[Wien] Sicheren Tunnel zum Border Router

Adi Kriegisch (spam-protected)
Do Apr 23 14:58:42 CEST 2009


Hallo!

> >> Was spricht gegen einen verschluesselten openVPN tunnel zu
> >> tunnel.funkfeuer.at?
[SNIP]
> > Sorry, Leute, Security ist eines der ganz wenigen Gebiete, wo es halbe
> > oder teilweise "Lösungen" nicht gibt.
> Was Unsinn ist Bernd.
Ich stimme Bernd voll zu.
 
> Nicht umsonst gibt es Sicherheit auf mehreren Ebenen. Was du sagst ist
> so als wäre WPA2 absoluter Unsinn weil es deinen Traffic nicht bis zum
> Webserver schützt.
Nein: Die Frage ist was geschützt wird. WPA2 dient einem völlig anderen
Zweck als die vorgeschlagene Tunnellösung:
In der Regel ist ein Heim- oder Firmen-WLAN einfach nur ein "schnurloses"
Netzwerkkabel. WPA2 dient dazu, durch Verschlüsselung und Authentifizierung
den Effekt, den ein Netzwerkkabel daheim oder im Büro hat, nachzubilden.
Das bedeutet: WPA2 schützt vor nicht authentifizierten Usern; nicht aber
vor anderen Teilnehmern des gleichen Netzes.
Die Tunnellösung dient dazu, den eigenen Traffic gegenüber anderen
Funkfeuerusern -- registriert oder nicht -- zu schützen. Was aber genau der
Situation entspricht, daß in einem Büro jeder einen eigenen VPN-Tunnel
betreibt, damit ihm seine Kollegen nicht über die Schulter schauen können...

> Es IST sinnvoll den Traffic der durch das OLSR-Netz fließt zu
> schützen, da er eben offen über viele WLAN-Links geschickt wird. Damit
> ist so ein Tunnel die FF-Variante der Layer-2 Absicherung. DAS muss
> man den Usern klar machen...
Tja und den Aufwand treiben nur weil es sooo schwer ist SSL-gesicherte,
end-zu-end verschlüsselte Protokolle wie https, imaps, pop3s, smtps oder
nicht via ssl sondern anders gesicherte Protokolle wie ssh zu verwenden?
Sehe ich nicht ein. Das eigentliche Problem ist damit nicht gelöst sondern
nur in einen Bereich verschoben der weiter entfernt ist: nämlich der
"anderen Seite" des Internet?
Also: entweder "Sicherheit" des Datenverkehrs ist wichtig, dann aber bitte
zählt der weakest link. Oder eben nicht -- dann ist die Tunnellösung weder
die Zeit noch den Aufwand wert.

Es gibt einige Bereiche in denen die Sicherheit im Funkfeuernetz verbessert
bzw. erhöht werden kann -- Tunnels für einige oder für jeden gehöhren IMHO
nicht dazu.

lg Adi
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : signature.asc
Dateityp    : application/pgp-signature
Dateigröße  : 189 bytes
Beschreibung: Digital signature
URL         : <http://lists.funkfeuer.at/pipermail/wien/attachments/20090423/6d52dbdb/attachment.sig>


Mehr Informationen über die Mailingliste Wien