Statement zu L2TP

#1

Wir planen die L2TP Diskussion in der Breite in die Öffentlichkeit zu tragen, hier entsteht der Text dazu:


Um die Qualität des Netzes zu verbessern würden wir gerne auf die Art des Tunnels der den Anschlussinhaber vor der Störerhaftung schützt ändern. Hier ein paar Fakten dazu:

Geschwindigkeit

FastD ist unser derzeitiges sogenanntes Tunnel-Protokoll. Es verpackt die Daten in ein Paket und setzt eine Verschlüsselung obendrauf. Das ganze läuft im sogenannten User-Space außerhalb des CPU-Kerns ab, was bedeutet, dass alle Daten zuerst umgewandelt werden müssen um verarbeitet zu werden.

L2TP läuft im CPU-Kern (Kernel-Space). Daraus ergibt sich die Einsparung eines Schrittes, der die mögliche erreichbare Geschwindigkeit begrenzt.

Verschlüsselung

FastD verwendet verschiedene Algorithmen um die Daten für Außenstehende zusätzlich unleserlich zu machen. Innerhalb des Freifunk-Netzes sind die Daten unverschlüsselt.

L2TP verwendet keine zusätzliche Verschlüsselung sondern Verpackt die Dateien nur. Der Schutz der Anschlussinhaber ist trotzdem weiterhin gegeben, da die IP-Adresse (und somit die Identität) dem “normalen” Internetprovider nachwievor nicht bekannt ist.

Q&A

Ist der Anschluss Inhaber einer Node mit L2TP ungeschützter als mit FastD?

Nein, dies ist nicht der Fall. Die Verschleierung der IP-Adresse des Anschlussinhabers wird mittels der Enkapsulierung der Nutzdaten erreicht; also derjenigen Daten, die ein Endgerät ins Internet sendet.
Die Daten werden am Supernode wieder dekapsuliert und bekommen dort eine IP-Adresse des Freifunk Rheinland als Absender. Dies ist bei L2TP genau wie bei FastD der Fall.

FastD nutzt Verschlüsselung und hilft deshalb zusätzlich dagegen das die Daten mitgelesen werden können um den Anschluss Inhaber zu erkennen oder Clients auszuhorchen.

Zwar hilft es punktuell, die Daten auf dem Weg zum Supernode zu verschlüsseln, allerdings kann der Traffic auch anderweitig mitgelesen werden. Bei Freifunk handelt es sich um ein offenes Netzwerk, welches deshalb Risiken mitbringt, wie jedes andere solche Netzwerk auch.

Die Verschlüsselung der Daten ist unter diesen Gesichtspunkten irrelevant und trägt nicht dazu bei, den Anschluss Inhaber schwerer identifizierbar zu machen; dies wird lediglich mittels der Enkapsulierung der Daten auf dem Weg zu den Supernodes erreicht.

Die Vorratsdatenspeicherung ist wieder da, werden die Daten der Clients dann nicht fälschlicherweise dem Anschluss Inhaber zugeordnet wenn diese nicht verschlüsselt sind?

Die Vorratsdatenspeicherung speichert sogenannte Meta-Daten, diese sind im Zusammenhang mit einem Internetanschluss z.b. auf welche IP-Adressen zugegriffen werden oder welche DNS-Einträge abgerufen werden. Bei den IP-Adressen wird dies mittels des des so genannten IP-Headers erkannt. Dort steht die Absender und Ziel IP-Adresse. Die Nutzdaten selbst werden dabei nicht untersucht, also das was sich in diesem Paket befindet. Es verhält sich also Analog dazu als ob man jeden Absender und Empfänger auf einem DHL-Paket notiert und das Paket weiter schickt ohne es zu öffnen.

Bei DNS-Einträgen geschieht dies mittels einer Log-Datei auf den Servern, welche ausgewertet wird oder die Daten werden direkt auf Port 53 mitgeschnitten. Da es viel Rechenzeit benötigt, um die schiere Menge an Paketen zu verarbeiten, die ein Internetanbieter so am Tag verschickt, wird dies vermutlich nur mit dem relevantesten Traffic gemacht.

Wenn ein Paket mittels L2TP oder FastD zu den Supernodes geschickt wird, dann wird die Auflösung des Hostnamens der Supernodes, sowie die IP Verbindung zu diesen protokolliert. Es ist also unerheblich, ob L2TP oder FastD verwendet wird. In beiden Fällen ist nur bekannt, dass eine Verbindung zu den Supernodes des Freifunk Münsterland besteht.

6 Likes

#2

Ich habe mal ins Wiki auf Basis des Forumbeitrages im großen Forum der Community Düsseldorf was erstellt.

0 Likes

#3

Vielen Dank für deine Arbeit! Mich stört allerdings der letzte Absatz, der 1:1 dem Beschluss der Community sowie des Vereins aus Düsseldorf gleicht. Hast du die schon um Erlaubnis gefragt?

Ansonsten muss bitte mindestens der Begriff Kapsulierung definiert werden. Duden kennt nur kapitulieren…

0 Likes

#4

Ich kannst ja mal anmerken, dass wir das gerne verwenden würden. Allerdings finde ich das noch zu techniklastig und hatte gehöfft, dass wir das noch umschreiben können. :wink: Ist ja schließlich ein Wiki.

2 Likes