Sicherheitskonzept (intern): Unterschied zwischen den Versionen
(→Netzstruktur) |
(→Präambel) |
||
Zeile 2: | Zeile 2: | ||
=Präambel= | =Präambel= | ||
− | - | + | |
+ | Freifunk Dreiländereck ("FF3L") ist ein parteipolitischer, unabhängiger, eingetragener Verein, der sich als Teil der weltweiten Open Wireless-Bewegung versteht, welche in Deutschland durch die Freifunk-Initiative repärsentiert wird. Also solcher unterhält der FF3L eine Netzwerkinfrastruktur, welche in Kombination mit den Freifunk-WLAN-Routern das Freifunk-Netz bildet. Die Freifunk-WLAN-Router werden nicht vom Verein betrieben. Der Verein stellt jedoch die für den Betrieb notwendige Freifunk-Firmware zur Verfügung. | ||
=Hintergrund= | =Hintergrund= |
Version vom 16. Mai 2015, 15:30 Uhr
Inhaltsverzeichnis
Präambel
Freifunk Dreiländereck ("FF3L") ist ein parteipolitischer, unabhängiger, eingetragener Verein, der sich als Teil der weltweiten Open Wireless-Bewegung versteht, welche in Deutschland durch die Freifunk-Initiative repärsentiert wird. Also solcher unterhält der FF3L eine Netzwerkinfrastruktur, welche in Kombination mit den Freifunk-WLAN-Routern das Freifunk-Netz bildet. Die Freifunk-WLAN-Router werden nicht vom Verein betrieben. Der Verein stellt jedoch die für den Betrieb notwendige Freifunk-Firmware zur Verfügung.
Hintergrund
Auszug aus dem "Katalog von Sicherheitsanforderungen für das Betreiben von Telekommunikations- und Datenverarbeitungssystemen sowie für die Verarbeitung personenbezogener Daten nach § 109 Telekommunikationsgesetz (TKG):
Für das Betreiben öffentlicher Telekkommunikatiosnetze sowie das Erbringen öffentlich zugänglicher Telekommunikationsdiense schreibt § 109 TKG Vorkehrungen und sonstige Maßnahmen
- zum Schutz des Fernmeldegehimnisses,
- gegen die Verletzung des Schutzes personenbezogener Daten,
- gegen Störungen, die zu erheblichen Beeinträchtigungen von Telekommunikationsnetzen und -diensten führen, auch soweit sie durch äußere Angriffe und Einwirkungen von Katastrophen bedingt sein könnten,
als Mindestanforderungen vor.
Ziel und Zweck der zu treffenden Maßnahmen sind insbesondere
- die Sicherheit vor unerlaubtem Zugriffen auf Telekommunikations- und Datenverarbeitungssysteme
- die Reduzierung / Minimierung der Auswirkungen von Sicherheitsverletzungen auf Nutzer oder auf zusammengeschaltete Netze
- die Gewährleistung eines ordnungsgemäßen Betriebes der Netze und dadurch die Sicherstellung der fortlaufenden Verfügbarkeit der über die Netze erbrachten Dienste.
Netzstruktur
Das Freifunknetz ist ein offenes, sich spontan ausbildendes und selbstheilendes Maschennetzwerk. Die Grundbausteine ("Knoten") des Freifunk-Netzes sind die Freifunk-Router. Der Begriff Maschennetzwerk bedeutet, dass die einzelnen Knoten mit einem oder mehreren Knoten auf nicht hierarschische Weise verbunden sind.
Die Freifunk-Router sinde handelsübliche WLAN-Router, ausgestattet mit einer speziellen Software ("Firmware"). Die spezielle Firmware gestattet es den Freifunk-Routern spontan Verbindung mit anderen Freifunk-Routern in Reichweite aufzunehmen. Hierbei kommt der offizielle, zugelassene WLAN-Standard 802.11n zum Einsatz. Gleichzeitig agieren die Router als WLAN-Zugangspunkt und ermöglichen damit Klienten (z.B. Smartphones) den direkten Zugang zum Freifunknetz.
Damit die Daten in dieser chaotischen Struktur ihren Weg finden, kommt ein spezielles Routing-Protokoll zum Einsatz. Im Fall des FF3L handelt es sich um das Protokoll B.A.T.M.A.N. Advanced. Dieses arbeitet auf der Netzzugangsschicht (Layer 2 nach dem OSI-Netzwerkschichtmodell). Das Freifunk-Netz verhält sich damit effektiv so, als wären alle Knoten über einen einzigen Netzwerk-Switch miteinander verbunden.
Neben der direkten Verbindung von Freifunk-Routern via WLAN gibt es die Option, isolierte Funkwolken über Tunnelverbindungen zu zentralen Servern ("Bündel-Servern") miteinander zu verbinden. Die Tunnelverbindungen laufen über das Internet und sind verschlüsselt (d.h. der Inhalt ist für Dritte nicht einsehbar). Der Internetanschluss wird hierbei auf freiwilliger Basis von den Knotenbetreibern zur Vefügung gestellt.
Weiterhin bietet das Freifunknetz über zentrale Gateways eine Verbindung ins Internet ("Internet Gateways") sowie den Verbund aller Freifunk-Netze ("IC-VPN Gateways"). Der Verein Freifunk Dreiländreck e.V. agiert damit als Zugangsanbieter ("Access Provider"). Die indirekte Weiterleitung ins Internet schützt die Knotenbetreiber vor ewaigen Haftungsansprüchen ("Störherhaftung") im Fall eines Missbrauchs durch Dritte.
Zusätzlich können Applikations-Server in das Freifunk-Netz integriert werden. Diese agieren als reguläre Netzwerkknoten und sind den Freifunk-Routern gleichgestellt.
Sicherheitsteilsysteme
In den folgenden Abschnitten werden die sicherheitskritischen Teilsysteme des Freifunk-Netzes definiert und diskutiert. Konkret werden als Teilsysteme die Freifunk-Router und Freifunk-Server im allgmeienen sowie Bündel-Server, Internet und IC-VPN Gateways im speziellen behandelt. Jeder Abschnitt besteht aus einer einleitenden Beschreibung inkl. der Aufgaben des jeweiligen Teilsystems, einer Auflistung von Schutzzielen und Gefährdungen, abgeleiteten Sicherheitsanforderungen, bereits umgesetzten sowie zukünftigen, geplanten Sicherheitsmaßnahmen. Zuletzt erfolgt eine abschließende Beurteilung des Gesamtsystems.
Freifunk-Router
Freifunk-WLAN-Router bilden die Grundelemente des Freifunk-Netzes. Sie werden auch als Netzwerkknoten bezeichnet. Bei Freifunk-Routern handelt sich um handelsübliche WLAN-Router, welche durch das Einspielen eines speziellen Betriebssystems ("Freifunk-Firmware") modifiziert werden. Freifunk-Router erfüllen die folgenden Aufgaben:
- Spontane Bildung des Freifunk-Maschennetzwerks via WLAN mit allen in Reichweite befindlichen Freifunk-Routern (lokale Funkwolke).
- Optional die Errichtung von Tunnelverbindungen zu Bündel-Servern über das Internet für den Datenaustausch mit entfernten Funkwolken.
- Austausch von Routen-Informationen, um die zielgerichtete Zustellung von Daten zu ermöglichen.
- Zugangspunkt zum Freifunk-Netzwerk für WLAN-Klienten (z.B. Smartphones, Tablets, Notebooks).
- Optional die Anbindung von Servern und/oder lokalen Klienten mittels einer direkten Kabelverbindung.
Schutzziele und Gefährdungen
- Freifunk-Router sind vor dem Zugriff unbefugter Dritter geschützt.
- Freifunk-Router ermöglichen Dritten den Zugang zum Freifunk-Netz, nicht jedoch den Zugang zum privaten Netz des Router-Betreibers.
- Fehler und Sicherheitslücken in der Freifunk-Firmware werden behoben.
- Übertragene Daten sind vor dem Zugriff Dritter geschützt.
- Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.
Abgeleitete Sicherheitsanforderungen
- Freifunk-Router sind vor dem Zugriff unbefugter Dritter geschützt.
- Die Einstellungen des Freifunk-Routers lassen sich lediglich in einem gesonderten Konfigurationsmodus verändern.
- In der Standardkonfiguration des Freifunk-Routers ist kein Zugang auf der Ebene des Betriebssystems ("Shell Login") möglich.
- Optional kann durch den Router-Betreiber ein verschlüsselter Zugang (z.B. via SSH) aktiviert werden, um die Wartung aus der Ferne zu ermöglichen.
- Freifunk-Router ermöglichen Dritten den Zugang zum Freifunk-Netz, nicht jedoch den Zugang zum privaten Netz des Router-Betreibers.
- Eine Firewall auf dem Freifunk-Router (Layer 2 und/oder Layer 3) verhindert den Zugriff auf das private Netz des Betreibers.
- Ausgenommen ist der Aufbau einer Tunnelverbindung zu den Bündelservern, sofern der Betreiber dies in der Konfiguration ausdrücklich gestattet ("opt in").
- Fehler und Sicherheitslücken in der Freifunk-Firmware werden behoben.
- Die Firmware der Freifunk-Router wird in angemessenen Intervallen automatisch über das Freifunk-Netzt aktualisiert ("Autoupdater").
- Die Authentizität der Firmware wird durch ein elektronisches Signaturverfahren sichergestellt.
- Neue Firmware-Versionen werden vor dem Ausrollen gem. eines festgelegten Schemas getestet.
- Übertragene Daten sind vor dem Zugriff Dritter geschützt.
- Die Datenübertragung zu den Bündel-Servern erfolgt mittels verschlüsselter Tunnelverbindungen (End-zu-Endverschlüsselung) unter Verwendung von nach heutigem Wissenssand sicherer Verfahren.
- Die Authentizität der Endpunkte wird zum Schutz vor Mann-in-der-Mitte-Angriffen mittels eines asymmetrischen Schlüsselverfahrens sichergestellt.
- Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.
- Der Ausfall einzelner Freifunk-Router führt nicht zur Störung des restlichen Netzes.
- Das Routing des Freifunk-Netzes ist "selbstheilend". Durch Ausfall bedingte Unterbrechungen werden automatisch behoben.
- Die Funktionstüchtigkeit der Router wird überwacht und der fehlerhafte Betrieb detektiert.
Umgesetzte Sichgerheitsmaßnahmen
- Freifunk-Router sind vor dem Zugriff unbefugter Dritter geschützt.
- Die Einstellungen des Freifunk-Routers lassen sich lediglich in einem gesonderten Konfigurationsmodus verändern. Dieser muss durch Drücken einer Taste vor Ort aktiviert werden.
- Die verwendete Gluon-Firmware unterstützt einen separaten Konfigurationsmodus. Dieser ist nach dem aufspielen der Firmware aktiviert. Er kann zu einem späteren Zeitpunkt durch längeres Drücken der Reset-Taste am Router erneut aktiviert werden. Die Konfiguration wird über eine Web-Oberfläche unter der Adresse http://192.168.0.1 vorgenommen. Nach Abschluss der Konfiguration wechselt der Router in den Betriebsmodus. Eine Änderung der Konfiguration über die Web-Obewrfläche ist in der Folge nicht mehr möglich.
- In der Standardkonfiguration des Freifunk-Routers ist kein Zugang auf der Ebene des Betriebssystems ("Shell Login") möglich.
- In der Standardkonfiguration der Gluon-Firmware ist der Netzzugriff auf den Router deaktiviert. Es muss explizit im Konfigurationsmodus aktiviert werden, indem ein Passwort oder Schlüssel für den Zugang via SSH gesetzt wird.
- Optional kann durch den Router-Betreiber ein verschlüsselter Zugang (z.B. via SSH) aktiviert werden, um die Wartung aus der Ferne zu ermöglichen.
- Freifunk-Router ermöglichen Dritten den Zugang zum Freifunk-Netz, nicht jedoch den Zugang zum privaten Netz des Router-Betreibers.
- Eine Firewall auf dem Freifunk-Router (Layer 2 und/oder Layer 3) verhindert den Zugriff auf das private Netz des Betreibers.
- Ausgenommen ist der Aufbau einer Tunnelverbindung zu den Bündelservern, sofern der Betreiber dies in der Konfiguration ausdrücklich gestattet ("opt in").
- Fehler und Sicherheitslücken in der Freifunk-Firmware werden behoben.
- Die Firmware der Freifunk-Router wird in angemessenen Intervallen automatisch über das Freifunk-Netzt aktualisiert ("Autoupdater").
- Die Authentizität der Firmware wird durch ein elektronisches Signaturverfahren sichergestellt.
- Neue Firmware-Versionen werden vor dem Ausrollen gem. eines festgelegten Schemas getestet.
- Übertragene Daten sind vor dem Zugriff Dritter geschützt.
- Die Datenübertragung zu den Bündel-Servern erfolgt mittels verschlüsselter Tunnelverbindungen (End-zu-Endverschlüsselung) unter Verwendung von nach heutigem Wissenssand sicherer Verfahren.
- Die Authentizität der Endpunkte wird zum Schutz vor Mann-in-der-Mitte-Angriffen mittels eines asymmetrischen Schlüsselverfahrens sichergestellt.
- Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.
- Der Ausfall einzelner Freifunk-Router führt nicht zur Störung des restlichen Netzes.
- Das Routing des Freifunk-Netzes ist "selbstheilend". Durch Ausfall bedingte Unterbrechungen werden automatisch behoben.
- Die Funktionstüchtigkeit der Router wird überwacht und der fehlerhafte Betrieb detektiert.
Geplante, zukünftige Sicherheitsmaßnahmen
- Übertragene Daten sind vor dem Zugriff Dritter geschützt.
- Optionales Angebot von verschlüsselten Tunnelverbindungen (z.B. OpenVPN) direkt zwischen Endgeräten und den Gateways (Internet, IC-VPN).
Server
Im Folgenden Abschnitt sind die allgemeinen Schutzziele und Gefährdungen für Freifunk-Server zusammengefasst. Freifunk-Server werden in der Regel - jedoch nicht ausschließlich - bei Host Providern angemietet (physikalische und virtualisierte Root Server). Die Einrichtung, der Betrieb und die Wartung erfolgt durch die Freifunk-Gemeinde. Der Begriff "Freifunk-Server" umfasst hierbei die weiter unten aufgeführten Bündel-Server, Internet sowie IC-VPN Gateways. Diese werden entsprechend ihrer Aufgaben noch einmal separat abgehandelt. In der Praxis werde die verschiedenen Server meist zusammengefasst.
Schutzziele und Gefährdungen
- Server sind vor dem Zugriff unbefugter Dritter geschützt.
- Fehler und Sicherheitslücken in der verwendeten Software werden behoben.
- Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.
Abgeleitete Sicherheitsanforderungen
- Server sind vor dem Zugriff unbefugter Dritter geschützt.
- Der Zugriff auf die Server (physikalisch und über das Internet) ist auf einen engen, definierten Personenkreis beschränkt.
- Zugriffsrechte werden nach Bedarf und maßgeschneidert erteilt.
- Der Zugang aus dem Netz erfolgt exklusiv über verschlüsselte Verbindungen (z.B. SSH).
- Eine Firewall beschränkt Zugriffe aus dem Netz auf das notwendige Minimum.
- Spezielle Sicherheitssoftware zur Erkennung von Eindringlingen wird verwendet.
- Fehler und Sicherheitslücken in der verwendeten Software werden behoben.
- Server werden auf der Grundlage eines gepflegten, quelloffenen Betriebssystems errichtet.
- Verwendete Software wird in adequaten Intervallen aktualisiert.
- Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.
- Die Funktionstüchtigkeit der Server wird überwacht und der fehlerhafte Betrieb detektiert.
- Server sind vor DoS-Attacken aus dem Internet geschützt.
Bündel-Server
Bündel-Server dienen der Verbindung isolierter Funkwolken innerhalb des Freifunknetzes. Vom Prinzip her sind Sie den Freifunk-Routern gleichgestellte Netzwerkknoten, erfüllen unter Umständen jedoch zusätzliche Aufgaben. Sie unterhalten jedoch eine höhere Anzahl von Verbindungen (tpyischerweise 50 Ser erfüllen die folgenden Bündel-Server habe die folgenden Aufgaben:
- Verbindung entferntner Freifunk-Router mittels Tunnelverbindungen über das Internet.
- Austausch von Routen-Informationen, um die zielgerichtete Zustellung von Daten zu ermöglichen.
- Automatische Netzwerkkonfiguration von Klienten (Gluon).
- Namensauflösung innerhalb des Freifunk-Netzes (Gluon).
Schutzziele und Gefährdungen
- Bündel-Server sind vor dem Zugriff unbefugter Dritter geschützt.
- Übertragene Daten sind vor dem Zugriff Dritter geschützt.
- Die Namensauflösung ist vor Manipulationen durch Dritte geschützt.
- Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.
Abgeleitete Sicherheitsanforderungen
- Übertragene Daten sind vor dem Zugriff Dritter geschützt.
- Die Datenübertragung zu den Freifunk-Routern erfolgt mittels verschlüsselter Tunnelverbindungen (End-zu-Endverschlüsselung) unter Verwendung von nach heutigem Wissenssand sicherer Verfahren.
- Die Authentizität der Endpunkte wird zum Schutz vor Mann-in-der-Mitte-Angriffen mittels eines asymmetrischen Schlüsselverfahrens sichergestellt.
- Die Namensauflösung ist vor Manipulationen durch Dritte geschützt.
- Die Authentizität der Endpunkte wird zum Schutz vor Mann-in-der-Mitte-Angriffen mittels eines asymmetrischen Schlüsselverfahrens sichergestellt.
- Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.
- Der Ausfall eines Bündel-Servers führt nicht zur Störung des restlichen Netzes.
- Die Netzstabilität wird durch Redundanz gewährleistet. Die Bündel-Server sind über mehrere Rechenzeitung verteilt.
- Das Routing des Freifunk-Netzes ist "selbstheilend". Durch Ausfall bedingte Unterbrechungen werden automatisch behoben.
- Die verfügbare Bandbreite wird gleichmäßig auf alle verbundenen Knoten/Klienten verteilt.
- Die Funktionstüchtigkeit der Bündel-Server wird überwacht und der fehlerhafte Betrieb detektiert.
Umgesetzte Sichgerheitsmaßnahmen
Geplante, zukünftige Sicherheitsmaßnahmen
Internet Gateways
Aufgaben:
- Verbindung des Freifunknetzes mit dem restlichen Internet
- Namensauflösung
- optionale Anonymisierung der Clienten
Schutzziele und Gefährdungen
- Gleichmäßige Verteilung der verfügbaren Bandbreite auf alle Klienten sowie adeqaute Priorisierung des Verkehrs nach Diensten
- Unterbindung von SPAM-Nachrichten
- Optional die Einschränkung von P2P-Dateiübertragung auf ein vertretbares Maß
Abgeleitete Sichgerheitsmaßnahmen
- Gleichmäßige Verteilung von Bandbreite auf alle Klienten
- Verwendung von geeigneten Queueing Disciplines
- Unterbindung von SPAM-Nachrichten
- Sperrung des Mail Ports 25. Beschränkung auf den Mail Submission Port 587.
- Einschränkung von P2P-Dateiübertragung auf ein erträgliches Maß
- Beschränkung der Zahl aktiver Verbindungen pro Klient
Geplante, zukünftige Sicherheitsmaßnahmen
IC-VPN Gateways
Aufgaben:
- Verbindung des Freifunk-Netzes mit anderen Freifunk-Netzen innerhalb des IC-VPNs
- Austausch von Routeninformationen
- Namensauflösung für Domänen innerhalb des IC-VPN
- Optional Routing von Internetverkehr zu den Gateways anderer Freifunk-Netze
Schutzziele und Gefährdungen
- Übertragene Daten sind vor dem Zugriff Dritter geschützt.
- Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.
- Der Ausfall des IC-VPN-Gateways führt nicht zur Störung des restlichen Netzes.
Zusätzlich gelten die Schutzzile und Gefährdungen wie für Bündel-Server
Abgeleitete Sichgerheitsmaßnahmen
- Übertragene Daten sind vor dem Zugriff Dritter geschützt.
- Die Datenübertragung zu den Bündel-Servern erfolgt mittels verschlüsselter Tunnelverbindungen (End-zu Endverschlüsselung) unter Verwendung von nach heutigem Wissenssand sicherer Verfahren.
- Die Authentizität der Endpunkte wird zum Schutz vor Mann-in-der-Mitte-Angriffen mittels eines asymmetrischen Schlüsselverfahrens sichergestellt.
Geplante, zukünftige Sicherheitsmaßnahmen
Bewertung des Gesamtsystems
Welche Risiken ergeben sich aus dem Zusammnenwirken der Teilsysteme?
Kontinuierliche Verbesserung
Wie wollen wir die Sicherheit unserer Freifunk-Netze kontinuierlich verbessern?
Mitteilungspflichten
Welche Sicherheitsverletzungen und/oder Störungen würden wir der Bundesnetzagentur mitteilen wollen?
Ideen
Integration in Freifunk-API? Community füllt lediglich Formular zu den einzelnen Teilsystemen aus. Das Sicherheitskonzept wird im Anschluss automatisch erstellt und im Netz veröffentlicht.