<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
<html>
<head>
  <meta content="text/html;charset=ISO-8859-15"
 http-equiv="Content-Type">
</head>
<body bgcolor="#ffffff" text="#000000">
<br>
<br>
Adi Kriegisch schrieb:
<blockquote cite="mid:20090423125842.GH18406@kriegisch.at" type="cite">
  <pre wrap="">Die Tunnellösung dient dazu, den eigenen Traffic gegenüber anderen
Funkfeuerusern -- registriert oder nicht -- zu schützen. Was aber genau der
Situation entspricht, daß in einem Büro jeder einen eigenen VPN-Tunnel
betreibt, damit ihm seine Kollegen nicht über die Schulter schauen können...

  </pre>
</blockquote>
Der Funkfeuer-Traffic kann nicht nur von anderen Teilnehmern abgehört
werden, sondern von jedem, der etwas Ahnung von Wireless-Sniffing hat
und sich im Empfangsbereich eines Nodes befindet.<br>
Gerade der Nachbar (ohne Funkfeuer) kann durchaus an privaten Details
interessiert sein, ebenso wie Big Brother, der dann nicht einmal die
Hilfe eine Providers braucht um zu schnüffeln.<br>
<blockquote cite="mid:20090423125842.GH18406@kriegisch.at" type="cite">
  <pre wrap="">Tja und den Aufwand treiben nur weil es sooo schwer ist SSL-gesicherte,
end-zu-end verschlüsselte Protokolle wie https, imaps, pop3s, smtps oder
nicht via ssl sondern anders gesicherte Protokolle wie ssh zu verwenden?
Sehe ich nicht ein. Das eigentliche Problem ist damit nicht gelöst sondern
nur in einen Bereich verschoben der weiter entfernt ist: nämlich der
"anderen Seite" des Internet?
  </pre>
</blockquote>
Die Anteil verschlüsselter Dienste im Netz (https, pop3s, imaps, ...)
ist verschwindend gering gegenüber den nicht verschlüsselten Varianten.<br>
Mein eigener Mailserver bevorzugt verschlüsselte Verbindungen von und
zu anderen Mailservern, trotzdem findet nur ein kleiner Teil davon
verschlüsselt statt.<br>
Wenn ich nur noch verschlüsselte Verbindungen akzeptiere, kann ich den
Mailserver gleich abdrehen...<br>
<blockquote cite="mid:20090423125842.GH18406@kriegisch.at" type="cite">
  <pre wrap="">Also: entweder "Sicherheit" des Datenverkehrs ist wichtig, dann aber bitte
zählt der weakest link. Oder eben nicht -- dann ist die Tunnellösung weder
die Zeit noch den Aufwand wert.
  </pre>
</blockquote>
Der "weakest Link" ist eindeutig die unverschlüsselte
WLAN-Kommunikation im Funkfeuer-Netz. Oder gibt es einen anderen
Bereich, in dem JEDER der etwas Wissen hat, einfach mitlesen kann?<br>
Leider gibt es immer wieder Leute, die meinen, nur die perfekte Lösung
darf implementiert werden, ich aber finde, auch Zwischenschritte, die
zum perfekten Ziel führen, sollten gemacht werden.<br>
<blockquote cite="mid:20090423125842.GH18406@kriegisch.at" type="cite">
  <pre wrap="">
Es gibt einige Bereiche in denen die Sicherheit im Funkfeuernetz verbessert
bzw. erhöht werden kann -- Tunnels für einige oder für jeden gehöhren IMHO
nicht dazu.

lg Adi
  </pre>
</blockquote>
Natürlich wäre es die beste Lösung, wenn der komplette Traffic
innerhalb des Funknetzes verschlüsselt wäre, aber solange die Hardware
auf den Knoten nicht dazu taugt (Linksys & Co) und die Software das
noch nicht kann, könnte man doch für einzelne Knotenbetreiber, die
meinen, dass die einen verschlüsselten Tunnel brauchen, diesen auch
einzurichten.<br>
Meiner Meinung nach könnte man für diese Tunnel sogar den olsrd
abschalten, weil das Routing geht ja eh immer über den Tunnel-Server.<br>
<br>
Eine Engstelle der CPU am Gateway für die Verschlüsselung der Tunnel
sehe ich nicht, das Limit sind da wohl eher die Roof-Nodes, deren
Bandbreite wohl kaum an 100MBit herankommen wird. Und das müsste jede
halbwegs aktuelle CPU schaffen, oder?<br>
<br>
lg<br>
Martin<br>
<blockquote cite="mid:20090423125842.GH18406@kriegisch.at" type="cite">
  <pre wrap="">
<hr size="4" width="90%">
--
Wien mailing list
<a class="moz-txt-link-abbreviated" href="mailto:Wien@lists.funkfeuer.at">Wien@lists.funkfeuer.at</a>
<a class="moz-txt-link-freetext" href="http://lists.funkfeuer.at/mailman/listinfo/wien">http://lists.funkfeuer.at/mailman/listinfo/wien</a></pre>
</blockquote>
</body>
</html>