|
|
|
WLanhsh & WLanwse Forum des WLan Hohenschönhausen und des WLan Weißensee wlanhsh.freifunk.net
|
Vorheriges Thema anzeigen :: Nächstes Thema anzeigen |
Autor |
Nachricht |
kasn Administrator
Anmeldedatum: 27.04.2004 Beiträge: 826 Wohnort: Berlin [hsh] Internet-Uplink: "FaulerSee"
|
Verfasst am: 27.01.2005, 06:32 Titel: Admin Treffen in der c-base |
|
|
Hy Leude.
Ich war heute bei einem Admin Treffen der WLaner in der c-base. Mich hatte ein Admin des WLan in Berlin Mitte, der zum großen OLSR-Netz gehört eingeladen, und ich bin dann auch spontan da gewesen.
Grundsätzlich waren dort sehr aktive WLan Admins, die überall in Berlin, vorallem Pberg, Fhain, Mitte, Kreuzberg, Neukölln etc. die Schirmherren über die dortigen Aktivitäten sind. Es wurde über unterschiedliche Probleme diskutiert, wie exzessives Filesharing im wlan oder IP-Vergabe, und auch Promotionthemen wie ein Messestand wurden besprochen.
Nach Diskussion in großer Runde wurde in persönlichen Gesprächen über unterschiedlichste Themen geredet, wo ich sehr viele gute neue Informationen für unser WLan mitnehmen konnte.
Als dann rauskam, dass ich der Typ vom WLanhsh bin, machte sich eine gewisse Unruhe breit. Dann hatte ich ganz unverhofft die volle Aufmerksamkeit der ganzen Runde Hab ick natürlich erst ma Augen gemacht, warum die unser wlanhsh Projekt denn schon kennen, und darauf so abgehen Der Grund war schnell gefunden. Die anwesende Runde fand unser Kartensystem so genial. Ich hab ihnen dann berichtet, das wir dieses Kartenmaterial kostenlos nutzen dürfen, und das Accounting mit den Infos zu einem AP zusätzlich programmiert haben.
Solch eine Möglichkeit findet man in der Tat auf keine der Freifunk oder anderen WLan Seiten.
Dieses Konzept soll also ausgeweitet werden, und in Zukunft wird an der Weiterentwicklung der Kartensoftware gemeinsam gearbeitet.
Ein weiterer wichtiger Punkt der bei dem Treffen rausgekommen ist, stellt die rechtliche Lage des offenen Netzes dar. Das Freifunk Netz ist also ein für jeder man zugängliches Netz. Unsere allgemeine Ansicht war bisher, dass wenn Person X über einem im WLan zur Verfügung gestellten Internetzugang Mist baut, dann muss Person Y der die Internetleitung zur Verfügung stellt, nachweisen, dass nicht er den Mist gebaut hat, sondern Person X. Dem ist in einem freien Netzwerk anscheinend nicht so.
Dieses Problem wurde in langen Diskussionen im Freifunk Forum besprochen. Darunter waren auch ausgebildete Juristen, und am Ende steht die Auffassung, dass jeder Staatsanwalt eine Anklage fallen lassen würde, wenn er sieht das die "Straftat" von einer Person aus einem öffentlichen Netz getätigt wurde. Diese Ansicht werde ich in den nächsten Tagen mit verschiedenen Anwälten besprechen, doch allzu abwegig klingt mir diese Variante nicht.
Am Ende macht dieser Umstand, unser komplex geplantes Sicherheitskonzept für ein geschlossenes Netz hinfällig und gibt den Startschuss, sich per OLSR und nach dem Vorbild des FreifunkNetzes miteinander zu vernetzen.
Eine genaue Erklärung dieses Konzeptes stelle ich in den nächsten Tagen online. Darin wird dann auch die Umsetzung in der Praxis, also wie ich meinen Linksys fürs WLanhsh fit mache, genau erklärt.
So dann löchert mich mal mit Fragen
Eine Menge werde ich in den nächsten Tagen mit den anderen Admins klären, und euch dann berichten... _________________ Linux never looked this good. |
|
Nach oben |
|
|
glockman
Anmeldedatum: 21.09.2004 Beiträge: 2097 Wohnort: suermondtstr/degnerstr ... ohne AP
|
Verfasst am: 27.01.2005, 12:57 Titel: |
|
|
das überflüssige sicherheitskonzept befreit uns natürlich von einigen sorgenfalten auf der stirn, was die technische umsetzung angeht. ich dachte schon, das wird so eine x-abende-reingesteckt-und-nix-rausgekommen-aktion. denn ein radiusserver, der sich auf eine mySQL-datenbank stützt, aufzusetzen und dann noch mit chillispot ans laufen zu kriegen wäre für uns ... die wir sowas noch nie gemacht haben ... ein krampf geworden. hoffentlich schnee von gestern ...
aber was die PR und homepage-kompetenzen der freifunkler angeht, bin ich ja fast schon enttäuscht. denen haperts ja an grundlegenden dingen ... ich meine welche seite hat kein forum !?!
aber es sorgt schon für eine gewisse genugtuung, wenn so eingefleischte wlaner unsrerem anfänger-projekt so viel aufmerksamkeit schenken und auch unterstützung anbieten. das schafft luft unter den flügeln .. für mehr auftrieb fürs wlanHSH.
sofern wir überlange sicht überhaupt noch so heißen werden ... denn eine eingliederung ins freifunknetz über VPN-Tunnels würde das gesamtkunstwerk der berliner WLAN-community ein gaaanzes stück weit komplettieren. wär doch gelacht, wenn berlich nicht als die größte wlan-community der welt berühmt wird .
über solch ein riesiges netzwerk könnte man mit gameservern und content mit lokalem bezug bald ein großes publikum erreichen, ohne dabei die kosten eines internetservers ufbringen zu müssen.
ps: sorry für die ausschweifungen ... aber das musste runter von meiner leber |
|
Nach oben |
|
|
MaxPower
Anmeldedatum: 28.04.2004 Beiträge: 405 Wohnort: Berlin-HsH - Bitburger Str.
|
Verfasst am: 27.01.2005, 14:19 Titel: |
|
|
klingt alles sehr interessant.
was ich mich grad frage ist, gibt es dann überhauptnoch eine art verschlüsselung ala wep oder wpa oder was anderem. wenn man sich das ganze loggen von daten sparen kann is das ja schonmal ganz gut. aber verschlüsselt sollten die daten schon übertragen werden!
mfg max (der hofft das es nun endlich richtig losgeht) |
|
Nach oben |
|
|
rhazes
Anmeldedatum: 17.01.2005 Beiträge: 15
|
Verfasst am: 27.01.2005, 14:20 Titel: |
|
|
wpa ist klar ohne wird sich niemand anbinden wollen^^ |
|
Nach oben |
|
|
glockman
Anmeldedatum: 21.09.2004 Beiträge: 2097 Wohnort: suermondtstr/degnerstr ... ohne AP
|
Verfasst am: 27.01.2005, 15:12 Titel: |
|
|
die notebooks .. genauso wie die wired clients an den wrts ... sind durch NAT geschützt ... eine verschlüsselung ist eben nicht vorgesehen. für sicherheitskritische anwendungen ließe sich aber ein verschlüsseltes VPN realisieren. |
|
Nach oben |
|
|
kasn Administrator
Anmeldedatum: 27.04.2004 Beiträge: 826 Wohnort: Berlin [hsh] Internet-Uplink: "FaulerSee"
|
Verfasst am: 27.01.2005, 18:41 Titel: |
|
|
glockman hat Folgendes geschrieben: | die notebooks .. genauso wie die wired clients an den wrts ... sind durch NAT geschützt ... eine verschlüsselung ist eben nicht vorgesehen. für sicherheitskritische anwendungen ließe sich aber ein verschlüsseltes VPN realisieren. |
völlig richtig, wollte nur noch bekräftigen.
es wird keine verschlüsselung des gesamten traffics geben!
also kein WEP und keine form von WPA.
wer seine datenströme sichern will kann dies über VPN-tunnels machen.
bleibt aber jedem selber überlassen.
wie zeigen gerne wie es geht, doch das echte sicherheitsbewustsein muss von den lueten selber kommen.
und mir wurde gestern auch noch mal deutlich vermittelt, dass man ohne viel aufwand über die tdsl leitungen in die home netzwerke der user kommt, sofern da kein router läuft. und das mit einfachsten scripts. also nicht denken, solange ich wired bin kann mir nix passieren. über diese thematik wird nur nicht so viel gesprochen. es ist aber genauso möglich den datentraffic mitzuhören, denn verschlüsselt wird da auch nicht standartmäßig. _________________ Linux never looked this good. |
|
Nach oben |
|
|
emerald
Anmeldedatum: 11.06.2004 Beiträge: 56
|
Verfasst am: 30.01.2005, 19:33 Titel: |
|
|
hm.. so gar keine verschlüsselung (ich hab jetzzt keine ahnung wie VPN-tunneling funzen würde) wäre aber ziemlich hart _________________ whO.Ot?!? |
|
Nach oben |
|
|
kasn Administrator
Anmeldedatum: 27.04.2004 Beiträge: 826 Wohnort: Berlin [hsh] Internet-Uplink: "FaulerSee"
|
Verfasst am: 30.01.2005, 21:07 Titel: |
|
|
ach das wäre hart? dann muss ich dir mal ganz hart sagen, dass der traffic der jetzt durch deine ISDN leitung geht auch nicht standartmäßig verschlüsselt ist. es wäre ein leichtes diesen traffic mitzuhören. und genau diese problematik wollen wir in die köpfe der user bringen.
sie sollen sich damit auseinandersetzen, was sie tun können um ihren datenverkehr vor ungewollten abhören zu schützen.
lösungen werden wir vorstellen, aber den echten willen muss jeder selber haben, diese methoden dann auch umzusetzen.
dazu sei gesagt, dass VPN nicht wirklich schwer zu realisieren ist, und einige messenger wie skype zum beispiel verschlüsselt standartmäßig alles was über ihn läuft...
das wird leichter als jetzt von den meisten befürchtet.... _________________ Linux never looked this good. |
|
Nach oben |
|
|
MaxPower
Anmeldedatum: 28.04.2004 Beiträge: 405 Wohnort: Berlin-HsH - Bitburger Str.
|
Verfasst am: 30.01.2005, 21:32 Titel: |
|
|
da bin ich jetzt schon auf das vpn-tutorial gespannt. kann mir das nähmlich noch nich so ganz vorstellen (hab aber auch kein plan von!).
wie dem auch sei, wenn eine "100%" verschlüsselung möglich ist, dann seh ich da für mich kein problem.
mfg max |
|
Nach oben |
|
|
emerald
Anmeldedatum: 11.06.2004 Beiträge: 56
|
Verfasst am: 31.01.2005, 00:27 Titel: |
|
|
kasn hat Folgendes geschrieben: | ach das wäre hart? dann muss ich dir mal ganz hart sagen, dass der traffic der jetzt durch deine ISDN leitung geht auch nicht standartmäßig verschlüsselt ist. es wäre ein leichtes diesen traffic mitzuhören. und genau diese problematik wollen wir in die köpfe der user bringen. |
weiß ich doch auch
worauf ich hinaus will:
wenn das wlan offen ist kann ja jeder der nen lappi und ne karte hat einfach mal so im netzwerk mit rumschnüffeln (evtl. freigegebene files ziehen etc. ?).. wenn es verschlüsselt ist jedoch nicht ?!
wenn das netz nun von vornherein verschlüsselt wäre .. wäre es auch von vornherein dicht ... _________________ whO.Ot?!? |
|
Nach oben |
|
|
kasn Administrator
Anmeldedatum: 27.04.2004 Beiträge: 826 Wohnort: Berlin [hsh] Internet-Uplink: "FaulerSee"
|
Verfasst am: 31.01.2005, 02:28 Titel: |
|
|
na mäxchen ditt wird leichter als wa denken
danke emerald! das sind die bedenken die jeder zu dieser problematik hat. darum lass es mich kurz erklären, denn zugegeben musste ich mich auch etwas durchringen diese lösung zu akzeptieren, aber jetzt gefällt sie mir besser wie die vorige.
das netz wird offen sein, und dabei ist die art und weise wie wir die accesspoints miteinander verbinden der größte vorteil. denn es wird eine kette entstehen, in der jeder accesspoint das signal weiterträgt. die verbindung ist dabei so einfach, dass es selbst ein wlan-laie ohne viel mühen schaffen kann. dabei haben wir direkten kontakt zu den programmierern der firmware die auf den accesspoints laufen wird, somit könnte man evtl auftretene mankos/bugs/fehler/wünsche direkt den entwicklern vorlegen.
deine eigentliche sorge bezieht sich auf kleine dumme kiddis, die das wlan durchkreuzen um mist zu bauen. doch so wie du es beschreibst wird es nicht möglich sein.
der grund ist, dass der linksysWRT54g ein vollwertiger wlanrouter ist. wie du ja sicher weißt kann ein router zwei unterschiedliche netzwerke miteinander verbinden. er kann dies aber auch auf hardware-ebene verhindern. das heißt also, wenn du nicht möchtest, dass irgendjemand auf dein home-netzwerk zugriff hat, dann aktivierst du im router einfach NAT(Network Adress Translation), und die firewall.
NAT erhöht dabei die sicherheit weil die interne Struktur deines Netzwerks nach außen hin verborgen bleibt. die firewall schützt dich zusätzlich vor ungewollten zugriffen. wenn du jetzt zb einen fileserver in form eines ftp servers laufen hast, sagen wir er hat die IP 192.168.0.5 musst du zuerst dem router sagen, dass er, sobald anfragen auf den port21 kommen, diese an den rechner mit der IP192.168.0.5 weiterleiten soll. da diese ftp server passwort geschützt sind, müssen die leute um auf deine dateien zugreifen zu können, erst das passwort erfragen.
sie liegen also nicht, wie bsp auf einer lanparty einfach so im netzwerk rum und stehen jedem zur verfügung, sondern es können nur von dir gewählte leute auf die daten zugreifen.
wenn diese ports nicht weitergeleitet werden, beisst man sozusagen bei dem router auf granit. er lässt nichts durch und macht das heimnetz somit sehr sicher. er schottet es quasi vom rest des wlans ab.
diese sorge sollte also bei einer ordentlichen konfiguration des router beseitigt werden können.
wer will kann auf wikipedia umfangreiches wissen finden.
der echte verkehr der durch die luft wandert ist unverschlüsselt. das heißt ich könnte mich mit meinem notebook in deinen garten stellen und den verkehr mitlauschen. ich könnte so sehen was du in deinen e-mails schreibst, in ICQ eingetippt hast und auf welchen internetseiten du dich gerade rumtreibst.
genau da kommt VPN zum einsatz
dieses verfahren verschlüsselt eben diesen netzverkehr und macht ihn von außen unlesbar. _________________ Linux never looked this good.
Zuletzt bearbeitet von kasn am 31.01.2005, 14:24, insgesamt einmal bearbeitet |
|
Nach oben |
|
|
MaxPower
Anmeldedatum: 28.04.2004 Beiträge: 405 Wohnort: Berlin-HsH - Bitburger Str.
|
Verfasst am: 31.01.2005, 10:00 Titel: |
|
|
also das interne netz ist sicher sehr gut. mit dieser lösung kann denke ich jeder leben, weil selbst in einem verschlüsselten netz wäre diese ebene nicht anders gesichert worden sein.
wenn mir jetzt jmd die vpn-logik/funktionsweise wenigstens ansatzweise erklären könnte, dann wär ich total glücklich!
mfg max |
|
Nach oben |
|
|
Patrick
Anmeldedatum: 01.11.2004 Beiträge: 88 Wohnort: Berlin Marzahn
|
Verfasst am: 31.01.2005, 11:02 Titel: |
|
|
also ich versuchs mal....
vpn is wie der name schon sagt eine viretuelle leitung die verschlüsselt auf die unsichere draufsetzt.... man wählt sich beim vpn-server ein wie ins internet mit benutzernamen und passwort....eine andere person macht das auch..... und schwupp sind zwei lokale homelans miteinander verbunden... wenn ich was falsches geschrieben hab korregiert mich bitte.... |
|
Nach oben |
|
|
emerald
Anmeldedatum: 11.06.2004 Beiträge: 56
|
Verfasst am: 31.01.2005, 13:30 Titel: |
|
|
@kasn
cool so geht das natürlich wunderbar
hab ganz vergessen das man die netzwerek von einander trennen kann ^^ _________________ whO.Ot?!? |
|
Nach oben |
|
|
MaxPower
Anmeldedatum: 28.04.2004 Beiträge: 405 Wohnort: Berlin-HsH - Bitburger Str.
|
Verfasst am: 31.01.2005, 16:10 Titel: |
|
|
@patrick
du sachst das diese vpn-verbindungen zw. einzelnen ap's möglich sind.
schön und gut aber das kann ich doch gar nicht steuern, ich weiß doch dann gar nich wo ein inet-gate steht und wo nich. das is doch alles dynamisch. da frag ich mich ob man mit hilfe von vpn dynamische tunnel erstellen kann!
und das mit dem einloggen auf einen server. kann das auch ein wrt sein?
mfg max |
|
Nach oben |
|
|
|
|
Du kannst keine Beiträge in dieses Forum schreiben. Du kannst auf Beiträge in diesem Forum nicht antworten. Du kannst deine Beiträge in diesem Forum nicht bearbeiten. Du kannst deine Beiträge in diesem Forum nicht löschen. Du kannst an Umfragen in diesem Forum nicht mitmachen.
|
Powered by phpBB © 2001, 2005 phpBB Group Deutsche Übersetzung von phpBB.de
|
| |