[WLANnews] Verschlüsselung
Lars Scheithauer
larsscheithauer at googlemail.com
Di Okt 2 13:14:50 CEST 2007
Am 02.10.2007 um 12:25 schrieb Daniel Nitzpon:
> Lars Scheithauer wrote:
>> Als zweites wollte ich kurz eine Frage zum Thema Verschlüsselung
>> stellen. Soweit ich das rausgelesen habe, benutzt Freifunk keine
>> Verschlüsselung, um das Netz offen zu gestalten. Das birgt allerdings
>> diverse (bekannte) Risiken, weil das Netzwerk ja relativ klein
>> ist. Nach
>> dem veröffentlichten Forschungsbericht über TOR[2] wäre es da wohl
>> nötig, ein paar Überlegungen anzustellen. Gibt es dazu schon eine
>> zentrale Anlaufstelle (aka Wiki)?
>
> was meinst du genau? für den nutzer ist die sache ja recht klar und
> einfach: alles irgendwie sensible braucht ende-zu-ende-
> verschlüsselung.
>
> aus netzbau- und servicesicht fallen mir zwei sachen ein: zum einen
> die
> admin-passwörter, das ist mit der wifi-login verhinderung zwar gelöst,
> aber nur unbefriedigend, weil nicht ganz dau-kompatibel, aber https
> ist
> ja auch in arbeit.
Das beispielsweise wusste ich noch nicht.
> zweiter und wesentlicherer punkt sind pop/imap/smtp-verbindungen der
> nutzer. da habe ich mal ideen gehört, die unverschlüsselten abrufe
> abzufangen und eine generierte fakemail zurückzusenden "dein passwort
> ist blabla, wie du sicher auf deine mails zugreifen kannst erfährst du
> unter diesem link", was ich für eine klasse idee (auch für tor-exit
> nodes im übrigen) halte. das das konkret entwickelt würde, habe ich
> aber
> nie gehört und habe selber leider zu wenig ahnung, um das anzufangen.
Interessant wäre das in der Tat, wobei ich das Passwort nicht
auslesen würde. Ein "Ihre Verbindung ist leider nicht sicher genug.
Weitere Infos..." wird wohl reichen.
Eine simple, portbasierte Implementation wäre ja ohne großen Aufwand
machbar, indem man schlichtweg alle Anfragen auf diese Ports umleitet
auf einen Server, der dann den Loginprozess (so es denn einen gibt)
positiv beantwortet und dann eine entsprechende Fehlermeldung
zurücksendet. Hat natürlich den Nachteil, dass (a) mailserver, die
nicht auf den standardports liegen nicht erfasst werden und (b)
möglicherweise doch verschlüsselte Verbindungen (auf den
standardports) ins Leere laufen.
Um das zu umgehen könnte man also entweder eine MAC-Tabelle aufbauen,
wer die Nachricht schonmal bekommen hat, damit die Nachricht nur
einmal verschickt wird.
Oder man geht auf OSI-Ebene 4 hoch und benutzt Snort o.Ä., um die
unverschlüsselten Verbindungen zu erkennen, die Verbindung zu
übernehmen / zu reseten und dann die entsprechende Infomail
zurückliefert. Wobei ich nicht weiß, ob der RAM dafür ausreichen
wird. Die Geschwindigkeit ist meiner Erfahrung nach kein Problem
(hatte auf einem P100 Snort für einen 100mbit laufen, praktisch ohne
Prozessorauslastung).
Wobei man sich natürlich auch die Frage stellen muss, ob sich der
Aufwand wirklich lohnt. Schließlich ist FreiFunk ja doch eher eine
Geek-community (soweit ich das mitbekommen habe), deren Clients
entweder selbst geeks sind oder sowieso einen Geek brauchen, um es
einzurichten. ;)
> für webmail und ähnliches, wo ggf. passwörter und persönliche daten
> unverschlüsselt durch die luft fliegen wirds schwierig, weil
> wahrscheinlich entweder eine umfassende datenbank sensibler seiten
> gebraucht würde oder ein verschlüsselter tunnel zum gateway, was
> beides
> nicht zu leisten sein wird (im 1. fall von den leuten nicht, im 2. von
> den routern)
Ack.
Wie aktiv ist denn momentan noch die Community? Wird immer noch das
original OLSR als Protokoll eingesetzt oder mittlerweile BATMAN[1|2] ?
Gruß aus HD,
Lars
Mehr Informationen über die Mailingliste WLANnews