firespot

Eine kleine Software, die z.B. den Betrieb von WLAN-Hotspots ermöglicht. Sie stellt Komponenten zur Verfügung, mit denen sich eine Benutzerauthentifizierung in unsicheren Netzen per Webinterface ermöglichen lässt. Die Software ist schon etwa zwei Jahre produktiv hier im Einsatz und läuft stabil. firespot ist lauffähig unter OpenBSD und Linux.

Sicherheit

Bei der Entwicklung stand vor allem die Sicherheit im Vordergrund. Das System sollte einerseits eine sichere Authentifizierung ermöglichen (wird über SSL realisiert) aber auch die eigentlichen Sessions der Nutzer sollten abgesichert sein, so daß Missbrauch von Zugängen ausgeschlossen werden kann.

Wichtig ist auch die Server- bzw. Gatewaysicherheit. Die Kontrollprozesse auf dem Server, der Webserver für die Anzeige der Portalseite und die nötigen CGIs sollen das System, dauf dem sie installiert sind nicht gefährden.

Erreicht wird dies durch die Nutzung von SSL-Verbindungen zum Webserver um Nuterdaten und Passwörter nich unverschlüsselt zu übertragen. Gegen Spoofing- und Replay-Attacken werden OneTime-Seriennummern verwendet die bei jeder Session-Aktualisierung neu berechnet und ausgehandelt werden.

Der Webserver selbst läuft in einer Minimal-chroot()-Umgebung. Die CGIs sind statisch gelinkte C-Programme die über einen Unix-Socket aus dem chroot()-Gefängnis kontrolliert mit dem Serverprozess firespotd kommunizieren können.