<div dir="ltr">That *should* be how things work, but a bunch of rulings about message passing on packet networks threw that on its head. We need to take reasonable precautions to prevent encrypted traffic from moving over the network. Blocking common encrypted ports is simple and no-cost.</div>
<div class="gmail_extra"><br><br><div class="gmail_quote">On Thu, Feb 21, 2013 at 7:46 PM, Bart Kus <span dir="ltr"><<a href="mailto:me@bartk.us" target="_blank">me@bartk.us</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

  
    
  
  <div text="#000000" bgcolor="#FFFFFF">
    <div>Good direction, but I'd drop the
      requirement for policing the network by actively preventing hams
      from using crypto.  Hams are supposed to be self-policing, and
      we'll be engaging a losing battle, and inviting exploits.  Let's
      just provide the tools to play nice.  If people wanna run astray
      of rules, HamWAN as repeater operator, is not ultimately
      responsible.<br>
      <br>
      Let us know how the infonerd thing goes.  :)<br>
      <br>
      --Bart<div><div class="h5"><br>
      <br>
      <br>
      On 2/21/2013 7:21 PM, Benjamin Krueger wrote:<br>
    </div></div></div>
    <blockquote type="cite"><div><div class="h5">
      <div dir="ltr">I think we can solve a lot of our crypto-regulation
        problems if we explore IPSec in Authentication Header Transport
        mode. This signs every IP packet which gets us connection
        integrity, origin authentication, and replay protection without
        encrypting anything. Then we only have to take very basic
        measures to ensure folks don't intentionally or unintentionally
        make encrypted connections (over SSL, SSH, or other commonly
        encrypted protocols). The only outstanding question then is how
        to handle IKE (key exchange) in an automated way with
        certificates.<br>
        <br>
        I'm going to speak to some infosec geeks about this tonight<br>
        <br>
        NB: This doesn't handle initial network access authentication.
        That's still a problem to be solved, possibly with 802.1X,
        though that has its own problem since RouterOS only supports
        TLS-EAP which incorporates crypto.<br clear="all">
        <div><br>
        </div>
        -- <br>
        <div dir="ltr">Benjamin<br>
        </div>
      </div>
      <br>
      <fieldset></fieldset>
      <br>
      </div></div><pre>_______________________________________________
PSDR mailing list
<a href="mailto:PSDR@hamwan.org" target="_blank">PSDR@hamwan.org</a>
<a href="http://mail.hamwan.org/mailman/listinfo/psdr_hamwan.org" target="_blank">http://mail.hamwan.org/mailman/listinfo/psdr_hamwan.org</a>
</pre>
    </blockquote>
    <br>
  </div>

<br>_______________________________________________<br>
PSDR mailing list<br>
<a href="mailto:PSDR@hamwan.org">PSDR@hamwan.org</a><br>
<a href="http://mail.hamwan.org/mailman/listinfo/psdr_hamwan.org" target="_blank">http://mail.hamwan.org/mailman/listinfo/psdr_hamwan.org</a><br>
<br></blockquote></div><br><br clear="all"><div><br></div>-- <br><div dir="ltr">Benjamin<br></div>
</div>