[Wien] Sicheren Tunnel zum Border Router

Bernd Petrovitsch (spam-protected)
Fr Apr 24 14:18:32 CEST 2009


On Don, 2009-04-23 at 14:31 +0200, Henning Rogge wrote:
> 2009/4/23 Bernd Petrovitsch <(spam-protected)>:
> > On Fre, 2009-04-10 at 00:49 +0200, L. Aaron Kaplan wrote:
> >> Was spricht gegen einen verschluesselten openVPN tunnel zu
> >> tunnel.funkfeuer.at?
> >
> > $USER glaubt. er wäre sicherer unterwegs als vorher. Was er nicht ist.
> > Ja, man kann es überall hinschreiben, es explizit erwähnen, ihen einen
> > Zettel mit obigem unterschreiben lassen, aber der Abergaluben wird
> > deshalb nicht verschwinden.
> >
> > Sorry, Leute, Security ist eines der ganz wenigen Gebiete, wo es halbe
> > oder teilweise "Lösungen" nicht gibt.
> Was Unsinn ist Bernd.

Leider nicht. Zumindest nicht auf der Ebene, wo sich die Diskussion
bewegt.

> Nicht umsonst gibt es Sicherheit auf mehreren Ebenen. Was du sagst ist

So ist es. Ich finde nur nirgendwo in den Mails was daztu.

> so als wäre WPA2 absoluter Unsinn weil es deinen Traffic nicht bis zum
> Webserver schützt.

Das große Problem an diesen ganzen Diskussionen ist, daß ja weder ein
Ziel der vorgeblichen Securitymaßnahme noch Bedrohungsszenarios
formuliert werden.
Worauf mbMn Otto Normaluser zu leicht verleitet werden könnte, daß - im
Laufe der Zeit - *viele* Low-Level-Security-Maßnahmen eine einzige
High-Level-Maßnahme ersetzen könnten[0].
Und wenn man die High-Level-Maßnahme hat, dann sind die
Low-Level-Maßnahmen zum Großteil nur Ressourcenverschwendung und
zusätzliche Komplexität.

> Es IST sinnvoll den Traffic der durch das OLSR-Netz fließt zu
> schützen, da er eben offen über viele WLAN-Links geschickt wird. Damit

Natürlich. Aber das tut https/imaps/pops sowie die TLS-Varianten auch.
Problem (und etliche weitere) gelöst.
Und wenn schon als Grund "$SERVER bietet keine https/imaps/pops" als
Argument dafür kommt, dann ist "verschlüsselter openvpn-Tunnel auf eine
Teil der Strecke drunter" nichts, das sinnvoll helfen kann.

Insofern sehe ich den "Unsinn" oben zweifelsfrei widerlegt. V.a. im
Kontext *dieser* Diskussion.

> ist so ein Tunnel die FF-Variante der Layer-2 Absicherung. DAS muss
> man den Usern klar machen...

So ist es.

	Bernd

[0]: Vielleicht gibt es sogar irgendwo irgendwelche Möglichkeiten, daß
     dem so ist. Aber im allgemeinen Fall ist es nicht so.
-- 
Firmix Software GmbH                   http://www.firmix.at/
mobil: +43 664 4416156                 fax: +43 1 7890849-55
          Embedded Linux Development and Services





Mehr Informationen über die Mailingliste Wien