[Berlin-wireless] BBB verschlüsseln ...
Elektra
onelektra
So Jun 29 19:21:52 CEST 2014
Hallo Bastian ?
> Das wird bei Geräten, die DFS korrekt implementiert haben, nicht
> passieren. Die Radar-Pattern sind ziemlich genau spezifiziert.
die Geräte erkennen das an den Mustern von Übertragungsfehlern (Phy-Errors). Auch wenn es "korrekt" implementiert ist, gibt es "False-Positives". Diese treten auch immer wieder durch Übersprechen benachbarter Kanäle auf. Nur weil etwas "korrekt" implementiert ist, heisst es nicht, dass es keine "False-Positives" gibt.
Übrigends war DFS bereits "korrekt" für die ETSI-Domain in Linux-Wireles implementiert (Stand vom Battlemesh laut Simon Wunderlich) aber es fehlt noch Support für die FCC-Domain ? was uns an sich egal sein könnte, aber so wird es nicht öffentlich und "stable", solange die USA und Kanada nicht unterstützt werden.
> Viel schlimmer an dieser Variante ist das Erkennen von freien Kanälen:
> Wir selbst und alle anderen würden es schwer haben einen wirklich freien
> Kanal zu finden, weil belegte Kanäle einfach nicht mehr im
> Site-Survey/Scan aufgelistet werden.
Also ein gutes Argument gegen diese Variante.
> Ob unsere Kisten genug Dampf haben um die selbe Performance mit
> aktivierter Crypto zu liefern gilt es zu testen. Wenn man sich die Werte
> von fastd/openvpn auf ar71xx anschaut, geht da nämlich einiges an
> Bandbreite verloren. Aber evtl. ist WPA2 ja sauber in Hardware
> implementiert und alles flutscht?
Das kann man in der Tat nicht vergleichen. fastd/openvpn sind Programme im User-Space. Will man das in performant haben, muss man das im Kernel-Space machen. batman-adv gab es mal analog im User-Space, gibt es aber mittlerweile nur noch als Kernel-Modul, weil Userspace-Implementierungen zu viele Ressourcen kosten. WPA2 wird im Kernel-Space erledigt. Die Limitierung im konkreten Fall sind eher die 100 Mbit Ethernet-Ports, wenn die WLAN-Bedingungen keine anderen Grenzen setzen...
> Und evtl. erschieben wir uns uns ja mit Channel-Shifting doch noch den
> ein oder anderen freien Kanal...
Die dubiosen Zwischenkanäle überlappen sich bei 20 oder 40 MHz Kanalbandbreite mit anderen Kanälen, deren Nutzer Kollisionen nur mit dem Spektrum-Analyzer entdecken können - sofern wir nicht ausserhalb des Bandes funken.
> Sauber ist jedenfalls keine der vorgeschlagenen Lösungen, und bei
> Channel-Shifting würden wir zumindest Smartphones gänzlich aus unserem
> Backbone fern halten. Und darum geht es schließlich.
Ich kann nicht sehen, warum WPA2 auf Backbone-Linkstrecken in irgendeiner Weise nicht "sauber" sein soll. Alle Welt verschlüsselt mit WPA2 und wir führen eine Diskussion, ob das Aktivieren von WPA2 Geschwindigkeit kostet? Die Ubiquity-Hardware wird weltweit genau zu diesem Zweck verkauft, basiert auf Chipsätzen, die genau zu diesem Zweck entwickelt wurden und nur wenige Wireless-ISPs werden wohl Diskussionen intern darüber führen, ob sie ? aus sämtlichen bereits genannten Gründen ? auf Verschlüsselung ihrer Backbone-Links verzichten. Ihre Probleme sind diesbezüglich genau die selben wie unsere.
Elektra
--
Elektra <onelektra at gmx.net>
Mehr Informationen über die Mailingliste Berlin