[Wien] Ist Funkfeuer davon betroffen?

Bernd Petrovitsch (spam-protected)
Mi Okt 27 13:30:26 CEST 2010 

On Mit, 2010-10-27 at 13:04 +0200, Henning Rogge wrote: 
> 2010/10/27 Bernd Petrovitsch <(spam-protected)>:
> > On Mit, 2010-10-27 at 12:21 +0200, Martin Mauerböck wrote:
> > [....]
> >> Leider gibt es immer wieder Personen, die meinen, anderen VORSCHREIBEN
> >> zu müssen, was für sie im Internet sicher zu sein hat und was nicht.
> >
> > Leider gibt es auch immer wieder Personen, die meinen, es würde der
> > eigenen Security irgend etwas bringen, wenn man die Last Mile über WLAN
> > verschlüsselt, aber dann übers Kabel nicht mehr.
> > Sorry, Leute, aber bei Security gibt es im wesentlichen nur 2
> > Möglichkeiten - "ein bißerl Security" gibt es genauso viel wie "ein
> > bißerl schwanger".
> Wenn du recht hättest gäbe es WPA2 nicht oder würde nicht zum Einsatz
> empfohlen.

Eine Antwort drauf ist: Irgendwann wird WPA3 kommen und WPA2 "unsicher"
sein - dann kann die "AP-Industrie" wieder neue Geräte verkaufen.

Ich war bei Adhoc-Mode == 0xFF/Freifunk-Netzen und nicht beim üblichen
AP (wo de facto der AP-Betreiber der Herr über seine WLAN-Wolke ist).

Das viel schlimmere mit WPA2 ist, daß es als Maßstab für "Sicherheit"
genommen wird (selbst wenn es nur für Statistiken ist). Es gibt Leute,
die fahren den AP im Klartext und das einzige was drüber funktioniert,
ist ein openvpn Tunnel zu einem openvpn-Server aufzubauen (was man mit
WPA2 i.Ü. auch besser tun sollte).
Klar, wenn ich einen AP hab, ist WPA2 besser wie nichts, WEP oder WPA.
Aber es erspart keine einzigen Gedanken über das, was drüber ist bzw.
läuft.

> Da es nie absolute Sicherheit gibt lohnt es sich, Sicherheit in
> verschiedenen Schichten zu betreiben. Damit kann man die
> Angriffsfläche häufig schon einmal deutlich reduzieren bzw. es dem

... and create a false sense of security?

> Angreifer erschweren sich auf die "lohnenden" Informationen (weil
> SSL-Verschlüsselt) zu konzentrieren.
> 
> Was den Mesh-Netzen aktuell fehlt ist eine Layer-2 Sicherheit... im
> Grunde das Äquivalent zu WPA2. Genau wie bei WPA2 wäre dies kein
> Ersatz für sichere Verbindungen im Internet, aber es reduziert die
> angreifbaren Bereiche deutlich bzw. erhöht die Schwelle für Angreifer.nicht

Das große Problem seh' ich bei Otto Normaluser: Wenn der Layer-2
<buzzword>verschlüsselt</buzzword> ist, werden viele glauben, sie wären
wesentlich sicherer wie vorher unterwegs (und könnten sich weiter oben
https u.ä. ersparen!).
Viel, viel wichtiger wie Layer-2-Verschlüsselung/Autentifizierung ist
Security (SSL, TLS, pgp, ...) u.ä. ganz oben - und bevor das nicht
einigermaßen gut funktioniert, braucht man unten nicht wirklich was
machen.

> Wenn man das Mesh als "ein Netz" ansieht sollte Layer-2 Sicherheit
> innerhalb des Meshs "Ende-zu-Ende" funktionieren. Wenn ich mit einem
> Router X kommunizieren will, dann sollten nur ich und Router X die
> Daten lesen können, sonst niemand. Das ganze ist prinzipiell machbar,

Natürlich ist es machbar. Die Frage ist/war, was die Kosten und Folgen
sind - sowohl technischer wie menschlicher sowie organisatorischer
Natur.

> aber halt auch nicht so einfach. Daher ist es nie von großer Priorität
> gewesen.

Auch wenn man nur Autentifizierung für OLSR (als solches) andenkt, wird
es schon etwas eklig - v.a. die organisatorische Seite.

> Es wegen "es ist aber keine 100% Sicherheit" abzulehnen halte ich
> trotzdem für grundsätzlich Falsch. Die "One Size Fits all" Sicherheit
> gibt es im Internet nicht.

Es gibt sowieso keine 100%ige Security. Und schon gar nicht gibt es
plug-n-play-Security (auch wenn dies schön wäre).

Kurz: es macht keinen Sinn, Security irgendwo einzubauen, wenn Otto
Normaluser sich nicht minimal damit auskennt, was er wo wie nicht tun
darf - so a la "ich drück Dir jetzt eine scharf geladene Pistole in die
Hand und schon bist viel sicherer unterwegs, weil Du ja bewaffnet bist,
und weniger oft überfallen werden wirst. Lies die nächste Statistik
durch.".
Wer den letzten Satz absurd findet, möge mal über Zeitungsschlagzeilen
und Politikeraussagen und deren Folgen der letzten Jahre nachdenken ....

Bernd
-- 
Bernd Petrovitsch                  Email : (spam-protected)
                     LUGA : http://www.luga.at

Mehr Informationen über die Mailingliste Wien