Error: Proxy: Unterschied zwischen den Versionen

Aus Freifunk Dresden - Anwender-Wiki
Zur Navigation springen Zur Suche springen
 
(7 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 10: Zeile 10:
 
  Grund: Login Passwörter zur Router-Webseite würden unverschlüsselt durch das Freifunk-Netz übertragen
 
  Grund: Login Passwörter zur Router-Webseite würden unverschlüsselt durch das Freifunk-Netz übertragen
  
== Wie: Zugriff auf Router möglich? ==
+
== Wie ist Zugriff auf Router möglich? ==
  
 
Um auf die Verwaltungseiten des Freifunk-Routers zu kommen, gibt es folgende Möglichkeiten, die bei bei der Einrichtung des Freifunk-Routers genutzt wurden.
 
Um auf die Verwaltungseiten des Freifunk-Routers zu kommen, gibt es folgende Möglichkeiten, die bei bei der Einrichtung des Freifunk-Routers genutzt wurden.
 
* Verbinden eines Endgerätes via LAN Buchse am Router
 
* Verbinden eines Endgerätes via LAN Buchse am Router
  * URL: https://192.168.222.1/  (falls nicht geändert)
+
** URL: https://192.168.222.1/  (falls nicht geändert)
 +
 
 
* Verbinden eines Endgerätes via Heimnetz mit der IP des Routers.
 
* Verbinden eines Endgerätes via Heimnetz mit der IP des Routers.
 +
 
* Verbinden eines Endgerätes (Laptop,Smartphone) via WLAN direkt mit dem WLAN des Router
 
* Verbinden eines Endgerätes (Laptop,Smartphone) via WLAN direkt mit dem WLAN des Router
  * URL: https://hotspot/
+
** URL: https://hotspot/
  * URL: https://100.64.0.1/
+
** URL: https://100.64.0.1/
  * URL: https://<node>.ffdd/ (Beispiel: https://1000.ffdd/)
+
** URL: https://<node>.ffdd/ (Beispiel: https://1000.ffdd/)
  * URL: https://<ip>/ (Beispiel: https://10.200.1.1/)
+
** URL: https://<ip>/ (Beispiel: https://10.200.1.1/)
 +
 
 
* Verbinden eines Endgerätes (Laptop,Smartphone) via beliebingen Freifunk-Router via WLAN oder LAN
 
* Verbinden eines Endgerätes (Laptop,Smartphone) via beliebingen Freifunk-Router via WLAN oder LAN
  * URL: https://<node>.ffdd/ (Beispiel: https://1000.ffdd/)
+
** URL: https://<node>.ffdd/ (Beispiel: https://1000.ffdd/)
  * URL: https://<ip>/ (Beispiel: https://10.200.1.1/)
+
** URL: https://<ip>/ (Beispiel: https://10.200.1.1/)
 +
 
 +
Weitere Infos: https://wiki.freifunk-dresden.de/index.php/Login
  
 
== Hintergründe ==
 
== Hintergründe ==
Der Proxy muss dazu die https Verbindung öffnen können, um bei https an die Router-IP zu kommen und die Anfrage durch das Freifunk-Netz
 
zum Router zu leiten, was er auch macht. Er kann aber nicht das https Router-Zertifikat prüfen, da jeder Router nur ein privates https Zertifikat
 
haben kann. Es ist also nicht prüfbar für den Proxy, ob die Anfrage nicht im Freifunk-Netz abgefangen wurde.
 
  
 +
Beim Zugriff via '''https://<ip>.freifunk-dresden.de/''' muß der Proxy die https Verbindung öffnen können, um an die Router-IP und URL zu kommen.</br>
 +
Dabei kann er aber nicht das https Zertifikat des Routers prüfen, da jeder Router nur ein privates https Zertifikat
 +
haben kann.</br>
 +
Das ist übrigends bei jedem Heimrouter der Fall, der für den Internetzugang zuhause verwendet wird (z.B. Fritzbox).
 +
 +
'''Hinweis:'''</br>
 +
Das betrifft nicht den Zugriff auf eine Webseite, wenn normal über das Freifunk-Netz gesurft wird.
 +
 +
Beispiel: Der Zugriff auf eine Banken-Webseite via https vom Smartphone aus, wird komplett weiterhin verschlüsselt durch das Freifunk-Netz übertragen, so wie es auch im Internet über die vielen unbekannten Server geht.
 +
 +
Der Proxy verhält sich so wie ein Endgerät (Smartphone), welches direkt mit dem Freifunk-Netz über einen Hotspot verbunden ist.<br>
 +
Aus der Anfrage ''http://10.200.1.1.freifunk-dresden.de'' wird ''http://10.200.1.1'', also das was im Browser in die URL Zeile eingegeben würde.
 +
Eine solche Anfrage geht dabei über mehrere Freifunk-Router, die durch andere unbekannte Freifunker betrieben werden.</br></br>
 +
Genau hier besteht die Gefahr, dass jemand diesen Datenverkehr mithört oder sogar die Anfragen abfängt und selber beantwortet. Das ist exakt
 +
das gleiche, was auch im Internet passieren kann, wenn direkt ohne Freifunk gesurft wird.</br>
 +
Daher ist es so wichtig, daß immer nur '''https''' Verbindungen verwendet werden.
 +
 +
Der Browser bringt einen '''Warnhinweis''', wenn man sich mit einem privaten Router verbunden hat. Akzeptiert man diese Warnung, so merkt sich
 +
der Browser dieses private Zertifikat, so dass ein späterer Zugriff diese Warnung nicht mehr zeigt. <br>
 +
 +
Das betrifft alle privaten Router oder Webseiten auf der Welt und hat nichts mit Freifunk zu tun.
 +
 +
'''Achtung:'''</br>
 +
Es muss immer drauf geachtet werden, dass wenn später diese Warnung vom Browser angezeigt wird, dass man nicht wirklich mit dem eigenen Router
 +
verbunden sein könnte und damit evt sein Passwort preis gibt. In so einem Fall hat sich das Zertifikat geändert.<br>
  
Ein Proxy nimmt die URL zu einem Router entgegen und nutzt die angegebene Router-IP (oder Knotennummer), um eine Interne Proxy-Anfrage
+
Es muss aber nicht immer bedeuten, daß wirklich jemand die Verbindung geklaut hat. Ein Zertifikat kann sich auch ändern, wenn dieses auf dem Router
direkt an den Router durch das Freifunk-Netz zu machen. Dabei verhält er sich wie ein Endgerät, welches direkt via WLAN mit einem Freifunk-Hotspot
+
gelöscht und neu generiert wurde (z.B. bei Werkseinstellung).
verbunden ist.
 
  
Aus der Anfrage _http://10.200.1.1.freifunk-dresden.de_ wird _http://10.200.1.1_, also das was im Browser in die URL Zeile eingegeben wird.
+
Um hier die Sicherheit zu erhöhen, wurde im Proxy vom Freifunk-Dresden der Zugriff auf die "Verwaltung" gesperrt, damit nur noch direkt (wie oben beschrieben) auf die Verwaltungsseite zu gegriffen werden kann.
Eine solche Anfrage kann dabei über mehrere Freifunk-Router, die durch andere unbekannte Freifunker betrieben werden. </br>
 

Aktuelle Version vom 13. April 2024, 19:28 Uhr

Proxy Zugang zum Admin-Bereich ist gesperrt

Erklärung Allgemein

Der Zugriff auf den Admin-Bereich (Verwaltung) auf einen Freifunk-Router über den Freifunk-Proxy ist aus Sicherheitsgründen gesperrt. Das betrifft folgende beiden Proxy URLs: - https://<ip>.freifunk-dresden.de/admin/... (auch HTTP) - https://<node>.freifunk-dresden.de/admin/... (auch HTTP)

Grund: Login Passwörter zur Router-Webseite würden unverschlüsselt durch das Freifunk-Netz übertragen

Wie ist Zugriff auf Router möglich?

Um auf die Verwaltungseiten des Freifunk-Routers zu kommen, gibt es folgende Möglichkeiten, die bei bei der Einrichtung des Freifunk-Routers genutzt wurden.

  • Verbinden eines Endgerätes via Heimnetz mit der IP des Routers.
  • Verbinden eines Endgerätes (Laptop,Smartphone) via beliebingen Freifunk-Router via WLAN oder LAN

Weitere Infos: https://wiki.freifunk-dresden.de/index.php/Login

Hintergründe

Beim Zugriff via https://<ip>.freifunk-dresden.de/ muß der Proxy die https Verbindung öffnen können, um an die Router-IP und URL zu kommen.
Dabei kann er aber nicht das https Zertifikat des Routers prüfen, da jeder Router nur ein privates https Zertifikat haben kann.
Das ist übrigends bei jedem Heimrouter der Fall, der für den Internetzugang zuhause verwendet wird (z.B. Fritzbox).

Hinweis:

Das betrifft nicht den Zugriff auf eine Webseite, wenn normal über das Freifunk-Netz gesurft wird.

Beispiel: Der Zugriff auf eine Banken-Webseite via https vom Smartphone aus, wird komplett weiterhin verschlüsselt durch das Freifunk-Netz übertragen, so wie es auch im Internet über die vielen unbekannten Server geht.

Der Proxy verhält sich so wie ein Endgerät (Smartphone), welches direkt mit dem Freifunk-Netz über einen Hotspot verbunden ist.
Aus der Anfrage http://10.200.1.1.freifunk-dresden.de wird http://10.200.1.1, also das was im Browser in die URL Zeile eingegeben würde. Eine solche Anfrage geht dabei über mehrere Freifunk-Router, die durch andere unbekannte Freifunker betrieben werden.

Genau hier besteht die Gefahr, dass jemand diesen Datenverkehr mithört oder sogar die Anfragen abfängt und selber beantwortet. Das ist exakt das gleiche, was auch im Internet passieren kann, wenn direkt ohne Freifunk gesurft wird.
Daher ist es so wichtig, daß immer nur https Verbindungen verwendet werden.

Der Browser bringt einen Warnhinweis, wenn man sich mit einem privaten Router verbunden hat. Akzeptiert man diese Warnung, so merkt sich der Browser dieses private Zertifikat, so dass ein späterer Zugriff diese Warnung nicht mehr zeigt.

Das betrifft alle privaten Router oder Webseiten auf der Welt und hat nichts mit Freifunk zu tun.

Achtung:
Es muss immer drauf geachtet werden, dass wenn später diese Warnung vom Browser angezeigt wird, dass man nicht wirklich mit dem eigenen Router verbunden sein könnte und damit evt sein Passwort preis gibt. In so einem Fall hat sich das Zertifikat geändert.

Es muss aber nicht immer bedeuten, daß wirklich jemand die Verbindung geklaut hat. Ein Zertifikat kann sich auch ändern, wenn dieses auf dem Router gelöscht und neu generiert wurde (z.B. bei Werkseinstellung).

Um hier die Sicherheit zu erhöhen, wurde im Proxy vom Freifunk-Dresden der Zugriff auf die "Verwaltung" gesperrt, damit nur noch direkt (wie oben beschrieben) auf die Verwaltungsseite zu gegriffen werden kann.