[gelöst] Absetzen eines ping = Sicherheitsgewinn?

[wanne]

Mein interner NTP gleicht sich natürlich mit externen NTPs ab, insofern ist die exakte Uhrzeit in meinem LAN schon garantiert.

Ja. Bei dir. Bei uns im Cluster läuft das sogar etwas anders. Da gibt es eine eigene Uhr. Die sagt die Uhrzeit. Wie genau die dann ist, ist Wurst. Nur halt überall gleich. Man stelle sich vor irgend jemand böswilliges fängt an da an, wie du deren NTP antworten zu fälschen. Ich will gefälligst sicherstellen, dass meine Server nur mit meinen NTPs reden und mit niemand sonst.

Aber wenn ich mir die meisten Internetseiten anschaue, auf denen Verschlüsselung dazu mißbraucht wird, noch mehr Werbung und Malware auf die Client zu schubsen, ohne daß man sich mit Filtern dagegen wehren könnte

Es ist eben eine verdammt dämliche Idee, zuerst einen Client zu kaufen, der Werbung anzeigt und Malware ausführt und das danach per Filtert irgend wie beheben zu wollen. Das ist so sinnvoll, wie eine angezogene Hanbremse mit mehr Gas zu kompensieren: Am Ende wundert man sich wundern, als Nebeneffekt die Handbremse kaputt ist.
Meine Programme zeigen keine Werbung an und verifizieren mit Signaturen, dass da niemand sonst irgend welchen Müll einschläust. Und das funktioniert genau so lange, bis irgend jemand vermeintlich gutwilliges antworten fälscht und ich nicht mehr unterscheiden kann ob da jetzt jemand aus bösen oder guten Absichten gute, gut gemeinte oder böse, falsche Antworten liefert.

Und wenn ein Gast damit Probleme hat, dann soll er halt GSM/UMTS/LTE nehmen.

Zum Glück funktioniert das nach und nach ziemlich problemlos. Ich habe nur die Befürchtung, dass ohne passende Gegenmaßnahmen LTE bald genau so kaputt und versäucht mit unerwünschten Meldungen ist, wie die schlimmsten Wlans und UMTS zu seinen schlimmsten Zeiten in Indien.

In meine eigenen LAN bin ich nicht "jemand".

Keiner kann mir sagen ob das du oder sonstwer ist. Deswegen muss man bei solchen Ansätzen immer dafür sorgen, dass alle Teilnehmer voll vertrauenswürdig sind. Darauf habe ich wenig Lust. Ich will durchaus auch mal freundlich mein WLAN anbieten können ohne angst davor zu haben, dass jetzt gleich meine ganze Infrastruktur übernommen wird. Kumpel von mit hat sein WLAN sogar ganz offen. Super angenehm als Gast. Eines der WLANs die ich wirklich nutze. (Zum psks eingeben bin ich zu faul, solange ich LTE habe.) Deswegen willst du sicher sein, dass dein Client nicht kaputt geht, nur weil irgend ein passant einen bösen Scherz erlaubt. Und am Ende ist das um Größenordnungen weniger Arbeit als irgend welche Filter zu warten die dann doch nicht alles erwischen.

Interessant, mit welchen APs geht sowas? Wie richtet man das ein?

Den, den jeder verwendet: hostapd
/etc/hostapd/5psk.conf:

Code: Alles auswählen

wpa_psk_file=/etc/hostapd/pws.wpa_psk

/etc/hostapd/pws.wpa_psk:

Code: Alles auswählen

52:4a:06:aa:2e:26 782ea9648c52f235508c7a1a77888f2245975afda5cff32db0a28f6f6aeef720
06:02:42:18:6a:62 45ca1b72e70eeecc98c9a34184a144b70e8345b99ec99edf4203a1091d1463d5
...

[MSfree]

Es ist eben eine verdammt dämliche Idee, zuerst einen Client zu kaufen, der Werbung anzeigt und Malware ausführt und das danach per Filtert irgend wie beheben zu wollen.

Man muß davon ausgehen, daß alle Clients irgendwo angreifbar sind. Folglich wäre es sinnvoll, Webinhalte zu filtern, bevor sie an den Client ausgeliefert werden. Das jedoch geht nicht, wenn die Netzwerkverbindung verschlüsselt ist. Ich könnte jetzt böswillig sagen, daß Verschlüsselung hier genau ihren Zweck komplett verfehlt.

Auch die Aufregung vor einigen Jahren, was für Daten Samsung-TVs nach Hause telefonieren, wäre nie wirklich aufgedeckt worden, wenn die von vornherein verschlüsselt übertragen hätten. Jetzt ist es verschlüsselt, die Daten fliessen nach wie vor, aber keiner kann sich mehr aufregen, weil alles ja ganz sicher verschlüsselt ist und der Inhalt nicht mehr untersucht werden kann. Tolle Wurst.

Verstehe das nicht falsch, Verschlüsselung ist durchaus wichtig, aber nur in bestimmten Bereichen. Eine allumfassende Verschlüsselung schadet den Endverbraucher mehr als sie nutzt.

Meine Programme zeigen keine Werbung an und verifizieren mit Signaturen, dass da niemand sonst irgend welchen Müll einschläust.

Und wie verhinderst du, daß aus einem Werbenetzwerk jemand korrekt signierten Müll verschlüsselt bei dir einschleust. Unverschlüsselt könnte man squid einfach dazu bringen, ein Access Denied an den Browser zu schicken und das Werbfenster bleibt einfach leer.

Und ja, ich kenne SSL-bumping, mit dem ich squid als MiM entschlüseln lassen, filtern und dann an der Browser übertragen lassen kann. Diese Art des MiM geht mir dann aber doch zu weit.

/etc/hostapd/5psk.conf:

Code: Alles auswählen

wpa_psk_file=/etc/hostapd/pws.wpa_psk

/etc/hostapd/pws.wpa_psk:

Code: Alles auswählen

52:4a:06:aa:2e:26 782ea9648c52f235508c7a1a77888f2245975afda5cff32db0a28f6f6aeef720
06:02:42:18:6a:62 45ca1b72e70eeecc98c9a34184a144b70e8345b99ec99edf4203a1091d1463d5
...

Und das funktioniert Dual-Band mit 2.4GHz und 5GHz und 802.11ac?