<div dir="ltr">Ja! Sehr gerne - uebernaechste Woche Montags treffen wir uns wieder im Metalab um Testbed aufbauen anzufangen. Ist vmtl. noch etwas frueh fuer diese Implementierungsdetails aber Sicherheit ist immer gut von Anfang an mit anzudenken - dann wirds danach weniger Murks.<div><br></div><div>lg</div></div><div class="gmail_extra"><br><div class="gmail_quote">2016-02-11 9:54 GMT+01:00 Jakob Riepler <span dir="ltr"><<a href="mailto:jakob.riepler@gmail.com" target="_blank">jakob.riepler@gmail.com</a>></span>:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><p dir="ltr">Hier noch mal an alle (hab aus Versehen nur an Aaron geschickt...):</p>
<p dir="ltr">Ich bin auch stark dafür, dass wir uns die Sicherheit VOR dem rollout mal genauer anschauen (helfe auch gerne dabei).</p><span class="">
<p dir="ltr">> * kein default Passwort / leeres passt</p>
</span><p dir="ltr">Es sollte nicht so schwierig sein, LuCI so umzubauen, dass es eine Passwortänderung forciert, wenn das default Passwort oder ein leeres Passwort gesetzt ist.</p><span class="">
<p dir="ltr">> * kein login via http only</p>
</span><p dir="ltr">Eventuell automatisches requesten eines letsencrypt certs, nach dem die initiale Konfig (IP, Nodename) gemacht wurde und eine Funkfeuerverbindung besteht?</p><span class="">
<p dir="ltr">> Mittlerweile sehen wir in der Arbeit immer mehr p0wned WLAN boxen.</p>
</span><p dir="ltr">Ja angefangen von Generierung der WLAN Passwörter aus der MAC über root shell ohne auth mittels Telnet bis zu hardcoded WPS Pins alles schon gesehen. Glücklicherweise wäre mir keines dieser Probleme in OpenWRT bekannt :)</p>
<p dir="ltr">LG Jakob<br>
</p><div class="HOEnZb"><div class="h5">
<div class="gmail_quote">Am 11.02.2016 09:25 schrieb "L. Aaron Kaplan" <<a href="mailto:aaron@lo-res.org" target="_blank">aaron@lo-res.org</a>>:<br type="attribution"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><br>
> On 10 Feb 2016, at 19:50, Wolfgang Nagele <<a href="mailto:mail@wnagele.com" target="_blank">mail@wnagele.com</a>> wrote:<br>
><br>
> Ok - na dann musst du dich wohl doch um die Firmware bemuehen. Hier ist die<br>
> Liste der Module die wir mal fix brauchen laut der Diskussion vom Montag:<br>
><br>
> - IPv6<br>
> - OLSRv2<br>
> - Spanning Tree<br>
> - VLAN<br>
<br>
+ security checks bitte vorher schon machen:<br>
* keine open recursive DNS services (-> dnsmasq)<br>
* SSDP, ...etc ...<br>
* kein default Passwort / leeres passt<br>
* kein login via http only<br>
* etc etc...<br>
<br>
Mittlerweile sehen wir in der Arbeit immer mehr p0wned WLAN boxen.<br>
<br>
lg,<br>
a.<br>
<br>
><br>
> Cheers,<br>
> Wolfgang<br>
><br>
> 2016-02-10 17:46 GMT+01:00 Adi Kriegisch <<a href="mailto:adi@kriegisch.at" target="_blank">adi@kriegisch.at</a>>:<br>
><br>
>> Hi!<br>
>><br>
>>> Ok ich hab' das jetzt mal alles durchgedacht und ich bin der Meinung das<br>
>>> unsere Umstellung so funktionieren sollte:<br>
>>> <a href="https://www.youtube.com/watch?v=saRir95iIWk" rel="noreferrer" target="_blank">https://www.youtube.com/watch?v=saRir95iIWk</a><br>
>> Mist... Wireless Cable Cutters are out of stock...<br>
>><br>
>> -- Adi<br>
>><br>
>> -----BEGIN PGP SIGNATURE-----<br>
>> Version: GnuPG v1.4.6 (GNU/Linux)<br>
>><br>
>> iQIVAwUBVrtpX3REfA6phVy/AQhSMQ//c0yk1LGSRn6bkBT3f1rGb02ZqwQnN9di<br>
>> Qr/ULKcr0JQhVuzMbG0faaCcDrxQlyG/P8QqQb6x5GqQ1HodZ/pCFkO1QEL6nksV<br>
>> FZsbDQvj/t//TMlHsM6sGJ1dv9D4btg4Orp/QQLOSuVp4DOcAN0NpiWkM8oAQCP5<br>
>> s5fSI8Pd0brlovFJvNzDI53rX+tRZsXiWv4oyTFEL0qwt+LbJlCvMTA4dE058FvX<br>
>> Nxh/diBXBeh/zYJ+IObEo71TNqG3EI86L05N4yKhPoKihRCPyFGvrt9zkXyFR9ZB<br>
>> VpLaUnwNCFTN68rVa3kEEcF+nkf26elN+jJbdJ8U+hfhfqiIcPuFzk/wgM2pXvOp<br>
>> a2lkDunblwTzURxYEsO9oM8BnF03Flg2Nlt2s1ZNc0PKwE4MU+WrH85Hvtd7wYFF<br>
>> RmI93/QhRPjLTTYhn5Zbe3xW4lIcrmqtz5+6Am8E3dCjytOhe1OWBA0NSHBScOOQ<br>
>> MoAWFLx8RJhkH+KmcHfO0QTql4uvQcH3XlE36EHxbbVKLbS834p4vJmyzMQiovz1<br>
>> qprI+z8791s8X3ke1qcWmmRLaPVj+IrZIZqZHgZ1nGGIjIuZWd6x5J6w7CIoRubP<br>
>> MW2uRsBVDWb0kXCFiAqwqFEjX1zBZ/nwelIQJyphIME3ocgNpV8oJkhQQy1OD5bk<br>
>> pn5nPopJgM8=<br>
>> =jClx<br>
>> -----END PGP SIGNATURE-----<br>
>><br>
>><br>
> --<br>
> Discuss mailing list<br>
> <a href="mailto:Discuss@lists.funkfeuer.at" target="_blank">Discuss@lists.funkfeuer.at</a><br>
> <a href="https://lists.funkfeuer.at/mailman/listinfo/discuss" rel="noreferrer" target="_blank">https://lists.funkfeuer.at/mailman/listinfo/discuss</a><br>
<br>
<br>--<br>
Discuss mailing list<br>
<a href="mailto:Discuss@lists.funkfeuer.at" target="_blank">Discuss@lists.funkfeuer.at</a><br>
<a href="https://lists.funkfeuer.at/mailman/listinfo/discuss" rel="noreferrer" target="_blank">https://lists.funkfeuer.at/mailman/listinfo/discuss</a><br></blockquote></div>
</div></div><br>--<br>
Discuss mailing list<br>
<a href="mailto:Discuss@lists.funkfeuer.at">Discuss@lists.funkfeuer.at</a><br>
<a href="https://lists.funkfeuer.at/mailman/listinfo/discuss" rel="noreferrer" target="_blank">https://lists.funkfeuer.at/mailman/listinfo/discuss</a><br></blockquote></div><br></div>