Hinweise zur Sicherheit im Freifunk-Netz

Es gibt tausend Wege ins Netz – Freifunk ist einer davon. Wir wollen hier einige Tipps und Hinweise zum Thema Sicherheit geben, einige davon gelten speziell für Freifunk, andere sind eher allgemeiner Natur.

Grundlegend solltest du beim Surfen über ein „Freifunk“-Netz die gleichen Vorkehrungen treffen, die du auch beim surfen über eine/n anderen KommunikationsanbieterIn für notwendig hältst.

Freifunk benutzen – Clients im Netz

Schutz vor Überwachung und Manipulation

Einem unserer Grundideale folgend - „offene und freie Kommunikation“ fördern – kannst du dich ohne BenutzerInnenname und Passwort auf jedem Freifunk-Knoten einloggen.

Dies bedeutet aber auch, daß sämtlich Pakete zunächst unverschlüsselt über den „Äther“ gehen, es ist also möglich deine Kommunikation auf der Funkstrecke abzuhören.

Wenn Du Ressourcen im Internet abrufst, erfolgt der Zugriff „von aussen betrachtet“ über unsere Freifunk-Gateways zum Freifunk Rheinland e.V. Ab dort ist wiederum keine Grundverschlüsselung vorhanden, die Daten sind also prinzipiell mitlesbar oder sogar manipulierbar. Genau, wie alle anderen unverschlüsselten Daten im Internet.

Du solltest also darauf achten, daß insbesondere sensible Daten wie Email-Verkehr oder Logins immer über einen Kanal erfolgen, der „Ende-zu-Ende“ verschlüsselt ist.

Wenn Du z.B. in deinem Email-Programm oder „Whats-App“ TLS/SSL aktiviert hast und bei Webseiten darauf achtest, daß der Zugriff verschlüsselt erfolgt (erkennbar an dem „https“ vor der URL), dann surfst Du über Freifunk genauso sicher wie bei anderen Kommunikationsanbietern. Bei seriösen Programmen ist dies inzwischen eigentlich Standard, gegebenfalls solltest du das aber nochmal überprüfen.

Zugriff auf dein Gerät

Nach dem Login im Freifunk-Netz ist dein Gerät zwar nicht aus dem öffentlichen Internet erreichbar, andere Geräte im Freifunk-Netz können dich aber über deine IP-Adresse im Freifunk-Netz erreichen. Dies ist so gewollt, da wir jeder / jedem unserer NutzerInnen ermöglichen wollen, eigene Dienste freifunkintern anbieten zu können. In deinem Heimnetz würde dich die Firewall auf deinem Router vor der direkten Erreichbarkeit aus dem Netz "schützen", im Freifunk-Netz musst du selbst dafür Sorge tragen, ob und wie dein Gerät von aussen zu erreichen ist, Du solltest also Deine Firewall aktivieren.

Bei Telefonen und Tablets ist in der Regel sowieso kein Dienst von aussen erreichbar, auf einem Laptop muss deine Firewall eingeschaltet und aktiviert sein. Unter Windows reicht es dazu meist, wenn du beim ersten anmelden am Freifunk-Netzwerk dieses als „Öffentliches Netzwerk“ markierst.

Anonymität

Während die meisten kommerziellen Anbieter sehr genau mitschreiben, wer wann was im Internet nutzt, achten wir darauf, genau das Gegenteil zu tun: Im Freifunk werden keinerlei Daten mitprotokolliert! Durch technische Vorkehrungen sieht jeder Zugriff aus dem Freifunk-Netz für einen Server im Internet so aus, als käme er von einem unserer Gateways – und ist dir damit nichtmehr konkret zuzuordnen.

Die größte Gefahr für deine Anonymität besteht allerdings in den Diensten die du selbst auf deinem Rechner nutzt; wenn Du z.B. Facebook, Twitter und Konsorten benutzt oder dich bei anderen Diensten mit einem Konto anmeldest, bist Du natürlich nichtmehr anonym! Auch auf anderen Wegen, z.B. über Flash oder Browser fingerprinting kann deine Anonymität aufgehoben werden.

Viren, Trojaner und andere Sicherheitslücken

Wir zensieren den Verkehr durch unser Netz nicht! Deswegen gibt es auch keinerlei Filter oder Scanner, die dich auf Netzwerkebene vor Viren und ähnlichem Schützen.

Auch auf Sicherheitslücken in der von dir verwendeten Software haben wir keinerlei Einfluss. Diesbezüglich für Schutz zu sorgen, liegt also in deiner Hand.

Betrieb eines Freifunk-Knotens

Datenverkehr

Wenn du einen Router mit unserer Firmware in deinem lokalen Netzwerk anschliesst, dann nimmt dieser über eine verschlüsselte VPN-Verbindung Kontakt mit einem unserer Gateways auf. Alle Daten aus dem Freifunk-WLAN werden über diese Verbindung geschickt.

Aus dem „Freifunk Bingen“-WLAN ist also keinerlei Zugriff auf dein lokales Netz möglich.

Alle Zugriffe erfolgen durch das VPN zu unseren Gateways und von dort aus über eine/n AnbieterIn in den Niederlanden oder Schweden auf das Internet bzw. gegebenenfalls direkt auf einen anderen Client im Freifunk-Netz. Dadurch hast Du bezüglich einer "Störerhaftung" nichts zu befürchten.

Ist dein Knoten nicht mit dem Internet verbunden, dann werden alle Anfragen an benachbarte Knoten weitergereicht, bis sie eines unserer Gateways erreichen.

Viele Router (z.B. Fritzboxen) bieten einen sogenannten „Gastzugang“ an, sollte dir unser VPN als Sicherheit nicht genügen, kannst Du deinen Freifunk-Knoten auch darüber anbinden.

Unsere Software

Die Software auf einem Freifunk Router basiert auf „gluon“ und wurde ursprünglich von der Lübecker Freifunk-Community entwickelt, inzwischen ist gut ein Dutzend EntwicklerInnen daran beteiligt. Deren Arbeit basiert wiederum auf der freien Router-Software „OpenWRT“, auch diese wird von einigen Dutzend EnwicklerInnen getragen. Im Gegensatz zu den „Blackboxen“ die du normalerweise von einer / einem Router-HerstellerIn erwirbst, ist der Quelltext offen und wird von vielen EntwicklerInnen gegengelesen. Die Firmware dürfte auf einigen (hundert-)tausend Routern weltweit im Einsatz sein. Insgesamt kannst du dir also relativ sicher sein, das keinerlei Hintertüren eingebaut sind – wenn Sicherheitslücken auftauchen, werden die sehr schnell behoben.

An der Firmware nehmen wir kleine Änderungen vor, damit sie als „Freifunk Bingen“ funktioniert. Die Images für Installation und Update werden immer von drei Leuten unabhängig digital signiert. Dies kannst Du in unserem Github-Repository nachvollziehen.