Bundesnetzagentur – Sicherheitskonzept für freies WLAN und Tor Exit Node

Dokumenthistorie
Version 1.0 Stand 07. August 2019 Ausgabe Erstausgabe
Ansprechpartner: Matthias Schmidt
TK-Netzstrukturplan
(vereinfachte Darstellung)

Beschreibung der Anlage
Der eine Teil der Anlage dient der Gewährung von kostenfreien Internetzugang per WLAN für die Nutzer. Der zweite Teil der Anlage dient der Gewährung von kostenfreien anonymen Internetzuggang per Tor Netzwerk. Zusätzlich besteht jeweils ein VPN-Tunnel zu unseren Servern, über den der aus- und eingehende Datenverkehr der Nutzer geleitet wird. Firmware- und Software-Version der WLAN-Router und Server: stets auf dem aktuellen Stand
Firmware wird automatisch aktualisiert: ja
Standort W-LAN Router: Deutschland
Standort VPN Exit Node Server: An der Lochmühle 10, 52379 Langerwehe
Sicherheitsmaßnahmen

  • WLAN-Router sind aufgrund ihrer Aufstellungsorte, je nach dem durch eine wetterfeste Box, durch (Blitzschutzmaßnahmen etc.) und gegen Umwelteinflüsse geschützt.
  • WLAN-Router sind gegen physischen Zugriff durch unbefugte Dritte durch Aufstellung im abgeschlossenen Raum, Aufstellung an Orten mit ständige Sichtkontrolle, durch eine Installation in einer verschlossenen Box geschützt.
  • Administrationsseite der WLAN-Router sind nicht über das WLAN, sondern nur lokal über LAN zugänglich.
  • Administrationsseite der WLAN-Router sind durch ein selbst vergebenes, hinreichend langes Passwort geschützt. Dieses ist nur dem Sicherheitsbeauftragten bekannt.
  • Funktionsfähigkeit der WLAN-Router wird durch den Sicherheitsbeauftragten in regelmäßigen Abständen von zwei Wochen, z.B. durch Sichtkontrolle oder Test der Funktionalität, überprüft. Eventuelle Störungen werden unmittelbar behoben. Der Sicherheitsbeauftragte überprüft in regelmäßigen Abständen von zwei Wochen, ob eine neue Version der Router-Firmware vorliegt und durch Autoupdates diese installiert sind. Bei Bedarf wird das Update unverzüglich eingespielt.-VPN Exit Node Server sind durch ein selbst vergebenes, hinreichend langes Passwort geschützt. Dieses ist nur dem Sicherheitsbeauftragten bekannt.
  • Funktionsfähigkeit der VPN Exit Node Server wird durch den Sicherheitsbeauftragten mehrmals täglich, z.B. durch Sichtkontrolle oder Test der Funktionalität, überprüft. Eventuelle Störungen werden unmittelbar behoben. Der Sicherheitsbeauftragte überprüft in regelmäßigen Abständen
    einmal täglich, ob eine neue Version der Server Software vorliegt und durch Autoupdates diese installiert sind. Bei Bedarf wird das Update unverzüglich eingespielt.
  • VPN Exit Node Server beinhalten eine aktives IDS und IPS Firewall und bei Bedarf IP Adressen/ Netze Blocker. Folgende Ports sind ständig blockiert: 1-19, 24-42, 44-52, 54-78, 82-87, 89-109, 111-142, 144-193, 195-219, 221-388, 390-442, 444-463, 466-530, 532-542, 545-553, 555-562, 564-
    586, 588-635, 637-705, 707-748, 750-852, 854-872, 874-988, 996-1193, 1195-1292, 1294-1722, 1724-1862, 1864-2081, 2084-2085, 2088-2094, 2097-2101, 2105-3127, 3129-3689, 3691-4320, 4322-5049, 5051-5189, 5191-5221, 5224-5899, 5901-6659, 6670-6678, 6680-6696, 6698-7999,
    8001-8007, 8009-8073, 8075-8079, 8081-8331, 8334-9417, 9419-11370, 11372-19293, 19295- 64737, 64739-65535
  • IDS Regeln werden alle sechs Stunden automatisch aktualisiert. Bekannte Auffälligkeiten und unbekannte Verbindungsmethoden werden blockiert.
  • IP Adressen und Netzblöcke können bei Bedarf internetseitig gesperrt werden.
  • Bei einer gravierenden Störung des Netzbetriebes werden die Server vom Netz genommen.
  • Geplant ist, dass über einen eigenständigen GSM Kanal der VPN Exit Node Server jederzeit, unverzüglich, bei gravierenden Störungen abgeschaltet werden kann.

Umsetzungserklärung
Hiermit erkläre ich, dass die im Sicherheitskonzept vom 09.08.2019 aufgezeigten technischen Vorkehrungen und sonstigen Schutzmaßnahmen umgesetzt sind oder unverzüglich umgesetzt werden.

Opa Gollum’s Wissen zu WinDOS

So, hat was gedauert. Der feine Unterschied, ob ein Profil Ordner kopiert oder verschoben wird. Wegen Dateirechte nur kopieren. Bei den versteckten Ordnern aufpassen, kann das Profil sehr zerschießen.

Falls wer von euch das auch mal betrifft: Windows Login über Azure Active Dictory und Datev, das funktioniert nicht.

Fehler 0x80070520

Es gibt einige Lösungen, jedoch war im Internet dies nicht dokumentiert. Wenn ein Microsoft Konto gleichzeitig Privatkonto und Schul-/Firmenkonto ist, kann ein Konflikt entstehen. In der Windows Registry kann das behoben werden:

Computer\HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Common\Identity
​NoDomainUser REG_DWORD 32Bit 1​
EnableADAL REG_DWORD 32Bit 0

BSI zertifizierte Firewall

BSI zertifizierte Firewall. Alles mit nur BSD Wasser gekocht. BSD ist so frei, dass es sowohl kommerzielle als auch nicht kommerziell ist, jedoch eine Zertifizierung kostet Geld. Nur kommerzielle BSDs können zertifiziert sein. Wo ist das alles drinn? Appel OS, QNX früher Blackberry heute z.B. in Autos und guten Firewalls.

Schutz, Spiel mit der Angst. Eine Versicherung, die Geld kostet, zahlt nur, wenn ein zertifiziertes System eingesetzt wurde, das auch Geld kostet. Technisch ist der Schutz nicht besser, als bei der kostenfreien Version. Nur wer will frei sein? Wird viel Geld umgesetzt. Funfact Es gibt Firmen, die beide Schienen fahren. Und die kommerzfreie Schiene lässt man sich nicht nehmen, ob mit oder ohne Geld, es geht um guten Programmcode, den wir alle haben wollen.

Pragmatischer Ansatz bei überschaubaren Budget: Firewalls können in Reihe geschaltet werden. Die günstigste Variante der zertifizierten Firewall, sodass noch Versicherungsschutz besteht und als zweites die freie Variante mit all den coolen Features, die bei der ersten jeweilige Mehrkosten darstellen.
09:15 – 1. Aug. 2019

Der Weg als “Provider”

Ey Realität, was machst du? Nach langem gucke ich eine Serie, Mr. Robot, nur übertriebenes Filmzeugs, aber heftig mit Trigger. Mit der Technik meines Providers in Absprache läuft seit gestern ein Tor Exit Node, mit Snort Filterung. Ein Brief zur Bundesnetzagentur ist unterwegs,

Eine Meldung, dass ich Daten durchleite. Und dann heute das: Das erste mal Klingeln war richtig. Ein Paket mit einem Geschenk für eine baldiges Geburtstagskind. Aber die zweite Klingel unangemeldet. Eine Frau, die für Unitymedia Privatkundenbereich versucht die Leute in

Der Hausanlage zu überzeugen, das Kabelfernsehen zu bezahlen. Ich gucke kein Fernsehn und bin Company Kunde. Fernsehn verbracht viel Bandbreite, wird das Internet auch abgeschaltet. Nein. Ich mag dieses unangemeldete nicht. Ich dachte schon, sie kommen.
06:45 – 2. Juli 2019

Überraschung / Schock. Nerve behale.
06:48 – 2. Juli 2019


Als Exit Node betreibende und Daten durchleitende Person, mit entsprechende Meldung bei der Bundesnetzagentur gibt es Kooperation mit Behörden, wenn es um Sauerreien geht. Doch bei gefährlichen Journalismus und einfachen Datenschutz gewähren möchte ich nicht kriminalisiert werden

Bei Kinderpornografie und Nazis ja, alles andere nein. Da Daten nur durchgeleitet werden und nicht gespeichert werden, geht das nur in Echtzeit am Endpunkt. Am Exit Node kann das auch der Provider sein, was ich nicht garantieren kann, was ab da geschnorchelt wird.

Also, ich betreibe den Tor Exit Node, wie ein Freifunk Exit Node. Die Kooperatin mit Behörden ist gleich, wie es auch der Freifunk Rheinland macht. Nicht mehr, nicht weniger.


Interessant: Spam Melde Apps und Webseiten sind auch nicht koscher. Jetzt soll mein Tor Exit Node schon fünf Tage vor dessen Existenz sowas verschickt haben. Wie die Anzug Marketing Pseudosecurity Leute wohl argumentieren bei der Politik z.B.?
14:23 – 12. Juli 2019


Erfahrung nach über einer Woche mit dem Tor Exit Node: WordPress Spam gefolgt mit Abstand Joomla Spam. Ab und zu Versuche, diese zu hacken. Und Crypto Malware wird versucht, durchzuleiten. Seltener Buffer Overflow und SQL Zeugs.
07:09 – 13. Juli 2019

So, nach etwas über zwei Wochen Tor Exit Node Betrieb merke ich, die zur Verfügung gestellte Bandbreite wird ausgereitzt, viele Verbindungen und die Firewall hat zu tun. Pro Minute zehn Blocks, wegen gefährdenen Traffic.
08:40 – 19. Juli 2019


Bundesnetzagentur wünscht Sicherheitsbeauftragte und Sicherungskonzept. Ist ja fast wie Datenschutzerklärung. Viele haben lange komplizierte Texte, ich tendiere zu ausreichend, 1½ DIN A4 Seiten. Daumendrück, wenn das klappt, ist das ein Konzept für Tor Exit Node und freies WLAN.
13:38 – 7. Aug. 2019


Ich möchte zwei VMs aufsetzen. Ein Build Server für Freifunk Router Firmware und einen Supernode. Tut dat Not, dass das Ubuntu sein muss? Geht Debian nicht? Wer weiß dazu was?
11:06 – 17. Aug. 2019


Sicherheitskonzept für die Bundesnetzagentur ist erstmal soweit okay. Demnach kann mit IDS und so’n Zeug ein Tor Exit Node sehr offiziell betrieben werden. Freies WLAN habe ich mit dabei.

Die bewuste Entscheidung für einen Tor und Freifunk Exit Node

Es ist prima König zu sein, oder einen Company Internet Anschluss zu haben. Habe mit Unitymedia Technik telefoniert. Grundsätzlich kann ich Traffic durchleiten. Ich betreibe nun einen Tor Exit Node mit bestimmten Ports und eine PfSense mit Snort schützt das Clear Net. Ich gucke, ob ich bestimmten Traffic vom Freifunk Offloader direkt raus leiten und den Super Node in Aachen schonen kann. Das Privileg, anderen ein bisschen Datenschutz geben zu können. Das eigentliche Darknet mit den onion Adressen bleibt im Tor Netzwerk. Doch nur zwei Prozent macht das dort aus. Klar, neben gefährlichen Journalismus und Illegales sind aber auch die meisten hidden Services trivial. Deanonymisierung bei krassen Sachen findet regelmäßig statt. Also 98% geht ins Clear Net. Es gibt ein Gefühl von ein wenig mehr Datenschutz. Mehr bei den Webseitenbetreiber_innen, weniger bei den großen staatlichen Nachrichtendiensten. Wer sich mit denen anlegt und relevant ist, wird früher oder später gefunden. Meistens wir gar nicht die Technologie gehackt. Es sind Fehler im RL und die Polizei kennt sich im RL aus. Eine super Sicherheitslücke, die teuer ist, wird sehr gezielt genutzt. Sie kann vielleicht nur einmal genutzt werden und ist dann bekannt, der Virenscanner bekommt Update. Ich habe der Bundesnetzagentur gemeldet, dass ich Daten durchleite. Es werden bei mir keine Daten gespeichert. Bei Kinderpornografie und Rechtsterrorismus kooperiere ich mit Behörden. Das Abgreifen von Daten hinter dem Exit Node beim Provider muss angenommen werden.

Plan: Ein Tor Exit Node betreiben

Uff, ich habe angefangen, die Serie Mr. Robot zu gucken. Ja, sie versuchen das Thema mittlerweile filmisch besser darzustellen, inklusiv wie Hackers aus den 90ern in der Serie gezeigt wird, was es war. Inhaltlich tangiert und triggert mich das, es gibt Parraellen im Kopf.
02:47 – 30. Juni 2019

Nur bekomme ich schnell Kopfschmerzen davon und kann nicht weiter gucken. Ich habe mir dann die Dokumentation DeepWeb angeguckt. Ich komme mit diesen Infos besser klar als Beispiele der Realität. Eine andere gewaltfreiere Drogenpolitik wäre wünschenswert, ich klammer das jetzt
02:47 – 30. Juni 2019

mal aus und gucke nur auf die Technologie und Informationspolitik. Es ist kein Geheimnis, dass ich ein Pseudo hidden Service im Tor Netzwerk laufen lasse zum Test und für vielleicht bessere DSGVO Umsetzung. Ist die Frage, wie oder ob es überhaupt Anonymität gibt.

Es gibt Berichte, dass Geheimdienste da weit sind und gleichzeitig Dementis. Ein Informationskrieg. Klar, Deanonymisierung ist aufwendig und findet statt, Leute werden verhaftet. Auch interessant, ob die eigentliche Technologie gebrochen wurde oder ein Seitenkanal verwendet
02:47 – 30. Juni 2019

wurde. Vor zwei Jahren hatte ich versehentlich ein Exit Node betrieben. Erst nach sechs Wochen kam die erste und einzige Abuse Meldung. Diese Tage hatte ich die Idee, einen Exit laufen zu lassen, da ich ein privilegierter Mensch bin und Leute Hilfe brauchen.
02:47 – 30. Juni 2019

Internet Upgrade März 2019

Es wurde ein Upgrade auf 600/40 MBits durchgeführt. Für den Server ist der Upload relevant. Upload ist relativ teuer in Deutschland, aber es geht Stück für Stück voran. Beim IPV6 Tunnel habe ich eine ungünstige Einstellung behoben. Der Tunnel ging über Berlin. Die Weltstadt Berlin hat aber gar nicht so einen guten Draht zur Welt. Das Peering von Unitymedia und Hurrican Electrics ist in Frankfurt deutlich besser. Also habe ich den Tunnel dahin verlegt. Somit ist der Server nun besser angebunden.

Freifunk Event Installation mit LTE – Verkleinerung

Ich weiß noch nicht, ob das, was ich vor habe, funktioniert.

Die bisherige Freifunk Event Installation besteht aus zwei großen Event Cases. Eine FritzBox liefert Netz mit LTE, ein Futro wird als Offloader eingesetzt, ein überdimensionierter Switch verteilt an die Freifunk Router. Die Technik liefert etwa 80 MBits Durchsatz für ca. 250 Clients.

Eine neue Box soll es werden:

Es soll kleiner und schneller werden. Die Idee, ein Mini Computer mit LTE Modem Karte soll mit VirtualBox eine Offloader VM bekommen und das Mesh Netzwerk am LAN ausgeben. Meine FritzBox hat nur Cat 3 LTE und weil das Mini-Micro-Nano Sim Adapter Gedöns verkeilt war, ist diese kaputt.  Für Freifunk wurde eine Cat 6 LTE Card gesponsort, eine Sierra Wireless MC7455 (EM 7455), die 300MBit schafft. Der Offloader in der VM sollte auch mehr schaffen, als der Futro.

Ich dachte, auch eine WLAN Karte einzubauen, da aber über VirtualBox diese nur als “normale” Netzwerkkarte weitergegeben wird. habe ich diese weggelassen. Wäre schön gewesen, Freifunk über eine direkte W-LAN Steckkarte ausstralen zu können. Wäre dann 3in1 gewesen.

Nun brauchte es noch einen Sim Karten Adapter.

Das Freifunk Offloader VirtualBox Image hat den Vorteil, nicht den Murks mit den Treibern zu haben.

Dann gab es zwei Tage Probleme, eingesetzt Debian, Ubuntu und Fedora. Die Karte wurde nicht erkannt.  Auch das Modul aus der Fritzbox wollte nicht.

Stopp! Mehrere Anleitungen habe ich gelesen. Sie funktionierten alle nicht. Ein Tipp hat geholfen:

https://techship.com/faq/sierra-wireless-mc74-series-module-is-not-detected-by-the-operating-system/

Ja, richtig gelesen, Pins abkleben. Ich musste dann feststellen, das auch der Sim Adapter abgeklebt werden musste.

Mit Ubuntu 18.04 und dem Network-Manager ging die Box sofort online.

Der D2700 Prozessor ist jetzt nicht so toll für virtuelle Maschinen, kann nur 32 Bit VMs laufen lassen. Das 32Bit Offloader Image stürzt mit Kernel Panic ab.

Ich habe noch die Laptop Variante gebaut. LTE Stick -> Offloader VM – LAN – Freifunk Router.

Die 64 Bit Version funktioniert, die 32 Bit geht auf zwei Computern nicht. Eventuell probiere ich die Test Version. Sonst muss ich die Technik in Aachen fragen.

Nachtrag 14.07.2018

Ich war dann zweimal in Aachen. Zunächst war ein Versuch, mit KVM es hin zu bekommen. Tatsächlich startet das 64 Bit Image. Es ist jedoch extremst langsam, nicht funktional und die Netzwerkkonfiguration war nicht ganz richtig.

Das experimental Image mit 32 Bit startet dann endlich mit Virtualbox. Es ist wieder Lede, statt Gluon mit Einstellungsmöglichkeiten statt eines langsamen sicheren VPN ein performance Mode gibt.

Tagelang ging es wieder nicht weiter.  Das LAN Mesh machte Probleme. Es war die Netzwerkkarte on Board, die den benötigten Bridge Modus verweigerte, Mit einer anderen Karte funktionierte endlich das Projekt.

Zu beachten beim Bau eines LTE Offloaders

  • Wenn der Offloader als VM laufen soll, sollte die CPU VT unterstützen und eher die 64 Bit Variante genutzt werden.
  • Die Netzwerkkarte muss den Bridge Modus unterstützen
  • Bei Virtualbox muss der erste Netzwerkport die LAN Karte im Bridge Modus mit erlaubten Promiscuous sein
  • Der zweite Netzwerkport ist einfach NAT

Mobiler Freifunk Router mit LTE Stick – kleine Variante

Seit längerer Zeit habe Freifunk2go realisiert, das mit einer Power Bank oder mit einem Solarpanel mit Strom versorgt wird und einen LTE Uplink nutzt. Das ganze war umständlich mit zwei Routern und LTE Stick gemacht. Der Stick hing an einem “normalen” Router und mit einem sehr kurzen LAN Kabel war der Freifunk Router verbunden. Damit konnten 30 Clients klar kommen, selbst im Bus und in der Bahn hat das funktioniert mit freiem WLAN. Ab 120 km/h war aber zu Ende. Freifunk München hat jedoch eine Anleitung, wie ich ein Router sparen kann und der LTE Stick direkt am Freifunk Router hängt.

https://ffmuc.net/wiki/p/Freifunk_mit_USB-Tethering_(LTE-Router)

Diese Anleitung hat mit einem gl-ar150 mit Freifunk Aachen Firmware funktioniert. Leider bricht die LTE Verbindung nach einer kurzen Zeit ab und verbindet sich nicht erneut.

Stark verkürzte Anleitung

Autoupdate deaktivieren

uci set autoupdater.settings.enabled='0'
uci commi

USB LTE Stick nutzbar machen

opkg update
opkg install kmod-usb-core kmod-usb2 libusb-1.0 usb-modeswitch usbreset

Neustart

reboot && exit

cdc-ether

opkg update
opkg install kmod-mii kmod-usb-net kmod-usb-net-rndis kmod-usb-net-cdc-ether

Neustart

reboot && exit

Mit vi bearbeiten (a für Eingabemodus eingeben)

/etc/config/network
config interface 'wan' ÄNDERN config interface 'wan2'

Am Ende hinzufügen:

config interface 'wan'
        option igmp_snooping '0'
        option proto 'dhcp'
        option ifname 'eth2'
        option type 'bridge'
        option peerdns '0'
        option auto '1'

Vi mit ESC und !wq speichern und beenden.


Ab hier weiß ich nicht, ob das noch gebraucht wird:

opkg update

opkg install kmod-usb2 kmod-usb-net kmod-nls-base kmod-usb-net-rndis kmod-usb-net-cdc-ether

# WAN-Interface auf USB-Schnittstelle legen:

uci del network.wan

uci set network.wan=interface

uci set network.wan.ifname=usb0

uci set network.wan.proto=dhcp

uci set network.wan.type=bridge

uci set network.wan.igmp_snooping=0

uci set network.wan.peerdns=0

uci set network.wan.auto=1

uci commit network
reboot & exit