[Wien] Sicheren Tunnel zum Border Router
Henning Rogge
(spam-protected)
Do Apr 23 16:32:29 CEST 2009
On Donnerstag 23 April 2009 16:26:25 Martin Mauerböck wrote:
> Henning Rogge schrieb:
> > Meine Überlegung ist es den Unicast-Traffic zu verschlüsseln wenn er das
> > OLSR- Netz an den Routern des Users betritt und ihn am Gateway wieder zu
> > verschlüsseln. Das sorgt dafür das "Forwarder"-Router keinen zusätzlichen
> > Rechenaufwand haben. Ich würde IPsec vorziehen weil Linux das komplett im
> > Kernel machen kann, kein Grund den Traffic auf den Routern in den
> > Userspace hochzureichen und wieder zurück.
>
> Auf diese Weise würde aber nur der Traffic vom Endknoten ins Internet
> und zurück verschlüsselt.
> Traffic zwischen den Teilnehmern selbst bliebe unverschlüsselt.
Okay, lass mich das präzisieren... Ich betrachte dabei "localhost" ebenfalls
als einen Endpunkt. Wobei normalerweise ja zwei per NAT angeschlossene Netze
über die OLSR-Wolke kommunizieren.
Die Idee ist das jeder Unicast-Verkehr Ende-zu-Ende innerhalb des OLSR-Netzes
verschlüsselt wird.
> > Eigentlich müsste eine Private/Public-Key Infrastruktur aufgebaut
> werden, wo jeder Knoten/Router seinen eigenen Schlüssel hat, damit
> könnte dann auch der Traffic zwischen den Teilnehmern verschlüsselt
> werden, ohne dass andere mitlauschen?
So in etwa... wobei man sehen muss wie viel "Vorbereitung" wir in die
Berechnung von symmetrischen Session-Keys stecken müssen damit die Router
nicht überfordert sind.
> Wieweit das mit IPsec geht, kann ich aber nicht sagen...
IPsec braucht irgendwoher einen symmetrischen Key zwischen den beiden
Endpunkten... zum Beispiel indem mal IKE (
http://en.wikipedia.org/wiki/Internet_Key_Exchange ) nutzt. Aber es geht
natürlich auch anders, Public-Key Kryptographie ist teuer auf 200 Mhz Routern,
aber eventuell noch akzeptabel wenn der etablierte Key lange Zeit gültig
bleibt.
Henning
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname : signature.asc
Dateityp : application/pgp-signature
Dateigröße : 197 bytes
Beschreibung: This is a digitally signed message part.
URL : <http://lists.funkfeuer.at/pipermail/wien/attachments/20090423/fca5e7e6/attachment.sig>
Mehr Informationen über die Mailingliste Wien