[WLANtalk] vpn key administration [was: Hallo Vorstand vom Verbund Freie Netzwerke NRW, Hallo Liste, ]
Malte Moeller
malte.moeller at halifax.rwth-aachen.de
Fr Mär 27 10:03:13 CET 2015
Am 27.03.2015 09:32 schrieb "Adrian Reyer" <are at lihas.de>:
>
> On Fri, Mar 27, 2015 at 03:06:37AM +0100, Bernd Naumann wrote:
> > Die meisten kennen das sicherlich mitlerweile, dass wenn ich meinen
> > /Freifunk/-Router von Community XY ans Internet anschlieszen moechte,
> > dann geht das nur wenn ich da vorher meinen **VPN-Key** einem
> > __administrativen Organ__ melde, welches diesen dann auf
> > **VPN-Servern** hinterlegen, und erst dann darf man mit spielen.
> > Neulich sagt mir dann doch jemand, dass das doch voll praktisch ist,
> > weil so kann man da jetzt Nazis nicht mehr mitspielen lassen, wenn die
> > da ihren Nazikram machen. "Und wie oft kam das bis jetzt vor?", frage
> > ich zurueck. "Na aber wenn....", war die Antwort.
>
> Also Freifunk Stuttgart fordert den User auf den VPN-Key per Mail an
> eine Adresse zu schicken. Jemand nimmt den Key dann und hinterlegt den
> im Repository wo ihn die Gateways automatisch abholen.
> Das ist so, weil wir noch keinen Automatismus dafuer haben, nicht weil
> wir ein Audit ueber den Keyowner machen. Dazu waeren wir anhand einer
> Mailadresse und einem Nodenamen auch gar nicht in der Lage. Wie auch,
> wir erlauben keine Mailadressen die mehr als 3 Vokale enthalten, oder
> was sollte das Kriterium sein?
> Reines Meshing funktioniert, wie wahrscheinlich ueberall sonst auch,
> sofort und ohne VPN. Das benoetigen eh nur die Leute die ihren Uplink
> bereit stellen wollen (hoffentlich viele). Ausschlusskriterium ist es
> jedenfalls keines. Und damit ist auch jegliches Auditing der VPN-Keys
> bezueglich potentieller Daten vom Node nutzlos, die konnen dann ja auch
> vom Node dahinter 3 Jahre spaeter auftauchen.
Wie kommt ihr jetzt vom vollen ssh+Backdoor Zugang zu sämtlichen Access
Points des VfN durch teilweise nicht bekannte Admins, zur Verwaltung der
vpn Schlüssel für die Umleitung des Traffics durch die Gateways/Supernodes?
Grüße
Malte
PS: Entschuldigung wegen dem dem Titel. Ein Flüchtigkeitsfehler beim
erneuten senden der Mail, bei ersten Versuch hatte ich die falsche Absender
Adresse aber dafür den Betreff:
"Firmware mit Backdoor beim Verbund Freie Netzwerke NRW"
-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <http://lists.freifunk.net/pipermail/wlantalk-freifunk.net/attachments/20150327/eb68d8aa/attachment.html>
Mehr Informationen über die Mailingliste WLANtalk