[Wien] Sicheren Tunnel zum Border Router

Henning Rogge (spam-protected)
Do Apr 23 16:19:46 CEST 2009


On Donnerstag 23 April 2009 15:32:22 Martin Mauerböck wrote:
> Der "weakest Link" ist eindeutig die unverschlüsselte WLAN-Kommunikation
> im Funkfeuer-Netz. Oder gibt es einen anderen Bereich, in dem JEDER der
> etwas Wissen hat, einfach mitlesen kann?
> Leider gibt es immer wieder Leute, die meinen, nur die perfekte Lösung
> darf implementiert werden, ich aber finde, auch Zwischenschritte, die
> zum perfekten Ziel führen, sollten gemacht werden.
Danke.

> Natürlich wäre es die beste Lösung, wenn der komplette Traffic innerhalb
> des Funknetzes verschlüsselt wäre, aber solange die Hardware auf den
> Knoten nicht dazu taugt (Linksys & Co) und die Software das noch nicht
> kann, könnte man doch für einzelne Knotenbetreiber, die meinen, dass die
> einen verschlüsselten Tunnel brauchen, diesen auch einzurichten.
> Meiner Meinung nach könnte man für diese Tunnel sogar den olsrd
> abschalten, weil das Routing geht ja eh immer über den Tunnel-Server.
>
> Eine Engstelle der CPU am Gateway für die Verschlüsselung der Tunnel
> sehe ich nicht, das Limit sind da wohl eher die Roof-Nodes, deren
> Bandbreite wohl kaum an 100MBit herankommen wird. Und das müsste jede
> halbwegs aktuelle CPU schaffen, oder?
Meine Überlegung ist es den Unicast-Traffic zu verschlüsseln wenn er das OLSR-
Netz an den Routern des Users betritt und ihn am Gateway wieder zu 
verschlüsseln. Das sorgt dafür das "Forwarder"-Router keinen zusätzlichen 
Rechenaufwand haben. Ich würde IPsec vorziehen weil Linux das komplett im 
Kernel machen kann, kein Grund den Traffic auf den Routern in den Userspace 
hochzureichen und wieder zurück.

Die Sicherheit der Routingpakete ist ein ganz anderes Thema und unabhängig von 
der Verschlüsselung des Unicasts.

Henning
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : signature.asc
Dateityp    : application/pgp-signature
Dateigröße  : 197 bytes
Beschreibung: This is a digitally signed message part.
URL         : <http://lists.funkfeuer.at/pipermail/wien/attachments/20090423/c93de648/attachment.sig>


Mehr Informationen über die Mailingliste Wien