Gluon unterstützt nicht die sicheren SSH-Algorithmen und Ciphers

Hallo,

das aktuelle gluon 0.5 Ruhrgebiet unterstützt nicht die sicheren SSH-Algorithmen und Ciphers.

Biite einmal bei Bettercrypto S.19 nachgucken und entsprechend anpassen. Bei Fragen kann ich auch unterstützen.

Gruß Jörg

Hi Jörg,

Gluon, bzw OpenWrt, nutzt busybox mit Dropbear. Dies unterstützt lediglich die Cipher:
3DES, AES128, AES256, Blowfish, Twofish128 und Twofish256

Da die Geräte nicht viel Flashspeicher haben, kann leider kein OpenSSH verwendet werden.
Außerdem sind die Geräte recht langsam und gewisse Cipher würden zu viel Leistung benötigen.

Mehr zu Dropbear kannst du hier nachlesen: http://matt.ucc.asn.au/dropbear/dropbear.html

Man hat ja dahingehend reagiert, dass per Default ssh zugesperrt ist auf dem WAN-Port.
Aber anyway, größter Angriffsvektor für die User ist und bleibt die unverschlüsselte Verbindung zwischen Endgerät und AP.
Es führt also kein Weg an einer Ende-zu-Ende-Verschlüsselung vorbei. Der Rest ist dann „nur“ Infrastruktur-Frage.

(Und wer in einer Community sabotieren will, der schafft das auch wesentlich einfacher, ganz ohne Brechen von Keys.)

Dass aufgrund der begrenzten Resourcen kein OpenSSH verwendet werden kann, ist schon klar :slight_smile: .

Für Dropbear gibt es allerdings einen Patch, der zu mindestens hmac-sha2-256 und hmac-sha2-512 aktiviert. Damit wäre man zunächsteinmal wieder auf der sicheren Seite.

1 „Gefällt mir“

Sieht super aus :slight_smile: Wäre super wenn du das direkt bei den Gluon Entwicklern als Issue in Github anlegen könntest: Issues · freifunk-gluon/gluon · GitHub

1 „Gefällt mir“

Alles muss man selber machen ;-):

https://github.com/freifunk-gluon/gluon/issues/223

@pberndro : Kannst Du bitte einen Blick darauf werfen.

Sieht so aus, als ob sich OpenWrt direkt damit befassen sollte. Ich habe diesbezüglich keinen Bug gesehen, also verfasse selbst wieder einen neuen: https://dev.openwrt.org/newticket :wink:

Hallo,

Hm, ob es Sinn macht, in einer Sicherheitstechnischen Sache auf OpenWrt zu warten…?

Gruß Jörg

Sicherheitstechnisch kannst Du die Sicherheitslücke umgehen, indem Du dich nicht mehr über den Freifunk mit dem Knoten verbindest, sondern nur Lokal über den LAN-Port. Ich weiß, das macht keinen Spaß, aber dies erhöht die Chance, dass es von niemanden Abgehört wird und die schwachen Chiffriercodes ausnutzt. Ansonsten besteht für Dich noch die Möglichkeit Dropbear selbst zu patchen, zu bauen und dann auf dem betroffenen Gerät zu ersetzen. es benötigt ca. 80 KiB freien Platz. Um das zu bewerkstelligen reicht OpenWrts SDK aus.

Sollte ich das nächste Mal eine Firmware für Wuppertal machen, schaue ich, ob ich diesen Patch integrieren werde.

Es wäre praktisch, wenn Du ein Gluon-Paket draus machst, dann können die anderen communities das auch mit hineinnehmen „mit einem Klick“.

1 „Gefällt mir“

Bin ich auch für :slight_smile: Bitte keine Bastelei, direkt richtig machen :thumbsup:

1 „Gefällt mir“