[Wien] Sicheren Tunnel zum Border Router

HOELLRIGL SIEGFRIED (spam-protected)
Fr Apr 24 14:38:36 CEST 2009 

Wenn man z.B. seine Mails verschlüsselt abfragen möchte, und einen Server hat, dann gibt es noch eine andere Möglichkeit :

stunnel

Damit kann man z.B. folgendes Szenario realisieren :

Client mit IMAPs/SMTPs/POP3s .... unsicheres WLAN ... Server mit stunnel im Serverraum ... INTERNET ... Mailserver (z.B. GMX)

Dann ist "nur mehr" die Verbindung im Internet selbst unverschlüsselt.

Das ganze müsste natürlich - z.B. für jeden Mailserver bzw. Anbieter - auf einem anderen Port bzw. einer anderen IP-Adresse eingerichtet werden.





-----Ursprüngliche Nachricht-----
Von: (spam-protected) [mailto:(spam-protected)] Im Auftrag von Bernd Petrovitsch
Gesendet: Freitag, 24. April 2009 14:19
An: funkfeuer wien
Betreff: Re: [Wien] Sicheren Tunnel zum Border Router

On Don, 2009-04-23 at 14:31 +0200, Henning Rogge wrote:
> 2009/4/23 Bernd Petrovitsch <(spam-protected)>:
> > On Fre, 2009-04-10 at 00:49 +0200, L. Aaron Kaplan wrote:
> >> Was spricht gegen einen verschluesselten openVPN tunnel zu 
> >> tunnel.funkfeuer.at?
> >
> > $USER glaubt. er wäre sicherer unterwegs als vorher. Was er nicht ist.
> > Ja, man kann es überall hinschreiben, es explizit erwähnen, ihen 
> > einen Zettel mit obigem unterschreiben lassen, aber der Abergaluben 
> > wird deshalb nicht verschwinden.
> >
> > Sorry, Leute, Security ist eines der ganz wenigen Gebiete, wo es 
> > halbe oder teilweise "Lösungen" nicht gibt.
> Was Unsinn ist Bernd.

Leider nicht. Zumindest nicht auf der Ebene, wo sich die Diskussion bewegt.

> Nicht umsonst gibt es Sicherheit auf mehreren Ebenen. Was du sagst ist

So ist es. Ich finde nur nirgendwo in den Mails was daztu.

> so als wäre WPA2 absoluter Unsinn weil es deinen Traffic nicht bis zum 
> Webserver schützt.

Das große Problem an diesen ganzen Diskussionen ist, daß ja weder ein Ziel der vorgeblichen Securitymaßnahme noch Bedrohungsszenarios formuliert werden.
Worauf mbMn Otto Normaluser zu leicht verleitet werden könnte, daß - im Laufe der Zeit - *viele* Low-Level-Security-Maßnahmen eine einzige High-Level-Maßnahme ersetzen könnten[0].
Und wenn man die High-Level-Maßnahme hat, dann sind die Low-Level-Maßnahmen zum Großteil nur Ressourcenverschwendung und zusätzliche Komplexität.

> Es IST sinnvoll den Traffic der durch das OLSR-Netz fließt zu 
> schützen, da er eben offen über viele WLAN-Links geschickt wird. Damit

Natürlich. Aber das tut https/imaps/pops sowie die TLS-Varianten auch.
Problem (und etliche weitere) gelöst.
Und wenn schon als Grund "$SERVER bietet keine https/imaps/pops" als Argument dafür kommt, dann ist "verschlüsselter openvpn-Tunnel auf eine Teil der Strecke drunter" nichts, das sinnvoll helfen kann.

Insofern sehe ich den "Unsinn" oben zweifelsfrei widerlegt. V.a. im Kontext *dieser* Diskussion.

> ist so ein Tunnel die FF-Variante der Layer-2 Absicherung. DAS muss 
> man den Usern klar machen...

So ist es.

	Bernd

[0]: Vielleicht gibt es sogar irgendwo irgendwelche Möglichkeiten, daß
     dem so ist. Aber im allgemeinen Fall ist es nicht so.
-- 
Firmix Software GmbH                   http://www.firmix.at/
mobil: +43 664 4416156                 fax: +43 1 7890849-55
          Embedded Linux Development and Services


--
Wien mailing list
(spam-protected)
http://lists.funkfeuer.at/mailman/listinfo/wien

Mehr Informationen über die Mailingliste Wien