From FON Wiki Beta

This page is aimed to give more details on security measures and to advise people on how to use safely the La Fonera.

Security on the La Fonera

Client isolation mode

The La Fonera's "FON_AP" also operates in "Isolated Mode". This means that when you are connected and perform a network scan you can only find yourself and the La Fonera but not all the other people using that FONspot! Another Security measure implemented by FON

Quality Of Service

The La Fonera+ also adds Quality Of Service (Layer 7 inspection) which will give more speed to Surfing the web and almost no speed to eg P2P applications like Edonkey/Bittorrent. You can also even additionally decrease the shared speed on www.fon.com.

Plug & Play (upnp)

The Fonera firmware does not support the Plug&Play-service because it contains lot's of security problems. Also you don't want your visitors to control your firewall do you? This will make sure your visitors can not be running servers (ftp, P2P programs) and will be running with eg LowId

Wifi Range

• The La Fonera wifi-radio can not be overclocked (62mWatt) which means it is 100% compliant to the European & US Wifi laws of not superseeding 100mWatt (the 2.5db antenna+ 62Mwatt = 100Mwatt) -> your health is secure!
• This also means that people should visit your public place and not stay in their car -> Social Security :-)

This page still hasn't been translated or parts of the translation are missing!

You can help us to translate it into English using the following translation guidelines of FON Wiki.

Use of La Fonera

Auf dieser Seite sind Hinweise zusammengefasst, die zur Erhöhung der Sicherheit der Foneros beitragen sollen. Diese Hinweise sind unvollständig. Hilf mit, sie zu vervollständigen und möglichst allgemeinverständlich zu gestalten.

Betreiben des FON-Spots

Die Fonera ist direkt an Deinem DSL- oder Kabelmodem angeschlossen. Sowohl öffentliche wie auch das private Verbindungen erfolgen über diese Verbindung unter der von Deinem Internet-Provider zugewiesenen Netzwerkadresse.

Daher ist es wichtig, eigene Zugänge mit einem Passwort zu schützen:

• den Zugang zum eigenen DSL- oder Kabelmodem,
• den Service-Zugang zu Webseiten des eigenen Internet-Anbieters (z.B. die eigenen Einstellungen dort, oder den Webmail-Zugang)

Für weitere Verbindungen (wie beispielsweise VOIP über SIP) sollte auf jeden Fall sichergestellt werden, dass die Authentifizierung nicht über die IP-Adresse erfolgt. ::TODO:: das sollte jemand "etwas" verständlicher beschreiben -- olebole

Verbindung über das eigene (private) Signal

Das private Signal ist mittels WPA verschlüsselt und kann nicht ohne weiteres mitgelesen werden, außer vom Eigentümer des FON-Spots. Selbstverständlich sollte das verwendete Passwort nicht zu einfach sein. Wenn das Default-Passwort (Seriennummer der Fonera) verwendet wird, dann darf man die Seriennummer natürlich nicht weitergeben. Beachten sollte man dabei, dass die Seriennummer auf der Unterseite der Fonera aufgedruckt sein kann.

Verbindung über das öffentliche Signal

Die Verbindung über das öffentliche Signal erfolgt unverschlüsselt, d. h. jeder kann alle Daten mit seiner eigenen WLAN-Karte mitschneiden. Außerdem hat der Eigentümer des Hotspots die Möglichkeit, die Daten zu verfälschen. Auch wenn die meisten Foneros sicherlich gesetzestreu sind, sollte man bei mehr als einer Million Foneros immer damit rechnen, dass man gerade einen Zugang erwischt, wo sich Cracker für die eigenen Daten interessieren!

Die Empfehlung kann daher nur lauten: alle relevanten Daten müssen verschlüsselt werden. Relevant ist zumindest die Übertragung von Nutzernamen, Passworten, Cookies usw., prinzipiell aber auch viele weitere Daten. Wichtig ist das beispielsweise bei den folgenden Diensten:

• E-Mail (über den Browser oder über einen eigenen Client, wie z.B. Thunderbird oder Outlook)
• Online-Banking
• Ebay (wichtig, da wohl einige schnell von unterwegs bieten wollen!)
• Voip (insbesondere wenn es als Festnetz-Ersatz genutz wird: jemand könnte die Anmeldedaten für eigene Telefonate missbrauchen)
• Blogs, Wikis, ...: alles, wo man einen Nutzernamen angeben muss

Für die Verschlüsselung gibt es prinzipiell zwei Möglichkeiten:

• SSL-Verbindungen
• Virtual Private Networks

Wenn beide Möglichkeiten ausscheiden, sollte man auf jeden Fall auf die Übertragung von Passworten und Cookies verzichten! Von einem Passwort-Diebstahl bekommt man im Allgemeinen erstmal nichts mit! Diese Warnung betrifft leider derzeit auch das FON-Wiki.

SSL-Verbindungen

SSL-Verbindungen sind der unkomplizierteste Weg, eine sichere Verbindung herzustellen. Bei einem Web-Browser (Internet Explorer, Firefox usw.) reicht es häufig, in der URL der Adressleiste das "http:" durch ein "https:" zu ersetzen, also z.B. die GMX-Webseite über "https://www.gmx.net" aufzurufen.

Bei Verbindungen mit einem E-Mail-Programm (Thunderbird, Outlook usw.) gibt es in den Servereinstellungen die Option "SSL" bzw. "Sichere Authentifizierung verwenden". Diese muss sowohl beim Mailempfang (imap oder pop3) als auch beim Versand der E-Mail (smtp) eingestellt werden.

Man sollte die Einstellungen bereits zuhause erledigen und testen. Wenn man sie unterwegs verwendet und eine Sicherheitswarnung erhält, ist diese unbedingt zu beachten; nicht einfach wegdrücken! Eine Warnung könnte z.B. bedeuten, dass jemand Deine Daten abfängt und verändert.

Manche Diensteanbieter (z. B. GMX) gestatten bei kostenlosen Diensten nur die unverschlüsselte Verbindung. In diesem Fall sollte man sich überlegen, ob man zur kostenpflichtigen Variante wechselt oder ob man auf den Dienst von unterwegs verzichten kann. Selbst wenn das Login verschlüsselt erfolgt, sollte man beachten, dass z. B. im eigenen Postfach Mails mit einem "Password Reminder" liegen können, deren Abruf ebenfalls von Unbefugen mitgelesen werden kann.

Virtual Private Networks (VPN)

Bei VPN erfolgt der Datenaustausch von Deinem Rechner nicht direkt mit dem angewählten Server, sondern über ein eigenes Netzwerk. Leider bietet FON kein eigenes VPN an, obwohl das eine optimale Lösung darstellen würde. Für diese Lösung kannst Du beispielsweise das Netzwerk Deiner Firma verwenden, wenn diese ihr Netzwerk entsprechend eingerichtet hat.

• Sniffing of the public wifi has been analysed & reported and considered safe now:
  • http://fon.freddy.eu.org/pcap-decoder/howto/
• FON has added a security certificate (SSL) to the WISPR specifications. Programs like Devicescape.com & Handywi & Symbian connection manager will use those to check if the connected hotspot is who they claim they are.
  • your foneroid & password should not be handed out if the certificate doesn't match...
• It's upto the hotspot user to surf safely... They could have malware installed anyway that logs anything they do...even vpn will not work here!

--skynetbbs