[WLANnews] Verschlüsselung

Lars Scheithauer larsscheithauer at googlemail.com
Di Okt 2 13:14:50 CEST 2007 

Am 02.10.2007 um 12:25 schrieb Daniel Nitzpon:

> Lars Scheithauer wrote:
>> Als zweites wollte ich kurz eine Frage zum Thema Verschlüsselung
>> stellen. Soweit ich das rausgelesen habe, benutzt Freifunk keine
>> Verschlüsselung, um das Netz offen zu gestalten. Das birgt allerdings
>> diverse (bekannte) Risiken, weil das Netzwerk ja relativ klein  
>> ist. Nach
>> dem veröffentlichten Forschungsbericht über TOR[2] wäre es da wohl
>> nötig, ein paar Überlegungen anzustellen. Gibt es dazu schon eine
>> zentrale Anlaufstelle (aka Wiki)?
>
> was meinst du genau? für den nutzer ist die sache ja recht klar und
> einfach: alles irgendwie sensible braucht ende-zu-ende- 
> verschlüsselung.
>
> aus netzbau- und servicesicht fallen mir zwei sachen ein: zum einen  
> die
> admin-passwörter, das ist mit der wifi-login verhinderung zwar gelöst,
> aber nur unbefriedigend, weil nicht ganz dau-kompatibel, aber https  
> ist
> ja auch in arbeit.

Das beispielsweise wusste ich noch nicht.

> zweiter und wesentlicherer punkt sind pop/imap/smtp-verbindungen der
> nutzer. da habe ich mal ideen gehört, die unverschlüsselten abrufe
> abzufangen und eine generierte fakemail zurückzusenden "dein passwort
> ist blabla, wie du sicher auf deine mails zugreifen kannst erfährst du
> unter diesem link", was ich für eine klasse idee (auch für tor-exit
> nodes im übrigen) halte. das das konkret entwickelt würde, habe ich  
> aber
> nie gehört und habe selber leider zu wenig ahnung, um das anzufangen.

Interessant wäre das in der Tat, wobei ich das Passwort nicht  
auslesen würde. Ein "Ihre Verbindung ist leider nicht sicher genug.  
Weitere Infos..." wird wohl reichen.

Eine simple, portbasierte Implementation wäre ja ohne großen Aufwand  
machbar, indem man schlichtweg alle Anfragen auf diese Ports umleitet  
auf einen Server, der dann den Loginprozess (so es denn einen gibt)  
positiv beantwortet und dann eine entsprechende Fehlermeldung  
zurücksendet. Hat natürlich den Nachteil, dass (a) mailserver, die  
nicht auf den standardports liegen nicht erfasst werden und (b)  
möglicherweise doch verschlüsselte Verbindungen (auf den  
standardports) ins Leere laufen.

Um das zu umgehen könnte man also entweder eine MAC-Tabelle aufbauen,  
wer die Nachricht schonmal bekommen hat, damit die Nachricht nur  
einmal verschickt wird.

Oder man geht auf OSI-Ebene 4 hoch und benutzt Snort o.Ä., um die  
unverschlüsselten Verbindungen zu erkennen, die Verbindung zu  
übernehmen / zu reseten und dann die entsprechende Infomail  
zurückliefert. Wobei ich nicht weiß, ob der RAM dafür ausreichen  
wird. Die Geschwindigkeit ist meiner Erfahrung nach kein Problem  
(hatte auf einem P100 Snort für einen 100mbit laufen, praktisch ohne  
Prozessorauslastung).

Wobei man sich natürlich auch die Frage stellen muss, ob sich der  
Aufwand wirklich lohnt. Schließlich ist FreiFunk ja doch eher eine  
Geek-community (soweit ich das mitbekommen habe), deren Clients  
entweder selbst geeks sind oder sowieso einen Geek brauchen, um es  
einzurichten. ;)

> für webmail und ähnliches, wo ggf. passwörter und persönliche daten
> unverschlüsselt durch die luft fliegen wirds schwierig, weil
> wahrscheinlich entweder eine umfassende datenbank sensibler seiten
> gebraucht würde oder ein verschlüsselter tunnel zum gateway, was  
> beides
> nicht zu leisten sein wird (im 1. fall von den leuten nicht, im 2. von
> den routern)

Ack.

Wie aktiv ist denn momentan noch die Community? Wird immer noch das  
original OLSR als Protokoll eingesetzt oder mittlerweile BATMAN[1|2] ?

Gruß aus HD,
Lars

Mehr Informationen über die Mailingliste WLANnews