstützt einen separaten Konfigurationsmodus. Dieser ist nach dem Aufspielen der Firmware aktiviert. Er kann zu einem späteren Zeitpunkt durch längeres Drücken der Reset-Taste am Router erneut aktiviert werden. Die Konfiguration wird über eine Web-Oberfläche unter der Adresse http://192.168.0.1 vorgenommen. Nach Abschluss der Konfiguration wechselt der Router in den Betriebsmodus. Eine Änderung der Konfiguration über die Web-Obewrfläche ist in der Folge nicht mehr möglich.
#* In der Standardkonfiguration der Gluon-Firmware ist der Shell Login auf den Router deaktiviert. Er muss explizit im Konfigurationsmodus aktiviert werden, indem ein Passwort oder Schlüssel für den Zugang via SSH gesetzt wird.
# Freifunk-Router ermöglichen Dritten den Zugang zum Freifunk-Netz, nicht jedoch den Zugang zum privaten Netz des Router-Betreibers.
#* Das Freifunk-Netz und das private Netz des Router-Betreibers werden in der Gluon-Netzwerkkonfiguration strikt getrennt. Die Zugänge zu den beiden Netzen sind in Form separater Brücken zusammengefasst (''br-client'' und ''br-wan'').
#* Die verwendete Gluon-Firmware konfiguriert Firewall-Regeln (bereitgestellt durch das Paket ''gluon-ebtables''), welche auf der Netzzugangsschicht (Layer 2) den Zugriff auf das private Netz unterbindet.
#* Eine Ausnahme bildet der Aufbau einer optionalen Tunnelverbindung zu den Bündel-Servern durch die VPN-Software ''fastd''. Diese Option muss vom Betreiber im Konfigurationsmodus explizit aktiviert werden ("opt-in").
# Fehler und Sicherheitslücken in der Freifunk-Firmware werden behoben.
#* Der FF3L betreibt einen Aktualisierungs-Dienst, welcher über das Freifunk-Netz erreichbar ist. Mit Hilfe des Aktualisierungsdienstes lassen sich neuere Versionen der Firmware auf den Routern automatisch einspielen. Die Konfiguration der Freifunk-Router bleibt hierbei soweit möglich erhalten.
#* Der Aktualisierungs-Dienst ist in der Standardkonfiguration der Freifunk-Firmware aktiviert (Zweig "stable"). Der Aktualisierungs-Dienst kann im Konfigurationsmodus in den Experteneinstellungen deaktiviert werden ("opt-out").
#* Die Authentitizät der Firmware-Images wird durch ein Signaturverfahren gewährleistet (signiertes Manifest). Neue Images werden von den Freifunk-Routern nur bei vorhandensein einer gültigen Signatur installiert (siehe auch [http://gluon.readthedocs.org/en/v2014.4/index.html Gluon-Dokumentation]).
#* Veröffentlichte Firmware-Images werden in die Zweige "experimental", "beta" und "stable" unterteilt. Neue Firmware-Versionen werden in eben dieser Reihenfolge ausgerollt, um einen ausreichenden Testbetrieb vor der Verbreitung zu gewährleisten.
#* Die Aktuelle Praxis bezüglich der Veröffentlichung von neuen Firmware-Versionen ist im [http://wiki.freifunk-3laendereck.net/Freifunk-Router:Firmware Wiki] des FF3L dokumentiert.
# Übertragene Daten sind vor dem Zugriff Dritter geschützt.
#* Die Datenübertragung zu den Bündel-Servern erfolgt mittels der VPN-Software fastd über das Internet. Die übertragenen Daten sind mittels des Chiffre Salsa20/12 verschlüsselt.
#* Die Authentifizierung erfolgt mittels der asymmetrischen Schlüsselverfahren UMAC oder GMAC. Die öffentlichen Schlüssel müssen einmalig vor dem Aufbau der Verbindung ausgetauscht werden. Dies geschieht im Rahmen der Registrierung des Knotens.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.
#* Der Ausfall einzelner Server führt nicht zu Störungen innerhalb des Netzes, sofern alternative Routen existieren. In diesem Fällen wird das Routing durch das verwendete Routing-Protokoll batman-adv automatisch korrigiert und die Lücke geschlossen
#* Die Freifunk-Firmware stellt auf den Knoten eine Stauts-Seite bereit. Auf dieser kann man sehen, ob der Knoten mit dem Freifunk-Netz und auf welche Weise er mit dem Freifunk-Netz verbunden ist.
#* Der Status aller Knoten wird zusätzlich in Form einer Knotenkarte auf den Servern des FF3L visualisiert. Der Karte lässt sich neben der Lage des Knotes (freiwillige Angabe) entnehmen, ob ein Knoten mit dem Freifunk-Netz verbunden ist und wie er vebunden ist.

===Bekannte Lücken sowie geplante, zukünftige Sicherheitsmaßnahmen===
# Freifunk-Router sind vor dem Zugriff unbefugter Dritter geschützt.
#* Freifunk-Router werden prinzipiell nicht vom FF3L betrieben. Für den Schutz vor physikalischem Zugriff und ggf. damit einhergehender Manipulation ist der Knoten-Betreiber verantwortlich.
# Freifunk-Router ermöglichen Dritten den Zugang zum Freifunk-Netz, nicht jedoch den Zugang zum privaten Netz des Router-Betreibers.
#* Die an bestimmten Freifunk-Routern verfügbaren LAN-Ports ermöglichen eine direkte Verbindung von Endgeräten (z.B. Servern) mit dem Freifunk-Netz. LAN-Ports sind von den WAN-Ports zu unterscheiden, über welche die Freifunk-Router mit dem Internet verbunden werden.
#* Im Fall einer Verwechslung der Ports, kann das private Netze des Freifunk-Betreibers in das Freifunk-Netz überbrückt werden.
#* Um Knotenbetreiber im Fall einer Verwechselung zu schützen, sollen die LAN-Ports in der Standardkonfiguration deaktiviert werden. Eine Aktivierung erfolgt über den Konfigurationsmodus des Routers.
# Fehler und Sicherheitslücken in der Freifunk-Firmware werden behoben.
#* Der Aktualisierungs-Dienst für die Freifunk-Firmware ist in der Standardkonfiguration aktiviert. Die entsprechende Einstellung verbirgt sich jedoch unter den Experteneinstellungen im Konfigurationsmodus.
#* Um Knotenbetreiber auf diesen Umstand aufmerksam zu machen, ist eine Verlegung der Einstellungen in den allgemeinen Teil des Konfigurationsmnodus geplant.
# Übertragene Daten sind vor dem Zugriff Dritter geschützt.
#* Die Datenübertragung zwischen den Freifunk-Routern erfolgt auf Grund der eingesetzen Technologie unverschlüsselt. Sie ist damit durch Dritte vor Ort abhörbar.
#* Umfassende Sicherheit lässt sich allein durch End-zu-End-Verschlüsselung gewährleisten. Die Anwendung dieser erfolgt auf den Endgeräten und liegt damit in der Verantwortung der Freifunk-Nutzer und nicht des FF3L.
#* Um eine sichere Übetragung von den Klienten zu den Bündel-Servern zu gewährleisten, soll optional ein VPN-Zugang für Klienten angeboten werden (z.B. [http://www.openvpn.net OpenVPN]).
#* Um eine sichere Übertragung von Endpunkt zu Endpunkt innerhalb des Freifunk-Netzes anzubieten, ist die Einrichtung eines verschlüsselten Overlay-Netzes angedacht (z.B. [http://cjdns.info/ cjDNS]).
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet
#* Keine geplanten Maßnahmen.

==Server==
Im Folgenden Abschnitt sind die allgemeinen Schutzziele und Gefährdungen für Freifunk-Server zusammengefasst. Freifunk-Server werden in der Regel - jedoch nicht ausschließlich - bei Host Providern angemietet (physikalische und virtualisierte Root Server). Die Einrichtung, der Betrieb und die Wartung erfolgt durch den FF3L. Der Begriff "Freifunk-Server" umfasst hierbei die weiter unten aufgeführten Bündel-Server, Internet sowie IC-VPN Gateways. Diese werden entsprechend ihrer Aufgaben noch einmal separat abgehandelt. In der Praxis werde die verschiedenen Server meist zusammengefasst. Ausgeschlossen sind Server, welche von Freifunkern als Privatpersonen innerhalb des Freifunknetzes betrieben werden.

===Schutzziele und Gefährdungen===
# Server sind vor dem Zugriff unbefugter Dritter geschützt.
# Fehler und Sicherheitslücken in der verwendeten Software werden behoben.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.

===Abgeleitete Sicherheitsanforderungen===
# Server sind vor dem Zugriff unbefugter Dritter geschützt.
#* Der Zugriff auf die Server (physikalisch und über das Internet) ist auf einen engen, definierten Personenkreis beschränkt.
#* Zugriffsrechte werden nach Bedarf und maßgeschneidert erteilt.
#* Der Zugang aus dem Netz erfolgt exklusiv über verschlüsselte Verbindungen (z.B. SSH).
#* Eine Firewall beschränkt Zugriffe aus dem Netz auf das notwendige Minimum.
#* Spezielle Sicherheitssoftware zur Erkennung von Eindringlingen wird verwendet.
# Fehler und Sicherheitslücken in der verwendeten Software werden behoben.
#* Server werden auf der Grundlage eines gepflegten, quelloffenen Betriebssystems errichtet.
#* Verwendete Software wird in adequaten Intervallen aktualisiert.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.
#* Die Funktionstüchtigkeit der Server wird überwacht und der fehlerhafte Betrieb detektiert.
#* Server sind vor DoS-Attacken aus dem Internet geschützt.

===Umgesetzte Sicherheitsmaßnahmen===
# Server sind vor dem Zugriff unbefugter Dritter geschützt.
#* Der Zugriff auf die Server des FF3L ist auf Mitglieder des Administratoren-Teams begrenzt. Das Aministratoren-Team wird durch den Vorstand des Vereins benannt.
#* Der Shell-Login ist ausschließlich über SSH möglich. Die Authentifizierung erfolgt mittels eines Passworts (LDAP) oder eines hinterlegten Schlüssels.
#* Server werden durch Firewall-Regeln auf der Basis von ''iptables'' geschützt. Die Standardvorgabe ist, dass eingehende und weiterzuleitende Pakete verworfen werden. Die Freigabe von Ports bzw. der Weiterleitung erfolgt mittels spezifischer Regeln wo erwünscht.
# Fehler und Sicherheitslücken in der verwendeten Software werden behoben.
#* Die Freifunk-Server werden auf Basis der Debian Linux-Distribution betrieben. Sofern möglich, wird die jeweils letzte stabile Version verwendet.
#* Es werden in angemessenen Intervallen empfohlene Sicherheitsaktualisierungen mittels der offiziellen Paketverwaltung eingespielt.
#* Das Administratoren-Team verfolgt sicherheitsrelevante Ankündigungen über die Mailing-Liste debian-security-announce@lists.debian.org.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.
#* Kritische Server und Dienste werden über ein zentrales Monitoring auf der Basis von Nagios(-Derivaten) überwacht. Das Monitoring ist redundant aufgesetzt. Der aktuelle Zustand aller Server und Diense ist über eine Web-Oberfläche einsehbar. Optional erfolgt eine Mitteilung per e-Mail im Fall von Statusänderungen.
#* Die Server des FF3L werden von Host Providern angemietet. Diese bieten üblicherweise einen gewissen Schutz vor DoS-Angriffen in der Form adaptiver Firewalls.

===Bekannte Lücken sowie geplante, zukünftige Sicherheitsmaßnahmen===
# Server sind vor dem Zugriff unbefugter Dritter geschützt.
#* Die Erteilung von Zugriffsrechten erfolgt derzeit weitestgehend monolithisch, soll in Zukunft jedoch granular und nach Bedarf erfolgen. Erteilte Rechte sollen an geeigneter Stelle transparent dokumentiert und veröffentlicht werden.
#* Bzgl. der verwendbaren Passwörter gibt es aktuell keine Vorgaben. In der Zukunft soll eine Überprüfung der Passwortstärke sowie Vorgabe einer minimalen Entropie implementiert werden.
#* Die Authentizfizierung im Rahmen des Shell-Login via SSH ist aktuell mittels eines Passworts möglich. Die Authentifizierung soll auf asymmetrische Schlüsselverfahren beschränkt werden, um die Folgen von Man-in-der-Mitte-Angriffen zu mildern.
#* Sicherheitssoftware zur Erkennung von Eindringlingen wird aktuell nur auf einem Teil der Freifunk-Server verwendet. Die Erstellung und Umsetzung eines flächendeckenden Konzepts steht nachwievor aus.
# Fehler und Sicherheitslücken in der verwendeten Software werden behoben.
#* Keine geplanten Maßnahmen.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.
#* Keine geplanten Maßnahmen.

==Bündel-Server==
Bündel-Server dienen der Verbindung isolierter Funkwolken innerhalb des Freifunknetzes. Vom Prinzip her sind Sie den Freifunk-Routern gleichgestellte Netzwerkknoten, erfüllen unter Umständen jedoch zusätzliche Aufgaben. Sie unterhalten jedoch eine höhere Anzahl von Verbindungen (tpyischerweise 50 Ser erfüllen die folgenden Bündel-Server habe die folgenden Aufgaben:
* Verbindung entferntner Freifunk-Router mittels Tunnelverbindungen über das Internet.
* Austausch von Routen-Informationen, um die zielgerichtete Zustellung von Daten zu ermöglichen.
* Automatische Netzwerkkonfiguration von Klienten (Gluon).
* Namensauflösung innerhalb des Freifunk-Netzes (Gluon).

===Schutzziele und Gefährdungen===
# Bündel-Server sind vor dem Zugriff unbefugter Dritter geschützt.
# Übertragene Daten sind vor dem Zugriff Dritter geschützt.
# Die Namensauflösung ist vor Manipulationen durch Dritte geschützt.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.

===Abgeleitete Sicherheitsanforderungen===
# Übertragene Daten sind vor dem Zugriff Dritter geschützt.
** Die Datenübertragung zu den Freifunk-Routern erfolgt mittels verschlüsselter Tunnelverbindungen (End-zu-Endverschlüsselung) unter Verwendung von nach heutigem Wissenssand sicherer Verfahren.
** Die Authentizität der Endpunkte wird zum Schutz vor Mann-in-der-Mitte-Angriffen mittels eines asymmetrischen Schlüsselverfahrens sichergestellt.

# Die Namensauflösung ist vor Manipulationen durch Dritte geschützt.
** Die Authentizität der Endpunkte wird zum Schutz vor Mann-in-der-Mitte-Angriffen mittels eines asymmetrischen Schlüsselverfahrens sichergestellt.

# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.
** Der Ausfall eines Bündel-Servers führt nicht zur Störung des restlichen Netzes.
** Die Netzstabilität wird durch Redundanz gewährleistet. Die Bündel-Server sind über mehrere Rechenzeitung verteilt.
** Das Routing des Freifunk-Netzes ist "selbstheilend". Durch Ausfall bedingte Unterbrechungen werden automatisch behoben.
** Die verfügbare Bandbreite wird gleichmäßig auf alle verbundenen Knoten/Klienten verteilt.
** Die Funktionstüchtigkeit der Bündel-Server wird überwacht und der fehlerhafte Betrieb detektiert.

===Umgesetzte Sichgerheitsmaßnahmen===

===Geplante, zukünftige Sicherheitsmaßnahmen===

==Internet Gateways==

Aufgaben:
* Verbindung des Freifunknetzes mit dem restlichen Internet
* Namensauflösung
* optionale Anonymisierung der Clienten

===Schutzziele und Gefährdungen===
# Gleichmäßige Verteilung der verfügbaren Bandbreite auf alle Klienten sowie adeqaute Priorisierung des Verkehrs nach Diensten
# Unterbindung von SPAM-Nachrichten
# Optional die Einschränkung von P2P-Dateiübertragung auf ein vertretbares Maß

===Abgeleitete Sichgerheitsmaßnahmen===
# Gleichmäßige Verteilung von Bandbreite auf alle Klienten
** Verwendung von geeigneten Queueing Disciplines

# Unterbindung von SPAM-Nachrichten
** Sperrung des Mail Ports 25. Beschränkung auf den Mail Submission Port 587.

# Einschränkung von P2P-Dateiübertragung auf ein erträgliches Maß
** Beschränkung der Zahl aktiver Verbindungen pro Klient

===Geplante, zukünftige Sicherheitsmaßnahmen===

==IC-VPN Gateways==
Aufgaben:
* Verbindung des Freifunk-Netzes mit anderen Freifunk-Netzen innerhalb des IC-VPNs
* Austausch von Routeninformationen
* Namensauflösung für Domänen innerhalb des IC-VPN
* Optional Routing von Internetverkehr zu den Gateways anderer Freifunk-Netze

===Schutzziele und Gefährdungen===
# Übertragene Daten sind vor dem Zugriff Dritter geschützt.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.
# Der Ausfall des IC-VPN-Gateways führt nicht zur Störung des restlichen Netzes.

Zusätzlich gelten die Schutzzile und Gefährdungen wie für Bündel-Server

===Abgeleitete Sichgerheitsmaßnahmen===
# Übertragene Daten sind vor dem Zugriff Dritter geschützt.
** Die Datenübertragung zu den Bündel-Servern erfolgt mittels verschlüsselter Tunnelverbindungen (End-zu Endverschlüsselung) unter Verwendung von nach heutigem Wissenssand sicherer Verfahren.
** Die Authentizität der Endpunkte wird zum Schutz vor Mann-in-der-Mitte-Angriffen mittels eines asymmetrischen Schlüsselverfahrens sichergestellt.

===Geplante, zukünftige Sicherheitsmaßnahmen===

==Bewertung des Gesamtsystems==
Welche Risiken ergeben sich aus dem Zusammnenwirken der Teilsysteme?

==Kontinuierliche Verbesserung==

Wie wollen wir die Sicherheit unserer Freifunk-Netze kontinuierlich verbessern?

==Mitteilungspflichten==

Welche Sicherheitsverletzungen und/oder Störungen würden wir der Bundesnetzagentur mitteilen wollen?

=Ideen=

Integration in Freifunk-API? Community füllt lediglich Formular zu den einzelnen Teilsystemen aus. Das Sicherheitskonzept wird im Anschluss automatisch erstellt und im Netz veröffentlicht.

Sicherheitskonzept (intern)

2015-05-17T09:30:24Z

Langweiler: /* Bekannte Lücken sowie geplante, zukünftige Sicherheitsmaßnahmen */

=Präambel=
Freifunk Dreiländereck ("FF3L") ist ein parteipolitischer, unabhängiger, eingetragener Verein, der sich als Teil der weltweiten Open Wireless-Bewegung versteht, welche in Deutschland durch die Freifunk-Initiative repärsentiert wird.

Zur Umsetzung des Vereinszwecks unterhält der FF3L eine Netzwerkinfrastruktur, welche in Kombination mit den Freifunk-WLAN-Routern das Freifunk-Netz bildet. Er ist bei der Bundesnetzagentur seit dem xx.xx.xxxx. als Telekommunikationsdienstleister (Access Provider) registriert.

Mit dem vorliegenden Sicherheitskonzept werden die folgenden Absichten verfolgt:
* Erfüllung der Verpflichtung zur Erstellung und Umsetzung eines Sicherheitskonzeptes nach § 109 TKG.
* Transparente Dokumentation des Status Quo in Bezug auf Informationssicherheit als Grundlage für die kontinuierliche Verbesserung.
* Aufzeigen von inherenten Limitierungen, die sich auf Grund der Funktionsweise des Freifunk-Netzes ergeben.
* Darstellung der Pflichten von Freifunk-Nutzern hinsichtlich Gewährleistung ihrer eigene Sicherheit.

=Gesetzlicher Hintergrund=
Auszug aus dem "Katalog von Sicherheitsanforderungen für das Betreiben von Telekommunikations- und Datenverarbeitungssystemen sowie für die Verarbeitung personenbezogener Daten nach § 109 Telekommunikationsgesetz (TKG):

Für das Betreiben öffentlicher Telekkommunikatiosnetze sowie das Erbringen öffentlich zugänglicher Telekommunikationsdiense schreibt § 109 TKG Vorkehrungen und sonstige Maßnahmen

* zum Schutz des Fernmeldegehimnisses,
* gegen die Verletzung des Schutzes personenbezogener Daten,
* gegen Störungen, die zu erheblichen Beeinträchtigungen von Telekommunikationsnetzen und -diensten führen, auch soweit sie durch äußere Angriffe und Einwirkungen von Katastrophen bedingt sein könnten,
als Mindestanforderungen vor.

Ziel und Zweck der zu treffenden Maßnahmen sind insbesondere

* die Sicherheit vor unerlaubtem Zugriffen auf Telekommunikations- und Datenverarbeitungssysteme
* die Reduzierung / Minimierung der Auswirkungen von Sicherheitsverletzungen auf Nutzer oder auf zusammengeschaltete Netze
* die Gewährleistung eines ordnungsgemäßen Betriebes der Netze und dadurch die Sicherstellung der fortlaufenden Verfügbarkeit der über die Netze erbrachten Dienste.

=Netzstruktur=
Das Freifunknetz ist ein offenes, sich spontan ausbildendes und selbstheilendes Maschennetzwerk. Die Grundbausteine ("Knoten") des Freifunk-Netzes sind die Freifunk-Router. Der Begriff Maschennetzwerk
bedeutet, dass die einzelnen Knoten mit einem oder mehreren Knoten auf nicht hierarschische Weise verbunden sind.

Die Freifunk-Router sinde handelsübliche WLAN-Router, ausgestattet mit einer speziellen Software ("Firmware"). Die spezielle Firmware gestattet es den Freifunk-Routern spontan Verbindung mit anderen Freifunk-Routern in Reichweite aufzunehmen. Hierbei kommt der offizielle, zugelassene WLAN-Standard 802.11n zum Einsatz. Gleichzeitig agieren die Router als WLAN-Zugangspunkt und ermöglichen damit Klienten (z.B. Smartphones) den direkten Zugang zum Freifunknetz.

Damit die Daten in dieser chaotischen Struktur ihren Weg finden, kommt ein spezielles Routing-Protokoll zum Einsatz. Im Fall des FF3L handelt es sich um das Protokoll [http://www.open-mesh.org/projects/batman-adv/wiki B.A.T.M.A.N. Advanced]. Dieses arbeitet auf der Netzzugangsschicht (Layer 2 nach dem OSI-Netzwerkschichtmodell). Das Freifunk-Netz verhält sich damit effektiv so, als wären alle Knoten über einen einzigen Netzwerk-Switch miteinander verbunden.

Neben der direkten Verbindung von Freifunk-Routern via WLAN gibt es die Option, isolierte Funkwolken über Tunnelverbindungen zu zentralen Servern ("Bündel-Servern") miteinander zu verbinden. Die Tunnelverbindungen laufen über das Internet und sind verschlüsselt (d.h. der Inhalt ist für Dritte nicht einsehbar). Der Internetanschluss wird hierbei auf freiwilliger Basis von den Knotenbetreibern zur Vefügung gestellt.

Weiterhin bietet das Freifunknetz über zentrale Gateways eine Verbindung ins Internet ("Internet Gateways") sowie den Verbund aller Freifunk-Netze ("IC-VPN Gateways"). Der Verein Freifunk Dreiländreck e.V. agiert damit als Zugangsanbieter ("Access Provider"). Die indirekte Weiterleitung ins Internet schützt die Knotenbetreiber vor ewaigen Haftungsansprüchen ("Störherhaftung") im Fall eines Missbrauchs durch Dritte.

Zusätzlich können Applikations-Server in das Freifunk-Netz integriert werden. Diese agieren als reguläre Netzwerkknoten und sind den Freifunk-Routern gleichgestellt.

[[Datei:Netzstrukturplan.png]]

=Sicherheitsteilsysteme=
In den folgenden Abschnitten werden die sicherheitskritischen Teilsysteme des Freifunk-Netzes definiert und diskutiert. Konkret werden als Teilsysteme die Freifunk-Router und Freifunk-Server im allgmeienen sowie Bündel-Server, Internet und IC-VPN Gateways im speziellen behandelt. Jeder Abschnitt besteht aus einer einleitenden Beschreibung inkl. der Aufgaben des jeweiligen Teilsystems, einer Auflistung von Schutzzielen und Gefährdungen, abgeleiteten Sicherheitsanforderungen, bereits umgesetzten sowie zukünftigen, geplanten Sicherheitsmaßnahmen. Zuletzt erfolgt eine abschließende Beurteilung des Gesamtsystems.

==Freifunk-Router==
Freifunk-WLAN-Router bilden die Grundelemente des Freifunk-Netzes. Sie werden auch als Netzwerkknoten bezeichnet. Bei Freifunk-Routern handelt sich um handelsübliche WLAN-Router, welche durch das Einspielen eines speziellen Betriebssystems ("Freifunk-Firmware") modifiziert werden. Freifunk-Router erfüllen die folgenden Aufgaben:
* Spontane Bildung des Freifunk-Maschennetzwerks via WLAN mit allen in Reichweite befindlichen Freifunk-Routern (lokale Funkwolke).
* Optional die Errichtung von Tunnelverbindungen zu Bündel-Servern über das Internet für den Datenaustausch mit entfernten Funkwolken.
* Austausch von Routen-Informationen, um die zielgerichtete Zustellung von Daten zu ermöglichen.
* Zugangspunkt zum Freifunk-Netzwerk für WLAN-Klienten (z.B. Smartphones, Tablets, Notebooks).
* Optional die Anbindung von Servern und/oder lokalen Klienten mittels einer direkten Kabelverbindung.

===Schutzziele und Gefährdungen===
# Freifunk-Router sind vor dem Zugriff unbefugter Dritter geschützt.
# Freifunk-Router ermöglichen Dritten den Zugang zum Freifunk-Netz, nicht jedoch den Zugang zum privaten Netz des Router-Betreibers.
# Fehler und Sicherheitslücken in der Freifunk-Firmware werden behoben.
# Übertragene Daten sind vor dem Zugriff Dritter geschützt.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.

===Abgeleitete Sicherheitsanforderungen===
# Freifunk-Router sind vor dem Zugriff unbefugter Dritter geschützt.
#* Die Einstellungen des Freifunk-Routers lassen sich lediglich in einem gesonderten Konfigurationsmodus verändern.
#* In der Standardkonfiguration des Freifunk-Routers ist kein Zugang auf der Ebene des Betriebssystems ("Shell Login") möglich.
#* Optional kann durch den Router-Betreiber ein verschlüsselter Zugang (z.B. via SSH) aktiviert werden, um die Wartung aus der Ferne zu ermöglichen.
# Freifunk-Router ermöglichen Dritten den Zugang zum Freifunk-Netz, nicht jedoch den Zugang zum privaten Netz des Router-Betreibers.
#* Eine Firewall auf dem Freifunk-Router (Layer 2 und/oder Layer 3) verhindert den Zugriff auf das private Netz des Betreibers.
#* Ausgenommen ist der Aufbau einer Tunnelverbindung zu den Bündelservern, sofern der Betreiber dies in der Konfiguration ausdrücklich gestattet ("opt in").
# Fehler und Sicherheitslücken in der Freifunk-Firmware werden behoben.
#* Die Firmware der Freifunk-Router wird in angemessenen Intervallen automatisch über das Freifunk-Netzt aktualisiert ("Autoupdater").
#* Die Authentizität der Firmware wird durch ein elektronisches Signaturverfahren sichergestellt.
#* Neue Firmware-Versionen werden vor dem Ausrollen gem. eines festgelegten Schemas getestet.
# Übertragene Daten sind vor dem Zugriff Dritter geschützt.
#* Die Datenübertragung zu den Bündel-Servern erfolgt mittels verschlüsselter Tunnelverbindungen (End-zu-Endverschlüsselung) unter Verwendung von nach heutigem Wissenssand sicherer Verfahren.
#* Die Authentizität der Endpunkte wird zum Schutz vor Mann-in-der-Mitte-Angriffen mittels eines asymmetrischen Schlüsselverfahrens sichergestellt.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.
#* Der Ausfall einzelner Freifunk-Router führt nicht zur Störung des restlichen Netzes.
#* Das Routing des Freifunk-Netzes ist "selbstheilend". Durch Ausfall bedingte Unterbrechungenwerden automatisch behoben.
#* Die Funktionstüchtigkeit der Router wird überwacht und der fehlerhafte Betrieb detektiert.

===Umgesetzte Sichgerheitsmaßnahmen===
# Freifunk-Router sind vor dem Zugriff unbefugter Dritter geschützt.
#* Die verwendete Gluon-Firmware unterstützt einen separaten Konfigurationsmodus. Dieser ist nach dem Aufspielen der Firmware aktiviert. Er kann zu einem späteren Zeitpunkt durch längeres Drücken der Reset-Taste am Router erneut aktiviert werden. Die Konfiguration wird über eine Web-Oberfläche unter der Adresse http://192.168.0.1 vorgenommen. Nach Abschluss der Konfiguration wechselt der Router in den Betriebsmodus. Eine Änderung der Konfiguration über die Web-Obewrfläche ist in der Folge nicht mehr möglich.
#* In der Standardkonfiguration der Gluon-Firmware ist der Shell Login auf den Router deaktiviert. Er muss explizit im Konfigurationsmodus aktiviert werden, indem ein Passwort oder Schlüssel für den Zugang via SSH gesetzt wird.
# Freifunk-Router ermöglichen Dritten den Zugang zum Freifunk-Netz, nicht jedoch den Zugang zum privaten Netz des Router-Betreibers.
#* Das Freifunk-Netz und das private Netz des Router-Betreibers werden in der Gluon-Netzwerkkonfiguration strikt getrennt. Die Zugänge zu den beiden Netzen sind in Form separater Brücken zusammengefasst (''br-client'' und ''br-wan'').
#* Die verwendete Gluon-Firmware konfiguriert Firewall-Regeln (bereitgestellt durch das Paket ''gluon-ebtables''), welche auf der Netzzugangsschicht (Layer 2) den Zugriff auf das private Netz unterbindet.
#* Eine Ausnahme bildet der Aufbau einer optionalen Tunnelverbindung zu den Bündel-Servern durch die VPN-Software ''fastd''. Diese Option muss vom Betreiber im Konfigurationsmodus explizit aktiviert werden ("opt-in").
# Fehler und Sicherheitslücken in der Freifunk-Firmware werden behoben.
#* Der FF3L betreibt einen Aktualisierungs-Dienst, welcher über das Freifunk-Netz erreichbar ist. Mit Hilfe des Aktualisierungsdienstes lassen sich neuere Versionen der Firmware auf den Routern automatisch einspielen. Die Konfiguration der Freifunk-Router bleibt hierbei soweit möglich erhalten.
#* Der Aktualisierungs-Dienst ist in der Standardkonfiguration der Freifunk-Firmware aktiviert (Zweig "stable"). Der Aktualisierungs-Dienst kann im Konfigurationsmodus in den Experteneinstellungen deaktiviert werden ("opt-out").
#* Die Authentitizät der Firmware-Images wird durch ein Signaturverfahren gewährleistet (signiertes Manifest). Neue Images werden von den Freifunk-Routern nur bei vorhandensein einer gültigen Signatur installiert (siehe auch [http://gluon.readthedocs.org/en/v2014.4/index.html Gluon-Dokumentation]).
#* Veröffentlichte Firmware-Images werden in die Zweige "experimental", "beta" und "stable" unterteilt. Neue Firmware-Versionen werden in eben dieser Reihenfolge ausgerollt, um einen ausreichenden Testbetrieb vor der Verbreitung zu gewährleisten.
#* Die Aktuelle Praxis bezüglich der Veröffentlichung von neuen Firmware-Versionen ist im [http://wiki.freifunk-3laendereck.net/Freifunk-Router:Firmware Wiki] des FF3L dokumentiert.
# Übertragene Daten sind vor dem Zugriff Dritter geschützt.
#* Die Datenübertragung zu den Bündel-Servern erfolgt mittels der VPN-Software fastd über das Internet. Die übertragenen Daten sind mittels des Chiffre Salsa20/12 verschlüsselt.
#* Die Authentifizierung erfolgt mittels der asymmetrischen Schlüsselverfahren UMAC oder GMAC. Die öffentlichen Schlüssel müssen einmalig vor dem Aufbau der Verbindung ausgetauscht werden. Dies geschieht im Rahmen der Registrierung des Knotens.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.
#* Der Ausfall einzelner Server führt nicht zu Störungen innerhalb des Netzes, sofern alternative Routen existieren. In diesem Fällen wird das Routing durch das verwendete Routing-Protokoll batman-adv automatisch korrigiert und die Lücke geschlossen
#* Die Freifunk-Firmware stellt auf den Knoten eine Stauts-Seite bereit. Auf dieser kann man sehen, ob der Knoten mit dem Freifunk-Netz und auf welche Weise er mit dem Freifunk-Netz verbunden ist.
#* Der Status aller Knoten wird zusätzlich in Form einer Knotenkarte auf den Servern des FF3L visualisiert. Der Karte lässt sich neben der Lage des Knotes (freiwillige Angabe) entnehmen, ob ein Knoten mit dem Freifunk-Netz verbunden ist und wie er vebunden ist.

===Bekannte Lücken sowie geplante, zukünftige Sicherheitsmaßnahmen===
# Freifunk-Router sind vor dem Zugriff unbefugter Dritter geschützt.
#* Freifunk-Router werden prinzipiell nicht vom FF3L betrieben. Für den Schutz vor physikalischem Zugriff und ggf. damit einhergehender Manipulation ist der Knoten-Betreiber verantwortlich.
# Freifunk-Router ermöglichen Dritten den Zugang zum Freifunk-Netz, nicht jedoch den Zugang zum privaten Netz des Router-Betreibers.
#* Die an bestimmten Freifunk-Routern verfügbaren LAN-Ports ermöglichen eine direkte Verbindung von Endgeräten (z.B. Servern) mit dem Freifunk-Netz. LAN-Ports sind von den WAN-Ports zu unterscheiden, über welche die Freifunk-Router mit dem Internet verbunden werden.
#* Im Fall einer Verwechslung der Ports, kann das private Netze des Freifunk-Betreibers in das Freifunk-Netz überbrückt werden.
#* Um Knotenbetreiber im Fall einer Verwechselung zu schützen, sollen die LAN-Ports in der Standardkonfiguration deaktiviert werden. Eine Aktivierung erfolgt über den Konfigurationsmodus des Routers.
# Fehler und Sicherheitslücken in der Freifunk-Firmware werden behoben.
#* Der Aktualisierungs-Dienst für die Freifunk-Firmware ist in der Standardkonfiguration aktiviert. Die entsprechende Einstellung verbirgt sich jedoch unter den Experteneinstellungen im Konfigurationsmodus.
#* Um Knotenbetreiber auf diesen Umstand aufmerksam zu machen, ist eine Verlegung der Einstellungen in den allgemeinen Teil des Konfigurationsmnodus geplant.
# Übertragene Daten sind vor dem Zugriff Dritter geschützt.
#* Die Datenübertragung zwischen den Freifunk-Routern erfolgt auf Grund der eingesetzen Technologie unverschlüsselt. Sie ist damit durch Dritte vor Ort abhörbar.
#* Umfassende Sicherheit lässt sich allein durch End-zu-End-Verschlüsselung gewährleisten. Die Anwendung dieser erfolgt auf den Endgeräten und liegt damit in der Verantwortung der Freifunk-Nutzer und nicht des FF3L.
#* Um eine sichere Übetragung von den Klienten zu den Bündel-Servern zu gewährleisten, soll optional ein VPN-Zugang für Klienten angeboten werden (z.B. [http://www.openvpn.net OpenVPN]).
#* Um eine sichere Übertragung von Endpunkt zu Endpunkt innerhalb des Freifunk-Netzes anzubieten, ist die Einrichtung eines verschlüsselten Overlay-Netzes angedacht (z.B. [http://cjdns.info/ cjDNS]).
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet
#* Keine geplanten Maßnahmen.

==Server==
Im Folgenden Abschnitt sind die allgemeinen Schutzziele und Gefährdungen für Freifunk-Server zusammengefasst. Freifunk-Server werden in der Regel - jedoch nicht ausschließlich - bei Host Providern angemietet (physikalische und virtualisierte Root Server). Die Einrichtung, der Betrieb und die Wartung erfolgt durch den FF3L. Der Begriff "Freifunk-Server" umfasst hierbei die weiter unten aufgeführten Bündel-Server, Internet sowie IC-VPN Gateways. Diese werden entsprechend ihrer Aufgaben noch einmal separat abgehandelt. In der Praxis werde die verschiedenen Server meist zusammengefasst. Ausgeschlossen sind Server, welche von Freifunkern als Privatpersonen innerhalb des Freifunknetzes betrieben werden.

===Schutzziele und Gefährdungen===
# Server sind vor dem Zugriff unbefugter Dritter geschützt.
# Fehler und Sicherheitslücken in der verwendeten Software werden behoben.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.

===Abgeleitete Sicherheitsanforderungen===
# Server sind vor dem Zugriff unbefugter Dritter geschützt.
#* Der Zugriff auf die Server (physikalisch und über das Internet) ist auf einen engen, definierten Personenkreis beschränkt.
#* Zugriffsrechte werden nach Bedarf und maßgeschneidert erteilt.
#* Der Zugang aus dem Netz erfolgt exklusiv über verschlüsselte Verbindungen (z.B. SSH).
#* Eine Firewall beschränkt Zugriffe aus dem Netz auf das notwendige Minimum.
#* Spezielle Sicherheitssoftware zur Erkennung von Eindringlingen wird verwendet.
# Fehler und Sicherheitslücken in der verwendeten Software werden behoben.
#* Server werden auf der Grundlage eines gepflegten, quelloffenen Betriebssystems errichtet.
#* Verwendete Software wird in adequaten Intervallen aktualisiert.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.
#* Die Funktionstüchtigkeit der Server wird überwacht und der fehlerhafte Betrieb detektiert.
#* Server sind vor DoS-Attacken aus dem Internet geschützt.

===Umgesetzte Sicherheitsmaßnahmen===
# Server sind vor dem Zugriff unbefugter Dritter geschützt.
#* Der Zugriff auf die Server des FF3L ist auf Mitglieder des Administratoren-Teams begrenzt. Das Aministratoren-Team wird durch den Vorstand des Vereins benannt.
#* Der Shell-Login ist ausschließlich über SSH möglich. Die Authentifizierung erfolgt mittels eines Passworts (LDAP) oder eines hinterlegten Schlüssels.
#* Server werden durch Firewall-Regeln auf der Basis von ''iptables'' geschützt. Die Standardvorgabe ist, dass eingehende und weiterzuleitende Pakete verworfen werden. Die Freigabe von Ports bzw. der Weiterleitung erfolgt mittels spezifischer Regeln wo erwünscht.
# Fehler und Sicherheitslücken in der verwendeten Software werden behoben.
#* Die Freifunk-Server werden auf Basis der Debian Linux-Distribution betrieben. Sofern möglich, wird die jeweils letzte stabile Version verwendet.
#* Es werden in angemessenen Intervallen empfohlene Sicherheitsaktualisierungen mittels der offiziellen Paketverwaltung eingespielt.
#* Das Administratoren-Team verfolgt sicherheitsrelevante Ankündigungen über die Mailing-Liste debian-security-announce@lists.debian.org.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.
#* Kritische Server und Dienste werden über ein zentrales Monitoring auf der Basis von Nagios(-Derivaten) überwacht. Das Monitoring ist redundant aufgesetzt. Der aktuelle Zustand aller Server und Diense ist über eine Web-Oberfläche einsehbar. Optional erfolgt eine Mitteilung per e-Mail im Fall von Statusänderungen.
#* Die Server des FF3L werden von Host Providern angemietet. Diese bieten üblicherweise einen gewissen Schutz vor DoS-Angriffen in der Form adaptiver Firewalls.

===Bekannte Lücken sowie geplante, zukünftige Sicherheitsmaßnahmen===
# Server sind vor dem Zugriff unbefugter Dritter geschützt.
#* Die Erteilung von Zugriffsrechten erfolgt derzeit weitestgehend monolithisch, soll in Zukunft jedoch granular und nach Bedarf erfolgen. Erteilte Rechte sollen an geeigneter Stelle transparent dokumentiert und veröffentlicht werden.
#* Bzgl. der verwendeten Passwörter gibt es aktuell keine Vorgaben. In Zukunft soll deine Überprüfung der Passwortstärke sowie Vorgabe einer minimalen Entropie erfolgen.
#* Die Authentizfizierung im Rahmen des Shell-Login via SSH ist aktuell mittels eines Passworts möglich. Die Authentifizierung soll in Zukunft auf asymmetrische Schlüsselverfahren beschränkt werden, um die Folgen von Man-in-der-Mitte-Angriffen zu mildern.
#* Sicherheitssoftware zur Erkennung von Eindringlingen wird aktuell nur auf einem Teil der Freifunk-Server verwendet. Die Erstellung Umsetzung eines flächendeckenden Konzepts steht nachwievor aus.
# Fehler und Sicherheitslücken in der verwendeten Software werden behoben.
#* Keine geplanten Maßnahmen.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.
#* Keine geplanten Maßnahmen.

==Bündel-Server==
Bündel-Server dienen der Verbindung isolierter Funkwolken innerhalb des Freifunknetzes. Vom Prinzip her sind Sie den Freifunk-Routern gleichgestellte Netzwerkknoten, erfüllen unter Umständen jedoch zusätzliche Aufgaben. Sie unterhalten jedoch eine höhere Anzahl von Verbindungen (tpyischerweise 50 Ser erfüllen die folgenden Bündel-Server habe die folgenden Aufgaben:
* Verbindung entferntner Freifunk-Router mittels Tunnelverbindungen über das Internet.
* Austausch von Routen-Informationen, um die zielgerichtete Zustellung von Daten zu ermöglichen.
* Automatische Netzwerkkonfiguration von Klienten (Gluon).
* Namensauflösung innerhalb des Freifunk-Netzes (Gluon).

===Schutzziele und Gefährdungen===
# Bündel-Server sind vor dem Zugriff unbefugter Dritter geschützt.
# Übertragene Daten sind vor dem Zugriff Dritter geschützt.
# Die Namensauflösung ist vor Manipulationen durch Dritte geschützt.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.

===Abgeleitete Sicherheitsanforderungen===
# Übertragene Daten sind vor dem Zugriff Dritter geschützt.
** Die Datenübertragung zu den Freifunk-Routern erfolgt mittels verschlüsselter Tunnelverbindungen (End-zu-Endverschlüsselung) unter Verwendung von nach heutigem Wissenssand sicherer Verfahren.
** Die Authentizität der Endpunkte wird zum Schutz vor Mann-in-der-Mitte-Angriffen mittels eines asymmetrischen Schlüsselverfahrens sichergestellt.

# Die Namensauflösung ist vor Manipulationen durch Dritte geschützt.
** Die Authentizität der Endpunkte wird zum Schutz vor Mann-in-der-Mitte-Angriffen mittels eines asymmetrischen Schlüsselverfahrens sichergestellt.

# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.
** Der Ausfall eines Bündel-Servers führt nicht zur Störung des restlichen Netzes.
** Die Netzstabilität wird durch Redundanz gewährleistet. Die Bündel-Server sind über mehrere Rechenzeitung verteilt.
** Das Routing des Freifunk-Netzes ist "selbstheilend". Durch Ausfall bedingte Unterbrechungen werden automatisch behoben.
** Die verfügbare Bandbreite wird gleichmäßig auf alle verbundenen Knoten/Klienten verteilt.
** Die Funktionstüchtigkeit der Bündel-Server wird überwacht und der fehlerhafte Betrieb detektiert.

===Umgesetzte Sichgerheitsmaßnahmen===

===Geplante, zukünftige Sicherheitsmaßnahmen===

==Internet Gateways==

Aufgaben:
* Verbindung des Freifunknetzes mit dem restlichen Internet
* Namensauflösung
* optionale Anonymisierung der Clienten

===Schutzziele und Gefährdungen===
# Gleichmäßige Verteilung der verfügbaren Bandbreite auf alle Klienten sowie adeqaute Priorisierung des Verkehrs nach Diensten
# Unterbindung von SPAM-Nachrichten
# Optional die Einschränkung von P2P-Dateiübertragung auf ein vertretbares Maß

===Abgeleitete Sichgerheitsmaßnahmen===
# Gleichmäßige Verteilung von Bandbreite auf alle Klienten
** Verwendung von geeigneten Queueing Disciplines

# Unterbindung von SPAM-Nachrichten
** Sperrung des Mail Ports 25. Beschränkung auf den Mail Submission Port 587.

# Einschränkung von P2P-Dateiübertragung auf ein erträgliches Maß
** Beschränkung der Zahl aktiver Verbindungen pro Klient

===Geplante, zukünftige Sicherheitsmaßnahmen===

==IC-VPN Gateways==
Aufgaben:
* Verbindung des Freifunk-Netzes mit anderen Freifunk-Netzen innerhalb des IC-VPNs
* Austausch von Routeninformationen
* Namensauflösung für Domänen innerhalb des IC-VPN
* Optional Routing von Internetverkehr zu den Gateways anderer Freifunk-Netze

===Schutzziele und Gefährdungen===
# Übertragene Daten sind vor dem Zugriff Dritter geschützt.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.
# Der Ausfall des IC-VPN-Gateways führt nicht zur Störung des restlichen Netzes.

Zusätzlich gelten die Schutzzile und Gefährdungen wie für Bündel-Server

===Abgeleitete Sichgerheitsmaßnahmen===
# Übertragene Daten sind vor dem Zugriff Dritter geschützt.
** Die Datenübertragung zu den Bündel-Servern erfolgt mittels verschlüsselter Tunnelverbindungen (End-zu Endverschlüsselung) unter Verwendung von nach heutigem Wissenssand sicherer Verfahren.
** Die Authentizität der Endpunkte wird zum Schutz vor Mann-in-der-Mitte-Angriffen mittels eines asymmetrischen Schlüsselverfahrens sichergestellt.

===Geplante, zukünftige Sicherheitsmaßnahmen===

==Bewertung des Gesamtsystems==
Welche Risiken ergeben sich aus dem Zusammnenwirken der Teilsysteme?

==Kontinuierliche Verbesserung==

Wie wollen wir die Sicherheit unserer Freifunk-Netze kontinuierlich verbessern?

==Mitteilungspflichten==

Welche Sicherheitsverletzungen und/oder Störungen würden wir der Bundesnetzagentur mitteilen wollen?

=Ideen=

Integration in Freifunk-API? Community füllt lediglich Formular zu den einzelnen Teilsystemen aus. Das Sicherheitskonzept wird im Anschluss automatisch erstellt und im Netz veröffentlicht.

Sicherheitskonzept (intern)

2015-05-17T09:29:15Z

Langweiler: /* Umgesetzte Sicherheitsmaßnahmen */

=Präambel=
Freifunk Dreiländereck ("FF3L") ist ein parteipolitischer, unabhängiger, eingetragener Verein, der sich als Teil der weltweiten Open Wireless-Bewegung versteht, welche in Deutschland durch die Freifunk-Initiative repärsentiert wird.

Zur Umsetzung des Vereinszwecks unterhält der FF3L eine Netzwerkinfrastruktur, welche in Kombination mit den Freifunk-WLAN-Routern das Freifunk-Netz bildet. Er ist bei der Bundesnetzagentur seit dem xx.xx.xxxx. als Telekommunikationsdienstleister (Access Provider) registriert.

Mit dem vorliegenden Sicherheitskonzept werden die folgenden Absichten verfolgt:
* Erfüllung der Verpflichtung zur Erstellung und Umsetzung eines Sicherheitskonzeptes nach § 109 TKG.
* Transparente Dokumentation des Status Quo in Bezug auf Informationssicherheit als Grundlage für die kontinuierliche Verbesserung.
* Aufzeigen von inherenten Limitierungen, die sich auf Grund der Funktionsweise des Freifunk-Netzes ergeben.
* Darstellung der Pflichten von Freifunk-Nutzern hinsichtlich Gewährleistung ihrer eigene Sicherheit.

=Gesetzlicher Hintergrund=
Auszug aus dem "Katalog von Sicherheitsanforderungen für das Betreiben von Telekommunikations- und Datenverarbeitungssystemen sowie für die Verarbeitung personenbezogener Daten nach § 109 Telekommunikationsgesetz (TKG):

Für das Betreiben öffentlicher Telekkommunikatiosnetze sowie das Erbringen öffentlich zugänglicher Telekommunikationsdiense schreibt § 109 TKG Vorkehrungen und sonstige Maßnahmen

* zum Schutz des Fernmeldegehimnisses,
* gegen die Verletzung des Schutzes personenbezogener Daten,
* gegen Störungen, die zu erheblichen Beeinträchtigungen von Telekommunikationsnetzen und -diensten führen, auch soweit sie durch äußere Angriffe und Einwirkungen von Katastrophen bedingt sein könnten,
als Mindestanforderungen vor.

Ziel und Zweck der zu treffenden Maßnahmen sind insbesondere

* die Sicherheit vor unerlaubtem Zugriffen auf Telekommunikations- und Datenverarbeitungssysteme
* die Reduzierung / Minimierung der Auswirkungen von Sicherheitsverletzungen auf Nutzer oder auf zusammengeschaltete Netze
* die Gewährleistung eines ordnungsgemäßen Betriebes der Netze und dadurch die Sicherstellung der fortlaufenden Verfügbarkeit der über die Netze erbrachten Dienste.

=Netzstruktur=
Das Freifunknetz ist ein offenes, sich spontan ausbildendes und selbstheilendes Maschennetzwerk. Die Grundbausteine ("Knoten") des Freifunk-Netzes sind die Freifunk-Router. Der Begriff Maschennetzwerk
bedeutet, dass die einzelnen Knoten mit einem oder mehreren Knoten auf nicht hierarschische Weise verbunden sind.

Die Freifunk-Router sinde handelsübliche WLAN-Router, ausgestattet mit einer speziellen Software ("Firmware"). Die spezielle Firmware gestattet es den Freifunk-Routern spontan Verbindung mit anderen Freifunk-Routern in Reichweite aufzunehmen. Hierbei kommt der offizielle, zugelassene WLAN-Standard 802.11n zum Einsatz. Gleichzeitig agieren die Router als WLAN-Zugangspunkt und ermöglichen damit Klienten (z.B. Smartphones) den direkten Zugang zum Freifunknetz.

Damit die Daten in dieser chaotischen Struktur ihren Weg finden, kommt ein spezielles Routing-Protokoll zum Einsatz. Im Fall des FF3L handelt es sich um das Protokoll [http://www.open-mesh.org/projects/batman-adv/wiki B.A.T.M.A.N. Advanced]. Dieses arbeitet auf der Netzzugangsschicht (Layer 2 nach dem OSI-Netzwerkschichtmodell). Das Freifunk-Netz verhält sich damit effektiv so, als wären alle Knoten über einen einzigen Netzwerk-Switch miteinander verbunden.

Neben der direkten Verbindung von Freifunk-Routern via WLAN gibt es die Option, isolierte Funkwolken über Tunnelverbindungen zu zentralen Servern ("Bündel-Servern") miteinander zu verbinden. Die Tunnelverbindungen laufen über das Internet und sind verschlüsselt (d.h. der Inhalt ist für Dritte nicht einsehbar). Der Internetanschluss wird hierbei auf freiwilliger Basis von den Knotenbetreibern zur Vefügung gestellt.

Weiterhin bietet das Freifunknetz über zentrale Gateways eine Verbindung ins Internet ("Internet Gateways") sowie den Verbund aller Freifunk-Netze ("IC-VPN Gateways"). Der Verein Freifunk Dreiländreck e.V. agiert damit als Zugangsanbieter ("Access Provider"). Die indirekte Weiterleitung ins Internet schützt die Knotenbetreiber vor ewaigen Haftungsansprüchen ("Störherhaftung") im Fall eines Missbrauchs durch Dritte.

Zusätzlich können Applikations-Server in das Freifunk-Netz integriert werden. Diese agieren als reguläre Netzwerkknoten und sind den Freifunk-Routern gleichgestellt.

[[Datei:Netzstrukturplan.png]]

=Sicherheitsteilsysteme=
In den folgenden Abschnitten werden die sicherheitskritischen Teilsysteme des Freifunk-Netzes definiert und diskutiert. Konkret werden als Teilsysteme die Freifunk-Router und Freifunk-Server im allgmeienen sowie Bündel-Server, Internet und IC-VPN Gateways im speziellen behandelt. Jeder Abschnitt besteht aus einer einleitenden Beschreibung inkl. der Aufgaben des jeweiligen Teilsystems, einer Auflistung von Schutzzielen und Gefährdungen, abgeleiteten Sicherheitsanforderungen, bereits umgesetzten sowie zukünftigen, geplanten Sicherheitsmaßnahmen. Zuletzt erfolgt eine abschließende Beurteilung des Gesamtsystems.

==Freifunk-Router==
Freifunk-WLAN-Router bilden die Grundelemente des Freifunk-Netzes. Sie werden auch als Netzwerkknoten bezeichnet. Bei Freifunk-Routern handelt sich um handelsübliche WLAN-Router, welche durch das Einspielen eines speziellen Betriebssystems ("Freifunk-Firmware") modifiziert werden. Freifunk-Router erfüllen die folgenden Aufgaben:
* Spontane Bildung des Freifunk-Maschennetzwerks via WLAN mit allen in Reichweite befindlichen Freifunk-Routern (lokale Funkwolke).
* Optional die Errichtung von Tunnelverbindungen zu Bündel-Servern über das Internet für den Datenaustausch mit entfernten Funkwolken.
* Austausch von Routen-Informationen, um die zielgerichtete Zustellung von Daten zu ermöglichen.
* Zugangspunkt zum Freifunk-Netzwerk für WLAN-Klienten (z.B. Smartphones, Tablets, Notebooks).
* Optional die Anbindung von Servern und/oder lokalen Klienten mittels einer direkten Kabelverbindung.

===Schutzziele und Gefährdungen===
# Freifunk-Router sind vor dem Zugriff unbefugter Dritter geschützt.
# Freifunk-Router ermöglichen Dritten den Zugang zum Freifunk-Netz, nicht jedoch den Zugang zum privaten Netz des Router-Betreibers.
# Fehler und Sicherheitslücken in der Freifunk-Firmware werden behoben.
# Übertragene Daten sind vor dem Zugriff Dritter geschützt.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.

===Abgeleitete Sicherheitsanforderungen===
# Freifunk-Router sind vor dem Zugriff unbefugter Dritter geschützt.
#* Die Einstellungen des Freifunk-Routers lassen sich lediglich in einem gesonderten Konfigurationsmodus verändern.
#* In der Standardkonfiguration des Freifunk-Routers ist kein Zugang auf der Ebene des Betriebssystems ("Shell Login") möglich.
#* Optional kann durch den Router-Betreiber ein verschlüsselter Zugang (z.B. via SSH) aktiviert werden, um die Wartung aus der Ferne zu ermöglichen.
# Freifunk-Router ermöglichen Dritten den Zugang zum Freifunk-Netz, nicht jedoch den Zugang zum privaten Netz des Router-Betreibers.
#* Eine Firewall auf dem Freifunk-Router (Layer 2 und/oder Layer 3) verhindert den Zugriff auf das private Netz des Betreibers.
#* Ausgenommen ist der Aufbau einer Tunnelverbindung zu den Bündelservern, sofern der Betreiber dies in der Konfiguration ausdrücklich gestattet ("opt in").
# Fehler und Sicherheitslücken in der Freifunk-Firmware werden behoben.
#* Die Firmware der Freifunk-Router wird in angemessenen Intervallen automatisch über das Freifunk-Netzt aktualisiert ("Autoupdater").
#* Die Authentizität der Firmware wird durch ein elektronisches Signaturverfahren sichergestellt.
#* Neue Firmware-Versionen werden vor dem Ausrollen gem. eines festgelegten Schemas getestet.
# Übertragene Daten sind vor dem Zugriff Dritter geschützt.
#* Die Datenübertragung zu den Bündel-Servern erfolgt mittels verschlüsselter Tunnelverbindungen (End-zu-Endverschlüsselung) unter Verwendung von nach heutigem Wissenssand sicherer Verfahren.
#* Die Authentizität der Endpunkte wird zum Schutz vor Mann-in-der-Mitte-Angriffen mittels eines asymmetrischen Schlüsselverfahrens sichergestellt.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.
#* Der Ausfall einzelner Freifunk-Router führt nicht zur Störung des restlichen Netzes.
#* Das Routing des Freifunk-Netzes ist "selbstheilend". Durch Ausfall bedingte Unterbrechungenwerden automatisch behoben.
#* Die Funktionstüchtigkeit der Router wird überwacht und der fehlerhafte Betrieb detektiert.

===Umgesetzte Sichgerheitsmaßnahmen===
# Freifunk-Router sind vor dem Zugriff unbefugter Dritter geschützt.
#* Die verwendete Gluon-Firmware unterstützt einen separaten Konfigurationsmodus. Dieser ist nach dem Aufspielen der Firmware aktiviert. Er kann zu einem späteren Zeitpunkt durch längeres Drücken der Reset-Taste am Router erneut aktiviert werden. Die Konfiguration wird über eine Web-Oberfläche unter der Adresse http://192.168.0.1 vorgenommen. Nach Abschluss der Konfiguration wechselt der Router in den Betriebsmodus. Eine Änderung der Konfiguration über die Web-Obewrfläche ist in der Folge nicht mehr möglich.
#* In der Standardkonfiguration der Gluon-Firmware ist der Shell Login auf den Router deaktiviert. Er muss explizit im Konfigurationsmodus aktiviert werden, indem ein Passwort oder Schlüssel für den Zugang via SSH gesetzt wird.
# Freifunk-Router ermöglichen Dritten den Zugang zum Freifunk-Netz, nicht jedoch den Zugang zum privaten Netz des Router-Betreibers.
#* Das Freifunk-Netz und das private Netz des Router-Betreibers werden in der Gluon-Netzwerkkonfiguration strikt getrennt. Die Zugänge zu den beiden Netzen sind in Form separater Brücken zusammengefasst (''br-client'' und ''br-wan'').
#* Die verwendete Gluon-Firmware konfiguriert Firewall-Regeln (bereitgestellt durch das Paket ''gluon-ebtables''), welche auf der Netzzugangsschicht (Layer 2) den Zugriff auf das private Netz unterbindet.
#* Eine Ausnahme bildet der Aufbau einer optionalen Tunnelverbindung zu den Bündel-Servern durch die VPN-Software ''fastd''. Diese Option muss vom Betreiber im Konfigurationsmodus explizit aktiviert werden ("opt-in").
# Fehler und Sicherheitslücken in der Freifunk-Firmware werden behoben.
#* Der FF3L betreibt einen Aktualisierungs-Dienst, welcher über das Freifunk-Netz erreichbar ist. Mit Hilfe des Aktualisierungsdienstes lassen sich neuere Versionen der Firmware auf den Routern automatisch einspielen. Die Konfiguration der Freifunk-Router bleibt hierbei soweit möglich erhalten.
#* Der Aktualisierungs-Dienst ist in der Standardkonfiguration der Freifunk-Firmware aktiviert (Zweig "stable"). Der Aktualisierungs-Dienst kann im Konfigurationsmodus in den Experteneinstellungen deaktiviert werden ("opt-out").
#* Die Authentitizät der Firmware-Images wird durch ein Signaturverfahren gewährleistet (signiertes Manifest). Neue Images werden von den Freifunk-Routern nur bei vorhandensein einer gültigen Signatur installiert (siehe auch [http://gluon.readthedocs.org/en/v2014.4/index.html Gluon-Dokumentation]).
#* Veröffentlichte Firmware-Images werden in die Zweige "experimental", "beta" und "stable" unterteilt. Neue Firmware-Versionen werden in eben dieser Reihenfolge ausgerollt, um einen ausreichenden Testbetrieb vor der Verbreitung zu gewährleisten.
#* Die Aktuelle Praxis bezüglich der Veröffentlichung von neuen Firmware-Versionen ist im [http://wiki.freifunk-3laendereck.net/Freifunk-Router:Firmware Wiki] des FF3L dokumentiert.
# Übertragene Daten sind vor dem Zugriff Dritter geschützt.
#* Die Datenübertragung zu den Bündel-Servern erfolgt mittels der VPN-Software fastd über das Internet. Die übertragenen Daten sind mittels des Chiffre Salsa20/12 verschlüsselt.
#* Die Authentifizierung erfolgt mittels der asymmetrischen Schlüsselverfahren UMAC oder GMAC. Die öffentlichen Schlüssel müssen einmalig vor dem Aufbau der Verbindung ausgetauscht werden. Dies geschieht im Rahmen der Registrierung des Knotens.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.
#* Der Ausfall einzelner Server führt nicht zu Störungen innerhalb des Netzes, sofern alternative Routen existieren. In diesem Fällen wird das Routing durch das verwendete Routing-Protokoll batman-adv automatisch korrigiert und die Lücke geschlossen
#* Die Freifunk-Firmware stellt auf den Knoten eine Stauts-Seite bereit. Auf dieser kann man sehen, ob der Knoten mit dem Freifunk-Netz und auf welche Weise er mit dem Freifunk-Netz verbunden ist.
#* Der Status aller Knoten wird zusätzlich in Form einer Knotenkarte auf den Servern des FF3L visualisiert. Der Karte lässt sich neben der Lage des Knotes (freiwillige Angabe) entnehmen, ob ein Knoten mit dem Freifunk-Netz verbunden ist und wie er vebunden ist.

===Bekannte Lücken sowie geplante, zukünftige Sicherheitsmaßnahmen===
# Freifunk-Router sind vor dem Zugriff unbefugter Dritter geschützt.
#* Freifunk-Router werden prinzipiell nicht vom FF3L betrieben. Für den Schutz vor physikalischem Zugriff und ggf. damit einhergehender Manipulation ist der Knoten-Betreiber verantwortlich.
# Freifunk-Router ermöglichen Dritten den Zugang zum Freifunk-Netz, nicht jedoch den Zugang zum privaten Netz des Router-Betreibers.
#* Die an bestimmten Freifunk-Routern verfügbaren LAN-Ports ermöglichen eine direkte Verbindung von Endgeräten (z.B. Servern) mit dem Freifunk-Netz. LAN-Ports sind von den WAN-Ports zu unterscheiden, über welche die Freifunk-Router mit dem Internet verbunden werden.
#* Im Fall einer Verwechslung der Ports, kann das private Netze des Freifunk-Betreibers in das Freifunk-Netz überbrückt werden.
#* Um Knotenbetreiber im Fall einer Verwechselung zu schützen, sollen die LAN-Ports in der Standardkonfiguration deaktiviert werden. Eine Aktivierung erfolgt über den Konfigurationsmodus des Routers.
# Fehler und Sicherheitslücken in der Freifunk-Firmware werden behoben.
#* Der Aktualisierungs-Dienst für die Freifunk-Firmware ist in der Standardkonfiguration aktiviert. Die entsprechende Einstellung verbirgt sich jedoch unter den Experteneinstellungen im Konfigurationsmodus.
#* Um Knotenbetreiber auf diesen Umstand aufmerksam zu machen, ist eine Verlegung der Einstellungen in den allgemeinen Teil des Konfigurationsmnodus geplant.
# Übertragene Daten sind vor dem Zugriff Dritter geschützt.
#* Die Datenübertragung zwischen den Freifunk-Routern erfolgt auf Grund der eingesetzen Technologie unverschlüsselt. Sie ist damit durch Dritte vor Ort abhörbar.
#* Umfassende Sicherheit lässt sich allein durch End-zu-End-Verschlüsselung gewährleisten. Die Anwendung dieser erfolgt auf den Endgeräten und liegt damit in der Verantwortung der Freifunk-Nutzer und nicht des FF3L.
#* Um eine sichere Übetragung von den Klienten zu den Bündel-Servern zu gewährleisten, soll optional ein VPN-Zugang für Klienten angeboten werden (z.B. [http://www.openvpn.net OpenVPN]).
#* Um eine sichere Übertragung von Endpunkt zu Endpunkt innerhalb des Freifunk-Netzes anzubieten, ist die Einrichtung eines verschlüsselten Overlay-Netzes angedacht (z.B. [http://cjdns.info/ cjDNS]).
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet
#* Keine geplanten Maßnahmen.

==Server==
Im Folgenden Abschnitt sind die allgemeinen Schutzziele und Gefährdungen für Freifunk-Server zusammengefasst. Freifunk-Server werden in der Regel - jedoch nicht ausschließlich - bei Host Providern angemietet (physikalische und virtualisierte Root Server). Die Einrichtung, der Betrieb und die Wartung erfolgt durch den FF3L. Der Begriff "Freifunk-Server" umfasst hierbei die weiter unten aufgeführten Bündel-Server, Internet sowie IC-VPN Gateways. Diese werden entsprechend ihrer Aufgaben noch einmal separat abgehandelt. In der Praxis werde die verschiedenen Server meist zusammengefasst. Ausgeschlossen sind Server, welche von Freifunkern als Privatpersonen innerhalb des Freifunknetzes betrieben werden.

===Schutzziele und Gefährdungen===
# Server sind vor dem Zugriff unbefugter Dritter geschützt.
# Fehler und Sicherheitslücken in der verwendeten Software werden behoben.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.

===Abgeleitete Sicherheitsanforderungen===
# Server sind vor dem Zugriff unbefugter Dritter geschützt.
#* Der Zugriff auf die Server (physikalisch und über das Internet) ist auf einen engen, definierten Personenkreis beschränkt.
#* Zugriffsrechte werden nach Bedarf und maßgeschneidert erteilt.
#* Der Zugang aus dem Netz erfolgt exklusiv über verschlüsselte Verbindungen (z.B. SSH).
#* Eine Firewall beschränkt Zugriffe aus dem Netz auf das notwendige Minimum.
#* Spezielle Sicherheitssoftware zur Erkennung von Eindringlingen wird verwendet.
# Fehler und Sicherheitslücken in der verwendeten Software werden behoben.
#* Server werden auf der Grundlage eines gepflegten, quelloffenen Betriebssystems errichtet.
#* Verwendete Software wird in adequaten Intervallen aktualisiert.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.
#* Die Funktionstüchtigkeit der Server wird überwacht und der fehlerhafte Betrieb detektiert.
#* Server sind vor DoS-Attacken aus dem Internet geschützt.

===Umgesetzte Sicherheitsmaßnahmen===
# Server sind vor dem Zugriff unbefugter Dritter geschützt.
#* Der Zugriff auf die Server des FF3L ist auf Mitglieder des Administratoren-Teams begrenzt. Das Aministratoren-Team wird durch den Vorstand des Vereins benannt.
#* Der Shell-Login ist ausschließlich über SSH möglich. Die Authentifizierung erfolgt mittels eines Passworts (LDAP) oder eines hinterlegten Schlüssels.
#* Server werden durch Firewall-Regeln auf der Basis von ''iptables'' geschützt. Die Standardvorgabe ist, dass eingehende und weiterzuleitende Pakete verworfen werden. Die Freigabe von Ports bzw. der Weiterleitung erfolgt mittels spezifischer Regeln wo erwünscht.
# Fehler und Sicherheitslücken in der verwendeten Software werden behoben.
#* Die Freifunk-Server werden auf Basis der Debian Linux-Distribution betrieben. Sofern möglich, wird die jeweils letzte stabile Version verwendet.
#* Es werden in angemessenen Intervallen empfohlene Sicherheitsaktualisierungen mittels der offiziellen Paketverwaltung eingespielt.
#* Das Administratoren-Team verfolgt sicherheitsrelevante Ankündigungen über die Mailing-Liste debian-security-announce@lists.debian.org.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.
#* Kritische Server und Dienste werden über ein zentrales Monitoring auf der Basis von Nagios(-Derivaten) überwacht. Das Monitoring ist redundant aufgesetzt. Der aktuelle Zustand aller Server und Diense ist über eine Web-Oberfläche einsehbar. Optional erfolgt eine Mitteilung per e-Mail im Fall von Statusänderungen.
#* Die Server des FF3L werden von Host Providern angemietet. Diese bieten üblicherweise einen gewissen Schutz vor DoS-Angriffen in der Form adaptiver Firewalls.

===Bekannte Lücken sowie geplante, zukünftige Sicherheitsmaßnahmen===
# Server sind vor dem Zugriff unbefugter Dritter geschützt.
#* Die Erteilung von Zugriffsrechten erfolgt aktuell weitestgehend monolithisch, soll in Zukunft jedoch granular und nach Bedarf erfolgen. Erteilte Rechte sollen an geeigneter Stelle transparent dokumentiert und veröffentlicht werden.
#* Bzgl. der verwendeten Passwörter gibt es aktuell keine Vorgaben. In Zukunft soll deine Überprüfung der Passwortstärke sowie Vorgabe einer minimalen Entropie erfolgen.
#* Die Authentizfizierung im Rahmen des Shell-Login via SSH ist aktuell mittels eines Passworts möglich. Die Authentifizierung soll in Zukunft auf asymmetrische Schlüsselverfahren beschränkt werden, um die Folgen von Man-in-der-Mitte-Angriffen zu mildern.
#* Sicherheitssoftware zur Erkennung von Eindringlingen wird aktuell nur auf einem Teil der Freifunk-Server verwendet. Die Erstellung Umsetzung eines flächendeckenden Konzepts steht nachwievor aus.
# Fehler und Sicherheitslücken in der verwendeten Software werden behoben.
#* Keine geplanten Maßnahmen.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.
#* Keine geplanten Maßnahmen.

==Bündel-Server==
Bündel-Server dienen der Verbindung isolierter Funkwolken innerhalb des Freifunknetzes. Vom Prinzip her sind Sie den Freifunk-Routern gleichgestellte Netzwerkknoten, erfüllen unter Umständen jedoch zusätzliche Aufgaben. Sie unterhalten jedoch eine höhere Anzahl von Verbindungen (tpyischerweise 50 Ser erfüllen die folgenden Bündel-Server habe die folgenden Aufgaben:
* Verbindung entferntner Freifunk-Router mittels Tunnelverbindungen über das Internet.
* Austausch von Routen-Informationen, um die zielgerichtete Zustellung von Daten zu ermöglichen.
* Automatische Netzwerkkonfiguration von Klienten (Gluon).
* Namensauflösung innerhalb des Freifunk-Netzes (Gluon).

===Schutzziele und Gefährdungen===
# Bündel-Server sind vor dem Zugriff unbefugter Dritter geschützt.
# Übertragene Daten sind vor dem Zugriff Dritter geschützt.
# Die Namensauflösung ist vor Manipulationen durch Dritte geschützt.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.

===Abgeleitete Sicherheitsanforderungen===
# Übertragene Daten sind vor dem Zugriff Dritter geschützt.
** Die Datenübertragung zu den Freifunk-Routern erfolgt mittels verschlüsselter Tunnelverbindungen (End-zu-Endverschlüsselung) unter Verwendung von nach heutigem Wissenssand sicherer Verfahren.
** Die Authentizität der Endpunkte wird zum Schutz vor Mann-in-der-Mitte-Angriffen mittels eines asymmetrischen Schlüsselverfahrens sichergestellt.

# Die Namensauflösung ist vor Manipulationen durch Dritte geschützt.
** Die Authentizität der Endpunkte wird zum Schutz vor Mann-in-der-Mitte-Angriffen mittels eines asymmetrischen Schlüsselverfahrens sichergestellt.

# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.
** Der Ausfall eines Bündel-Servers führt nicht zur Störung des restlichen Netzes.
** Die Netzstabilität wird durch Redundanz gewährleistet. Die Bündel-Server sind über mehrere Rechenzeitung verteilt.
** Das Routing des Freifunk-Netzes ist "selbstheilend". Durch Ausfall bedingte Unterbrechungen werden automatisch behoben.
** Die verfügbare Bandbreite wird gleichmäßig auf alle verbundenen Knoten/Klienten verteilt.
** Die Funktionstüchtigkeit der Bündel-Server wird überwacht und der fehlerhafte Betrieb detektiert.

===Umgesetzte Sichgerheitsmaßnahmen===

===Geplante, zukünftige Sicherheitsmaßnahmen===

==Internet Gateways==

Aufgaben:
* Verbindung des Freifunknetzes mit dem restlichen Internet
* Namensauflösung
* optionale Anonymisierung der Clienten

===Schutzziele und Gefährdungen===
# Gleichmäßige Verteilung der verfügbaren Bandbreite auf alle Klienten sowie adeqaute Priorisierung des Verkehrs nach Diensten
# Unterbindung von SPAM-Nachrichten
# Optional die Einschränkung von P2P-Dateiübertragung auf ein vertretbares Maß

===Abgeleitete Sichgerheitsmaßnahmen===
# Gleichmäßige Verteilung von Bandbreite auf alle Klienten
** Verwendung von geeigneten Queueing Disciplines

# Unterbindung von SPAM-Nachrichten
** Sperrung des Mail Ports 25. Beschränkung auf den Mail Submission Port 587.

# Einschränkung von P2P-Dateiübertragung auf ein erträgliches Maß
** Beschränkung der Zahl aktiver Verbindungen pro Klient

===Geplante, zukünftige Sicherheitsmaßnahmen===

==IC-VPN Gateways==
Aufgaben:
* Verbindung des Freifunk-Netzes mit anderen Freifunk-Netzen innerhalb des IC-VPNs
* Austausch von Routeninformationen
* Namensauflösung für Domänen innerhalb des IC-VPN
* Optional Routing von Internetverkehr zu den Gateways anderer Freifunk-Netze

===Schutzziele und Gefährdungen===
# Übertragene Daten sind vor dem Zugriff Dritter geschützt.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.
# Der Ausfall des IC-VPN-Gateways führt nicht zur Störung des restlichen Netzes.

Zusätzlich gelten die Schutzzile und Gefährdungen wie für Bündel-Server

===Abgeleitete Sichgerheitsmaßnahmen===
# Übertragene Daten sind vor dem Zugriff Dritter geschützt.
** Die Datenübertragung zu den Bündel-Servern erfolgt mittels verschlüsselter Tunnelverbindungen (End-zu Endverschlüsselung) unter Verwendung von nach heutigem Wissenssand sicherer Verfahren.
** Die Authentizität der Endpunkte wird zum Schutz vor Mann-in-der-Mitte-Angriffen mittels eines asymmetrischen Schlüsselverfahrens sichergestellt.

===Geplante, zukünftige Sicherheitsmaßnahmen===

==Bewertung des Gesamtsystems==
Welche Risiken ergeben sich aus dem Zusammnenwirken der Teilsysteme?

==Kontinuierliche Verbesserung==

Wie wollen wir die Sicherheit unserer Freifunk-Netze kontinuierlich verbessern?

==Mitteilungspflichten==

Welche Sicherheitsverletzungen und/oder Störungen würden wir der Bundesnetzagentur mitteilen wollen?

=Ideen=

Integration in Freifunk-API? Community füllt lediglich Formular zu den einzelnen Teilsystemen aus. Das Sicherheitskonzept wird im Anschluss automatisch erstellt und im Netz veröffentlicht.

Sicherheitskonzept (intern)

2015-05-17T09:28:36Z

Langweiler: /* Umgesetzte Sicherheitsmaßnahmen */

=Präambel=
Freifunk Dreiländereck ("FF3L") ist ein parteipolitischer, unabhängiger, eingetragener Verein, der sich als Teil der weltweiten Open Wireless-Bewegung versteht, welche in Deutschland durch die Freifunk-Initiative repärsentiert wird.

Zur Umsetzung des Vereinszwecks unterhält der FF3L eine Netzwerkinfrastruktur, welche in Kombination mit den Freifunk-WLAN-Routern das Freifunk-Netz bildet. Er ist bei der Bundesnetzagentur seit dem xx.xx.xxxx. als Telekommunikationsdienstleister (Access Provider) registriert.

Mit dem vorliegenden Sicherheitskonzept werden die folgenden Absichten verfolgt:
* Erfüllung der Verpflichtung zur Erstellung und Umsetzung eines Sicherheitskonzeptes nach § 109 TKG.
* Transparente Dokumentation des Status Quo in Bezug auf Informationssicherheit als Grundlage für die kontinuierliche Verbesserung.
* Aufzeigen von inherenten Limitierungen, die sich auf Grund der Funktionsweise des Freifunk-Netzes ergeben.
* Darstellung der Pflichten von Freifunk-Nutzern hinsichtlich Gewährleistung ihrer eigene Sicherheit.

=Gesetzlicher Hintergrund=
Auszug aus dem "Katalog von Sicherheitsanforderungen für das Betreiben von Telekommunikations- und Datenverarbeitungssystemen sowie für die Verarbeitung personenbezogener Daten nach § 109 Telekommunikationsgesetz (TKG):

Für das Betreiben öffentlicher Telekkommunikatiosnetze sowie das Erbringen öffentlich zugänglicher Telekommunikationsdiense schreibt § 109 TKG Vorkehrungen und sonstige Maßnahmen

* zum Schutz des Fernmeldegehimnisses,
* gegen die Verletzung des Schutzes personenbezogener Daten,
* gegen Störungen, die zu erheblichen Beeinträchtigungen von Telekommunikationsnetzen und -diensten führen, auch soweit sie durch äußere Angriffe und Einwirkungen von Katastrophen bedingt sein könnten,
als Mindestanforderungen vor.

Ziel und Zweck der zu treffenden Maßnahmen sind insbesondere

* die Sicherheit vor unerlaubtem Zugriffen auf Telekommunikations- und Datenverarbeitungssysteme
* die Reduzierung / Minimierung der Auswirkungen von Sicherheitsverletzungen auf Nutzer oder auf zusammengeschaltete Netze
* die Gewährleistung eines ordnungsgemäßen Betriebes der Netze und dadurch die Sicherstellung der fortlaufenden Verfügbarkeit der über die Netze erbrachten Dienste.

=Netzstruktur=
Das Freifunknetz ist ein offenes, sich spontan ausbildendes und selbstheilendes Maschennetzwerk. Die Grundbausteine ("Knoten") des Freifunk-Netzes sind die Freifunk-Router. Der Begriff Maschennetzwerk
bedeutet, dass die einzelnen Knoten mit einem oder mehreren Knoten auf nicht hierarschische Weise verbunden sind.

Die Freifunk-Router sinde handelsübliche WLAN-Router, ausgestattet mit einer speziellen Software ("Firmware"). Die spezielle Firmware gestattet es den Freifunk-Routern spontan Verbindung mit anderen Freifunk-Routern in Reichweite aufzunehmen. Hierbei kommt der offizielle, zugelassene WLAN-Standard 802.11n zum Einsatz. Gleichzeitig agieren die Router als WLAN-Zugangspunkt und ermöglichen damit Klienten (z.B. Smartphones) den direkten Zugang zum Freifunknetz.

Damit die Daten in dieser chaotischen Struktur ihren Weg finden, kommt ein spezielles Routing-Protokoll zum Einsatz. Im Fall des FF3L handelt es sich um das Protokoll [http://www.open-mesh.org/projects/batman-adv/wiki B.A.T.M.A.N. Advanced]. Dieses arbeitet auf der Netzzugangsschicht (Layer 2 nach dem OSI-Netzwerkschichtmodell). Das Freifunk-Netz verhält sich damit effektiv so, als wären alle Knoten über einen einzigen Netzwerk-Switch miteinander verbunden.

Neben der direkten Verbindung von Freifunk-Routern via WLAN gibt es die Option, isolierte Funkwolken über Tunnelverbindungen zu zentralen Servern ("Bündel-Servern") miteinander zu verbinden. Die Tunnelverbindungen laufen über das Internet und sind verschlüsselt (d.h. der Inhalt ist für Dritte nicht einsehbar). Der Internetanschluss wird hierbei auf freiwilliger Basis von den Knotenbetreibern zur Vefügung gestellt.

Weiterhin bietet das Freifunknetz über zentrale Gateways eine Verbindung ins Internet ("Internet Gateways") sowie den Verbund aller Freifunk-Netze ("IC-VPN Gateways"). Der Verein Freifunk Dreiländreck e.V. agiert damit als Zugangsanbieter ("Access Provider"). Die indirekte Weiterleitung ins Internet schützt die Knotenbetreiber vor ewaigen Haftungsansprüchen ("Störherhaftung") im Fall eines Missbrauchs durch Dritte.

Zusätzlich können Applikations-Server in das Freifunk-Netz integriert werden. Diese agieren als reguläre Netzwerkknoten und sind den Freifunk-Routern gleichgestellt.

[[Datei:Netzstrukturplan.png]]

=Sicherheitsteilsysteme=
In den folgenden Abschnitten werden die sicherheitskritischen Teilsysteme des Freifunk-Netzes definiert und diskutiert. Konkret werden als Teilsysteme die Freifunk-Router und Freifunk-Server im allgmeienen sowie Bündel-Server, Internet und IC-VPN Gateways im speziellen behandelt. Jeder Abschnitt besteht aus einer einleitenden Beschreibung inkl. der Aufgaben des jeweiligen Teilsystems, einer Auflistung von Schutzzielen und Gefährdungen, abgeleiteten Sicherheitsanforderungen, bereits umgesetzten sowie zukünftigen, geplanten Sicherheitsmaßnahmen. Zuletzt erfolgt eine abschließende Beurteilung des Gesamtsystems.

==Freifunk-Router==
Freifunk-WLAN-Router bilden die Grundelemente des Freifunk-Netzes. Sie werden auch als Netzwerkknoten bezeichnet. Bei Freifunk-Routern handelt sich um handelsübliche WLAN-Router, welche durch das Einspielen eines speziellen Betriebssystems ("Freifunk-Firmware") modifiziert werden. Freifunk-Router erfüllen die folgenden Aufgaben:
* Spontane Bildung des Freifunk-Maschennetzwerks via WLAN mit allen in Reichweite befindlichen Freifunk-Routern (lokale Funkwolke).
* Optional die Errichtung von Tunnelverbindungen zu Bündel-Servern über das Internet für den Datenaustausch mit entfernten Funkwolken.
* Austausch von Routen-Informationen, um die zielgerichtete Zustellung von Daten zu ermöglichen.
* Zugangspunkt zum Freifunk-Netzwerk für WLAN-Klienten (z.B. Smartphones, Tablets, Notebooks).
* Optional die Anbindung von Servern und/oder lokalen Klienten mittels einer direkten Kabelverbindung.

===Schutzziele und Gefährdungen===
# Freifunk-Router sind vor dem Zugriff unbefugter Dritter geschützt.
# Freifunk-Router ermöglichen Dritten den Zugang zum Freifunk-Netz, nicht jedoch den Zugang zum privaten Netz des Router-Betreibers.
# Fehler und Sicherheitslücken in der Freifunk-Firmware werden behoben.
# Übertragene Daten sind vor dem Zugriff Dritter geschützt.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.

===Abgeleitete Sicherheitsanforderungen===
# Freifunk-Router sind vor dem Zugriff unbefugter Dritter geschützt.
#* Die Einstellungen des Freifunk-Routers lassen sich lediglich in einem gesonderten Konfigurationsmodus verändern.
#* In der Standardkonfiguration des Freifunk-Routers ist kein Zugang auf der Ebene des Betriebssystems ("Shell Login") möglich.
#* Optional kann durch den Router-Betreiber ein verschlüsselter Zugang (z.B. via SSH) aktiviert werden, um die Wartung aus der Ferne zu ermöglichen.
# Freifunk-Router ermöglichen Dritten den Zugang zum Freifunk-Netz, nicht jedoch den Zugang zum privaten Netz des Router-Betreibers.
#* Eine Firewall auf dem Freifunk-Router (Layer 2 und/oder Layer 3) verhindert den Zugriff auf das private Netz des Betreibers.
#* Ausgenommen ist der Aufbau einer Tunnelverbindung zu den Bündelservern, sofern der Betreiber dies in der Konfiguration ausdrücklich gestattet ("opt in").
# Fehler und Sicherheitslücken in der Freifunk-Firmware werden behoben.
#* Die Firmware der Freifunk-Router wird in angemessenen Intervallen automatisch über das Freifunk-Netzt aktualisiert ("Autoupdater").
#* Die Authentizität der Firmware wird durch ein elektronisches Signaturverfahren sichergestellt.
#* Neue Firmware-Versionen werden vor dem Ausrollen gem. eines festgelegten Schemas getestet.
# Übertragene Daten sind vor dem Zugriff Dritter geschützt.
#* Die Datenübertragung zu den Bündel-Servern erfolgt mittels verschlüsselter Tunnelverbindungen (End-zu-Endverschlüsselung) unter Verwendung von nach heutigem Wissenssand sicherer Verfahren.
#* Die Authentizität der Endpunkte wird zum Schutz vor Mann-in-der-Mitte-Angriffen mittels eines asymmetrischen Schlüsselverfahrens sichergestellt.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.
#* Der Ausfall einzelner Freifunk-Router führt nicht zur Störung des restlichen Netzes.
#* Das Routing des Freifunk-Netzes ist "selbstheilend". Durch Ausfall bedingte Unterbrechungenwerden automatisch behoben.
#* Die Funktionstüchtigkeit der Router wird überwacht und der fehlerhafte Betrieb detektiert.

===Umgesetzte Sichgerheitsmaßnahmen===
# Freifunk-Router sind vor dem Zugriff unbefugter Dritter geschützt.
#* Die verwendete Gluon-Firmware unterstützt einen separaten Konfigurationsmodus. Dieser ist nach dem Aufspielen der Firmware aktiviert. Er kann zu einem späteren Zeitpunkt durch längeres Drücken der Reset-Taste am Router erneut aktiviert werden. Die Konfiguration wird über eine Web-Oberfläche unter der Adresse http://192.168.0.1 vorgenommen. Nach Abschluss der Konfiguration wechselt der Router in den Betriebsmodus. Eine Änderung der Konfiguration über die Web-Obewrfläche ist in der Folge nicht mehr möglich.
#* In der Standardkonfiguration der Gluon-Firmware ist der Shell Login auf den Router deaktiviert. Er muss explizit im Konfigurationsmodus aktiviert werden, indem ein Passwort oder Schlüssel für den Zugang via SSH gesetzt wird.
# Freifunk-Router ermöglichen Dritten den Zugang zum Freifunk-Netz, nicht jedoch den Zugang zum privaten Netz des Router-Betreibers.
#* Das Freifunk-Netz und das private Netz des Router-Betreibers werden in der Gluon-Netzwerkkonfiguration strikt getrennt. Die Zugänge zu den beiden Netzen sind in Form separater Brücken zusammengefasst (''br-client'' und ''br-wan'').
#* Die verwendete Gluon-Firmware konfiguriert Firewall-Regeln (bereitgestellt durch das Paket ''gluon-ebtables''), welche auf der Netzzugangsschicht (Layer 2) den Zugriff auf das private Netz unterbindet.
#* Eine Ausnahme bildet der Aufbau einer optionalen Tunnelverbindung zu den Bündel-Servern durch die VPN-Software ''fastd''. Diese Option muss vom Betreiber im Konfigurationsmodus explizit aktiviert werden ("opt-in").
# Fehler und Sicherheitslücken in der Freifunk-Firmware werden behoben.
#* Der FF3L betreibt einen Aktualisierungs-Dienst, welcher über das Freifunk-Netz erreichbar ist. Mit Hilfe des Aktualisierungsdienstes lassen sich neuere Versionen der Firmware auf den Routern automatisch einspielen. Die Konfiguration der Freifunk-Router bleibt hierbei soweit möglich erhalten.
#* Der Aktualisierungs-Dienst ist in der Standardkonfiguration der Freifunk-Firmware aktiviert (Zweig "stable"). Der Aktualisierungs-Dienst kann im Konfigurationsmodus in den Experteneinstellungen deaktiviert werden ("opt-out").
#* Die Authentitizät der Firmware-Images wird durch ein Signaturverfahren gewährleistet (signiertes Manifest). Neue Images werden von den Freifunk-Routern nur bei vorhandensein einer gültigen Signatur installiert (siehe auch [http://gluon.readthedocs.org/en/v2014.4/index.html Gluon-Dokumentation]).
#* Veröffentlichte Firmware-Images werden in die Zweige "experimental", "beta" und "stable" unterteilt. Neue Firmware-Versionen werden in eben dieser Reihenfolge ausgerollt, um einen ausreichenden Testbetrieb vor der Verbreitung zu gewährleisten.
#* Die Aktuelle Praxis bezüglich der Veröffentlichung von neuen Firmware-Versionen ist im [http://wiki.freifunk-3laendereck.net/Freifunk-Router:Firmware Wiki] des FF3L dokumentiert.
# Übertragene Daten sind vor dem Zugriff Dritter geschützt.
#* Die Datenübertragung zu den Bündel-Servern erfolgt mittels der VPN-Software fastd über das Internet. Die übertragenen Daten sind mittels des Chiffre Salsa20/12 verschlüsselt.
#* Die Authentifizierung erfolgt mittels der asymmetrischen Schlüsselverfahren UMAC oder GMAC. Die öffentlichen Schlüssel müssen einmalig vor dem Aufbau der Verbindung ausgetauscht werden. Dies geschieht im Rahmen der Registrierung des Knotens.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.
#* Der Ausfall einzelner Server führt nicht zu Störungen innerhalb des Netzes, sofern alternative Routen existieren. In diesem Fällen wird das Routing durch das verwendete Routing-Protokoll batman-adv automatisch korrigiert und die Lücke geschlossen
#* Die Freifunk-Firmware stellt auf den Knoten eine Stauts-Seite bereit. Auf dieser kann man sehen, ob der Knoten mit dem Freifunk-Netz und auf welche Weise er mit dem Freifunk-Netz verbunden ist.
#* Der Status aller Knoten wird zusätzlich in Form einer Knotenkarte auf den Servern des FF3L visualisiert. Der Karte lässt sich neben der Lage des Knotes (freiwillige Angabe) entnehmen, ob ein Knoten mit dem Freifunk-Netz verbunden ist und wie er vebunden ist.

===Bekannte Lücken sowie geplante, zukünftige Sicherheitsmaßnahmen===
# Freifunk-Router sind vor dem Zugriff unbefugter Dritter geschützt.
#* Freifunk-Router werden prinzipiell nicht vom FF3L betrieben. Für den Schutz vor physikalischem Zugriff und ggf. damit einhergehender Manipulation ist der Knoten-Betreiber verantwortlich.
# Freifunk-Router ermöglichen Dritten den Zugang zum Freifunk-Netz, nicht jedoch den Zugang zum privaten Netz des Router-Betreibers.
#* Die an bestimmten Freifunk-Routern verfügbaren LAN-Ports ermöglichen eine direkte Verbindung von Endgeräten (z.B. Servern) mit dem Freifunk-Netz. LAN-Ports sind von den WAN-Ports zu unterscheiden, über welche die Freifunk-Router mit dem Internet verbunden werden.
#* Im Fall einer Verwechslung der Ports, kann das private Netze des Freifunk-Betreibers in das Freifunk-Netz überbrückt werden.
#* Um Knotenbetreiber im Fall einer Verwechselung zu schützen, sollen die LAN-Ports in der Standardkonfiguration deaktiviert werden. Eine Aktivierung erfolgt über den Konfigurationsmodus des Routers.
# Fehler und Sicherheitslücken in der Freifunk-Firmware werden behoben.
#* Der Aktualisierungs-Dienst für die Freifunk-Firmware ist in der Standardkonfiguration aktiviert. Die entsprechende Einstellung verbirgt sich jedoch unter den Experteneinstellungen im Konfigurationsmodus.
#* Um Knotenbetreiber auf diesen Umstand aufmerksam zu machen, ist eine Verlegung der Einstellungen in den allgemeinen Teil des Konfigurationsmnodus geplant.
# Übertragene Daten sind vor dem Zugriff Dritter geschützt.
#* Die Datenübertragung zwischen den Freifunk-Routern erfolgt auf Grund der eingesetzen Technologie unverschlüsselt. Sie ist damit durch Dritte vor Ort abhörbar.
#* Umfassende Sicherheit lässt sich allein durch End-zu-End-Verschlüsselung gewährleisten. Die Anwendung dieser erfolgt auf den Endgeräten und liegt damit in der Verantwortung der Freifunk-Nutzer und nicht des FF3L.
#* Um eine sichere Übetragung von den Klienten zu den Bündel-Servern zu gewährleisten, soll optional ein VPN-Zugang für Klienten angeboten werden (z.B. [http://www.openvpn.net OpenVPN]).
#* Um eine sichere Übertragung von Endpunkt zu Endpunkt innerhalb des Freifunk-Netzes anzubieten, ist die Einrichtung eines verschlüsselten Overlay-Netzes angedacht (z.B. [http://cjdns.info/ cjDNS]).
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet
#* Keine geplanten Maßnahmen.

==Server==
Im Folgenden Abschnitt sind die allgemeinen Schutzziele und Gefährdungen für Freifunk-Server zusammengefasst. Freifunk-Server werden in der Regel - jedoch nicht ausschließlich - bei Host Providern angemietet (physikalische und virtualisierte Root Server). Die Einrichtung, der Betrieb und die Wartung erfolgt durch den FF3L. Der Begriff "Freifunk-Server" umfasst hierbei die weiter unten aufgeführten Bündel-Server, Internet sowie IC-VPN Gateways. Diese werden entsprechend ihrer Aufgaben noch einmal separat abgehandelt. In der Praxis werde die verschiedenen Server meist zusammengefasst. Ausgeschlossen sind Server, welche von Freifunkern als Privatpersonen innerhalb des Freifunknetzes betrieben werden.

===Schutzziele und Gefährdungen===
# Server sind vor dem Zugriff unbefugter Dritter geschützt.
# Fehler und Sicherheitslücken in der verwendeten Software werden behoben.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.

===Abgeleitete Sicherheitsanforderungen===
# Server sind vor dem Zugriff unbefugter Dritter geschützt.
#* Der Zugriff auf die Server (physikalisch und über das Internet) ist auf einen engen, definierten Personenkreis beschränkt.
#* Zugriffsrechte werden nach Bedarf und maßgeschneidert erteilt.
#* Der Zugang aus dem Netz erfolgt exklusiv über verschlüsselte Verbindungen (z.B. SSH).
#* Eine Firewall beschränkt Zugriffe aus dem Netz auf das notwendige Minimum.
#* Spezielle Sicherheitssoftware zur Erkennung von Eindringlingen wird verwendet.
# Fehler und Sicherheitslücken in der verwendeten Software werden behoben.
#* Server werden auf der Grundlage eines gepflegten, quelloffenen Betriebssystems errichtet.
#* Verwendete Software wird in adequaten Intervallen aktualisiert.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.
#* Die Funktionstüchtigkeit der Server wird überwacht und der fehlerhafte Betrieb detektiert.
#* Server sind vor DoS-Attacken aus dem Internet geschützt.

===Umgesetzte Sicherheitsmaßnahmen===
# Server sind vor dem Zugriff unbefugter Dritter geschützt.
#* Der Zugriff auf die Server des FF3L ist auf Mitglieder des Administratoren-Teams begrenzt. Das Aministratoren-Team wird durch den Vorstand des Vereins benannt.
#* Der Shell-Login ist ausschließlich über SSH möglich. Die Authentifizierung erfolgt mittels eines Passworts (LDAP) oder eines hinterlegten Schlüssels.
#* Server werden durch Firewall-Regeln auf der Basis von ''iptables'' geschützt. Die Standardvorgabe ist. dass eingehende und weiterzuleitende Pakete verworfen werden. Die Freigabe von Ports bzw. der Weiterleitung erfolgt mittels spezifischer Regeln wo erwünscht.
# Fehler und Sicherheitslücken in der verwendeten Software werden behoben.
#* Die Freifunk-Server werden auf Basis der Debian Linux-Distribution betrieben. Sofern möglich, wird die jeweils letzte stabile Version verwendet.
#* Es werden in angemessenen Intervallen empfohlene Sicherheitsaktualisierungen mittels der offiziellen Paketverwaltung eingespielt.
#* Das Administratoren-Team verfolgt sicherheitsrelevante Ankündigungen über die Mailing-Liste debian-security-announce@lists.debian.org.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.
#* Kritische Server und Dienste werden über ein zentrales Monitoring auf der Basis von Nagios(-Derivaten) überwacht. Das Monitoring ist redundant aufgesetzt. Der aktuelle Zustand aller Server und Diense ist über eine Web-Oberfläche einsehbar. Optional erfolgt eine Mitteilung per e-Mail im Fall von Statusänderungen.
#* Die Server des FF3L werden von Host Providern angemietet. Diese bieten üblicherweise einen gewissen Schutz vor DoS-Angriffen in der Form adaptiver Firewalls.

===Bekannte Lücken sowie geplante, zukünftige Sicherheitsmaßnahmen===
# Server sind vor dem Zugriff unbefugter Dritter geschützt.
#* Die Erteilung von Zugriffsrechten erfolgt aktuell weitestgehend monolithisch, soll in Zukunft jedoch granular und nach Bedarf erfolgen. Erteilte Rechte sollen an geeigneter Stelle transparent dokumentiert und veröffentlicht werden.
#* Bzgl. der verwendeten Passwörter gibt es aktuell keine Vorgaben. In Zukunft soll deine Überprüfung der Passwortstärke sowie Vorgabe einer minimalen Entropie erfolgen.
#* Die Authentizfizierung im Rahmen des Shell-Login via SSH ist aktuell mittels eines Passworts möglich. Die Authentifizierung soll in Zukunft auf asymmetrische Schlüsselverfahren beschränkt werden, um die Folgen von Man-in-der-Mitte-Angriffen zu mildern.
#* Sicherheitssoftware zur Erkennung von Eindringlingen wird aktuell nur auf einem Teil der Freifunk-Server verwendet. Die Erstellung Umsetzung eines flächendeckenden Konzepts steht nachwievor aus.
# Fehler und Sicherheitslücken in der verwendeten Software werden behoben.
#* Keine geplanten Maßnahmen.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.
#* Keine geplanten Maßnahmen.

==Bündel-Server==
Bündel-Server dienen der Verbindung isolierter Funkwolken innerhalb des Freifunknetzes. Vom Prinzip her sind Sie den Freifunk-Routern gleichgestellte Netzwerkknoten, erfüllen unter Umständen jedoch zusätzliche Aufgaben. Sie unterhalten jedoch eine höhere Anzahl von Verbindungen (tpyischerweise 50 Ser erfüllen die folgenden Bündel-Server habe die folgenden Aufgaben:
* Verbindung entferntner Freifunk-Router mittels Tunnelverbindungen über das Internet.
* Austausch von Routen-Informationen, um die zielgerichtete Zustellung von Daten zu ermöglichen.
* Automatische Netzwerkkonfiguration von Klienten (Gluon).
* Namensauflösung innerhalb des Freifunk-Netzes (Gluon).

===Schutzziele und Gefährdungen===
# Bündel-Server sind vor dem Zugriff unbefugter Dritter geschützt.
# Übertragene Daten sind vor dem Zugriff Dritter geschützt.
# Die Namensauflösung ist vor Manipulationen durch Dritte geschützt.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.

===Abgeleitete Sicherheitsanforderungen===
# Übertragene Daten sind vor dem Zugriff Dritter geschützt.
** Die Datenübertragung zu den Freifunk-Routern erfolgt mittels verschlüsselter Tunnelverbindungen (End-zu-Endverschlüsselung) unter Verwendung von nach heutigem Wissenssand sicherer Verfahren.
** Die Authentizität der Endpunkte wird zum Schutz vor Mann-in-der-Mitte-Angriffen mittels eines asymmetrischen Schlüsselverfahrens sichergestellt.

# Die Namensauflösung ist vor Manipulationen durch Dritte geschützt.
** Die Authentizität der Endpunkte wird zum Schutz vor Mann-in-der-Mitte-Angriffen mittels eines asymmetrischen Schlüsselverfahrens sichergestellt.

# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.
** Der Ausfall eines Bündel-Servers führt nicht zur Störung des restlichen Netzes.
** Die Netzstabilität wird durch Redundanz gewährleistet. Die Bündel-Server sind über mehrere Rechenzeitung verteilt.
** Das Routing des Freifunk-Netzes ist "selbstheilend". Durch Ausfall bedingte Unterbrechungen werden automatisch behoben.
** Die verfügbare Bandbreite wird gleichmäßig auf alle verbundenen Knoten/Klienten verteilt.
** Die Funktionstüchtigkeit der Bündel-Server wird überwacht und der fehlerhafte Betrieb detektiert.

===Umgesetzte Sichgerheitsmaßnahmen===

===Geplante, zukünftige Sicherheitsmaßnahmen===

==Internet Gateways==

Aufgaben:
* Verbindung des Freifunknetzes mit dem restlichen Internet
* Namensauflösung
* optionale Anonymisierung der Clienten

===Schutzziele und Gefährdungen===
# Gleichmäßige Verteilung der verfügbaren Bandbreite auf alle Klienten sowie adeqaute Priorisierung des Verkehrs nach Diensten
# Unterbindung von SPAM-Nachrichten
# Optional die Einschränkung von P2P-Dateiübertragung auf ein vertretbares Maß

===Abgeleitete Sichgerheitsmaßnahmen===
# Gleichmäßige Verteilung von Bandbreite auf alle Klienten
** Verwendung von geeigneten Queueing Disciplines

# Unterbindung von SPAM-Nachrichten
** Sperrung des Mail Ports 25. Beschränkung auf den Mail Submission Port 587.

# Einschränkung von P2P-Dateiübertragung auf ein erträgliches Maß
** Beschränkung der Zahl aktiver Verbindungen pro Klient

===Geplante, zukünftige Sicherheitsmaßnahmen===

==IC-VPN Gateways==
Aufgaben:
* Verbindung des Freifunk-Netzes mit anderen Freifunk-Netzen innerhalb des IC-VPNs
* Austausch von Routeninformationen
* Namensauflösung für Domänen innerhalb des IC-VPN
* Optional Routing von Internetverkehr zu den Gateways anderer Freifunk-Netze

===Schutzziele und Gefährdungen===
# Übertragene Daten sind vor dem Zugriff Dritter geschützt.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.
# Der Ausfall des IC-VPN-Gateways führt nicht zur Störung des restlichen Netzes.

Zusätzlich gelten die Schutzzile und Gefährdungen wie für Bündel-Server

===Abgeleitete Sichgerheitsmaßnahmen===
# Übertragene Daten sind vor dem Zugriff Dritter geschützt.
** Die Datenübertragung zu den Bündel-Servern erfolgt mittels verschlüsselter Tunnelverbindungen (End-zu Endverschlüsselung) unter Verwendung von nach heutigem Wissenssand sicherer Verfahren.
** Die Authentizität der Endpunkte wird zum Schutz vor Mann-in-der-Mitte-Angriffen mittels eines asymmetrischen Schlüsselverfahrens sichergestellt.

===Geplante, zukünftige Sicherheitsmaßnahmen===

==Bewertung des Gesamtsystems==
Welche Risiken ergeben sich aus dem Zusammnenwirken der Teilsysteme?

==Kontinuierliche Verbesserung==

Wie wollen wir die Sicherheit unserer Freifunk-Netze kontinuierlich verbessern?

==Mitteilungspflichten==

Welche Sicherheitsverletzungen und/oder Störungen würden wir der Bundesnetzagentur mitteilen wollen?

=Ideen=

Integration in Freifunk-API? Community füllt lediglich Formular zu den einzelnen Teilsystemen aus. Das Sicherheitskonzept wird im Anschluss automatisch erstellt und im Netz veröffentlicht.

Sicherheitskonzept (intern)

2015-05-17T09:25:05Z

Langweiler: /* Server */

=Präambel=
Freifunk Dreiländereck ("FF3L") ist ein parteipolitischer, unabhängiger, eingetragener Verein, der sich als Teil der weltweiten Open Wireless-Bewegung versteht, welche in Deutschland durch die Freifunk-Initiative repärsentiert wird.

Zur Umsetzung des Vereinszwecks unterhält der FF3L eine Netzwerkinfrastruktur, welche in Kombination mit den Freifunk-WLAN-Routern das Freifunk-Netz bildet. Er ist bei der Bundesnetzagentur seit dem xx.xx.xxxx. als Telekommunikationsdienstleister (Access Provider) registriert.

Mit dem vorliegenden Sicherheitskonzept werden die folgenden Absichten verfolgt:
* Erfüllung der Verpflichtung zur Erstellung und Umsetzung eines Sicherheitskonzeptes nach § 109 TKG.
* Transparente Dokumentation des Status Quo in Bezug auf Informationssicherheit als Grundlage für die kontinuierliche Verbesserung.
* Aufzeigen von inherenten Limitierungen, die sich auf Grund der Funktionsweise des Freifunk-Netzes ergeben.
* Darstellung der Pflichten von Freifunk-Nutzern hinsichtlich Gewährleistung ihrer eigene Sicherheit.

=Gesetzlicher Hintergrund=
Auszug aus dem "Katalog von Sicherheitsanforderungen für das Betreiben von Telekommunikations- und Datenverarbeitungssystemen sowie für die Verarbeitung personenbezogener Daten nach § 109 Telekommunikationsgesetz (TKG):

Für das Betreiben öffentlicher Telekkommunikatiosnetze sowie das Erbringen öffentlich zugänglicher Telekommunikationsdiense schreibt § 109 TKG Vorkehrungen und sonstige Maßnahmen

* zum Schutz des Fernmeldegehimnisses,
* gegen die Verletzung des Schutzes personenbezogener Daten,
* gegen Störungen, die zu erheblichen Beeinträchtigungen von Telekommunikationsnetzen und -diensten führen, auch soweit sie durch äußere Angriffe und Einwirkungen von Katastrophen bedingt sein könnten,
als Mindestanforderungen vor.

Ziel und Zweck der zu treffenden Maßnahmen sind insbesondere

* die Sicherheit vor unerlaubtem Zugriffen auf Telekommunikations- und Datenverarbeitungssysteme
* die Reduzierung / Minimierung der Auswirkungen von Sicherheitsverletzungen auf Nutzer oder auf zusammengeschaltete Netze
* die Gewährleistung eines ordnungsgemäßen Betriebes der Netze und dadurch die Sicherstellung der fortlaufenden Verfügbarkeit der über die Netze erbrachten Dienste.

=Netzstruktur=
Das Freifunknetz ist ein offenes, sich spontan ausbildendes und selbstheilendes Maschennetzwerk. Die Grundbausteine ("Knoten") des Freifunk-Netzes sind die Freifunk-Router. Der Begriff Maschennetzwerk
bedeutet, dass die einzelnen Knoten mit einem oder mehreren Knoten auf nicht hierarschische Weise verbunden sind.

Die Freifunk-Router sinde handelsübliche WLAN-Router, ausgestattet mit einer speziellen Software ("Firmware"). Die spezielle Firmware gestattet es den Freifunk-Routern spontan Verbindung mit anderen Freifunk-Routern in Reichweite aufzunehmen. Hierbei kommt der offizielle, zugelassene WLAN-Standard 802.11n zum Einsatz. Gleichzeitig agieren die Router als WLAN-Zugangspunkt und ermöglichen damit Klienten (z.B. Smartphones) den direkten Zugang zum Freifunknetz.

Damit die Daten in dieser chaotischen Struktur ihren Weg finden, kommt ein spezielles Routing-Protokoll zum Einsatz. Im Fall des FF3L handelt es sich um das Protokoll [http://www.open-mesh.org/projects/batman-adv/wiki B.A.T.M.A.N. Advanced]. Dieses arbeitet auf der Netzzugangsschicht (Layer 2 nach dem OSI-Netzwerkschichtmodell). Das Freifunk-Netz verhält sich damit effektiv so, als wären alle Knoten über einen einzigen Netzwerk-Switch miteinander verbunden.

Neben der direkten Verbindung von Freifunk-Routern via WLAN gibt es die Option, isolierte Funkwolken über Tunnelverbindungen zu zentralen Servern ("Bündel-Servern") miteinander zu verbinden. Die Tunnelverbindungen laufen über das Internet und sind verschlüsselt (d.h. der Inhalt ist für Dritte nicht einsehbar). Der Internetanschluss wird hierbei auf freiwilliger Basis von den Knotenbetreibern zur Vefügung gestellt.

Weiterhin bietet das Freifunknetz über zentrale Gateways eine Verbindung ins Internet ("Internet Gateways") sowie den Verbund aller Freifunk-Netze ("IC-VPN Gateways"). Der Verein Freifunk Dreiländreck e.V. agiert damit als Zugangsanbieter ("Access Provider"). Die indirekte Weiterleitung ins Internet schützt die Knotenbetreiber vor ewaigen Haftungsansprüchen ("Störherhaftung") im Fall eines Missbrauchs durch Dritte.

Zusätzlich können Applikations-Server in das Freifunk-Netz integriert werden. Diese agieren als reguläre Netzwerkknoten und sind den Freifunk-Routern gleichgestellt.

[[Datei:Netzstrukturplan.png]]

=Sicherheitsteilsysteme=
In den folgenden Abschnitten werden die sicherheitskritischen Teilsysteme des Freifunk-Netzes definiert und diskutiert. Konkret werden als Teilsysteme die Freifunk-Router und Freifunk-Server im allgmeienen sowie Bündel-Server, Internet und IC-VPN Gateways im speziellen behandelt. Jeder Abschnitt besteht aus einer einleitenden Beschreibung inkl. der Aufgaben des jeweiligen Teilsystems, einer Auflistung von Schutzzielen und Gefährdungen, abgeleiteten Sicherheitsanforderungen, bereits umgesetzten sowie zukünftigen, geplanten Sicherheitsmaßnahmen. Zuletzt erfolgt eine abschließende Beurteilung des Gesamtsystems.

==Freifunk-Router==
Freifunk-WLAN-Router bilden die Grundelemente des Freifunk-Netzes. Sie werden auch als Netzwerkknoten bezeichnet. Bei Freifunk-Routern handelt sich um handelsübliche WLAN-Router, welche durch das Einspielen eines speziellen Betriebssystems ("Freifunk-Firmware") modifiziert werden. Freifunk-Router erfüllen die folgenden Aufgaben:
* Spontane Bildung des Freifunk-Maschennetzwerks via WLAN mit allen in Reichweite befindlichen Freifunk-Routern (lokale Funkwolke).
* Optional die Errichtung von Tunnelverbindungen zu Bündel-Servern über das Internet für den Datenaustausch mit entfernten Funkwolken.
* Austausch von Routen-Informationen, um die zielgerichtete Zustellung von Daten zu ermöglichen.
* Zugangspunkt zum Freifunk-Netzwerk für WLAN-Klienten (z.B. Smartphones, Tablets, Notebooks).
* Optional die Anbindung von Servern und/oder lokalen Klienten mittels einer direkten Kabelverbindung.

===Schutzziele und Gefährdungen===
# Freifunk-Router sind vor dem Zugriff unbefugter Dritter geschützt.
# Freifunk-Router ermöglichen Dritten den Zugang zum Freifunk-Netz, nicht jedoch den Zugang zum privaten Netz des Router-Betreibers.
# Fehler und Sicherheitslücken in der Freifunk-Firmware werden behoben.
# Übertragene Daten sind vor dem Zugriff Dritter geschützt.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.

===Abgeleitete Sicherheitsanforderungen===
# Freifunk-Router sind vor dem Zugriff unbefugter Dritter geschützt.
#* Die Einstellungen des Freifunk-Routers lassen sich lediglich in einem gesonderten Konfigurationsmodus verändern.
#* In der Standardkonfiguration des Freifunk-Routers ist kein Zugang auf der Ebene des Betriebssystems ("Shell Login") möglich.
#* Optional kann durch den Router-Betreiber ein verschlüsselter Zugang (z.B. via SSH) aktiviert werden, um die Wartung aus der Ferne zu ermöglichen.
# Freifunk-Router ermöglichen Dritten den Zugang zum Freifunk-Netz, nicht jedoch den Zugang zum privaten Netz des Router-Betreibers.
#* Eine Firewall auf dem Freifunk-Router (Layer 2 und/oder Layer 3) verhindert den Zugriff auf das private Netz des Betreibers.
#* Ausgenommen ist der Aufbau einer Tunnelverbindung zu den Bündelservern, sofern der Betreiber dies in der Konfiguration ausdrücklich gestattet ("opt in").
# Fehler und Sicherheitslücken in der Freifunk-Firmware werden behoben.
#* Die Firmware der Freifunk-Router wird in angemessenen Intervallen automatisch über das Freifunk-Netzt aktualisiert ("Autoupdater").
#* Die Authentizität der Firmware wird durch ein elektronisches Signaturverfahren sichergestellt.
#* Neue Firmware-Versionen werden vor dem Ausrollen gem. eines festgelegten Schemas getestet.
# Übertragene Daten sind vor dem Zugriff Dritter geschützt.
#* Die Datenübertragung zu den Bündel-Servern erfolgt mittels verschlüsselter Tunnelverbindungen (End-zu-Endverschlüsselung) unter Verwendung von nach heutigem Wissenssand sicherer Verfahren.
#* Die Authentizität der Endpunkte wird zum Schutz vor Mann-in-der-Mitte-Angriffen mittels eines asymmetrischen Schlüsselverfahrens sichergestellt.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.
#* Der Ausfall einzelner Freifunk-Router führt nicht zur Störung des restlichen Netzes.
#* Das Routing des Freifunk-Netzes ist "selbstheilend". Durch Ausfall bedingte Unterbrechungenwerden automatisch behoben.
#* Die Funktionstüchtigkeit der Router wird überwacht und der fehlerhafte Betrieb detektiert.

===Umgesetzte Sichgerheitsmaßnahmen===
# Freifunk-Router sind vor dem Zugriff unbefugter Dritter geschützt.
#* Die verwendete Gluon-Firmware unterstützt einen separaten Konfigurationsmodus. Dieser ist nach dem Aufspielen der Firmware aktiviert. Er kann zu einem späteren Zeitpunkt durch längeres Drücken der Reset-Taste am Router erneut aktiviert werden. Die Konfiguration wird über eine Web-Oberfläche unter der Adresse http://192.168.0.1 vorgenommen. Nach Abschluss der Konfiguration wechselt der Router in den Betriebsmodus. Eine Änderung der Konfiguration über die Web-Obewrfläche ist in der Folge nicht mehr möglich.
#* In der Standardkonfiguration der Gluon-Firmware ist der Shell Login auf den Router deaktiviert. Er muss explizit im Konfigurationsmodus aktiviert werden, indem ein Passwort oder Schlüssel für den Zugang via SSH gesetzt wird.
# Freifunk-Router ermöglichen Dritten den Zugang zum Freifunk-Netz, nicht jedoch den Zugang zum privaten Netz des Router-Betreibers.
#* Das Freifunk-Netz und das private Netz des Router-Betreibers werden in der Gluon-Netzwerkkonfiguration strikt getrennt. Die Zugänge zu den beiden Netzen sind in Form separater Brücken zusammengefasst (''br-client'' und ''br-wan'').
#* Die verwendete Gluon-Firmware konfiguriert Firewall-Regeln (bereitgestellt durch das Paket ''gluon-ebtables''), welche auf der Netzzugangsschicht (Layer 2) den Zugriff auf das private Netz unterbindet.
#* Eine Ausnahme bildet der Aufbau einer optionalen Tunnelverbindung zu den Bündel-Servern durch die VPN-Software ''fastd''. Diese Option muss vom Betreiber im Konfigurationsmodus explizit aktiviert werden ("opt-in").
# Fehler und Sicherheitslücken in der Freifunk-Firmware werden behoben.
#* Der FF3L betreibt einen Aktualisierungs-Dienst, welcher über das Freifunk-Netz erreichbar ist. Mit Hilfe des Aktualisierungsdienstes lassen sich neuere Versionen der Firmware auf den Routern automatisch einspielen. Die Konfiguration der Freifunk-Router bleibt hierbei soweit möglich erhalten.
#* Der Aktualisierungs-Dienst ist in der Standardkonfiguration der Freifunk-Firmware aktiviert (Zweig "stable"). Der Aktualisierungs-Dienst kann im Konfigurationsmodus in den Experteneinstellungen deaktiviert werden ("opt-out").
#* Die Authentitizät der Firmware-Images wird durch ein Signaturverfahren gewährleistet (signiertes Manifest). Neue Images werden von den Freifunk-Routern nur bei vorhandensein einer gültigen Signatur installiert (siehe auch [http://gluon.readthedocs.org/en/v2014.4/index.html Gluon-Dokumentation]).
#* Veröffentlichte Firmware-Images werden in die Zweige "experimental", "beta" und "stable" unterteilt. Neue Firmware-Versionen werden in eben dieser Reihenfolge ausgerollt, um einen ausreichenden Testbetrieb vor der Verbreitung zu gewährleisten.
#* Die Aktuelle Praxis bezüglich der Veröffentlichung von neuen Firmware-Versionen ist im [http://wiki.freifunk-3laendereck.net/Freifunk-Router:Firmware Wiki] des FF3L dokumentiert.
# Übertragene Daten sind vor dem Zugriff Dritter geschützt.
#* Die Datenübertragung zu den Bündel-Servern erfolgt mittels der VPN-Software fastd über das Internet. Die übertragenen Daten sind mittels des Chiffre Salsa20/12 verschlüsselt.
#* Die Authentifizierung erfolgt mittels der asymmetrischen Schlüsselverfahren UMAC oder GMAC. Die öffentlichen Schlüssel müssen einmalig vor dem Aufbau der Verbindung ausgetauscht werden. Dies geschieht im Rahmen der Registrierung des Knotens.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.
#* Der Ausfall einzelner Server führt nicht zu Störungen innerhalb des Netzes, sofern alternative Routen existieren. In diesem Fällen wird das Routing durch das verwendete Routing-Protokoll batman-adv automatisch korrigiert und die Lücke geschlossen
#* Die Freifunk-Firmware stellt auf den Knoten eine Stauts-Seite bereit. Auf dieser kann man sehen, ob der Knoten mit dem Freifunk-Netz und auf welche Weise er mit dem Freifunk-Netz verbunden ist.
#* Der Status aller Knoten wird zusätzlich in Form einer Knotenkarte auf den Servern des FF3L visualisiert. Der Karte lässt sich neben der Lage des Knotes (freiwillige Angabe) entnehmen, ob ein Knoten mit dem Freifunk-Netz verbunden ist und wie er vebunden ist.

===Bekannte Lücken sowie geplante, zukünftige Sicherheitsmaßnahmen===
# Freifunk-Router sind vor dem Zugriff unbefugter Dritter geschützt.
#* Freifunk-Router werden prinzipiell nicht vom FF3L betrieben. Für den Schutz vor physikalischem Zugriff und ggf. damit einhergehender Manipulation ist der Knoten-Betreiber verantwortlich.
# Freifunk-Router ermöglichen Dritten den Zugang zum Freifunk-Netz, nicht jedoch den Zugang zum privaten Netz des Router-Betreibers.
#* Die an bestimmten Freifunk-Routern verfügbaren LAN-Ports ermöglichen eine direkte Verbindung von Endgeräten (z.B. Servern) mit dem Freifunk-Netz. LAN-Ports sind von den WAN-Ports zu unterscheiden, über welche die Freifunk-Router mit dem Internet verbunden werden.
#* Im Fall einer Verwechslung der Ports, kann das private Netze des Freifunk-Betreibers in das Freifunk-Netz überbrückt werden.
#* Um Knotenbetreiber im Fall einer Verwechselung zu schützen, sollen die LAN-Ports in der Standardkonfiguration deaktiviert werden. Eine Aktivierung erfolgt über den Konfigurationsmodus des Routers.
# Fehler und Sicherheitslücken in der Freifunk-Firmware werden behoben.
#* Der Aktualisierungs-Dienst für die Freifunk-Firmware ist in der Standardkonfiguration aktiviert. Die entsprechende Einstellung verbirgt sich jedoch unter den Experteneinstellungen im Konfigurationsmodus.
#* Um Knotenbetreiber auf diesen Umstand aufmerksam zu machen, ist eine Verlegung der Einstellungen in den allgemeinen Teil des Konfigurationsmnodus geplant.
# Übertragene Daten sind vor dem Zugriff Dritter geschützt.
#* Die Datenübertragung zwischen den Freifunk-Routern erfolgt auf Grund der eingesetzen Technologie unverschlüsselt. Sie ist damit durch Dritte vor Ort abhörbar.
#* Umfassende Sicherheit lässt sich allein durch End-zu-End-Verschlüsselung gewährleisten. Die Anwendung dieser erfolgt auf den Endgeräten und liegt damit in der Verantwortung der Freifunk-Nutzer und nicht des FF3L.
#* Um eine sichere Übetragung von den Klienten zu den Bündel-Servern zu gewährleisten, soll optional ein VPN-Zugang für Klienten angeboten werden (z.B. [http://www.openvpn.net OpenVPN]).
#* Um eine sichere Übertragung von Endpunkt zu Endpunkt innerhalb des Freifunk-Netzes anzubieten, ist die Einrichtung eines verschlüsselten Overlay-Netzes angedacht (z.B. [http://cjdns.info/ cjDNS]).
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet
#* Keine geplanten Maßnahmen.

==Server==
Im Folgenden Abschnitt sind die allgemeinen Schutzziele und Gefährdungen für Freifunk-Server zusammengefasst. Freifunk-Server werden in der Regel - jedoch nicht ausschließlich - bei Host Providern angemietet (physikalische und virtualisierte Root Server). Die Einrichtung, der Betrieb und die Wartung erfolgt durch den FF3L. Der Begriff "Freifunk-Server" umfasst hierbei die weiter unten aufgeführten Bündel-Server, Internet sowie IC-VPN Gateways. Diese werden entsprechend ihrer Aufgaben noch einmal separat abgehandelt. In der Praxis werde die verschiedenen Server meist zusammengefasst. Ausgeschlossen sind Server, welche von Freifunkern als Privatpersonen innerhalb des Freifunknetzes betrieben werden.

===Schutzziele und Gefährdungen===
# Server sind vor dem Zugriff unbefugter Dritter geschützt.
# Fehler und Sicherheitslücken in der verwendeten Software werden behoben.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.

===Abgeleitete Sicherheitsanforderungen===
# Server sind vor dem Zugriff unbefugter Dritter geschützt.
#* Der Zugriff auf die Server (physikalisch und über das Internet) ist auf einen engen, definierten Personenkreis beschränkt.
#* Zugriffsrechte werden nach Bedarf und maßgeschneidert erteilt.
#* Der Zugang aus dem Netz erfolgt exklusiv über verschlüsselte Verbindungen (z.B. SSH).
#* Eine Firewall beschränkt Zugriffe aus dem Netz auf das notwendige Minimum.
#* Spezielle Sicherheitssoftware zur Erkennung von Eindringlingen wird verwendet.
# Fehler und Sicherheitslücken in der verwendeten Software werden behoben.
#* Server werden auf der Grundlage eines gepflegten, quelloffenen Betriebssystems errichtet.
#* Verwendete Software wird in adequaten Intervallen aktualisiert.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.
#* Die Funktionstüchtigkeit der Server wird überwacht und der fehlerhafte Betrieb detektiert.
#* Server sind vor DoS-Attacken aus dem Internet geschützt.

===Umgesetzte Sicherheitsmaßnahmen===
# Server sind vor dem Zugriff unbefugter Dritter geschützt.
#* Der Zugriff auf die Server des FF3L ist auf Mitglieder des Administratoren-Teams begrenzt. Das Aministratoren-Team wird durch den Vorstand des Vereins benannt.
#* Der Shell-Login ist ausschließlich über SSH möglich. Die Authentifizierung erfolgt mittels eines Passworts (LDAP) oder eines hinterlegten Schlüssels.
#* Eine Firewall beschränkt Zugriffe aus dem Netz auf das notwendige Minimum.
# Fehler und Sicherheitslücken in der verwendeten Software werden behoben.
#* Die Freifunk-Server werden auf Basis der Debian Linux-Distribution betrieben. Sofern möglich, wird die jeweils letzte stabile Version verwendet.
#* Es werden in angemessenen Intervallen empfohlene Sicherheitsaktualisierungen mittels der offiziellen Paketverwaltung eingespielt.
#* Das Administratoren-Team verfolgt sicherheitsrelevante Ankündigungen über die Mailing-Liste debian-security-announce@lists.debian.org.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.
#* Kritische Server und Dienste werden über ein zentrales Monitoring auf der Basis von Nagios(-Derivaten) überwacht. Das Monitoring ist redundant aufgesetzt. Der aktuelle Zustand aller Server und Diense ist über eine Web-Oberfläche einsehbar. Optional erfolgt eine Mitteilung per e-Mail im Fall von Statusänderungen.
#* Die Server des FF3L werden von Host Providern angemietet. Diese bieten üblicherweise einen gewissen Schutz vor DoS-Angriffen in der Form adaptiver Firewalls.

===Bekannte Lücken sowie geplante, zukünftige Sicherheitsmaßnahmen===
# Server sind vor dem Zugriff unbefugter Dritter geschützt.
#* Die Erteilung von Zugriffsrechten erfolgt aktuell weitestgehend monolithisch, soll in Zukunft jedoch granular und nach Bedarf erfolgen. Erteilte Rechte sollen an geeigneter Stelle transparent dokumentiert und veröffentlicht werden.
#* Bzgl. der verwendeten Passwörter gibt es aktuell keine Vorgaben. In Zukunft soll deine Überprüfung der Passwortstärke sowie Vorgabe einer minimalen Entropie erfolgen.
#* Die Authentizfizierung im Rahmen des Shell-Login via SSH ist aktuell mittels eines Passworts möglich. Die Authentifizierung soll in Zukunft auf asymmetrische Schlüsselverfahren beschränkt werden, um die Folgen von Man-in-der-Mitte-Angriffen zu mildern.
#* Sicherheitssoftware zur Erkennung von Eindringlingen wird aktuell nur auf einem Teil der Freifunk-Server verwendet. Die Erstellung Umsetzung eines flächendeckenden Konzepts steht nachwievor aus.
# Fehler und Sicherheitslücken in der verwendeten Software werden behoben.
#* Keine geplanten Maßnahmen.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.
#* Keine geplanten Maßnahmen.

==Bündel-Server==
Bündel-Server dienen der Verbindung isolierter Funkwolken innerhalb des Freifunknetzes. Vom Prinzip her sind Sie den Freifunk-Routern gleichgestellte Netzwerkknoten, erfüllen unter Umständen jedoch zusätzliche Aufgaben. Sie unterhalten jedoch eine höhere Anzahl von Verbindungen (tpyischerweise 50 Ser erfüllen die folgenden Bündel-Server habe die folgenden Aufgaben:
* Verbindung entferntner Freifunk-Router mittels Tunnelverbindungen über das Internet.
* Austausch von Routen-Informationen, um die zielgerichtete Zustellung von Daten zu ermöglichen.
* Automatische Netzwerkkonfiguration von Klienten (Gluon).
* Namensauflösung innerhalb des Freifunk-Netzes (Gluon).

===Schutzziele und Gefährdungen===
# Bündel-Server sind vor dem Zugriff unbefugter Dritter geschützt.
# Übertragene Daten sind vor dem Zugriff Dritter geschützt.
# Die Namensauflösung ist vor Manipulationen durch Dritte geschützt.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.

===Abgeleitete Sicherheitsanforderungen===
# Übertragene Daten sind vor dem Zugriff Dritter geschützt.
** Die Datenübertragung zu den Freifunk-Routern erfolgt mittels verschlüsselter Tunnelverbindungen (End-zu-Endverschlüsselung) unter Verwendung von nach heutigem Wissenssand sicherer Verfahren.
** Die Authentizität der Endpunkte wird zum Schutz vor Mann-in-der-Mitte-Angriffen mittels eines asymmetrischen Schlüsselverfahrens sichergestellt.

# Die Namensauflösung ist vor Manipulationen durch Dritte geschützt.
** Die Authentizität der Endpunkte wird zum Schutz vor Mann-in-der-Mitte-Angriffen mittels eines asymmetrischen Schlüsselverfahrens sichergestellt.

# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.
** Der Ausfall eines Bündel-Servers führt nicht zur Störung des restlichen Netzes.
** Die Netzstabilität wird durch Redundanz gewährleistet. Die Bündel-Server sind über mehrere Rechenzeitung verteilt.
** Das Routing des Freifunk-Netzes ist "selbstheilend". Durch Ausfall bedingte Unterbrechungen werden automatisch behoben.
** Die verfügbare Bandbreite wird gleichmäßig auf alle verbundenen Knoten/Klienten verteilt.
** Die Funktionstüchtigkeit der Bündel-Server wird überwacht und der fehlerhafte Betrieb detektiert.

===Umgesetzte Sichgerheitsmaßnahmen===

===Geplante, zukünftige Sicherheitsmaßnahmen===

==Internet Gateways==

Aufgaben:
* Verbindung des Freifunknetzes mit dem restlichen Internet
* Namensauflösung
* optionale Anonymisierung der Clienten

===Schutzziele und Gefährdungen===
# Gleichmäßige Verteilung der verfügbaren Bandbreite auf alle Klienten sowie adeqaute Priorisierung des Verkehrs nach Diensten
# Unterbindung von SPAM-Nachrichten
# Optional die Einschränkung von P2P-Dateiübertragung auf ein vertretbares Maß

===Abgeleitete Sichgerheitsmaßnahmen===
# Gleichmäßige Verteilung von Bandbreite auf alle Klienten
** Verwendung von geeigneten Queueing Disciplines

# Unterbindung von SPAM-Nachrichten
** Sperrung des Mail Ports 25. Beschränkung auf den Mail Submission Port 587.

# Einschränkung von P2P-Dateiübertragung auf ein erträgliches Maß
** Beschränkung der Zahl aktiver Verbindungen pro Klient

===Geplante, zukünftige Sicherheitsmaßnahmen===

==IC-VPN Gateways==
Aufgaben:
* Verbindung des Freifunk-Netzes mit anderen Freifunk-Netzen innerhalb des IC-VPNs
* Austausch von Routeninformationen
* Namensauflösung für Domänen innerhalb des IC-VPN
* Optional Routing von Internetverkehr zu den Gateways anderer Freifunk-Netze

===Schutzziele und Gefährdungen===
# Übertragene Daten sind vor dem Zugriff Dritter geschützt.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.
# Der Ausfall des IC-VPN-Gateways führt nicht zur Störung des restlichen Netzes.

Zusätzlich gelten die Schutzzile und Gefährdungen wie für Bündel-Server

===Abgeleitete Sichgerheitsmaßnahmen===
# Übertragene Daten sind vor dem Zugriff Dritter geschützt.
** Die Datenübertragung zu den Bündel-Servern erfolgt mittels verschlüsselter Tunnelverbindungen (End-zu Endverschlüsselung) unter Verwendung von nach heutigem Wissenssand sicherer Verfahren.
** Die Authentizität der Endpunkte wird zum Schutz vor Mann-in-der-Mitte-Angriffen mittels eines asymmetrischen Schlüsselverfahrens sichergestellt.

===Geplante, zukünftige Sicherheitsmaßnahmen===

==Bewertung des Gesamtsystems==
Welche Risiken ergeben sich aus dem Zusammnenwirken der Teilsysteme?

==Kontinuierliche Verbesserung==

Wie wollen wir die Sicherheit unserer Freifunk-Netze kontinuierlich verbessern?

==Mitteilungspflichten==

Welche Sicherheitsverletzungen und/oder Störungen würden wir der Bundesnetzagentur mitteilen wollen?

=Ideen=

Integration in Freifunk-API? Community füllt lediglich Formular zu den einzelnen Teilsystemen aus. Das Sicherheitskonzept wird im Anschluss automatisch erstellt und im Netz veröffentlicht.

Sicherheitskonzept (intern)

2015-05-17T09:12:23Z

Langweiler: /* Umgesetzte Sicherheitsmaßnahmen */

=Präambel=
Freifunk Dreiländereck ("FF3L") ist ein parteipolitischer, unabhängiger, eingetragener Verein, der sich als Teil der weltweiten Open Wireless-Bewegung versteht, welche in Deutschland durch die Freifunk-Initiative repärsentiert wird.

Zur Umsetzung des Vereinszwecks unterhält der FF3L eine Netzwerkinfrastruktur, welche in Kombination mit den Freifunk-WLAN-Routern das Freifunk-Netz bildet. Er ist bei der Bundesnetzagentur seit dem xx.xx.xxxx. als Telekommunikationsdienstleister (Access Provider) registriert.

Mit dem vorliegenden Sicherheitskonzept werden die folgenden Absichten verfolgt:
* Erfüllung der Verpflichtung zur Erstellung und Umsetzung eines Sicherheitskonzeptes nach § 109 TKG.
* Transparente Dokumentation des Status Quo in Bezug auf Informationssicherheit als Grundlage für die kontinuierliche Verbesserung.
* Aufzeigen von inherenten Limitierungen, die sich auf Grund der Funktionsweise des Freifunk-Netzes ergeben.
* Darstellung der Pflichten von Freifunk-Nutzern hinsichtlich Gewährleistung ihrer eigene Sicherheit.

=Gesetzlicher Hintergrund=
Auszug aus dem "Katalog von Sicherheitsanforderungen für das Betreiben von Telekommunikations- und Datenverarbeitungssystemen sowie für die Verarbeitung personenbezogener Daten nach § 109 Telekommunikationsgesetz (TKG):

Für das Betreiben öffentlicher Telekkommunikatiosnetze sowie das Erbringen öffentlich zugänglicher Telekommunikationsdiense schreibt § 109 TKG Vorkehrungen und sonstige Maßnahmen

* zum Schutz des Fernmeldegehimnisses,
* gegen die Verletzung des Schutzes personenbezogener Daten,
* gegen Störungen, die zu erheblichen Beeinträchtigungen von Telekommunikationsnetzen und -diensten führen, auch soweit sie durch äußere Angriffe und Einwirkungen von Katastrophen bedingt sein könnten,
als Mindestanforderungen vor.

Ziel und Zweck der zu treffenden Maßnahmen sind insbesondere

* die Sicherheit vor unerlaubtem Zugriffen auf Telekommunikations- und Datenverarbeitungssysteme
* die Reduzierung / Minimierung der Auswirkungen von Sicherheitsverletzungen auf Nutzer oder auf zusammengeschaltete Netze
* die Gewährleistung eines ordnungsgemäßen Betriebes der Netze und dadurch die Sicherstellung der fortlaufenden Verfügbarkeit der über die Netze erbrachten Dienste.

=Netzstruktur=
Das Freifunknetz ist ein offenes, sich spontan ausbildendes und selbstheilendes Maschennetzwerk. Die Grundbausteine ("Knoten") des Freifunk-Netzes sind die Freifunk-Router. Der Begriff Maschennetzwerk
bedeutet, dass die einzelnen Knoten mit einem oder mehreren Knoten auf nicht hierarschische Weise verbunden sind.

Die Freifunk-Router sinde handelsübliche WLAN-Router, ausgestattet mit einer speziellen Software ("Firmware"). Die spezielle Firmware gestattet es den Freifunk-Routern spontan Verbindung mit anderen Freifunk-Routern in Reichweite aufzunehmen. Hierbei kommt der offizielle, zugelassene WLAN-Standard 802.11n zum Einsatz. Gleichzeitig agieren die Router als WLAN-Zugangspunkt und ermöglichen damit Klienten (z.B. Smartphones) den direkten Zugang zum Freifunknetz.

Damit die Daten in dieser chaotischen Struktur ihren Weg finden, kommt ein spezielles Routing-Protokoll zum Einsatz. Im Fall des FF3L handelt es sich um das Protokoll [http://www.open-mesh.org/projects/batman-adv/wiki B.A.T.M.A.N. Advanced]. Dieses arbeitet auf der Netzzugangsschicht (Layer 2 nach dem OSI-Netzwerkschichtmodell). Das Freifunk-Netz verhält sich damit effektiv so, als wären alle Knoten über einen einzigen Netzwerk-Switch miteinander verbunden.

Neben der direkten Verbindung von Freifunk-Routern via WLAN gibt es die Option, isolierte Funkwolken über Tunnelverbindungen zu zentralen Servern ("Bündel-Servern") miteinander zu verbinden. Die Tunnelverbindungen laufen über das Internet und sind verschlüsselt (d.h. der Inhalt ist für Dritte nicht einsehbar). Der Internetanschluss wird hierbei auf freiwilliger Basis von den Knotenbetreibern zur Vefügung gestellt.

Weiterhin bietet das Freifunknetz über zentrale Gateways eine Verbindung ins Internet ("Internet Gateways") sowie den Verbund aller Freifunk-Netze ("IC-VPN Gateways"). Der Verein Freifunk Dreiländreck e.V. agiert damit als Zugangsanbieter ("Access Provider"). Die indirekte Weiterleitung ins Internet schützt die Knotenbetreiber vor ewaigen Haftungsansprüchen ("Störherhaftung") im Fall eines Missbrauchs durch Dritte.

Zusätzlich können Applikations-Server in das Freifunk-Netz integriert werden. Diese agieren als reguläre Netzwerkknoten und sind den Freifunk-Routern gleichgestellt.

[[Datei:Netzstrukturplan.png]]

=Sicherheitsteilsysteme=
In den folgenden Abschnitten werden die sicherheitskritischen Teilsysteme des Freifunk-Netzes definiert und diskutiert. Konkret werden als Teilsysteme die Freifunk-Router und Freifunk-Server im allgmeienen sowie Bündel-Server, Internet und IC-VPN Gateways im speziellen behandelt. Jeder Abschnitt besteht aus einer einleitenden Beschreibung inkl. der Aufgaben des jeweiligen Teilsystems, einer Auflistung von Schutzzielen und Gefährdungen, abgeleiteten Sicherheitsanforderungen, bereits umgesetzten sowie zukünftigen, geplanten Sicherheitsmaßnahmen. Zuletzt erfolgt eine abschließende Beurteilung des Gesamtsystems.

==Freifunk-Router==
Freifunk-WLAN-Router bilden die Grundelemente des Freifunk-Netzes. Sie werden auch als Netzwerkknoten bezeichnet. Bei Freifunk-Routern handelt sich um handelsübliche WLAN-Router, welche durch das Einspielen eines speziellen Betriebssystems ("Freifunk-Firmware") modifiziert werden. Freifunk-Router erfüllen die folgenden Aufgaben:
* Spontane Bildung des Freifunk-Maschennetzwerks via WLAN mit allen in Reichweite befindlichen Freifunk-Routern (lokale Funkwolke).
* Optional die Errichtung von Tunnelverbindungen zu Bündel-Servern über das Internet für den Datenaustausch mit entfernten Funkwolken.
* Austausch von Routen-Informationen, um die zielgerichtete Zustellung von Daten zu ermöglichen.
* Zugangspunkt zum Freifunk-Netzwerk für WLAN-Klienten (z.B. Smartphones, Tablets, Notebooks).
* Optional die Anbindung von Servern und/oder lokalen Klienten mittels einer direkten Kabelverbindung.

===Schutzziele und Gefährdungen===
# Freifunk-Router sind vor dem Zugriff unbefugter Dritter geschützt.
# Freifunk-Router ermöglichen Dritten den Zugang zum Freifunk-Netz, nicht jedoch den Zugang zum privaten Netz des Router-Betreibers.
# Fehler und Sicherheitslücken in der Freifunk-Firmware werden behoben.
# Übertragene Daten sind vor dem Zugriff Dritter geschützt.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.

===Abgeleitete Sicherheitsanforderungen===
# Freifunk-Router sind vor dem Zugriff unbefugter Dritter geschützt.
#* Die Einstellungen des Freifunk-Routers lassen sich lediglich in einem gesonderten Konfigurationsmodus verändern.
#* In der Standardkonfiguration des Freifunk-Routers ist kein Zugang auf der Ebene des Betriebssystems ("Shell Login") möglich.
#* Optional kann durch den Router-Betreiber ein verschlüsselter Zugang (z.B. via SSH) aktiviert werden, um die Wartung aus der Ferne zu ermöglichen.
# Freifunk-Router ermöglichen Dritten den Zugang zum Freifunk-Netz, nicht jedoch den Zugang zum privaten Netz des Router-Betreibers.
#* Eine Firewall auf dem Freifunk-Router (Layer 2 und/oder Layer 3) verhindert den Zugriff auf das private Netz des Betreibers.
#* Ausgenommen ist der Aufbau einer Tunnelverbindung zu den Bündelservern, sofern der Betreiber dies in der Konfiguration ausdrücklich gestattet ("opt in").
# Fehler und Sicherheitslücken in der Freifunk-Firmware werden behoben.
#* Die Firmware der Freifunk-Router wird in angemessenen Intervallen automatisch über das Freifunk-Netzt aktualisiert ("Autoupdater").
#* Die Authentizität der Firmware wird durch ein elektronisches Signaturverfahren sichergestellt.
#* Neue Firmware-Versionen werden vor dem Ausrollen gem. eines festgelegten Schemas getestet.
# Übertragene Daten sind vor dem Zugriff Dritter geschützt.
#* Die Datenübertragung zu den Bündel-Servern erfolgt mittels verschlüsselter Tunnelverbindungen (End-zu-Endverschlüsselung) unter Verwendung von nach heutigem Wissenssand sicherer Verfahren.
#* Die Authentizität der Endpunkte wird zum Schutz vor Mann-in-der-Mitte-Angriffen mittels eines asymmetrischen Schlüsselverfahrens sichergestellt.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.
#* Der Ausfall einzelner Freifunk-Router führt nicht zur Störung des restlichen Netzes.
#* Das Routing des Freifunk-Netzes ist "selbstheilend". Durch Ausfall bedingte Unterbrechungenwerden automatisch behoben.
#* Die Funktionstüchtigkeit der Router wird überwacht und der fehlerhafte Betrieb detektiert.

===Umgesetzte Sichgerheitsmaßnahmen===
# Freifunk-Router sind vor dem Zugriff unbefugter Dritter geschützt.
#* Die verwendete Gluon-Firmware unterstützt einen separaten Konfigurationsmodus. Dieser ist nach dem Aufspielen der Firmware aktiviert. Er kann zu einem späteren Zeitpunkt durch längeres Drücken der Reset-Taste am Router erneut aktiviert werden. Die Konfiguration wird über eine Web-Oberfläche unter der Adresse http://192.168.0.1 vorgenommen. Nach Abschluss der Konfiguration wechselt der Router in den Betriebsmodus. Eine Änderung der Konfiguration über die Web-Obewrfläche ist in der Folge nicht mehr möglich.
#* In der Standardkonfiguration der Gluon-Firmware ist der Shell Login auf den Router deaktiviert. Er muss explizit im Konfigurationsmodus aktiviert werden, indem ein Passwort oder Schlüssel für den Zugang via SSH gesetzt wird.
# Freifunk-Router ermöglichen Dritten den Zugang zum Freifunk-Netz, nicht jedoch den Zugang zum privaten Netz des Router-Betreibers.
#* Das Freifunk-Netz und das private Netz des Router-Betreibers werden in der Gluon-Netzwerkkonfiguration strikt getrennt. Die Zugänge zu den beiden Netzen sind in Form separater Brücken zusammengefasst (''br-client'' und ''br-wan'').
#* Die verwendete Gluon-Firmware konfiguriert Firewall-Regeln (bereitgestellt durch das Paket ''gluon-ebtables''), welche auf der Netzzugangsschicht (Layer 2) den Zugriff auf das private Netz unterbindet.
#* Eine Ausnahme bildet der Aufbau einer optionalen Tunnelverbindung zu den Bündel-Servern durch die VPN-Software ''fastd''. Diese Option muss vom Betreiber im Konfigurationsmodus explizit aktiviert werden ("opt-in").
# Fehler und Sicherheitslücken in der Freifunk-Firmware werden behoben.
#* Der FF3L betreibt einen Aktualisierungs-Dienst, welcher über das Freifunk-Netz erreichbar ist. Mit Hilfe des Aktualisierungsdienstes lassen sich neuere Versionen der Firmware auf den Routern automatisch einspielen. Die Konfiguration der Freifunk-Router bleibt hierbei soweit möglich erhalten.
#* Der Aktualisierungs-Dienst ist in der Standardkonfiguration der Freifunk-Firmware aktiviert (Zweig "stable"). Der Aktualisierungs-Dienst kann im Konfigurationsmodus in den Experteneinstellungen deaktiviert werden ("opt-out").
#* Die Authentitizät der Firmware-Images wird durch ein Signaturverfahren gewährleistet (signiertes Manifest). Neue Images werden von den Freifunk-Routern nur bei vorhandensein einer gültigen Signatur installiert (siehe auch [http://gluon.readthedocs.org/en/v2014.4/index.html Gluon-Dokumentation]).
#* Veröffentlichte Firmware-Images werden in die Zweige "experimental", "beta" und "stable" unterteilt. Neue Firmware-Versionen werden in eben dieser Reihenfolge ausgerollt, um einen ausreichenden Testbetrieb vor der Verbreitung zu gewährleisten.
#* Die Aktuelle Praxis bezüglich der Veröffentlichung von neuen Firmware-Versionen ist im [http://wiki.freifunk-3laendereck.net/Freifunk-Router:Firmware Wiki] des FF3L dokumentiert.
# Übertragene Daten sind vor dem Zugriff Dritter geschützt.
#* Die Datenübertragung zu den Bündel-Servern erfolgt mittels der VPN-Software fastd über das Internet. Die übertragenen Daten sind mittels des Chiffre Salsa20/12 verschlüsselt.
#* Die Authentifizierung erfolgt mittels der asymmetrischen Schlüsselverfahren UMAC oder GMAC. Die öffentlichen Schlüssel müssen einmalig vor dem Aufbau der Verbindung ausgetauscht werden. Dies geschieht im Rahmen der Registrierung des Knotens.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.
#* Der Ausfall einzelner Server führt nicht zu Störungen innerhalb des Netzes, sofern alternative Routen existieren. In diesem Fällen wird das Routing durch das verwendete Routing-Protokoll batman-adv automatisch korrigiert und die Lücke geschlossen
#* Die Freifunk-Firmware stellt auf den Knoten eine Stauts-Seite bereit. Auf dieser kann man sehen, ob der Knoten mit dem Freifunk-Netz und auf welche Weise er mit dem Freifunk-Netz verbunden ist.
#* Der Status aller Knoten wird zusätzlich in Form einer Knotenkarte auf den Servern des FF3L visualisiert. Der Karte lässt sich neben der Lage des Knotes (freiwillige Angabe) entnehmen, ob ein Knoten mit dem Freifunk-Netz verbunden ist und wie er vebunden ist.

===Bekannte Lücken sowie geplante, zukünftige Sicherheitsmaßnahmen===
# Freifunk-Router sind vor dem Zugriff unbefugter Dritter geschützt.
#* Freifunk-Router werden prinzipiell nicht vom FF3L betrieben. Für den Schutz vor physikalischem Zugriff und ggf. damit einhergehender Manipulation ist der Knoten-Betreiber verantwortlich.
# Freifunk-Router ermöglichen Dritten den Zugang zum Freifunk-Netz, nicht jedoch den Zugang zum privaten Netz des Router-Betreibers.
#* Die an bestimmten Freifunk-Routern verfügbaren LAN-Ports ermöglichen eine direkte Verbindung von Endgeräten (z.B. Servern) mit dem Freifunk-Netz. LAN-Ports sind von den WAN-Ports zu unterscheiden, über welche die Freifunk-Router mit dem Internet verbunden werden.
#* Im Fall einer Verwechslung der Ports, kann das private Netze des Freifunk-Betreibers in das Freifunk-Netz überbrückt werden.
#* Um Knotenbetreiber im Fall einer Verwechselung zu schützen, sollen die LAN-Ports in der Standardkonfiguration deaktiviert werden. Eine Aktivierung erfolgt über den Konfigurationsmodus des Routers.
# Fehler und Sicherheitslücken in der Freifunk-Firmware werden behoben.
#* Der Aktualisierungs-Dienst für die Freifunk-Firmware ist in der Standardkonfiguration aktiviert. Die entsprechende Einstellung verbirgt sich jedoch unter den Experteneinstellungen im Konfigurationsmodus.
#* Um Knotenbetreiber auf diesen Umstand aufmerksam zu machen, ist eine Verlegung der Einstellungen in den allgemeinen Teil des Konfigurationsmnodus geplant.
# Übertragene Daten sind vor dem Zugriff Dritter geschützt.
#* Die Datenübertragung zwischen den Freifunk-Routern erfolgt auf Grund der eingesetzen Technologie unverschlüsselt. Sie ist damit durch Dritte vor Ort abhörbar.
#* Umfassende Sicherheit lässt sich allein durch End-zu-End-Verschlüsselung gewährleisten. Die Anwendung dieser erfolgt auf den Endgeräten und liegt damit in der Verantwortung der Freifunk-Nutzer und nicht des FF3L.
#* Um eine sichere Übetragung von den Klienten zu den Bündel-Servern zu gewährleisten, soll optional ein VPN-Zugang für Klienten angeboten werden (z.B. [http://www.openvpn.net OpenVPN]).
#* Um eine sichere Übertragung von Endpunkt zu Endpunkt innerhalb des Freifunk-Netzes anzubieten, ist die Einrichtung eines verschlüsselten Overlay-Netzes angedacht (z.B. [http://cjdns.info/ cjDNS]).
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet
#* Keine geplanten Maßnahmen.

==Server==
Im Folgenden Abschnitt sind die allgemeinen Schutzziele und Gefährdungen für Freifunk-Server zusammengefasst. Freifunk-Server werden in der Regel - jedoch nicht ausschließlich - bei Host Providern angemietet (physikalische und virtualisierte Root Server). Die Einrichtung, der Betrieb und die Wartung erfolgt durch den FF3L. Der Begriff "Freifunk-Server" umfasst hierbei die weiter unten aufgeführten Bündel-Server, Internet sowie IC-VPN Gateways. Diese werden entsprechend ihrer Aufgaben noch einmal separat abgehandelt. In der Praxis werde die verschiedenen Server meist zusammengefasst. Ausgeschlossen sind Server, welche von Freifunkern als Privatpersonen innerhalb des Freifunknetzes betrieben werden.

===Schutzziele und Gefährdungen===
# Server sind vor dem Zugriff unbefugter Dritter geschützt.
# Fehler und Sicherheitslücken in der verwendeten Software werden behoben.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.

===Abgeleitete Sicherheitsanforderungen===
# Server sind vor dem Zugriff unbefugter Dritter geschützt.
#* Der Zugriff auf die Server (physikalisch und über das Internet) ist auf einen engen, definierten Personenkreis beschränkt.
#* Zugriffsrechte werden nach Bedarf und maßgeschneidert erteilt.
#* Der Zugang aus dem Netz erfolgt exklusiv über verschlüsselte Verbindungen (z.B. SSH).
#* Eine Firewall beschränkt Zugriffe aus dem Netz auf das notwendige Minimum.
#* Spezielle Sicherheitssoftware zur Erkennung von Eindringlingen wird verwendet.
# Fehler und Sicherheitslücken in der verwendeten Software werden behoben.
#* Server werden auf der Grundlage eines gepflegten, quelloffenen Betriebssystems errichtet.
#* Verwendete Software wird in adequaten Intervallen aktualisiert.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.
#* Die Funktionstüchtigkeit der Server wird überwacht und der fehlerhafte Betrieb detektiert.
#* Server sind vor DoS-Attacken aus dem Internet geschützt.

===Umgesetzte Sicherheitsmaßnahmen===
# Server sind vor dem Zugriff unbefugter Dritter geschützt.
#* Der Zugriff auf die Server des FF3L ist auf Mitglieder des Administratoren-Teams begrenzt. Das Aministratoren-Team wird durch den Vorstand des Vereins benannt.
#* Der Shell-Login ist ausschließlich über SSH möglich. Die Authentifizierung erfolgt mittels eines Passworts (LDAP) oder eines hinterlegten Schlüssels.
#* Eine Firewall beschränkt Zugriffe aus dem Netz auf das notwendige Minimum.
# Fehler und Sicherheitslücken in der verwendeten Software werden behoben.
#* Die Freifunk-Server werden auf Basis der Debian Linux-Distribution betrieben. Sofern möglich, wird die jeweils letzte stabile Version verwendet.
#* Es werden in angemessenen Intervallen empfohlene Sicherheitsaktualisierungen mittels der offiziellen Paketverwaltung eingespielt.
#* Das Administratoren-Team verfolgt sicherheitsrelevante Ankündigungen über die Mailing-Liste debian-security-announce@lists.debian.org.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.
#* Kritische Server und Dienste werden über ein zentrales Monitoring auf der Basis von Nagios(-Derivaten) überwacht. Das Monitoring ist redundant aufgesetzt. Der aktuelle Zustand aller Server und Diense ist über eine Web-Oberfläche einsehbar. Optional erfolgt eine Mitteilung per e-Mail im Fall von Statusänderungen.
#* Die Server des FF3L werden von Host Providern angemietet. Diese bieten üblicherweise einen gewissen Schutz vor DoS-Angriffen in der Form adaptiver Firewalls.

==Bündel-Server==
Bündel-Server dienen der Verbindung isolierter Funkwolken innerhalb des Freifunknetzes. Vom Prinzip her sind Sie den Freifunk-Routern gleichgestellte Netzwerkknoten, erfüllen unter Umständen jedoch zusätzliche Aufgaben. Sie unterhalten jedoch eine höhere Anzahl von Verbindungen (tpyischerweise 50 Ser erfüllen die folgenden Bündel-Server habe die folgenden Aufgaben:
* Verbindung entferntner Freifunk-Router mittels Tunnelverbindungen über das Internet.
* Austausch von Routen-Informationen, um die zielgerichtete Zustellung von Daten zu ermöglichen.
* Automatische Netzwerkkonfiguration von Klienten (Gluon).
* Namensauflösung innerhalb des Freifunk-Netzes (Gluon).

===Schutzziele und Gefährdungen===
# Bündel-Server sind vor dem Zugriff unbefugter Dritter geschützt.
# Übertragene Daten sind vor dem Zugriff Dritter geschützt.
# Die Namensauflösung ist vor Manipulationen durch Dritte geschützt.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.

===Abgeleitete Sicherheitsanforderungen===
# Übertragene Daten sind vor dem Zugriff Dritter geschützt.
** Die Datenübertragung zu den Freifunk-Routern erfolgt mittels verschlüsselter Tunnelverbindungen (End-zu-Endverschlüsselung) unter Verwendung von nach heutigem Wissenssand sicherer Verfahren.
** Die Authentizität der Endpunkte wird zum Schutz vor Mann-in-der-Mitte-Angriffen mittels eines asymmetrischen Schlüsselverfahrens sichergestellt.

# Die Namensauflösung ist vor Manipulationen durch Dritte geschützt.
** Die Authentizität der Endpunkte wird zum Schutz vor Mann-in-der-Mitte-Angriffen mittels eines asymmetrischen Schlüsselverfahrens sichergestellt.

# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.
** Der Ausfall eines Bündel-Servers führt nicht zur Störung des restlichen Netzes.
** Die Netzstabilität wird durch Redundanz gewährleistet. Die Bündel-Server sind über mehrere Rechenzeitung verteilt.
** Das Routing des Freifunk-Netzes ist "selbstheilend". Durch Ausfall bedingte Unterbrechungen werden automatisch behoben.
** Die verfügbare Bandbreite wird gleichmäßig auf alle verbundenen Knoten/Klienten verteilt.
** Die Funktionstüchtigkeit der Bündel-Server wird überwacht und der fehlerhafte Betrieb detektiert.

===Umgesetzte Sichgerheitsmaßnahmen===

===Geplante, zukünftige Sicherheitsmaßnahmen===

==Internet Gateways==

Aufgaben:
* Verbindung des Freifunknetzes mit dem restlichen Internet
* Namensauflösung
* optionale Anonymisierung der Clienten

===Schutzziele und Gefährdungen===
# Gleichmäßige Verteilung der verfügbaren Bandbreite auf alle Klienten sowie adeqaute Priorisierung des Verkehrs nach Diensten
# Unterbindung von SPAM-Nachrichten
# Optional die Einschränkung von P2P-Dateiübertragung auf ein vertretbares Maß

===Abgeleitete Sichgerheitsmaßnahmen===
# Gleichmäßige Verteilung von Bandbreite auf alle Klienten
** Verwendung von geeigneten Queueing Disciplines

# Unterbindung von SPAM-Nachrichten
** Sperrung des Mail Ports 25. Beschränkung auf den Mail Submission Port 587.

# Einschränkung von P2P-Dateiübertragung auf ein erträgliches Maß
** Beschränkung der Zahl aktiver Verbindungen pro Klient

===Geplante, zukünftige Sicherheitsmaßnahmen===

==IC-VPN Gateways==
Aufgaben:
* Verbindung des Freifunk-Netzes mit anderen Freifunk-Netzen innerhalb des IC-VPNs
* Austausch von Routeninformationen
* Namensauflösung für Domänen innerhalb des IC-VPN
* Optional Routing von Internetverkehr zu den Gateways anderer Freifunk-Netze

===Schutzziele und Gefährdungen===
# Übertragene Daten sind vor dem Zugriff Dritter geschützt.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.
# Der Ausfall des IC-VPN-Gateways führt nicht zur Störung des restlichen Netzes.

Zusätzlich gelten die Schutzzile und Gefährdungen wie für Bündel-Server

===Abgeleitete Sichgerheitsmaßnahmen===
# Übertragene Daten sind vor dem Zugriff Dritter geschützt.
** Die Datenübertragung zu den Bündel-Servern erfolgt mittels verschlüsselter Tunnelverbindungen (End-zu Endverschlüsselung) unter Verwendung von nach heutigem Wissenssand sicherer Verfahren.
** Die Authentizität der Endpunkte wird zum Schutz vor Mann-in-der-Mitte-Angriffen mittels eines asymmetrischen Schlüsselverfahrens sichergestellt.

===Geplante, zukünftige Sicherheitsmaßnahmen===

==Bewertung des Gesamtsystems==
Welche Risiken ergeben sich aus dem Zusammnenwirken der Teilsysteme?

==Kontinuierliche Verbesserung==

Wie wollen wir die Sicherheit unserer Freifunk-Netze kontinuierlich verbessern?

==Mitteilungspflichten==

Welche Sicherheitsverletzungen und/oder Störungen würden wir der Bundesnetzagentur mitteilen wollen?

=Ideen=

Integration in Freifunk-API? Community füllt lediglich Formular zu den einzelnen Teilsystemen aus. Das Sicherheitskonzept wird im Anschluss automatisch erstellt und im Netz veröffentlicht.

Sicherheitskonzept (intern)

2015-05-17T09:07:05Z

Langweiler: /* Umgesetzte Sicherheitsmaßnahmen */

=Präambel=
Freifunk Dreiländereck ("FF3L") ist ein parteipolitischer, unabhängiger, eingetragener Verein, der sich als Teil der weltweiten Open Wireless-Bewegung versteht, welche in Deutschland durch die Freifunk-Initiative repärsentiert wird.

Zur Umsetzung des Vereinszwecks unterhält der FF3L eine Netzwerkinfrastruktur, welche in Kombination mit den Freifunk-WLAN-Routern das Freifunk-Netz bildet. Er ist bei der Bundesnetzagentur seit dem xx.xx.xxxx. als Telekommunikationsdienstleister (Access Provider) registriert.

Mit dem vorliegenden Sicherheitskonzept werden die folgenden Absichten verfolgt:
* Erfüllung der Verpflichtung zur Erstellung und Umsetzung eines Sicherheitskonzeptes nach § 109 TKG.
* Transparente Dokumentation des Status Quo in Bezug auf Informationssicherheit als Grundlage für die kontinuierliche Verbesserung.
* Aufzeigen von inherenten Limitierungen, die sich auf Grund der Funktionsweise des Freifunk-Netzes ergeben.
* Darstellung der Pflichten von Freifunk-Nutzern hinsichtlich Gewährleistung ihrer eigene Sicherheit.

=Gesetzlicher Hintergrund=
Auszug aus dem "Katalog von Sicherheitsanforderungen für das Betreiben von Telekommunikations- und Datenverarbeitungssystemen sowie für die Verarbeitung personenbezogener Daten nach § 109 Telekommunikationsgesetz (TKG):

Für das Betreiben öffentlicher Telekkommunikatiosnetze sowie das Erbringen öffentlich zugänglicher Telekommunikationsdiense schreibt § 109 TKG Vorkehrungen und sonstige Maßnahmen

* zum Schutz des Fernmeldegehimnisses,
* gegen die Verletzung des Schutzes personenbezogener Daten,
* gegen Störungen, die zu erheblichen Beeinträchtigungen von Telekommunikationsnetzen und -diensten führen, auch soweit sie durch äußere Angriffe und Einwirkungen von Katastrophen bedingt sein könnten,
als Mindestanforderungen vor.

Ziel und Zweck der zu treffenden Maßnahmen sind insbesondere

* die Sicherheit vor unerlaubtem Zugriffen auf Telekommunikations- und Datenverarbeitungssysteme
* die Reduzierung / Minimierung der Auswirkungen von Sicherheitsverletzungen auf Nutzer oder auf zusammengeschaltete Netze
* die Gewährleistung eines ordnungsgemäßen Betriebes der Netze und dadurch die Sicherstellung der fortlaufenden Verfügbarkeit der über die Netze erbrachten Dienste.

=Netzstruktur=
Das Freifunknetz ist ein offenes, sich spontan ausbildendes und selbstheilendes Maschennetzwerk. Die Grundbausteine ("Knoten") des Freifunk-Netzes sind die Freifunk-Router. Der Begriff Maschennetzwerk
bedeutet, dass die einzelnen Knoten mit einem oder mehreren Knoten auf nicht hierarschische Weise verbunden sind.

Die Freifunk-Router sinde handelsübliche WLAN-Router, ausgestattet mit einer speziellen Software ("Firmware"). Die spezielle Firmware gestattet es den Freifunk-Routern spontan Verbindung mit anderen Freifunk-Routern in Reichweite aufzunehmen. Hierbei kommt der offizielle, zugelassene WLAN-Standard 802.11n zum Einsatz. Gleichzeitig agieren die Router als WLAN-Zugangspunkt und ermöglichen damit Klienten (z.B. Smartphones) den direkten Zugang zum Freifunknetz.

Damit die Daten in dieser chaotischen Struktur ihren Weg finden, kommt ein spezielles Routing-Protokoll zum Einsatz. Im Fall des FF3L handelt es sich um das Protokoll [http://www.open-mesh.org/projects/batman-adv/wiki B.A.T.M.A.N. Advanced]. Dieses arbeitet auf der Netzzugangsschicht (Layer 2 nach dem OSI-Netzwerkschichtmodell). Das Freifunk-Netz verhält sich damit effektiv so, als wären alle Knoten über einen einzigen Netzwerk-Switch miteinander verbunden.

Neben der direkten Verbindung von Freifunk-Routern via WLAN gibt es die Option, isolierte Funkwolken über Tunnelverbindungen zu zentralen Servern ("Bündel-Servern") miteinander zu verbinden. Die Tunnelverbindungen laufen über das Internet und sind verschlüsselt (d.h. der Inhalt ist für Dritte nicht einsehbar). Der Internetanschluss wird hierbei auf freiwilliger Basis von den Knotenbetreibern zur Vefügung gestellt.

Weiterhin bietet das Freifunknetz über zentrale Gateways eine Verbindung ins Internet ("Internet Gateways") sowie den Verbund aller Freifunk-Netze ("IC-VPN Gateways"). Der Verein Freifunk Dreiländreck e.V. agiert damit als Zugangsanbieter ("Access Provider"). Die indirekte Weiterleitung ins Internet schützt die Knotenbetreiber vor ewaigen Haftungsansprüchen ("Störherhaftung") im Fall eines Missbrauchs durch Dritte.

Zusätzlich können Applikations-Server in das Freifunk-Netz integriert werden. Diese agieren als reguläre Netzwerkknoten und sind den Freifunk-Routern gleichgestellt.

[[Datei:Netzstrukturplan.png]]

=Sicherheitsteilsysteme=
In den folgenden Abschnitten werden die sicherheitskritischen Teilsysteme des Freifunk-Netzes definiert und diskutiert. Konkret werden als Teilsysteme die Freifunk-Router und Freifunk-Server im allgmeienen sowie Bündel-Server, Internet und IC-VPN Gateways im speziellen behandelt. Jeder Abschnitt besteht aus einer einleitenden Beschreibung inkl. der Aufgaben des jeweiligen Teilsystems, einer Auflistung von Schutzzielen und Gefährdungen, abgeleiteten Sicherheitsanforderungen, bereits umgesetzten sowie zukünftigen, geplanten Sicherheitsmaßnahmen. Zuletzt erfolgt eine abschließende Beurteilung des Gesamtsystems.

==Freifunk-Router==
Freifunk-WLAN-Router bilden die Grundelemente des Freifunk-Netzes. Sie werden auch als Netzwerkknoten bezeichnet. Bei Freifunk-Routern handelt sich um handelsübliche WLAN-Router, welche durch das Einspielen eines speziellen Betriebssystems ("Freifunk-Firmware") modifiziert werden. Freifunk-Router erfüllen die folgenden Aufgaben:
* Spontane Bildung des Freifunk-Maschennetzwerks via WLAN mit allen in Reichweite befindlichen Freifunk-Routern (lokale Funkwolke).
* Optional die Errichtung von Tunnelverbindungen zu Bündel-Servern über das Internet für den Datenaustausch mit entfernten Funkwolken.
* Austausch von Routen-Informationen, um die zielgerichtete Zustellung von Daten zu ermöglichen.
* Zugangspunkt zum Freifunk-Netzwerk für WLAN-Klienten (z.B. Smartphones, Tablets, Notebooks).
* Optional die Anbindung von Servern und/oder lokalen Klienten mittels einer direkten Kabelverbindung.

===Schutzziele und Gefährdungen===
# Freifunk-Router sind vor dem Zugriff unbefugter Dritter geschützt.
# Freifunk-Router ermöglichen Dritten den Zugang zum Freifunk-Netz, nicht jedoch den Zugang zum privaten Netz des Router-Betreibers.
# Fehler und Sicherheitslücken in der Freifunk-Firmware werden behoben.
# Übertragene Daten sind vor dem Zugriff Dritter geschützt.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.

===Abgeleitete Sicherheitsanforderungen===
# Freifunk-Router sind vor dem Zugriff unbefugter Dritter geschützt.
#* Die Einstellungen des Freifunk-Routers lassen sich lediglich in einem gesonderten Konfigurationsmodus verändern.
#* In der Standardkonfiguration des Freifunk-Routers ist kein Zugang auf der Ebene des Betriebssystems ("Shell Login") möglich.
#* Optional kann durch den Router-Betreiber ein verschlüsselter Zugang (z.B. via SSH) aktiviert werden, um die Wartung aus der Ferne zu ermöglichen.
# Freifunk-Router ermöglichen Dritten den Zugang zum Freifunk-Netz, nicht jedoch den Zugang zum privaten Netz des Router-Betreibers.
#* Eine Firewall auf dem Freifunk-Router (Layer 2 und/oder Layer 3) verhindert den Zugriff auf das private Netz des Betreibers.
#* Ausgenommen ist der Aufbau einer Tunnelverbindung zu den Bündelservern, sofern der Betreiber dies in der Konfiguration ausdrücklich gestattet ("opt in").
# Fehler und Sicherheitslücken in der Freifunk-Firmware werden behoben.
#* Die Firmware der Freifunk-Router wird in angemessenen Intervallen automatisch über das Freifunk-Netzt aktualisiert ("Autoupdater").
#* Die Authentizität der Firmware wird durch ein elektronisches Signaturverfahren sichergestellt.
#* Neue Firmware-Versionen werden vor dem Ausrollen gem. eines festgelegten Schemas getestet.
# Übertragene Daten sind vor dem Zugriff Dritter geschützt.
#* Die Datenübertragung zu den Bündel-Servern erfolgt mittels verschlüsselter Tunnelverbindungen (End-zu-Endverschlüsselung) unter Verwendung von nach heutigem Wissenssand sicherer Verfahren.
#* Die Authentizität der Endpunkte wird zum Schutz vor Mann-in-der-Mitte-Angriffen mittels eines asymmetrischen Schlüsselverfahrens sichergestellt.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.
#* Der Ausfall einzelner Freifunk-Router führt nicht zur Störung des restlichen Netzes.
#* Das Routing des Freifunk-Netzes ist "selbstheilend". Durch Ausfall bedingte Unterbrechungenwerden automatisch behoben.
#* Die Funktionstüchtigkeit der Router wird überwacht und der fehlerhafte Betrieb detektiert.

===Umgesetzte Sichgerheitsmaßnahmen===
# Freifunk-Router sind vor dem Zugriff unbefugter Dritter geschützt.
#* Die verwendete Gluon-Firmware unterstützt einen separaten Konfigurationsmodus. Dieser ist nach dem Aufspielen der Firmware aktiviert. Er kann zu einem späteren Zeitpunkt durch längeres Drücken der Reset-Taste am Router erneut aktiviert werden. Die Konfiguration wird über eine Web-Oberfläche unter der Adresse http://192.168.0.1 vorgenommen. Nach Abschluss der Konfiguration wechselt der Router in den Betriebsmodus. Eine Änderung der Konfiguration über die Web-Obewrfläche ist in der Folge nicht mehr möglich.
#* In der Standardkonfiguration der Gluon-Firmware ist der Shell Login auf den Router deaktiviert. Er muss explizit im Konfigurationsmodus aktiviert werden, indem ein Passwort oder Schlüssel für den Zugang via SSH gesetzt wird.
# Freifunk-Router ermöglichen Dritten den Zugang zum Freifunk-Netz, nicht jedoch den Zugang zum privaten Netz des Router-Betreibers.
#* Das Freifunk-Netz und das private Netz des Router-Betreibers werden in der Gluon-Netzwerkkonfiguration strikt getrennt. Die Zugänge zu den beiden Netzen sind in Form separater Brücken zusammengefasst (''br-client'' und ''br-wan'').
#* Die verwendete Gluon-Firmware konfiguriert Firewall-Regeln (bereitgestellt durch das Paket ''gluon-ebtables''), welche auf der Netzzugangsschicht (Layer 2) den Zugriff auf das private Netz unterbindet.
#* Eine Ausnahme bildet der Aufbau einer optionalen Tunnelverbindung zu den Bündel-Servern durch die VPN-Software ''fastd''. Diese Option muss vom Betreiber im Konfigurationsmodus explizit aktiviert werden ("opt-in").
# Fehler und Sicherheitslücken in der Freifunk-Firmware werden behoben.
#* Der FF3L betreibt einen Aktualisierungs-Dienst, welcher über das Freifunk-Netz erreichbar ist. Mit Hilfe des Aktualisierungsdienstes lassen sich neuere Versionen der Firmware auf den Routern automatisch einspielen. Die Konfiguration der Freifunk-Router bleibt hierbei soweit möglich erhalten.
#* Der Aktualisierungs-Dienst ist in der Standardkonfiguration der Freifunk-Firmware aktiviert (Zweig "stable"). Der Aktualisierungs-Dienst kann im Konfigurationsmodus in den Experteneinstellungen deaktiviert werden ("opt-out").
#* Die Authentitizät der Firmware-Images wird durch ein Signaturverfahren gewährleistet (signiertes Manifest). Neue Images werden von den Freifunk-Routern nur bei vorhandensein einer gültigen Signatur installiert (siehe auch [http://gluon.readthedocs.org/en/v2014.4/index.html Gluon-Dokumentation]).
#* Veröffentlichte Firmware-Images werden in die Zweige "experimental", "beta" und "stable" unterteilt. Neue Firmware-Versionen werden in eben dieser Reihenfolge ausgerollt, um einen ausreichenden Testbetrieb vor der Verbreitung zu gewährleisten.
#* Die Aktuelle Praxis bezüglich der Veröffentlichung von neuen Firmware-Versionen ist im [http://wiki.freifunk-3laendereck.net/Freifunk-Router:Firmware Wiki] des FF3L dokumentiert.
# Übertragene Daten sind vor dem Zugriff Dritter geschützt.
#* Die Datenübertragung zu den Bündel-Servern erfolgt mittels der VPN-Software fastd über das Internet. Die übertragenen Daten sind mittels des Chiffre Salsa20/12 verschlüsselt.
#* Die Authentifizierung erfolgt mittels der asymmetrischen Schlüsselverfahren UMAC oder GMAC. Die öffentlichen Schlüssel müssen einmalig vor dem Aufbau der Verbindung ausgetauscht werden. Dies geschieht im Rahmen der Registrierung des Knotens.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.
#* Der Ausfall einzelner Server führt nicht zu Störungen innerhalb des Netzes, sofern alternative Routen existieren. In diesem Fällen wird das Routing durch das verwendete Routing-Protokoll batman-adv automatisch korrigiert und die Lücke geschlossen
#* Die Freifunk-Firmware stellt auf den Knoten eine Stauts-Seite bereit. Auf dieser kann man sehen, ob der Knoten mit dem Freifunk-Netz und auf welche Weise er mit dem Freifunk-Netz verbunden ist.
#* Der Status aller Knoten wird zusätzlich in Form einer Knotenkarte auf den Servern des FF3L visualisiert. Der Karte lässt sich neben der Lage des Knotes (freiwillige Angabe) entnehmen, ob ein Knoten mit dem Freifunk-Netz verbunden ist und wie er vebunden ist.

===Bekannte Lücken sowie geplante, zukünftige Sicherheitsmaßnahmen===
# Freifunk-Router sind vor dem Zugriff unbefugter Dritter geschützt.
#* Freifunk-Router werden prinzipiell nicht vom FF3L betrieben. Für den Schutz vor physikalischem Zugriff und ggf. damit einhergehender Manipulation ist der Knoten-Betreiber verantwortlich.
# Freifunk-Router ermöglichen Dritten den Zugang zum Freifunk-Netz, nicht jedoch den Zugang zum privaten Netz des Router-Betreibers.
#* Die an bestimmten Freifunk-Routern verfügbaren LAN-Ports ermöglichen eine direkte Verbindung von Endgeräten (z.B. Servern) mit dem Freifunk-Netz. LAN-Ports sind von den WAN-Ports zu unterscheiden, über welche die Freifunk-Router mit dem Internet verbunden werden.
#* Im Fall einer Verwechslung der Ports, kann das private Netze des Freifunk-Betreibers in das Freifunk-Netz überbrückt werden.
#* Um Knotenbetreiber im Fall einer Verwechselung zu schützen, sollen die LAN-Ports in der Standardkonfiguration deaktiviert werden. Eine Aktivierung erfolgt über den Konfigurationsmodus des Routers.
# Fehler und Sicherheitslücken in der Freifunk-Firmware werden behoben.
#* Der Aktualisierungs-Dienst für die Freifunk-Firmware ist in der Standardkonfiguration aktiviert. Die entsprechende Einstellung verbirgt sich jedoch unter den Experteneinstellungen im Konfigurationsmodus.
#* Um Knotenbetreiber auf diesen Umstand aufmerksam zu machen, ist eine Verlegung der Einstellungen in den allgemeinen Teil des Konfigurationsmnodus geplant.
# Übertragene Daten sind vor dem Zugriff Dritter geschützt.
#* Die Datenübertragung zwischen den Freifunk-Routern erfolgt auf Grund der eingesetzen Technologie unverschlüsselt. Sie ist damit durch Dritte vor Ort abhörbar.
#* Umfassende Sicherheit lässt sich allein durch End-zu-End-Verschlüsselung gewährleisten. Die Anwendung dieser erfolgt auf den Endgeräten und liegt damit in der Verantwortung der Freifunk-Nutzer und nicht des FF3L.
#* Um eine sichere Übetragung von den Klienten zu den Bündel-Servern zu gewährleisten, soll optional ein VPN-Zugang für Klienten angeboten werden (z.B. [http://www.openvpn.net OpenVPN]).
#* Um eine sichere Übertragung von Endpunkt zu Endpunkt innerhalb des Freifunk-Netzes anzubieten, ist die Einrichtung eines verschlüsselten Overlay-Netzes angedacht (z.B. [http://cjdns.info/ cjDNS]).
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet
#* Keine geplanten Maßnahmen.

==Server==
Im Folgenden Abschnitt sind die allgemeinen Schutzziele und Gefährdungen für Freifunk-Server zusammengefasst. Freifunk-Server werden in der Regel - jedoch nicht ausschließlich - bei Host Providern angemietet (physikalische und virtualisierte Root Server). Die Einrichtung, der Betrieb und die Wartung erfolgt durch den FF3L. Der Begriff "Freifunk-Server" umfasst hierbei die weiter unten aufgeführten Bündel-Server, Internet sowie IC-VPN Gateways. Diese werden entsprechend ihrer Aufgaben noch einmal separat abgehandelt. In der Praxis werde die verschiedenen Server meist zusammengefasst. Ausgeschlossen sind Server, welche von Freifunkern als Privatpersonen innerhalb des Freifunknetzes betrieben werden.

===Schutzziele und Gefährdungen===
# Server sind vor dem Zugriff unbefugter Dritter geschützt.
# Fehler und Sicherheitslücken in der verwendeten Software werden behoben.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.

===Abgeleitete Sicherheitsanforderungen===
# Server sind vor dem Zugriff unbefugter Dritter geschützt.
#* Der Zugriff auf die Server (physikalisch und über das Internet) ist auf einen engen, definierten Personenkreis beschränkt.
#* Zugriffsrechte werden nach Bedarf und maßgeschneidert erteilt.
#* Der Zugang aus dem Netz erfolgt exklusiv über verschlüsselte Verbindungen (z.B. SSH).
#* Eine Firewall beschränkt Zugriffe aus dem Netz auf das notwendige Minimum.
#* Spezielle Sicherheitssoftware zur Erkennung von Eindringlingen wird verwendet.
# Fehler und Sicherheitslücken in der verwendeten Software werden behoben.
#* Server werden auf der Grundlage eines gepflegten, quelloffenen Betriebssystems errichtet.
#* Verwendete Software wird in adequaten Intervallen aktualisiert.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.
#* Die Funktionstüchtigkeit der Server wird überwacht und der fehlerhafte Betrieb detektiert.
#* Server sind vor DoS-Attacken aus dem Internet geschützt.

===Umgesetzte Sicherheitsmaßnahmen===
# Server sind vor dem Zugriff unbefugter Dritter geschützt.
#*
#* Der Zugriff auf die Server (physikalisch und über das Internet) ist auf einen engen, definierten Personenkreis beschränkt.
#* Zugriffsrechte werden nach Bedarf und maßgeschneidert erteilt.
#* Der Zugang aus dem Netz erfolgt exklusiv über verschlüsselte Verbindungen (z.B. SSH).
#* Eine Firewall beschränkt Zugriffe aus dem Netz auf das notwendige Minimum.
#* Spezielle Sicherheitssoftware zur Erkennung von Eindringlingen wird verwendet.
# Fehler und Sicherheitslücken in der verwendeten Software werden behoben.
#* Die Freifunk-Server werden auf Basis der Debian Linux-Distribution betrieben. Sofern möglich, wird die jeweils letzte stabile Version verwendet.
#* Es werden in angemessenen Intervallen empfohlene Sicherheitsaktualisierungen mittels der offiziellen Paketverwaltung eingespielt.
#* Das Administratoren-Team verfolgt sicherheitsrelevante Ankündigungen über die Mailing-Liste debian-security-announce@lists.debian.org.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.
#* Kritische Server und Dienste werden über ein zentrales Monitoring auf der Basis von Nagios(-Derivaten) überwacht. Das Monitoring ist redundant aufgesetzt. Der aktuelle Zustand aller Server und Diense ist über eine Web-Oberfläche einsehbar. Optional erfolgt eine Mitteilung per e-Mail im Fall von Statusänderungen.
#* Die Server des FF3L werden von Host Providern angemietet. Diese bieten üblicherweise einen gewissen Schutz vor DoS-Angriffen in der Form adaptiver Firewalls.

==Bündel-Server==
Bündel-Server dienen der Verbindung isolierter Funkwolken innerhalb des Freifunknetzes. Vom Prinzip her sind Sie den Freifunk-Routern gleichgestellte Netzwerkknoten, erfüllen unter Umständen jedoch zusätzliche Aufgaben. Sie unterhalten jedoch eine höhere Anzahl von Verbindungen (tpyischerweise 50 Ser erfüllen die folgenden Bündel-Server habe die folgenden Aufgaben:
* Verbindung entferntner Freifunk-Router mittels Tunnelverbindungen über das Internet.
* Austausch von Routen-Informationen, um die zielgerichtete Zustellung von Daten zu ermöglichen.
* Automatische Netzwerkkonfiguration von Klienten (Gluon).
* Namensauflösung innerhalb des Freifunk-Netzes (Gluon).

===Schutzziele und Gefährdungen===
# Bündel-Server sind vor dem Zugriff unbefugter Dritter geschützt.
# Übertragene Daten sind vor dem Zugriff Dritter geschützt.
# Die Namensauflösung ist vor Manipulationen durch Dritte geschützt.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.

===Abgeleitete Sicherheitsanforderungen===
# Übertragene Daten sind vor dem Zugriff Dritter geschützt.
** Die Datenübertragung zu den Freifunk-Routern erfolgt mittels verschlüsselter Tunnelverbindungen (End-zu-Endverschlüsselung) unter Verwendung von nach heutigem Wissenssand sicherer Verfahren.
** Die Authentizität der Endpunkte wird zum Schutz vor Mann-in-der-Mitte-Angriffen mittels eines asymmetrischen Schlüsselverfahrens sichergestellt.

# Die Namensauflösung ist vor Manipulationen durch Dritte geschützt.
** Die Authentizität der Endpunkte wird zum Schutz vor Mann-in-der-Mitte-Angriffen mittels eines asymmetrischen Schlüsselverfahrens sichergestellt.

# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.
** Der Ausfall eines Bündel-Servers führt nicht zur Störung des restlichen Netzes.
** Die Netzstabilität wird durch Redundanz gewährleistet. Die Bündel-Server sind über mehrere Rechenzeitung verteilt.
** Das Routing des Freifunk-Netzes ist "selbstheilend". Durch Ausfall bedingte Unterbrechungen werden automatisch behoben.
** Die verfügbare Bandbreite wird gleichmäßig auf alle verbundenen Knoten/Klienten verteilt.
** Die Funktionstüchtigkeit der Bündel-Server wird überwacht und der fehlerhafte Betrieb detektiert.

===Umgesetzte Sichgerheitsmaßnahmen===

===Geplante, zukünftige Sicherheitsmaßnahmen===

==Internet Gateways==

Aufgaben:
* Verbindung des Freifunknetzes mit dem restlichen Internet
* Namensauflösung
* optionale Anonymisierung der Clienten

===Schutzziele und Gefährdungen===
# Gleichmäßige Verteilung der verfügbaren Bandbreite auf alle Klienten sowie adeqaute Priorisierung des Verkehrs nach Diensten
# Unterbindung von SPAM-Nachrichten
# Optional die Einschränkung von P2P-Dateiübertragung auf ein vertretbares Maß

===Abgeleitete Sichgerheitsmaßnahmen===
# Gleichmäßige Verteilung von Bandbreite auf alle Klienten
** Verwendung von geeigneten Queueing Disciplines

# Unterbindung von SPAM-Nachrichten
** Sperrung des Mail Ports 25. Beschränkung auf den Mail Submission Port 587.

# Einschränkung von P2P-Dateiübertragung auf ein erträgliches Maß
** Beschränkung der Zahl aktiver Verbindungen pro Klient

===Geplante, zukünftige Sicherheitsmaßnahmen===

==IC-VPN Gateways==
Aufgaben:
* Verbindung des Freifunk-Netzes mit anderen Freifunk-Netzen innerhalb des IC-VPNs
* Austausch von Routeninformationen
* Namensauflösung für Domänen innerhalb des IC-VPN
* Optional Routing von Internetverkehr zu den Gateways anderer Freifunk-Netze

===Schutzziele und Gefährdungen===
# Übertragene Daten sind vor dem Zugriff Dritter geschützt.
# Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.
# Der Ausfall des IC-VPN-Gateways führt nicht zur Störung des restlichen Netzes.

Zusätzlich gelten die Schutzzile und Gefährdungen wie für Bündel-Server

===Abgeleitete Sichgerheitsmaßnahmen===
# Übertragene Daten sind vor dem Zugriff Dritter geschützt.
** Die Datenübertragung zu den Bündel-Servern erfolgt mittels verschlüsselter Tunnelverbindungen (End-zu Endverschlüsselung) unter Verwendung von nach heutigem Wissenssand sicherer Verfahren.
** Die Authentizität der Endpunkte wird zum Schutz vor Mann-in-der-Mitte-Angriffen mittels eines asymmetrischen Schlüsselverfahrens sichergestellt.

===Geplante, zukünftige Sicherheitsmaßnahmen===

==Bewertung des Gesamtsystems==
Welche Risiken ergeben sich aus dem Zusammnenwirken der Teilsysteme?

==Kontinuierliche Verbesserung==

Wie wollen wir die Sicherheit unserer Freifunk-Netze kontinuierlich verbessern?

==Mitteilungspflichten==

Welche Sicherheitsverletzungen und/oder Störungen würden wir der Bundesnetzagentur mitteilen wollen?

=Ideen=

Integration in Freifunk-API? Community füllt lediglich Formular zu den einzelnen Teilsystemen aus. Das Sicherheitskonzept wird im Anschluss automatisch erstellt und im Netz veröffentlicht.