Sicherheitskonzept (intern)
Inhaltsverzeichnis
- 1 Ziele des Workshops
- 2 Hintergrund
- 3 Vorlage für Sicherheitskonzept
- 4 Ideen
Ziele des Workshops
- Identifizierung von prinzipiellen Gefahren für Freifunknetze
- Ausarbeitung Community spezifischer Unterschieder in Abhängigkeit der verwendeten Technologie
- Erarbeitung einer Vorlage für Sicherheitskonzepte
Hintergrund
Auszug aus dem "Katalog von Sicherheitsanforderungen für das Betreiben von Telekommunikations- und Datenverarbeitungssystemen sowie für die Verarbeitung personenbezogener Daten nach § 109 Telekommunikationsgesetz (TKG):
Fnsnetze sowie das Erbringen öffentlich zugänglicher Telekommunikationsdienste schreibt § 109 TKG technische Vorkehrungen und sonstige Maßnahmen
- zum Schutz des Fernmeldegehimnisses,
- gegen die Verletzung des Schutzes personenbezogener Daten,
- gegen Störungen, die zu erheblichen Beeinträchtigungen von Telekommunikationsnetzen und -diensten führen, auch soweit sie durch äußere Angriffe und Einwirkungen von Katastrophen bedingt sein könnten,
als Mindestanforderungen vor.
Vorlage für Sicherheitskonzept
Netzstrukturplan
Sicherheitsteilsysteme
In den folgenden Abschnitten werden die sicherheitskritischen Teilsysteme des Freifunk-Netzes definiert und diskutiert. Konkret werden als Teilsysteme die Freifunk-Router und Freifunk-Server im allgmeienen sowie Bündel-Server, Internet und IC-VPN Gateways im speziellen behandelt. Jeder Abschnitt besteht aus einer einleitenden Beschreibung inkl. der Aufgaben des jeweiligen Teilsystems, einer Auflistung von Schutzzielen und Gefährdungen, abgeleiteten Sicherheitsanforderungen, bereits umgesetzten sowie zukünftigen, geplanten Sicherheitsmaßnahmen. Zuletzt erfolgt eine abschließende Beurteilung des Gesamtsystems.
Freifunk-Router
Freifunk-WLAN-Router bilden die Grundelemente des Freifunk-Netzes. Sie werden auch als Netzwerkknoten bezeichnet. Bei Freifunk-Routern handelt sich um handelsübliche WLAN-Router, welche durch das Einspielen eines speziellen Betriebssystems ("Freifunk-Firmware") modifiziert werden. Freifunk-Router erfüllen die folgenden Aufgaben:
- Spontane Bildung des Freifunk-Maschennetzwerks via WLAN mit allen in Reichweite befindlichen Freifunk-Routern (lokale Funkwolke).
- Optional die Errichtung einer Tunnelverbindung mit Bündel-Servern über das Internet für den Datenaustausch mit entfernten Funkwolken.
- Austausch von Routen-Informationen, um die zielgerichtete Zustellung von Daten zu ermöglichen.
- Zugangspunkt zum Freifunk-Netzwerk für WLAN-Klienten (z.B. Smartphones, Tablets, Notebooks).
- Optional die Anbindung von Servern und/oder lokalen Klienten mittels einer direkten Kabelverbindung.
Schutzziele und Gefährdungen
- Freifunk-Router sind vor dem Zugriff unbefugter Dritter geschützt.
- Freifunk-Router ermöglichen Dritten den Zugang zum Freifunk-Netz, nicht jedoch den Zugang zum privaten Netz des Router-Betreibers.
- Fehler und Sicherheitslücken in der Freifunk-Firmware werden behoben.
- Übertragene Daten sind vor dem Zugriff Dritter geschützt.
- Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.
Abgeleitete Sicherheitsanforderungen
- Freifunk-Router sind vor dem Zugriff unbefugter Dritter geschützt.
- Die Einstellungen des Freifunk-Routers lassen sich lediglich in einem gesonderten Konfigurationsmodus verändern.
- In der Standardkonfiguration des Freifunk-Routers ist kein Zugang auf der Ebene des Betriebssystems ("Shell Login") möglich.
- Optional kann durch den Router-Betreiber ein verschlüsselter Zugang (z.B. via SSH) aktiviert werden, um die Wartung aus der Ferne zu ermöglichen.
- Freifunk-Router ermöglichen Dritten den Zugang zum Freifunk-Netz, nicht jedoch den Zugang zum privaten Netz des Router-Betreibers.
- Eine Firewall auf dem Freifunk-Router (Layer 2 und/oder Layer 3) verhindert den Zugriff auf das private Netz des Betreibers.
- Ausgenommen ist der Aufbau einer Tunnelverbindung zu den Bündelservern, sofern der Betreiber dies in der Konfiguration ausdrücklich gestattet ("opt in").
- Fehler und Sicherheitslücken in der Freifunk-Firmware werden behoben.
- Die Firmware der Freifunk-Router wird in angemessenen Intervallen automatisch über das Freifunk-Netzt aktualisiert ("Autoupdater").
- Die Authentizität der Firmware wird durch ein elektronisches Signaturverfahren sichergestellt.
- Neue Firmware-Versionen werden vor dem Ausrollen gem. eines festgelegten Schemas getestet.
- Übertragene Daten sind vor dem Zugriff Dritter geschützt.
- Die Datenübertragung zu den Bündel-Servern erfolgt mittels verschlüsselter Tunnelverbindungen (End-zu-Endverschlüsselung) unter Verwendung von nach heutigem Wissenssand sicherer Verfahren.
- Die Authentizität der Endpunkte wird zum Schutz vor Mann-in-der-Mitte-Angriffen mittels eines asymmetrischen Schlüsselverfahrens sichergestellt.
- Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.
- Der Ausfall einzelner Freifunk-Router führt nicht zur Störung des restlichen Netzes.
- Das Routing des Freifunk-Netzes ist "selbstheilend". Durch Ausfall bedingte Unterbrechungen werden automatisch behoben.
- Die Funktionstüchtigkeit der Router wird überwacht und der fehlerhafte Betrieb detektiert.
Umgesetzte Sichgerheitsmaßnahmen
- Freifunk-Router sind vor dem Zugriff unbefugter Dritter geschützt.
- Die Einstellungen des Freifunk-Routers lassen sich lediglich in einem gesonderten Konfigurationsmodus verändern. Dieser muss durch Drücken einer Taste vor Ort aktiviert werden.
- Die verwendete Gluon-Firmware unterstützt einen separaten Konfigurationsmodus. Dieser ist nach dem aufspielen der Firmware aktiviert. Er kann zu einem späteren Zeitpunkt durch längeres Drücken der Reset-Taste am Router erneut aktiviert werden. Die Konfiguration wird über eine Web-Oberfläche unter der Adresse http://192.168.0.1 vorgenommen. Nach Abschluss der Konfiguration wechselt der Router in den Betriebsmodus. Eine Änderung der Konfiguration über die Web-Obewrfläche ist in der Folge nicht mehr möglich.
- In der Standardkonfiguration des Freifunk-Routers ist kein Zugang auf der Ebene des Betriebssystems ("Shell Login") möglich.
- In der Standardkonfiguration der Gluon-Firmware ist der Netzzugriff auf den Router deaktiviert. Es muss explizit im Konfigurationsmodus aktiviert werden, indem ein Passwort oder Schlüssel für den Zugang via SSH gesetzt wird.
- Optional kann durch den Router-Betreiber ein verschlüsselter Zugang (z.B. via SSH) aktiviert werden, um die Wartung aus der Ferne zu ermöglichen.
- Freifunk-Router ermöglichen Dritten den Zugang zum Freifunk-Netz, nicht jedoch den Zugang zum privaten Netz des Router-Betreibers.
- Eine Firewall auf dem Freifunk-Router (Layer 2 und/oder Layer 3) verhindert den Zugriff auf das private Netz des Betreibers.
- Ausgenommen ist der Aufbau einer Tunnelverbindung zu den Bündelservern, sofern der Betreiber dies in der Konfiguration ausdrücklich gestattet ("opt in").
- Fehler und Sicherheitslücken in der Freifunk-Firmware werden behoben.
- Die Firmware der Freifunk-Router wird in angemessenen Intervallen automatisch über das Freifunk-Netzt aktualisiert ("Autoupdater").
- Die Authentizität der Firmware wird durch ein elektronisches Signaturverfahren sichergestellt.
- Neue Firmware-Versionen werden vor dem Ausrollen gem. eines festgelegten Schemas getestet.
- Übertragene Daten sind vor dem Zugriff Dritter geschützt.
- Die Datenübertragung zu den Bündel-Servern erfolgt mittels verschlüsselter Tunnelverbindungen (End-zu-Endverschlüsselung) unter Verwendung von nach heutigem Wissenssand sicherer Verfahren.
- Die Authentizität der Endpunkte wird zum Schutz vor Mann-in-der-Mitte-Angriffen mittels eines asymmetrischen Schlüsselverfahrens sichergestellt.
- Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.
- Der Ausfall einzelner Freifunk-Router führt nicht zur Störung des restlichen Netzes.
- Das Routing des Freifunk-Netzes ist "selbstheilend". Durch Ausfall bedingte Unterbrechungen werden automatisch behoben.
- Die Funktionstüchtigkeit der Router wird überwacht und der fehlerhafte Betrieb detektiert.
Geplante, zukünftige Sicherheitsmaßnahmen
- Übertragene Daten sind vor dem Zugriff Dritter geschützt.
- Optionales Angebot von verschlüsselten Tunnelverbindungen (z.B. OpenVPN) direkt zwischen Endgeräten und den Gateways (Internet, IC-VPN).
Server
Im Folgenden Abschnitt sind die allgemeinen Schutzziele und Gefährdungen für Freifunk-Server zusammengefasst. Freifunk-Server werden in der Regel - jedoch nicht ausschließlich - bei Host Providern angemietet (physikalische und virtualisierte Root Server). Die Einrichtung, der Betrieb und die Wartung erfolgt durch die Freifunk-Gemeinde. Der Begriff "Freifunk-Server" umfasst hierbei die weiter unten aufgeführten Bündel-Server, Internet sowie IC-VPN Gateways. Diese werden entsprechend ihrer Aufgaben noch einmal separat abgehandelt. In der Praxis werde die verschiedenen Server meist zusammengefasst.
Schutzziele und Gefährdungen
- Server sind vor dem Zugriff unbefugter Dritter geschützt.
- Fehler und Sicherheitslücken in der verwendeten Software werden behoben.
- Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.
Abgeleitete Sicherheitsanforderungen
- Server sind vor dem Zugriff unbefugter Dritter geschützt.
- Der Zugriff auf die Server (physikalisch und über das Internet) ist auf einen engen, definierten Personenkreis beschränkt.
- Zugriffsrechte werden nach Bedarf und maßgeschneidert erteilt.
- Der Zugang aus dem Netz erfolgt exklusiv über verschlüsselte Verbindungen (z.B. SSH).
- Eine Firewall beschränkt Zugriffe aus dem Netz auf das notwendige Minimum.
- Spezielle Sicherheitssoftware zur Erkennung von Eindringlingen wird verwendet.
- Fehler und Sicherheitslücken in der verwendeten Software werden behoben.
- Server werden auf der Grundlage eines gepflegten, quelloffenen Betriebssystems errichtet.
- Verwendete Software wird in adequaten Intervallen aktualisiert.
- Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.
- Die Funktionstüchtigkeit der Server wird überwacht und der fehlerhafte Betrieb detektiert.
- Server sind vor DoS-Attacken aus dem Internet geschützt.
Bündel-Server
Bündel-Server dienen der Verbindung isolierter Funkwolken innerhalb des Freifunknetzes. Vom Prinzip her sind Sie den Freifunk-Routern gleichgestellte Netzwerkknoten, erfüllen unter Umständen jedoch zusätzliche Aufgaben. Sie unterhalten jedoch eine höhere Anzahl von Verbindungen (tpyischerweise 50 Ser erfüllen die folgenden Bündel-Server habe die folgenden Aufgaben:
- Verbindung entferntner Freifunk-Router mittels Tunnelverbindungen über das Internet.
- Austausch von Routen-Informationen, um die zielgerichtete Zustellung von Daten zu ermöglichen.
- Automatische Netzwerkkonfiguration von Klienten (Gluon).
- Namensauflösung innerhalb des Freifunk-Netzes (Gluon).
Schutzziele und Gefährdungen
- Bündel-Server sind vor dem Zugriff unbefugter Dritter geschützt.
- Übertragene Daten sind vor dem Zugriff Dritter geschützt.
- Die Namensauflösung ist vor Manipulationen durch Dritte geschützt.
- Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.
Abgeleitete Sicherheitsanforderungen
- Übertragene Daten sind vor dem Zugriff Dritter geschützt.
- Die Datenübertragung zu den Freifunk-Routern erfolgt mittels verschlüsselter Tunnelverbindungen (End-zu-Endverschlüsselung) unter Verwendung von nach heutigem Wissenssand sicherer Verfahren.
- Die Authentizität der Endpunkte wird zum Schutz vor Mann-in-der-Mitte-Angriffen mittels eines asymmetrischen Schlüsselverfahrens sichergestellt.
- Die Namensauflösung ist vor Manipulationen durch Dritte geschützt.
- Die Authentizität der Endpunkte wird zum Schutz vor Mann-in-der-Mitte-Angriffen mittels eines asymmetrischen Schlüsselverfahrens sichergestellt.
- Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.
- Der Ausfall eines Bündel-Servers führt nicht zur Störung des restlichen Netzes.
- Die Netzstabilität wird durch Redundanz gewährleistet. Die Bündel-Server sind über mehrere Rechenzeitung verteilt.
- Das Routing des Freifunk-Netzes ist "selbstheilend". Durch Ausfall bedingte Unterbrechungen werden automatisch behoben.
- Die verfügbare Bandbreite wird gleichmäßig auf alle verbundenen Knoten/Klienten verteilt.
- Die Funktionstüchtigkeit der Bündel-Server wird überwacht und der fehlerhafte Betrieb detektiert.
Umgesetzte Sichgerheitsmaßnahmen
Geplante, zukünftige Sicherheitsmaßnahmen
Internet Gateways
Aufgaben:
- Verbindung des Freifunknetzes mit dem restlichen Internet
- Namensauflösung
- optionale Anonymisierung der Clienten
Schutzziele und Gefährdungen
- Gleichmäßige Verteilung der verfügbaren Bandbreite auf alle Klienten sowie adeqaute Priorisierung des Verkehrs nach Diensten
- Unterbindung von SPAM-Nachrichten
- Optional die Einschränkung von P2P-Dateiübertragung auf ein vertretbares Maß
Abgeleitete Sichgerheitsmaßnahmen
- Gleichmäßige Verteilung von Bandbreite auf alle Klienten
- Verwendung von geeigneten Queueing Disciplines
- Unterbindung von SPAM-Nachrichten
- Sperrung des Mail Ports 25. Beschränkung auf den Mail Submission Port 587.
- Einschränkung von P2P-Dateiübertragung auf ein erträgliches Maß
- Beschränkung der Zahl aktiver Verbindungen pro Klient
Geplante, zukünftige Sicherheitsmaßnahmen
IC-VPN Gateways
Aufgaben:
- Verbindung des Freifunk-Netzes mit anderen Freifunk-Netzen innerhalb des IC-VPNs
- Austausch von Routeninformationen
- Namensauflösung für Domänen innerhalb des IC-VPN
- Optional Routing von Internetverkehr zu den Gateways anderer Freifunk-Netze
Schutzziele und Gefährdungen
- Übertragene Daten sind vor dem Zugriff Dritter geschützt.
- Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.
- Der Ausfall des IC-VPN-Gateways führt nicht zur Störung des restlichen Netzes.
Zusätzlich gelten die Schutzzile und Gefährdungen wie für Bündel-Server
Abgeleitete Sichgerheitsmaßnahmen
- Übertragene Daten sind vor dem Zugriff Dritter geschützt.
- Die Datenübertragung zu den Bündel-Servern erfolgt mittels verschlüsselter Tunnelverbindungen (End-zu Endverschlüsselung) unter Verwendung von nach heutigem Wissenssand sicherer Verfahren.
- Die Authentizität der Endpunkte wird zum Schutz vor Mann-in-der-Mitte-Angriffen mittels eines asymmetrischen Schlüsselverfahrens sichergestellt.
Geplante, zukünftige Sicherheitsmaßnahmen
Bewertung des Gesamtsystems
Welche Risiken ergeben sich aus dem Zusammnenwirken der Teilsysteme?
Schutzziele und Gefährdungen
Umgesetzte Sichgerheitsmaßnahmen
Geplante, zukünftige Sicherheitsmaßnahmen
Kontinuierliche Verbesserung
Wie wollen wir die Sicherheit unserer Freifunk-Netze kontinuierlich verbessern?
Mitteilungspflichten
Welche Sicherheitsverletzungen und/oder Störungen würden wir der Bundesnetzagentur mitteilen wollen?
Ideen
Integration in Freifunk-API? Community füllt lediglich Formular zu den einzelnen Teilsystemen aus. Das Sicherheitskonzept wird im Anschluss automatisch erstellt und im Netz veröffentlicht.