Een internet vrij van terrorisme, hate speech en uitingsvrijheid

Open Wireless Movement: overal wifi, net als thuis

De Week
DOSSIER: Platformen

Thuis is waar de wifi automatisch verbinding maakt. Zou het niet mooi zijn als iedereen zijn internet zou delen, zodat je overal een snelle verbinding hebt? Het past prima in de deeleconomie, het is gewoon handig en het biedt ook nog eens extra privacy. Daarom doen wij op kantoor nu ook mee aan de Open Wireless Movement. Wat komt daarbij kijken?

Onze systeembeheerder weet hoe computers en het internet in elkaar zitten. In deze serie geeft hij praktische tips die jij kunt gebruiken om het leven beter te maken. Niet elke blogpost zal voor iedereen begrijpelijk of handig zijn, kijk daarom in het categorie-overzicht om te zien of er iets voor jou tussen staat. We hopen dat je er iets aan hebt!

Gescheiden netwerken (must have)
Meestal wil je geen vreemden op je thuisnetwerk, omdat je daar bijvoorbeeld je fileserver, printer en andere interessante zaken aan hebt hangen. Maak daarom een gastnetwerk aan en zorg ervoor dat je thuisnetwerk met een firewall is beveiligd. Veel routers hebben deze functie al. Wij hebben een router met een gastnetwerk opengezet en de SSID (netwerknaam) hernoemd naar openwireless.org. Die naam is belangrijk, omdat gebruikers dan automatisch kunnen verbinden. Eén van de spelregels van openwireless.org is dat gebruikers na het verbinden direct internettoegang moeten hebben, dus zonder bijvoorbeeld akkoord te moeten gaan met servicevoorwaarden.

Poortbeveiliging (must have)
Als een computer is geïnfecteerd met malware zijn er een aantal poorten die vaak worden aangevallen. Eén van die poorten is bijvoorbeeld poort 25, welke wordt gebruikt voor communicatie tussen mailservers en dus interessant is voor spammers. Sommige internetproviders bieden poortbeveiliging binnen hun netwerk aan, waardoor jij misschien zelf helemaal geen poorten hoeft te blokkeren maar simpelweg aan kan geven welk beveiligingsniveau jij nodig acht.

Bandbreedte limiteren (nice to have)
Als je een gastnetwerk maakt en openzet, wil je natuurlijk niet dat gebruikers zó veel bandbreedte gebruiken dat je zelf niets meer over hebt. Dit kun je voorkomen door de bandbreedte van het gastnetwerk te limiteren. De originele firmware van onze router had hier geen ondersteuning voor, dus hebben we er OpenWrt op gezet. Dat is op Linux gebaseerde open source firmware waar je veel meer mee kunt dan de gelimiteerde functionaliteit die veel consumentenrouters bieden. Het Duitse Freifunk gebruikt het bijvoorbeeld om draadloze meshnetwerken mee op te zetten. OpenWrt heeft een softwarepakket beschikbaar (qos-scripts) waarmee je onder andere de maximale upload- en downloadsnelheid van een interface kan instellen.

Reverse DNS en informatiepagina (nice to have)
Als je gastnetwerk een eigen publiek IP-adres heeft, kun je je internetprovider vragen om reverse DNS in te stellen naar een hostname die duidelijk maakt dat het verkeer afkomstig is van je open gastnetwerk, zoals open-wireless-access-point.bof.nl. Systeembeheerders zien dan deze naam terug in de logs van hun servers. Ook zou je op poort 80 (de HTTP-poort) een webpagina kunnen hosten met een tekst die duidelijk maakt dat het om een openwireless.org hotspot gaat en wat dat inhoudt. Als je gastnetwerk achter hetzelfde IP-adres hangt als je thuisnetwerk gaat dit natuurlijk niet echt op, maar geniet je wel van extra privacy. Het is dan namelijk niet meer duidelijk wie achter een bepaald IP-adres zit.

Een paar van de bovenstaande tips hebben we van het Tor Project, een initiatief om anoniem internetten mogelijk te maken. Op de Internetvrijheid Toolbox lees je hoe Tor precies werkt en hoe jij je online privacy en veiligheid kunt beschermen.

Update: deze blogpost is bedoeld voor mensen die hun wifi open willen zetten, niet voor de gebruikers van open wifi. Voor hen hebben we tips over veilig gebruik in onze Internetvrijheid Toolbox.

  1. Klaske

    ‘Sharing economy’ , dat is de uitdrukking waarmee Uber en Airbnb hun systeem propageren, maar dit is eigenlijk een vermomming voor hun op ultra-kapitalistische leest geschoeide bedrijven.
    De ‘deeleconomie’ van Open Wireless Movement is anders , mogen we aannemen.

    • Imre Jonk

      Inderdaad, de Open Wireless Movement gaat over het écht delen van je overvloedige bandbreedte. Er is geen commercieel belang bij. De één geeft wat, de ander maakt er dankbaar gebruik van. Zo is het ook met bijvoorbeeld Little Free Libraries.

  2. Martijn

    En hoe zit het met aansprakelijkheid voor illegaal internetverkeer? KP e,d,

    • Imre Jonk

      Als je internettoegang aanbiedt ben je een internetprovider en ben je in principe niet verantwoordelijk voor het gedrag van je gebruikers. Hiervoor gelden natuurlijk wel een aantal uitzonderingen. Als je het verkeer gaat monitoren ben je bijvoorbeeld weer wél aansprakelijk, net als bij het promoten van misbruik. Zie dit artikel voor meer informatie over aansprakelijkheid van internetproviders. Als beheerder van een open access point zul je eigenlijk vooral moeten letten op het abusebeleid van je eigen ISP, omdat je afgesloten zou kunnen worden als er teveel meldingen binnenkomen. De tips in deze blogpost helpen je abusemeldingen te voorkomen.

  3. Alex Haan

    Het is dus de bedoeling een AP op te zetten zonder wachtwoord? Dan is al het internetverkeer van jouw gasten toch af te luisteren (behalve als ze een VPN gebruiken)? Had het openwireless initiatief niet een standaard wachtwoord kunnen gebruiken, of opnemen in het SSID?

    • Maarten

      Ja dat viel mij ook op, wat mij betreft is het aanbieden van WiFi zonder encryptie niet bepaald een vooruitgang. Lijkt me ook niet bij BOF passen. Of je nou een vast wachtwoord gebruikt (WPA2) of dat je willekeurige uid/pw combinatie toelaat (WPA2 Enterprise) is in principe om het even. Mensen aanmoedigen om te verbinden zonder encryptie is m.i. een slechte zaak.

    • Imre Jonk

      Hoi Alex, de Open Wireless Movement zet zich inderdaad in voor het volledig openzetten van draadloze gastnetwerken. Een standaard wachtwoord of het wachtwoord in de SSID helpt helaas nauwelijks tegen afluisteren, iedereen die het wachtwoord weet kan immers al het verkeer ontsleutelen. Bovendien gaat encryptie tussen client en access point je niet beschermen tegen een kwaadaardige beheerder, zelfs niet als je WPA2 Enterprise gebruikt. De enige manier om er redelijk zeker van te zijn dat je niet wordt afgeluisterd, is het versleutelen van je internetverkeer met TLS (bekend van HTTPS of “het slotje”). Steeds meer websites, e-mailproviders en andere services ondersteunen het. In onze Internetvrijheid Toolbox lees je hoe dit precies werkt.

    • Maarten

      TLS wordt helaas nog weinig gebruikt. Veel applicaties lekken (meta-)data als een bezetene en om WPA2 te decrypten moet je bij mijn weten wel de handshake ook meegepakt hebben.
      Dat het geen sluitende beveiliging is, lijkt me geen goed argument. Het is een eenvoudige oplossing om het aanvalsoppervlak enorm te verkleinen. Dat je daarnaast ook TLS / VPN etc moet gebruiken doet daar niets aan af. Voor mij dus geen open access points, dan pak ik wel mijn telefoon of dongle.

  4. Peter Orwell

    Ik heb hier voor een paar jaar terug ook mee gestoeid echter ik ben er mee opgehouden omdat het naar mijn idee juridisch complicaties kan geven.
    Waar je naar mijn idee aan voorbij gaat is (mij is een dergelijke zaak nog niet bekend) je ook verantwoordelijk zou kunnen worden gehouden als medepleger. Immers je faciliteert hiermee de criminele gedraging waarvan je redelijkerwijs mag vermoeden dat als je een open WiFi netwerk instelt dat deze over je netwerk plaats kan vinden. Ik gok het er niet op en voel dan ook meer iets voor dit:

    https://learn.adafruit.com/onion-pi/overview

  5. Douwe

    Hoi!

    Ik heb een open wireless point gemaakt met behulp van de NetAidKit.
    Code staat hier:
    https://github.com/radicallyopensecurity/netaidkit

    Alle gebruikers zitten direct op TOR.
    – Geen gebruik van mijn IP
    – Niet op mijn LAN
    – En door de traagheid van TOR automatisch gelimiteerd.

    Werkt prima!

  6. Jasper van Weerd

    Is dit niet vooral meer punten voor sniffers creëren? Zelf gebruik ik het liefst geen public wifi.

Geef een antwoord

Het e-mailadres wordt niet gepubliceerd.

Deze website gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.

Help mee en steun ons

Door mijn bijdrage ondersteun ik Bits of Freedom, dat kan maandelijks of eenmalig.