[lug-ld] S) Bericht und Kurzvorträge-Wunschzettel

Christian Boltz lug-ld at cboltz.de
Mo Jan 20 21:04:11 CET 2020


Hallo Heinz, hallo zusammen,

erstmal danke für die Zusammenfassung und das Auflisten der offenen 
Fragen. 

Ich weiß, dass Du die Fragen lieber mündlich behandelt haben willst, 
daher halte ich mich mal großteils zurück. Einzige Ausnahme ist die 
Frage nach der Schlüsselvergabe bei VPN - das sehe ich eher als Nachtrag 
zum letzten Treffen.

Am Sonntag, 19. Januar 2020, 11:15:53 CET schrieb Pahle Heinz:
> Diese Mail ist u.a. ein SCHRIFTLICH gefasster Wunschzettel, für
> mögliche MÜNDLICHE Kurzvorträge bei unseren Treffen, um Wissenslücken
> zu schließen. Nachfragen können, das geht mündlich bestens.
> 
> Das Treffen 15.1. bei LUG war Ok, auch wenn der liebe H. B. ...
> Zum Glück reichten die Plätze wie abgezählt aus. Zum Vortrag VPN: Jean
> Jacques hat mit Wissen geglänzt und gezeigt was möglich ist. Die vom
> Thema Angehauchten konnten dann noch ein letztes Wissensquäntchen
> herauskitzeln. Weil der Vortrag nicht als „Einführung in VPN“
> deklariert war, darf ich nicht meckern, weil ich nur wenig verstanden
> habe. Es hat sich aber in der Runde gezeigt, dass nicht nur bei mir 
> einiges an Grundlagenwissen fehlte.

Hakon hat schon eine Liste für eine Vortragsserie "Netzwerk" angefangen 
(beginnend mit Layer 1 - Netzwerkkabel selbst crimpen - das wird für 
mich definitiv Neuland ;-)

Ob Deine Fragen/Themen schon alle auf der Liste stehen oder nicht, darf 
Hakon nachsehen - der hat den Zettel mitgenommen.

> Es wäre daher zum Einstellen
> darauf schön, beabsichtigte Vorträge im Voraus zu deklarieren mit
> 
> WORKSHOP über … EINFÜHRUNG in … ÜBERBLICK über ...
> 
> SCHLÜSSELVERGABE bei VPN
> Davon war übrigens bei dem Kleinkreis der Wissenden in keinem Satz in
> Vortrag/Diskussion die Rede. Aber, ist das nicht mit entscheidend,
> betreffend „privat“ in VPN? Kurzvortrag wäre bestens.

Das ist eine Besonderheit bei ZeroTier - da läuft das (nach meinem 
Verständnis) alles automatisch im Hintergrund, und Du hast keine Arbeit 
damit.

Die Doku unterscheidet zwischen "Zertifikat" (certificate) und 
"Schlüssel" (key). Von https://www.zerotier.com/

    All traffic is automatically end-to-end encrypted using keys only 
    you control.
    Access to virtual networks is controlled by certificates.

Das Zertifikat wird wohl zentral vom "Network Controller" (in der Regel 
wohl der zentrale zerotier.com-Server) erstellt und verteilt (siehe dazu 
auch https://www.zerotier.com/manual/#2_2_1 - "Network controllers serve 
as certificate authorities for ZeroTier virtual networks")

Wie das mit den Keys läuft, ist mir trotz lesen der Doku (Abschnitt 
2.1.2 und 2.1.3 im obigen Link) noch nicht ganz klar. Es wird wohl beim 
ersten Start von ZeroTier ein idendity.public und idendity.private 
erstellt, was halbwegs vergleichbar mit SSH-Keys sein dürfte.

Die interessante Frage ist, wie sichergestellt wird, dass man auch mit 
dem richtigen Rechner redet - die zentral (von einem per Definition 
"nicht vertrauenswürdigen" Server) erstellten Zertifikate würde ich 
schonmal nicht als Basis nehmen wollen (ja, ich bin bei so Sachen 
paranoid ;-) und idendity.* hilft auch nur, wenn man schon Kontakt mit 
der Gegenstelle hatte und sich den public key des Gegenübers gemerkt hat 
(bei SSH "known_hosts").


Da "faul" und "sicher" eher selten zusammenpassen, sind die Automatismen 
beim Key- und Zertifikatshandling auch gleichzeitig ein (IMHO: der 
größte) Nachteil - Du weißt nie, ob noch jemand ein Zertifikat hat, weil 
der Network Controller die Zertifikate erstellt und nicht Du selbst.
(Trotzdem: sicherer als die Daten im Klartext übers Internet zu 
schicken, ist es - schlimmer als "jeder kann mitlesen" kann es nicht 
werden, höchstens besser ;-)

Bei z. B. openVPN erstellst Du alle Schlüssel selbst. Die Details dazu 
können wir gern irgendwann[tm] in einem openVPN-Vortrag durchgehen (und 
dabei auch das Thema TUNNEL besprechen), allerdings eher gegen Ende der 
Netzwerk-Serie ;-)

Alles, was ich über ZeroTier geschrieben habe, basiert auf dem Vortrag 
und stichpunktartigen Lesen der Doku, selbst benutzt habe ich es nie. 
Daher: Jean-Jacques, falls ich mit irgendwas falsch liege, korrigiere 
mich bitte ;-)

> TUNNEL wurde mehrfach genannt
> Was tunneln ist kann ich mir nur denken. Das müsste über Kenntnisse
> ISO-Referenzmodell erklärbar sein. Kurzvortrag wäre bestens.

Alternativ (vielleicht sogar verständlicher) könnte man das auch mit 
Papier und Briefumschlägen erklären ;-)  und bei der Gelegenheit auch 
gleich die Frage klären, welche IP-Adressen/-bereiche jeweils im Einsatz 
sind. Dazu gab es ja auch etwas Gesprächsbedarf ;-)

[...]
> ÖFFENTLICHES NETZ war mehrfach dran
> Das mit "öffentlich" muss für Dummies (zähle mich dazu) erklärt
> werden. Denn: Es ist ein großer Unterschied, ob das Netz für die
> Öffentlichkeit ist, oder, ob es öffentlich zugänglich ist. Letzteres
> wäre wie ein öffentliches Telefonbuch, bei dem jeder
> nachgucken/wählen kann. Und wäre es so, was es bestimmt nicht ist,
> dann bräuchte man keinen Dyn-DNS-Dienst. Übertrieben geschrieben ist
> es doch so, dass dieses sogenannte „öffentlich“ Netz, eine für die
> Öffentlichkeit quasi geheime, nur für einen Provider-Klienten
> bestimmte und sichtbare (dazu noch dynamische) IP bereithält.
> Ein paar "Nebenbeisätze" beim Treffen wären hilfreich.

Dazu hätte ich sogar ein paar Hauptsätze auf Lager ;-)  - stell diesen 
Absatz doch beim nächsten Treffen zur Diskussion.

Die extrem verkürzte Definition wäre "öffentliches Netz = Internet".
Das ist nicht völlig falsch, aber je nach Umfeld zu sehr verkürzt.

Nebenbei: auch ohne Telefonbuch kannst Du eine "zufällige" Nummer ins 
Telefon tippen und abwarten, ob jemand drangeht ;-)
Sprich: Ohne (Dyn-)DNS-Eintrag ist eine IP zwar nicht gezielt 
auffindbar, aber trotzdem öffentlich.

[...]
> Da die LUGer eine nette (Wissens-)Gemeinschaft bilden, glaube ich
> definitiv, dass wir zukünftig alles hinkriegen (Achtung Nichtpfälzer!
> „Alles hinkriegen“ ist im falschen Tonfall toxisch).

Diese Warnung... *lol*


Gruß

Christian Boltz
-- 
> Warum neu kaufen? Selbst kompilieren macht doch so ein spass. :-)
Aus dem neuen Strafenkatalog für ungehörige Linux-User: Gentoo inklusive
KDE und Gnome und OpenOffice 1.1.4 und 1.9.x auf einem Pentium 60 kompi-
lieren, dabei zuschauen und die Warnungen von Hand protokollieren. ;)
[> Michael Raab und Jens Nixdorf in suse-linux?]