Sicherheitskonzept (intern): Unterschied zwischen den Versionen

Aus Wiki Freifunk-3Ländereck
Wechseln zu: Navigation, Suche
(Hintergrund)
(Umgesetzte Sichgerheitsmaßnahmen)
Zeile 90: Zeile 90:
 
#* Eine Ausnahme in den Regeln erlaubt den Aufbau von Tunnelverbindungen mittels des ''fastd'' VPN-Dämonen.   
 
#* Eine Ausnahme in den Regeln erlaubt den Aufbau von Tunnelverbindungen mittels des ''fastd'' VPN-Dämonen.   
 
# Fehler und Sicherheitslücken in der Freifunk-Firmware werden behoben.
 
# Fehler und Sicherheitslücken in der Freifunk-Firmware werden behoben.
#*  
+
#* Der FF3L betreibt einen Aktualisierungs-Dienst, welcher über das Freifunk-Netz erreichbar ist. Mit Hilfe des Aktualisierungsdienstes lassen sich neuere Versionen der Firmware auf den Routern automatisch einspielen. Die Konfiguration der Freifunk-Router bleibt hierbei soweit möglich erhalten.
** Die Firmware der Freifunk-Router wird in angemessenen Intervallen automatisch über das Freifunk-Netzt aktualisiert ("Autoupdater").  
+
#* Der Aktualisierungs-Dienst ist in der Standardkonfiguration der Freifunk-Firmware aktiviert (Zweig "stable"). Der Aktualisierungs-Dienst kann im Konfigurationsmodus in den Experteneinstellungen deaktiviert werden ("opt-out").
** Die Authentizität der Firmware wird durch ein elektronisches Signaturverfahren sichergestellt.
+
#* Die Authentitizät der Firmware-Images wird durch ein Signaturverfahren gewährleistet (signiertes Manifest). Neue Images werden von den Freifunk-Routern nur bei vorhandensein einer gültigen Signatur installiert.  
** Neue Firmware-Versionen werden vor dem Ausrollen gem. eines festgelegten Schemas getestet.
+
#* Veröffentlichte Firmware-Images werden in die Zweige "experimental", "beta" und "stable" unterteilt. Neue Firmware-Versionen werden in eben dieser Reihenfolge ausgerollt, um einen ausreichenden Testbetrieb vor der Verbreitung zu gewährleisten.
  
 
# Übertragene Daten sind vor dem Zugriff Dritter geschützt.
 
# Übertragene Daten sind vor dem Zugriff Dritter geschützt.

Version vom 16. Mai 2015, 17:49 Uhr


Präambel

Freifunk Dreiländereck ("FF3L") ist ein parteipolitischer, unabhängiger, eingetragener Verein, der sich als Teil der weltweiten Open Wireless-Bewegung versteht, welche in Deutschland durch die Freifunk-Initiative repärsentiert wird.

Zur Umsetzung des Vereinszwecks unterhält der FF3L eine Netzwerkinfrastruktur, welche in Kombination mit den Freifunk-WLAN-Routern das Freifunk-Netz bildet. Er ist bei der Bundesnetzagentur seit dem xx.xx.xxxx. als Telekommunikationsdienstleister (Access Provider) registriert.

Mit dem vorliegenden Sicherheitskonzept werden die folgenden Absichten verfolgt:

  • Erfüllung der Verpflichtung zur Erstellung und Umsetzung eines Sicherheitskonzeptes nach § 109 TKG.
  • Transparente Dokumentation des Status Quo in Bezug auf Informationssicherheit als Grundlage für die kontinuierliche Verbesserung.
  • Aufzeigen von inherenten Limitierungen, die sich auf Grund der Funktionsweise des Freifunk-Netzes ergeben.
  • Darstellung der Pflichten von Freifunk-Nutzern hinsichtlich Gewährleistung ihrer eigene Sicherheit.

Gesetzlicher Hintergrund

Auszug aus dem "Katalog von Sicherheitsanforderungen für das Betreiben von Telekommunikations- und Datenverarbeitungssystemen sowie für die Verarbeitung personenbezogener Daten nach § 109 Telekommunikationsgesetz (TKG):

Für das Betreiben öffentlicher Telekkommunikatiosnetze sowie das Erbringen öffentlich zugänglicher Telekommunikationsdiense schreibt § 109 TKG Vorkehrungen und sonstige Maßnahmen

  • zum Schutz des Fernmeldegehimnisses,
  • gegen die Verletzung des Schutzes personenbezogener Daten,
  • gegen Störungen, die zu erheblichen Beeinträchtigungen von Telekommunikationsnetzen und -diensten führen, auch soweit sie durch äußere Angriffe und Einwirkungen von Katastrophen bedingt sein könnten,

als Mindestanforderungen vor.

Ziel und Zweck der zu treffenden Maßnahmen sind insbesondere

  • die Sicherheit vor unerlaubtem Zugriffen auf Telekommunikations- und Datenverarbeitungssysteme
  • die Reduzierung / Minimierung der Auswirkungen von Sicherheitsverletzungen auf Nutzer oder auf zusammengeschaltete Netze
  • die Gewährleistung eines ordnungsgemäßen Betriebes der Netze und dadurch die Sicherstellung der fortlaufenden Verfügbarkeit der über die Netze erbrachten Dienste.

Netzstruktur

Das Freifunknetz ist ein offenes, sich spontan ausbildendes und selbstheilendes Maschennetzwerk. Die Grundbausteine ("Knoten") des Freifunk-Netzes sind die Freifunk-Router. Der Begriff Maschennetzwerk bedeutet, dass die einzelnen Knoten mit einem oder mehreren Knoten auf nicht hierarschische Weise verbunden sind.

Die Freifunk-Router sinde handelsübliche WLAN-Router, ausgestattet mit einer speziellen Software ("Firmware"). Die spezielle Firmware gestattet es den Freifunk-Routern spontan Verbindung mit anderen Freifunk-Routern in Reichweite aufzunehmen. Hierbei kommt der offizielle, zugelassene WLAN-Standard 802.11n zum Einsatz. Gleichzeitig agieren die Router als WLAN-Zugangspunkt und ermöglichen damit Klienten (z.B. Smartphones) den direkten Zugang zum Freifunknetz.

Damit die Daten in dieser chaotischen Struktur ihren Weg finden, kommt ein spezielles Routing-Protokoll zum Einsatz. Im Fall des FF3L handelt es sich um das Protokoll B.A.T.M.A.N. Advanced. Dieses arbeitet auf der Netzzugangsschicht (Layer 2 nach dem OSI-Netzwerkschichtmodell). Das Freifunk-Netz verhält sich damit effektiv so, als wären alle Knoten über einen einzigen Netzwerk-Switch miteinander verbunden.

Neben der direkten Verbindung von Freifunk-Routern via WLAN gibt es die Option, isolierte Funkwolken über Tunnelverbindungen zu zentralen Servern ("Bündel-Servern") miteinander zu verbinden. Die Tunnelverbindungen laufen über das Internet und sind verschlüsselt (d.h. der Inhalt ist für Dritte nicht einsehbar). Der Internetanschluss wird hierbei auf freiwilliger Basis von den Knotenbetreibern zur Vefügung gestellt.

Weiterhin bietet das Freifunknetz über zentrale Gateways eine Verbindung ins Internet ("Internet Gateways") sowie den Verbund aller Freifunk-Netze ("IC-VPN Gateways"). Der Verein Freifunk Dreiländreck e.V. agiert damit als Zugangsanbieter ("Access Provider"). Die indirekte Weiterleitung ins Internet schützt die Knotenbetreiber vor ewaigen Haftungsansprüchen ("Störherhaftung") im Fall eines Missbrauchs durch Dritte.

Zusätzlich können Applikations-Server in das Freifunk-Netz integriert werden. Diese agieren als reguläre Netzwerkknoten und sind den Freifunk-Routern gleichgestellt.

Netzstrukturplan.png

Sicherheitsteilsysteme

In den folgenden Abschnitten werden die sicherheitskritischen Teilsysteme des Freifunk-Netzes definiert und diskutiert. Konkret werden als Teilsysteme die Freifunk-Router und Freifunk-Server im allgmeienen sowie Bündel-Server, Internet und IC-VPN Gateways im speziellen behandelt. Jeder Abschnitt besteht aus einer einleitenden Beschreibung inkl. der Aufgaben des jeweiligen Teilsystems, einer Auflistung von Schutzzielen und Gefährdungen, abgeleiteten Sicherheitsanforderungen, bereits umgesetzten sowie zukünftigen, geplanten Sicherheitsmaßnahmen. Zuletzt erfolgt eine abschließende Beurteilung des Gesamtsystems.

Freifunk-Router

Freifunk-WLAN-Router bilden die Grundelemente des Freifunk-Netzes. Sie werden auch als Netzwerkknoten bezeichnet. Bei Freifunk-Routern handelt sich um handelsübliche WLAN-Router, welche durch das Einspielen eines speziellen Betriebssystems ("Freifunk-Firmware") modifiziert werden. Freifunk-Router erfüllen die folgenden Aufgaben:

  • Spontane Bildung des Freifunk-Maschennetzwerks via WLAN mit allen in Reichweite befindlichen Freifunk-Routern (lokale Funkwolke).
  • Optional die Errichtung von Tunnelverbindungen zu Bündel-Servern über das Internet für den Datenaustausch mit entfernten Funkwolken.
  • Austausch von Routen-Informationen, um die zielgerichtete Zustellung von Daten zu ermöglichen.
  • Zugangspunkt zum Freifunk-Netzwerk für WLAN-Klienten (z.B. Smartphones, Tablets, Notebooks).
  • Optional die Anbindung von Servern und/oder lokalen Klienten mittels einer direkten Kabelverbindung.

Schutzziele und Gefährdungen

  1. Freifunk-Router sind vor dem Zugriff unbefugter Dritter geschützt.
  2. Freifunk-Router ermöglichen Dritten den Zugang zum Freifunk-Netz, nicht jedoch den Zugang zum privaten Netz des Router-Betreibers.
  3. Fehler und Sicherheitslücken in der Freifunk-Firmware werden behoben.
  4. Übertragene Daten sind vor dem Zugriff Dritter geschützt.
  5. Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.

Abgeleitete Sicherheitsanforderungen

  1. Freifunk-Router sind vor dem Zugriff unbefugter Dritter geschützt.
    • Die Einstellungen des Freifunk-Routers lassen sich lediglich in einem gesonderten Konfigurationsmodus verändern.
    • In der Standardkonfiguration des Freifunk-Routers ist kein Zugang auf der Ebene des Betriebssystems ("Shell Login") möglich.
    • Optional kann durch den Router-Betreiber ein verschlüsselter Zugang (z.B. via SSH) aktiviert werden, um die Wartung aus der Ferne zu ermöglichen.
  2. Freifunk-Router ermöglichen Dritten den Zugang zum Freifunk-Netz, nicht jedoch den Zugang zum privaten Netz des Router-Betreibers.
    • Eine Firewall auf dem Freifunk-Router (Layer 2 und/oder Layer 3) verhindert den Zugriff auf das private Netz des Betreibers.
    • Ausgenommen ist der Aufbau einer Tunnelverbindung zu den Bündelservern, sofern der Betreiber dies in der Konfiguration ausdrücklich gestattet ("opt in").
  3. Fehler und Sicherheitslücken in der Freifunk-Firmware werden behoben.
    • Die Firmware der Freifunk-Router wird in angemessenen Intervallen automatisch über das Freifunk-Netzt aktualisiert ("Autoupdater").
    • Die Authentizität der Firmware wird durch ein elektronisches Signaturverfahren sichergestellt.
    • Neue Firmware-Versionen werden vor dem Ausrollen gem. eines festgelegten Schemas getestet.
  4. Übertragene Daten sind vor dem Zugriff Dritter geschützt.
    • Die Datenübertragung zu den Bündel-Servern erfolgt mittels verschlüsselter Tunnelverbindungen (End-zu-Endverschlüsselung) unter Verwendung von nach heutigem Wissenssand sicherer Verfahren.
    • Die Authentizität der Endpunkte wird zum Schutz vor Mann-in-der-Mitte-Angriffen mittels eines asymmetrischen Schlüsselverfahrens sichergestellt.
  5. Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.
    • Der Ausfall einzelner Freifunk-Router führt nicht zur Störung des restlichen Netzes.
    • Das Routing des Freifunk-Netzes ist "selbstheilend". Durch Ausfall bedingte Unterbrechungenwerden automatisch behoben.
    • Die Funktionstüchtigkeit der Router wird überwacht und der fehlerhafte Betrieb detektiert.

Umgesetzte Sichgerheitsmaßnahmen

  1. Freifunk-Router sind vor dem Zugriff unbefugter Dritter geschützt.
    • Die verwendete Gluon-Firmware unterstützt einen separaten Konfigurationsmodus. Dieser ist nach dem Aufspielen der Firmware aktiviert. Er kann zu einem späteren Zeitpunkt durch längeres Drücken der Reset-Taste am Router erneut aktiviert werden. Die Konfiguration wird über eine Web-Oberfläche unter der Adresse http://192.168.0.1 vorgenommen. Nach Abschluss der Konfiguration wechselt der Router in den Betriebsmodus. Eine Änderung der Konfiguration über die Web-Obewrfläche ist in der Folge nicht mehr möglich.
    • In der Standardkonfiguration der Gluon-Firmware ist der Shell Login auf den Router deaktiviert. Er muss explizit im Konfigurationsmodus aktiviert werden, indem ein Passwort oder Schlüssel für den Zugang via SSH gesetzt wird.
  2. Freifunk-Router ermöglichen Dritten den Zugang zum Freifunk-Netz, nicht jedoch den Zugang zum privaten Netz des Router-Betreibers.
    • Die verwendete Gluon-Firmware konfiguriert Firewall-Regeln (bereitgestellt durch das Paket gluon-ebtables), welche auf Layer 2 den Zugriff auf die WAN-Schnittstelle der Routers und damit das private Netzwerk des Knotenbetreibers unterbinden.
    • Eine Ausnahme in den Regeln erlaubt den Aufbau von Tunnelverbindungen mittels des fastd VPN-Dämonen.
  3. Fehler und Sicherheitslücken in der Freifunk-Firmware werden behoben.
    • Der FF3L betreibt einen Aktualisierungs-Dienst, welcher über das Freifunk-Netz erreichbar ist. Mit Hilfe des Aktualisierungsdienstes lassen sich neuere Versionen der Firmware auf den Routern automatisch einspielen. Die Konfiguration der Freifunk-Router bleibt hierbei soweit möglich erhalten.
    • Der Aktualisierungs-Dienst ist in der Standardkonfiguration der Freifunk-Firmware aktiviert (Zweig "stable"). Der Aktualisierungs-Dienst kann im Konfigurationsmodus in den Experteneinstellungen deaktiviert werden ("opt-out").
    • Die Authentitizät der Firmware-Images wird durch ein Signaturverfahren gewährleistet (signiertes Manifest). Neue Images werden von den Freifunk-Routern nur bei vorhandensein einer gültigen Signatur installiert.
    • Veröffentlichte Firmware-Images werden in die Zweige "experimental", "beta" und "stable" unterteilt. Neue Firmware-Versionen werden in eben dieser Reihenfolge ausgerollt, um einen ausreichenden Testbetrieb vor der Verbreitung zu gewährleisten.
  1. Übertragene Daten sind vor dem Zugriff Dritter geschützt.
    • Die Datenübertragung zu den Bündel-Servern erfolgt mittels verschlüsselter Tunnelverbindungen (End-zu-Endverschlüsselung) unter Verwendung von nach heutigem Wissenssand sicherer Verfahren.
    • Die Authentizität der Endpunkte wird zum Schutz vor Mann-in-der-Mitte-Angriffen mittels eines asymmetrischen Schlüsselverfahrens sichergestellt.
  1. Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.
    • Der Ausfall einzelner Freifunk-Router führt nicht zur Störung des restlichen Netzes.
    • Das Routing des Freifunk-Netzes ist "selbstheilend". Durch Ausfall bedingte Unterbrechungen werden automatisch behoben.
    • Die Funktionstüchtigkeit der Router wird überwacht und der fehlerhafte Betrieb detektiert.

Geplante, zukünftige Sicherheitsmaßnahmen

  1. Übertragene Daten sind vor dem Zugriff Dritter geschützt.
    • Optionales Angebot von verschlüsselten Tunnelverbindungen (z.B. OpenVPN) direkt zwischen Endgeräten und den Gateways (Internet, IC-VPN).

Server

Im Folgenden Abschnitt sind die allgemeinen Schutzziele und Gefährdungen für Freifunk-Server zusammengefasst. Freifunk-Server werden in der Regel - jedoch nicht ausschließlich - bei Host Providern angemietet (physikalische und virtualisierte Root Server). Die Einrichtung, der Betrieb und die Wartung erfolgt durch die Freifunk-Gemeinde. Der Begriff "Freifunk-Server" umfasst hierbei die weiter unten aufgeführten Bündel-Server, Internet sowie IC-VPN Gateways. Diese werden entsprechend ihrer Aufgaben noch einmal separat abgehandelt. In der Praxis werde die verschiedenen Server meist zusammengefasst.

Schutzziele und Gefährdungen

  1. Server sind vor dem Zugriff unbefugter Dritter geschützt.
  2. Fehler und Sicherheitslücken in der verwendeten Software werden behoben.
  3. Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.

Abgeleitete Sicherheitsanforderungen

  1. Server sind vor dem Zugriff unbefugter Dritter geschützt.
    • Der Zugriff auf die Server (physikalisch und über das Internet) ist auf einen engen, definierten Personenkreis beschränkt.
    • Zugriffsrechte werden nach Bedarf und maßgeschneidert erteilt.
    • Der Zugang aus dem Netz erfolgt exklusiv über verschlüsselte Verbindungen (z.B. SSH).
    • Eine Firewall beschränkt Zugriffe aus dem Netz auf das notwendige Minimum.
    • Spezielle Sicherheitssoftware zur Erkennung von Eindringlingen wird verwendet.
  1. Fehler und Sicherheitslücken in der verwendeten Software werden behoben.
    • Server werden auf der Grundlage eines gepflegten, quelloffenen Betriebssystems errichtet.
    • Verwendete Software wird in adequaten Intervallen aktualisiert.
  1. Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.
    • Die Funktionstüchtigkeit der Server wird überwacht und der fehlerhafte Betrieb detektiert.
    • Server sind vor DoS-Attacken aus dem Internet geschützt.

Bündel-Server

Bündel-Server dienen der Verbindung isolierter Funkwolken innerhalb des Freifunknetzes. Vom Prinzip her sind Sie den Freifunk-Routern gleichgestellte Netzwerkknoten, erfüllen unter Umständen jedoch zusätzliche Aufgaben. Sie unterhalten jedoch eine höhere Anzahl von Verbindungen (tpyischerweise 50 Ser erfüllen die folgenden Bündel-Server habe die folgenden Aufgaben:

  • Verbindung entferntner Freifunk-Router mittels Tunnelverbindungen über das Internet.
  • Austausch von Routen-Informationen, um die zielgerichtete Zustellung von Daten zu ermöglichen.
  • Automatische Netzwerkkonfiguration von Klienten (Gluon).
  • Namensauflösung innerhalb des Freifunk-Netzes (Gluon).

Schutzziele und Gefährdungen

  1. Bündel-Server sind vor dem Zugriff unbefugter Dritter geschützt.
  2. Übertragene Daten sind vor dem Zugriff Dritter geschützt.
  3. Die Namensauflösung ist vor Manipulationen durch Dritte geschützt.
  4. Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.

Abgeleitete Sicherheitsanforderungen

  1. Übertragene Daten sind vor dem Zugriff Dritter geschützt.
    • Die Datenübertragung zu den Freifunk-Routern erfolgt mittels verschlüsselter Tunnelverbindungen (End-zu-Endverschlüsselung) unter Verwendung von nach heutigem Wissenssand sicherer Verfahren.
    • Die Authentizität der Endpunkte wird zum Schutz vor Mann-in-der-Mitte-Angriffen mittels eines asymmetrischen Schlüsselverfahrens sichergestellt.
  1. Die Namensauflösung ist vor Manipulationen durch Dritte geschützt.
    • Die Authentizität der Endpunkte wird zum Schutz vor Mann-in-der-Mitte-Angriffen mittels eines asymmetrischen Schlüsselverfahrens sichergestellt.
  1. Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.
    • Der Ausfall eines Bündel-Servers führt nicht zur Störung des restlichen Netzes.
    • Die Netzstabilität wird durch Redundanz gewährleistet. Die Bündel-Server sind über mehrere Rechenzeitung verteilt.
    • Das Routing des Freifunk-Netzes ist "selbstheilend". Durch Ausfall bedingte Unterbrechungen werden automatisch behoben.
    • Die verfügbare Bandbreite wird gleichmäßig auf alle verbundenen Knoten/Klienten verteilt.
    • Die Funktionstüchtigkeit der Bündel-Server wird überwacht und der fehlerhafte Betrieb detektiert.

Umgesetzte Sichgerheitsmaßnahmen

Geplante, zukünftige Sicherheitsmaßnahmen

Internet Gateways

Aufgaben:

  • Verbindung des Freifunknetzes mit dem restlichen Internet
  • Namensauflösung
  • optionale Anonymisierung der Clienten

Schutzziele und Gefährdungen

  1. Gleichmäßige Verteilung der verfügbaren Bandbreite auf alle Klienten sowie adeqaute Priorisierung des Verkehrs nach Diensten
  2. Unterbindung von SPAM-Nachrichten
  3. Optional die Einschränkung von P2P-Dateiübertragung auf ein vertretbares Maß

Abgeleitete Sichgerheitsmaßnahmen

  1. Gleichmäßige Verteilung von Bandbreite auf alle Klienten
    • Verwendung von geeigneten Queueing Disciplines
  1. Unterbindung von SPAM-Nachrichten
    • Sperrung des Mail Ports 25. Beschränkung auf den Mail Submission Port 587.
  1. Einschränkung von P2P-Dateiübertragung auf ein erträgliches Maß
    • Beschränkung der Zahl aktiver Verbindungen pro Klient

Geplante, zukünftige Sicherheitsmaßnahmen

IC-VPN Gateways

Aufgaben:

  • Verbindung des Freifunk-Netzes mit anderen Freifunk-Netzen innerhalb des IC-VPNs
  • Austausch von Routeninformationen
  • Namensauflösung für Domänen innerhalb des IC-VPN
  • Optional Routing von Internetverkehr zu den Gateways anderer Freifunk-Netze

Schutzziele und Gefährdungen

  1. Übertragene Daten sind vor dem Zugriff Dritter geschützt.
  2. Ein zuverlässiger, störungsfreier Betrieb ist gewährleistet.
  3. Der Ausfall des IC-VPN-Gateways führt nicht zur Störung des restlichen Netzes.

Zusätzlich gelten die Schutzzile und Gefährdungen wie für Bündel-Server

Abgeleitete Sichgerheitsmaßnahmen

  1. Übertragene Daten sind vor dem Zugriff Dritter geschützt.
    • Die Datenübertragung zu den Bündel-Servern erfolgt mittels verschlüsselter Tunnelverbindungen (End-zu Endverschlüsselung) unter Verwendung von nach heutigem Wissenssand sicherer Verfahren.
    • Die Authentizität der Endpunkte wird zum Schutz vor Mann-in-der-Mitte-Angriffen mittels eines asymmetrischen Schlüsselverfahrens sichergestellt.

Geplante, zukünftige Sicherheitsmaßnahmen

Bewertung des Gesamtsystems

Welche Risiken ergeben sich aus dem Zusammnenwirken der Teilsysteme?

Kontinuierliche Verbesserung

Wie wollen wir die Sicherheit unserer Freifunk-Netze kontinuierlich verbessern?

Mitteilungspflichten

Welche Sicherheitsverletzungen und/oder Störungen würden wir der Bundesnetzagentur mitteilen wollen?

Ideen

Integration in Freifunk-API? Community füllt lediglich Formular zu den einzelnen Teilsystemen aus. Das Sicherheitskonzept wird im Anschluss automatisch erstellt und im Netz veröffentlicht.