Freifunk im betrieblichen Umfeld

Immer mehr Unternehmen bieten ihren Gästen und Mitarbeitern heute freien WLAN-Zugang ins Internet für deren private Smartphones, Tablets oder Notebooks. „Digitale Gastfreundschaft“ gehört inzwischen zum guten Ton.

Bei der IPRO GmbH in Leonberg wurde diesen Sommer ein solches WLAN eingeführt. Die IPRO GmbH entwickelt seit 1977 und derzeit mit 60 Mitarbeitern Software für 3000 Augenoptiker und Hörgeräteakustiker in Europa.

Im Folgenden möchte ich die gesammelten Erfahrungen weitergeben, so dass sich andere interessierte Firmen daran orientieren können.

Neben zahlreichen kommerziellen Angeboten stand die Nutzung von Freifunk zur Diskussion, einer nichtkommerziellen Initiative, die es in vielen Regionen bereits gibt, so auch im Großraum Stuttgart. Der Freifunkgedanke eines freien und offenen Netzes bedeutet Zugang zum WLAN ohne Anmeldung und Verschlüsselung, was es natürlich sehr einfach in der Handhabung macht.

An dieser Stelle tauchen in einem Unternehmen typischerweise Vorbehalte gegenüber Freifunk auf. Bei genauem Hinsehen sind diese aber unbegründet. Jeder öffentliche Hotspot hat ein unverschlüsseltes WLAN, Freifunk macht also nichts anderes. Die Anmeldung oder Registrierung ist dort notwendig, wo der Betreiber des WLANs den Netzwerkverkehr ins Internet ausleitet, und zwar wegen der sogenannten Störerhaftung, also der potenziellen Mit-Haftung für illegale Aktivitäten der Nutzer. Beim Freifunkkonzept ist das anders, denn hier wird der Netzwerkverkehr nicht direkt ins Internet ausgeleitet, sondern in einem virtuellen privaten Netzwerk (VPN) gekapselt und verschlüsselt an eines der Freifunk-Gateways übergeben, die sich dann um die eigentliche Ausleitung ins Internet kümmern. Damit ist der Freifunkanbieter aus der Störerhaftung entlassen, darum kümmern sich die Gateway-Betreiber.

Die Geschäftsleitung der IPRO GmbH ließ sich vom Freifunkgedanken überzeugen, zeigte sich aufgeschlossen und hat den Aufbau einer passenden Infrastruktur auf Freifunk-Basis nachhaltig gefördert, die es den Mitarbeitern und Gästen bequem und einfach ermöglicht, mit deren privaten und deshalb sicherheitstechnisch nicht kontrollierbaren Geräten ins Internet zu kommen. Wir haben aufgrund unserer günstigen topografischen Lage sogar einen Aussenrouter installieren können, mit dem wir Teile des Bahnhofs Leonberg ausleuchten, um so auch Aussenstehende am Freifunkgedanken teilhaben zu lassen.

Nachdem die grundsätzliche Entscheidung gefallen war, ging es um die technische Realisierung. Am Anfang steht dabei die Bestandsaufnahme der vorhandenen Netzwerkinfrastruktur im Hinblick auf bereits vorhandene und nutzbare Geräte und die Verkabelung. Jetzt ist auch der Zeitpunkt gekommen, das Thema Sicherheit detaillierter zu betrachten. Dazu gehören mehrere Aspekte:

1. Aus Firmensicht:
   Praktisch alle relevanten Daten sind heute in einem Unternehmen auf Servern im internen Netzwerk abgelegt. Neben Personal- und Buchhaltungsdaten sind das in einem Softwarehaus natürlich auch die Quellcodes, die das Kapital des Unternehmens bilden. Alle diese Daten sind in besonderer Weise vor unbefugtem Zugriff zu schützen.
   1. Auf keinen Fall darf ein Zugriff aus dem Freifunknetz auf das interne Firmennetz möglich sein. Das kann durch geeignete technische Maßnahmen erreicht werden (s.u.).
   2. Vorhandene betriebliche WLAN-Geräte müssen durch eigene interne Netzwerkfilter/Firewallregeln und minimale Dienste soweit geschützt werden, dass bei einem irrtümlichen Verbinden dieser Geräte mit dem offenen Freifunknetz kein Sicherheits-Desaster entstehen kann.
   3. Die Netzwerkdosen, an denen Freifunkrouter oder eigene Accesspoints fürs Freifunknetz angeschlossen sind, müssen gegen irrtümliche Nutzung durch Firmen-Geräte geschützt werden.
2. Aus Anwendersicht (Client):
   1. Das Freifunknetz ist offen, d.h. es gibt keine zentralen Schutzinstanzen gegen andere Netzteilnehmer. Jedes Gerät / jeder Client ist für seine Sicherheit selbst zuständig und verantwortlich. An diesem Punkt gibt es keinen Unterschied zu öffentlichen Hotspots.
   2. Das Freifunk-WLAN ist unverschlüsselt, d.h. jeder kann mithören. Auch hier gilt dasselbe, wie bei einem öffentlichen Hotspot, sensible Daten nur per verschlüsselter Verbindung übertragen (HTTPS, IMAPS, SMTPS, POP3S usw.).

      Diese Situation sollte unbedingt den Mitarbeitern / Kollegen vor Augen geführt werden, nicht allen ist das klar. Wir haben dazu eine Rundmail verfasst. Gästen/Besuchern wird jeweils persönlich die Nutzung des Freifunknetzes angeboten und dabei auf diesen Sachverhalt aufmerksam gemacht.

3. Sicherheit als Synonym für Zuverlässigkeit und Verfügbarkeit:
   Die Freifunk-Gateways, über die die Freifunkknoten mit dem Internet verknüpft werden, werden von Privatpersonen betrieben, die Spaß an der Technik haben und aus persönlicher Überzeugung vom Freifunkgedanken die Infrastruktur in ihrer Freizeit betreiben. Mit viel Herzblut und unermüdlichem Einsatz bieten sie uns Nutzern ein möglichst stabiles Netz.

Eine eigene Sicherheitszone für das Freifunknetz ist in einem betrieblichen Umfeld unabdingbar. Es gelten hier die gleichen Regeln, als wäre es das offene Internet, denn man hat nicht in der Hand, wer sich darin alles tummelt. Jeder Client, egal ob innerhalb der Firma oder sonst wo im Land, hängt logisch gesehen an einem großen Switch, kann also genau so auf andere zugreifen, wie es in einem lokalen Netz möglich wäre. Sämtliche Freifunk-Knoten (-Router), die Teile dieses großen Switches für die Clients zur Verfügung stellen, gehören zusammen mit den Clients vom restlichen Firmennetzwerk isoliert, per VLAN oder/und getrennten Leitungen. Nur der oder die Freifunk-Router, die den Uplink zu den Freifunk-Gateways herstellen, brauchen für den Internetzugang eine logische Verbindung zur bestehenden Infrastruktur, wenn man dafür keinen eigenen unabhängigen Internetanschluss einrichten möchte. Diese Verbindung sollte so nahe wie möglich am WAN per Firewall angedockt werden – so haben wir es gemacht. Und da der Uplink ausgehend nur ein paar UDP-Ports nutzt (eingehend gar nichts), sollte das jede Firewall leisten. Das eigentliche Entkoppeln des Traffics machen die Switches per VLAN.

Existiert in einem Unternehmen bereits ein betriebliches WLAN, muss man sich Gedanken zur Kanalwahl machen, damit sich die beiden WLANs nicht gegenseitig stören. Beim Freifunk-Stuttgart nutzen alle WLAN-Router im 2,4 GHz-Band den Kanal 1. Das ist so festgelegt, weil sich Freifunk-Router untereinander per WLAN zu einem vermaschten Netz verbinden können und dazu auf demselben Kanal arbeiten müssen. Dieses „Meshen“ ermöglicht den Einsatz von Routern auch dort, wo kein Netzwerkkabel verlegt werden kann, solange ein anderer Freifunk-Router in Reichweite ist. Leider verringert sich dadurch die nutzbare Bandbreite im WLAN, so dass insbesondere bei einer hohen Client-Anzahl einem kabelgebundenen Anschluss der Vorzug zu geben ist, gegebenenfalls indirekt per PowerLAN übers Stromnetz, wenn nicht – wie unter Umständen durch Maschinen in Produktionshallen – das Stromnetz HF-technisch verseucht wird. Darüber hinaus gibt es weitere Alternativen, wie z.B. Mesh per Richtfunk (Punkt-zu-Punkt-Verbindung mit zweitem WLAN-Router) auf einem anderen Kanal (z.B. im 5 GHz Band), auf die man die im konkreten Fall bei Bedarf zurückgreifen kann.

Wir setzen bei der IPRO GmbH derzeit für den Freifunk-Uplink eine virtuelle Maschine mit Gluon-x86 auf unserem VMWare-Cluster ein, auf dem auch andere Server für DMZ-Dienste realisiert sind. Die „WLAN-AccessPoints“ für innen sind billige TP-Link-Router „WR841N“, die als Freifunk-Nodes per Mesh-on-WAN über Kabel angebunden sind (Mesh-on-WLAN ist abgeschaltet, um Air Time zu sparen). Durch die geringen Kosten kann man gerne auch mal einen mehr aufstellen, wenn die Ausleuchtung schlecht ist.

Als Außenrouter kommt ein TP-Link „CPE210“ zum Einsatz, der eine Segmentantenne beinhaltet, mit dem wir den wesentlichen Teil des Bahnhofs in Leonberg mit Freifunk versorgen können, obwohl die Entfernung über 100 Meter beträgt.

Seit Mitte Juli diesen Jahres ist das Freifunk-WLAN bei uns in Betrieb und wird sowohl von den eigenen Kollegen, Gästen und nicht zuletzt von Wartenden am Bahnhof gerne genutzt.