[Wien] DNS Einträge ich bin wenigstens in der map!

Markus Gschwendt (spam-protected)
Mi Dez 12 14:40:44 CET 2007 

On Wed, 2007-12-12 at 10:14 +0100, Bernd Petrovitsch wrote:
> > Gibt bzw. gab es schon einmal einen Schwarzsurfer?
> > Falls ja: Wurde dadurch der Betrieb des Funknetzes beeintrchtigt?

ja, martin berichtet von einem fall und akku bestätigt das.
mir gefällt das wort 'schwarzsurfer' eigentlich nicht, es kann ja jeder
mitmachen, nur funktioniert das halt nur unter einhaltung bestimmter
regeln.

...
> > Mit Zertifikaten (noch dazu auf einem zentralen Server berprft)
> > bereiten wir die denial of service Attacke selber vor!
> 
> Wobei obiges "zentral" 

mit 'zentral' hab ich nicht an einen einzelnen server gedacht. eher ein
system, das man zentral verwalten kann.

> sowieso dem Geist eines Mesh-Netzes widerspricht
> (wie war das noch mal? "Jeder ist sein eigener Mini-ISP" oder so
> ähnlich). Wobei dann der (oder die) "zentrale Server" die logische
> Angriffspunkte sind. Wobei man da erstmal die Security hinkriegen muß.
> Vom organisatorischen Aufwand, sowas da und dort reinzukriegen und zu
> deployen, den permanenten Aufwand, das am Leben zu erhalten ganz zu
> schwiegen.
> Und v.a. ist dann halt die Frage zu lösen, wie man die Validität eine
> Zertifikats prüfen kann, wenn der zentrale Server gerade nicht
> erreichbar ist (egal aus welchem Grund - z.B. könnte ja ein Knoten für 2
> Tage offline sein, weil eine Antenne hin ist).

ich werfe da mal ein paar fragen/ideen auf:
wäre das über cacert-zertifikate möglich?
wie könnte man sonst auf technischem weg ausschliessen dass jemand einen
router (auch irrtümlich) ins netz hängt mit einer ip die ihm nicht
gehört?
könnte der router beim hochfahren die redeemer-db abfragen um sich ins
netz einklinken zu dürfen?
können nachbarknoten eine verifizierung durchführen um einen router
mitmachen zu lassen.

wichtig ist dass das netz offen bleibt, aber wir müssen auch dafür
sorgen das die sicherheit nicht zu kurz kommt.
spamfilter sind ja auch state of the art, keiner schreibt an einen
spammer zurück: 'bitte, bitte lass das'

...
> ACK.
> Und genau deshalb ist Verschlüsselung (egal ob es im openvpn oder als
> IPsec getarnt daherkommt) am Layer <= 4 überflüssig udn verbraucht nur
> sinnlos Strom (und die Performance auf einem 200MHz LinkSys, wo manche
> Tunnels enden, kann jeder selber schätzen .....).

das seh ich auch so, um die verschlüsselung soll/muss sich jeder
teilnehmer selber gedanken machen und sich drumkümmern.

markus

-- 
Markus Gschwendt, +436506550055, www.runout.at

Mehr Informationen über die Mailingliste Wien