So, da ich nun längere Zeit schon Fonero bin, habe ich mich Heute dazu entschlossen, dass ganze Ding mal ein wenig zu Untersuchen und umzuschreiben. Das wichtige für mich ist schon mal die Syslogs an meinen Server zu schicken, einen Sniffer einzubauen, damit niemand Unfug treibt und das ganze nur noch in Richtung Linus zuzulassen, da ich durch T-Online keine Chance habe Bills anzunehmen. Für mich stellen sich in dem Punkt noch einige Fragen, wie z.B. hat die Maschine ein md5sum-Utility an Board, welches die Files durchcheckt und sich damit als Valid ausgeben kann, desweiteren will ich die Updates unterbinden und diese nur noch mit einem Push-Button auf der Weboberfläche zulassen um volle Kontrolle zu haben, noch besser, sie ganz unterbinden und selber aufspielen. Also ein wenig Arbeit, denke aber es wird Spass machen.
Der Ausgangspunkt des ganzen ist die Gesetzeslage in Deutschland, welches mich als Fonero dazu bringt, die Maschine mehr abzusichern, als dies bei dem Fonero-Unternehmen gegeben ist.
Wie ist dies nun mit der Rechtsgrundlagen ?
Das ist mehr als ein zweischneidiges Schwert, ja, leider. Fangen wir mal mit dem Punkt an, dass wenn jemand über das WLAN Crackversuche macht, oder sogar Cracks begeht, derjenige, welcher die Leitung stellt, der Dumme ist. Sprich das Strafrecht und zivilrechtliche Schadensersatzansprüche können geltend gemacht werden, bei ersterem droht Wegnahme der gesamten Hardware, es gibt nur den Punkt des fehlenden Tatnachweises, wenn der Fonero nicht weiss wer der Täter war. Wenn nun das ganze noch geloggt wird, heißt dies, dass ich die Fremdnutzung billige, naja als Fonero tut man dies, man könnte jenes nun gerichtlich als Beihilfe interpretieren, aber dafür fehlt mir die wirkliche Rechtsgrundlage in diesem speziellen Fall.
Auch hier stellt sich für mich die Frage, wie ist das mit der groben Fahrlässigkeit? Auf das Verbot der sogenannten “Hackingtools” (Nein, die meinen nicht den GCC ) verlasse ich mich nicht, juckt es einen Kriminellen, dass Schusswaffen ohne Waffenschein in Deutschland verboten sind? Sowas kann nur jemanden aus der Waldorfschule einfallen. Laut dem Fonerovertrag, haben die Foneros den schwarzen Peter und die Firma ist fein raus. Da die Verurteilungs- und Aufklärungsquote bei WLAN-Delikten nicht wirklich Gut ist ( ) gibt es für mich nur die Chance den Angreifer auf frischer Tat zu Ertappen, was bedeutet man erstellt eine Anzeige auf den Verdacht, dass jemand seinen WLAN-Zugang zum Cracken benutzt und hofft und wartet.
Um nun den ganzen von meiner Seite aus einen Riegel vorzuschieben möchte ich nur bestimmte Protkolle zulassen:
- HTPP Port: 80
- HTTPS Port: 443
- IMAP Port: 143
- Secure IMAP Port: 993
- POP3 Port 110
- SecurePOP3 Port: 995
- STMP Port: 25
- FTP Port: 21 bzw 20
Desweiteren wird der Verkehr limitiert (QoS und droppen und von mehr als 3MB grossen Dateien etc.), P2P verboten etc. Also ein Stück Arbeit liegt an. Wenn ich noch weitere Einfälle habe, werde ich diese dann in die Anleitung packen. Des weiteren will ich den AP von Fonero dazu noch an eine weitere NIC meiner FW anschliessen und dort dann ein SNORT setzen. Schauen wir mal was darauf wird…
Achja zu dem Thema Hacking, aus dem Vertrag Punkt 6.7:
In order to guarantee the correct functioning of the FON Hotspots, the
Linuses and Bills shall exclusively use the official versions of the FON Software.