<p dir="ltr">Hier noch mal an alle (hab aus Versehen nur an Aaron geschickt...):</p>
<p dir="ltr">Ich bin auch stark dafür, dass wir uns die Sicherheit VOR dem rollout mal genauer anschauen (helfe auch gerne dabei).</p>
<p dir="ltr">> * kein default Passwort / leeres passt</p>
<p dir="ltr">Es sollte nicht so schwierig sein, LuCI so umzubauen, dass es eine Passwortänderung forciert, wenn das default Passwort oder ein leeres Passwort gesetzt ist.</p>
<p dir="ltr">> * kein login via http only</p>
<p dir="ltr">Eventuell automatisches requesten eines letsencrypt certs, nach dem die initiale Konfig (IP, Nodename) gemacht wurde und eine Funkfeuerverbindung besteht?</p>
<p dir="ltr">> Mittlerweile sehen wir in der Arbeit immer mehr p0wned WLAN boxen.</p>
<p dir="ltr">Ja angefangen von Generierung der WLAN Passwörter aus der MAC über root shell ohne auth mittels Telnet bis zu hardcoded WPS Pins alles schon gesehen. Glücklicherweise wäre mir keines dieser Probleme in OpenWRT bekannt :)</p>
<p dir="ltr">LG Jakob<br>
</p>
<div class="gmail_quote">Am 11.02.2016 09:25 schrieb "L. Aaron Kaplan" <<a href="mailto:aaron@lo-res.org">aaron@lo-res.org</a>>:<br type="attribution"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><br>
> On 10 Feb 2016, at 19:50, Wolfgang Nagele <<a href="mailto:mail@wnagele.com">mail@wnagele.com</a>> wrote:<br>
><br>
> Ok - na dann musst du dich wohl doch um die Firmware bemuehen. Hier ist die<br>
> Liste der Module die wir mal fix brauchen laut der Diskussion vom Montag:<br>
><br>
> - IPv6<br>
> - OLSRv2<br>
> - Spanning Tree<br>
> - VLAN<br>
<br>
+ security checks bitte vorher schon machen:<br>
* keine open recursive DNS services (-> dnsmasq)<br>
* SSDP, ...etc ...<br>
* kein default Passwort / leeres passt<br>
* kein login via http only<br>
* etc etc...<br>
<br>
Mittlerweile sehen wir in der Arbeit immer mehr p0wned WLAN boxen.<br>
<br>
lg,<br>
a.<br>
<br>
><br>
> Cheers,<br>
> Wolfgang<br>
><br>
> 2016-02-10 17:46 GMT+01:00 Adi Kriegisch <<a href="mailto:adi@kriegisch.at">adi@kriegisch.at</a>>:<br>
><br>
>> Hi!<br>
>><br>
>>> Ok ich hab' das jetzt mal alles durchgedacht und ich bin der Meinung das<br>
>>> unsere Umstellung so funktionieren sollte:<br>
>>> <a href="https://www.youtube.com/watch?v=saRir95iIWk" rel="noreferrer" target="_blank">https://www.youtube.com/watch?v=saRir95iIWk</a><br>
>> Mist... Wireless Cable Cutters are out of stock...<br>
>><br>
>> -- Adi<br>
>><br>
>> -----BEGIN PGP SIGNATURE-----<br>
>> Version: GnuPG v1.4.6 (GNU/Linux)<br>
>><br>
>> iQIVAwUBVrtpX3REfA6phVy/AQhSMQ//c0yk1LGSRn6bkBT3f1rGb02ZqwQnN9di<br>
>> Qr/ULKcr0JQhVuzMbG0faaCcDrxQlyG/P8QqQb6x5GqQ1HodZ/pCFkO1QEL6nksV<br>
>> FZsbDQvj/t//TMlHsM6sGJ1dv9D4btg4Orp/QQLOSuVp4DOcAN0NpiWkM8oAQCP5<br>
>> s5fSI8Pd0brlovFJvNzDI53rX+tRZsXiWv4oyTFEL0qwt+LbJlCvMTA4dE058FvX<br>
>> Nxh/diBXBeh/zYJ+IObEo71TNqG3EI86L05N4yKhPoKihRCPyFGvrt9zkXyFR9ZB<br>
>> VpLaUnwNCFTN68rVa3kEEcF+nkf26elN+jJbdJ8U+hfhfqiIcPuFzk/wgM2pXvOp<br>
>> a2lkDunblwTzURxYEsO9oM8BnF03Flg2Nlt2s1ZNc0PKwE4MU+WrH85Hvtd7wYFF<br>
>> RmI93/QhRPjLTTYhn5Zbe3xW4lIcrmqtz5+6Am8E3dCjytOhe1OWBA0NSHBScOOQ<br>
>> MoAWFLx8RJhkH+KmcHfO0QTql4uvQcH3XlE36EHxbbVKLbS834p4vJmyzMQiovz1<br>
>> qprI+z8791s8X3ke1qcWmmRLaPVj+IrZIZqZHgZ1nGGIjIuZWd6x5J6w7CIoRubP<br>
>> MW2uRsBVDWb0kXCFiAqwqFEjX1zBZ/nwelIQJyphIME3ocgNpV8oJkhQQy1OD5bk<br>
>> pn5nPopJgM8=<br>
>> =jClx<br>
>> -----END PGP SIGNATURE-----<br>
>><br>
>><br>
> --<br>
> Discuss mailing list<br>
> <a href="mailto:Discuss@lists.funkfeuer.at">Discuss@lists.funkfeuer.at</a><br>
> <a href="https://lists.funkfeuer.at/mailman/listinfo/discuss" rel="noreferrer" target="_blank">https://lists.funkfeuer.at/mailman/listinfo/discuss</a><br>
<br>
<br>--<br>
Discuss mailing list<br>
<a href="mailto:Discuss@lists.funkfeuer.at">Discuss@lists.funkfeuer.at</a><br>
<a href="https://lists.funkfeuer.at/mailman/listinfo/discuss" rel="noreferrer" target="_blank">https://lists.funkfeuer.at/mailman/listinfo/discuss</a><br></blockquote></div>