Moin allerseits,
Joerg Mayer <jma...@loplof.de> writes:
> On Fri, Jun 15, 2012 at 10:04:43AM +0000, Benedikt Stockebrand wrote:
>> wird es nicht besser: Solange wir mit Multiple-Access-Netzen statt
>> Point-to-Point-Verbindungen rumhantieren, haben wir prinzipbedingt
>> immer das Problem, dass man nie weiÃ, ob ein Paket, das man gerade
>> bekommen hat, tatsächlich vom angeblichen Absender kommt. Und *das*
>> ist ein Problem, das nicht im Layer 3 steckt, sondern im
>> grundsätzlichen Design des TCP/IP-Stacks. Wenn man das fixen wollte,
>> könnte man sich erstmal von so ziemlich allen etablierten
>> (LAN-)Link-Layern verabschieden, und das wäre nun wirklich etwas
>> "ambitioniert".
>
> Nein, die Bausteine sind schon in standardisierter Form da:
> IEEE 802.1X (Port authentication) mit den ganzen dranhängenden
> Autorsierungsgeschichten und IEEE 802.1AE (MAC Sec).
das meine ich nicht. Mal abgesehen davon, dass .1x nur nur den Client
gegenüber dem Switch authentisiert, aber nicht umgekehrt, kann ich als
Empfänger, auch im gleichen Subnetz, einem Paket damit immer noch
nicht ansehen, ob es wirklich von der angeblichen Absenderadresse
kommt oder nicht. Mit .1x kann ich höchstens sicherstellen, dass das
von jemand kommt, der auch in das Subnetz/VLAN rein darf.
> Klar braucht man dafür Ethernet Chips, die Verschlüsselung
> eingebaut haben
Das macht das nächste Fass auf: Wenn das ganze in Hardware verbaut ist
(und nicht gerade mit Microcontrollern oder FPGAs implementiert ist),
dann kann ich weder einen nicht-destruktiven Audit machen, noch kann
ich bei bekanntgewordenen Problemen in der Implementierung oder den
Algorithmen ein Update machen, ohne darauf warten zu müssen, dass der
Hersteller das Zeug produziert und mir zur Verfügung stellt -- im
Zweifelsfall hat der eh schon pleite gemacht.
Und wenn ich mir überlege, dass die "Verschlüsselung" in den
Mobilnetzen schon bei der Entwicklung ein einigermaßen fauler
Kompromiss war, der sich heute quasi während eines Gesprächs knacken
zu lassen scheint, dann sollte auch klar sein, dass alles, was in
Hardware implementiert ist, langfristig nur dazu führt, dass völlig
überholte Verschlüsselungs- und Authentisierungsmechanismen immer noch
weiter benutzt werden.
> - aber im WLAN-Bereich klappt das ja auch, und
> es gibt einzelne Produkte am Markt, die das drin haben.
Hmm, also es scheint immer noch genug Leute zu geben, die WEP
einsetzen. Und auch zu WPA/WPA2 gibt es wohl schon Ergebnisse, die
das ganze als relativ fragwürdig erscheinen lassen -- Details habe ich
aber weder im Kopf noch gerade greifbar.
Viele Grüße,
Benedikt
--
Business Grade IPv6
Consulting, Training, Projects
Benedikt Stockebrand, Dipl.-Inform. http://www.benedikt-stockebrand.de/
--
ipv6 mailing list
ipv6@listserv.uni-muenster.de
http://listserv.uni-muenster.de/mailman/listinfo/ipv6
