[Wien] Sicheren Tunnel zum Border Router

[Martin Mauerböck]

Adi Kriegisch schrieb:
> Die Tunnellösung dient dazu, den eigenen Traffic gegenüber anderen
> Funkfeuerusern -- registriert oder nicht -- zu schützen. Was aber genau der
> Situation entspricht, daß in einem Büro jeder einen eigenen VPN-Tunnel
> betreibt, damit ihm seine Kollegen nicht über die Schulter schauen können...
>
>   
Der Funkfeuer-Traffic kann nicht nur von anderen Teilnehmern abgehört 
werden, sondern von jedem, der etwas Ahnung von Wireless-Sniffing hat 
und sich im Empfangsbereich eines Nodes befindet.
Gerade der Nachbar (ohne Funkfeuer) kann durchaus an privaten Details 
interessiert sein, ebenso wie Big Brother, der dann nicht einmal die 
Hilfe eine Providers braucht um zu schnüffeln.
> Tja und den Aufwand treiben nur weil es sooo schwer ist SSL-gesicherte,
> end-zu-end verschlüsselte Protokolle wie https, imaps, pop3s, smtps oder
> nicht via ssl sondern anders gesicherte Protokolle wie ssh zu verwenden?
> Sehe ich nicht ein. Das eigentliche Problem ist damit nicht gelöst sondern
> nur in einen Bereich verschoben der weiter entfernt ist: nämlich der
> "anderen Seite" des Internet?
>   
Die Anteil verschlüsselter Dienste im Netz (https, pop3s, imaps, ...) 
ist verschwindend gering gegenüber den nicht verschlüsselten Varianten.
Mein eigener Mailserver bevorzugt verschlüsselte Verbindungen von und zu 
anderen Mailservern, trotzdem findet nur ein kleiner Teil davon 
verschlüsselt statt.
Wenn ich nur noch verschlüsselte Verbindungen akzeptiere, kann ich den 
Mailserver gleich abdrehen...
> Also: entweder "Sicherheit" des Datenverkehrs ist wichtig, dann aber bitte
> zählt der weakest link. Oder eben nicht -- dann ist die Tunnellösung weder
> die Zeit noch den Aufwand wert.
>   
Der "weakest Link" ist eindeutig die unverschlüsselte WLAN-Kommunikation 
im Funkfeuer-Netz. Oder gibt es einen anderen Bereich, in dem JEDER der 
etwas Wissen hat, einfach mitlesen kann?
Leider gibt es immer wieder Leute, die meinen, nur die perfekte Lösung 
darf implementiert werden, ich aber finde, auch Zwischenschritte, die 
zum perfekten Ziel führen, sollten gemacht werden.
> Es gibt einige Bereiche in denen die Sicherheit im Funkfeuernetz verbessert
> bzw. erhöht werden kann -- Tunnels für einige oder für jeden gehöhren IMHO
> nicht dazu.
>
> lg Adi
>   
Natürlich wäre es die beste Lösung, wenn der komplette Traffic innerhalb 
des Funknetzes verschlüsselt wäre, aber solange die Hardware auf den 
Knoten nicht dazu taugt (Linksys & Co) und die Software das noch nicht 
kann, könnte man doch für einzelne Knotenbetreiber, die meinen, dass die 
einen verschlüsselten Tunnel brauchen, diesen auch einzurichten.
Meiner Meinung nach könnte man für diese Tunnel sogar den olsrd 
abschalten, weil das Routing geht ja eh immer über den Tunnel-Server.

Eine Engstelle der CPU am Gateway für die Verschlüsselung der Tunnel 
sehe ich nicht, das Limit sind da wohl eher die Roof-Nodes, deren 
Bandbreite wohl kaum an 100MBit herankommen wird. Und das müsste jede 
halbwegs aktuelle CPU schaffen, oder?

lg
Martin
> ------------------------------------------------------------------------
>
> --
> Wien mailing list
> (spam-protected)
> http://lists.funkfeuer.at/mailman/listinfo/wien
-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <http://lists.funkfeuer.at/pipermail/wien/attachments/20090423/4538924a/attachment.htm>