Content: Blog

Neulich in den Ferien

← zurück zum Blog

Martin Altorfer

Martin Altorfer
17.10.2013

Das erste was ich in den Ferien jeweils auspacke ist mein iPad und mein Notebook um zu prüfen wie gut der Wireless bzw. Internet Zugriff funktioniert. Dabei haben vermutlich viele feststellen können, dass es gewaltige Unterschiede in Qualität, Kosten und „Ease of use“ bei den Wireless-Angeboten in Hotels gibt.

An der Benutzung in diesem Hotel selber gab es vorerst absolut nichts zu meckern. Mittels Angabe von Nachname und Zimmernummer hatte man im ganzen Hotel-Komplex uneingeschränkten Zugriff auf’s Internet. Ich spreche von Komplex, weil dieser zwei Gebäude mit je 45 Stockwerken und eine grössere Menge an allgemein zugänglichen Räumen (Restaurants, Bars, Swimming Pools, etc) umfasst. Von überall hat der Zugriff ohne erneute Eingabe von Benutzerangaben funktioniert. Basis der Lösung ist offenbar Reivernet.

Aus „Gwunder“ und Langeweile (irgendwann wird der Strand und das Shopping mit Frau und Kindern ja langweilig) habe ich dann auf meinem iPad via Netmaster geschaut was ich im Netz allenfalls sonst noch sehe und da bin ich ziemlich erschrocken: Es waren mehr als 100 Geräte in einer flachen LAN-Struktur erreichbar. Eine bunte Mischung aus Notebooks verschiedener Hersteller, Apple TV (offenbar gibt es in Dubai einige Leute welche anstelle einer Wohnung gleich ins Hotel einziehen), Phones, Tablets, Drucker, etc.  

Die Access-Points sind alle in einer offenbar flachen Hierarchie direkt mit dem Gateway verbunden und nicht gegeneinander geschützt. Erwartet hätte ich eine Layer 2 Isolation, d.h. Clients vom Access Point 1 sehen lediglich den Gateway und allenfalls mittels denselben Credentials verbundene Clients und sonst nichts, aber sicher nicht das ganze Universum von Devices. In der Grafik (Abbildung 1) würde das bedeuten, dass Geräte mit Credentials „A“, „B“ oder „C“ jeweils in ein eigenes VLAN kommen.  Damit stellt man sicher, dass beispielsweise ein Benutzer trotz der Layer 2 Isolation sein Apple TV Gerät mit derselben Benutzer-ID verwenden kann.

Tipp 1: Ohne Firewall auf dem Endgerät keine Verwendung von „Public Hotspots“.

Die zweite Überraschung kam dann in Form einer Zertifikatswarnung. Offenbar ist irgendwo ein Contentfilter (in Form eines transparenten Proxys) installiert. Dieser Contentfilter zerlegt auch SSL-Traffic  (SSL Interception). Auch dies ist in meinen Augen äusserst unangenehm für den Kunden. Konkret bedeutet dies, dass auch vermeintlich verschlüsselter Verkehr auf dem Web zum Server „aufgebrochen“, d.h. entschlüsselt und mit einem neuen Zertifikat verschlüsselt wird. Von solchen „Man in the Middle“ Analysen sind nicht nur vermeintlich sichere Webseiten betroffen, sondern auch VPN-Anwendungen welche das SSL-Protokoll einsetzen.

Tipp 2: Wenn auf Firmendaten bzw. sensitive Daten von einem öffentlichen Access-Point aus zugegriffen wird, empfiehlt sich die Verwendung eines IPSEC-basierten VPNs.

blog_wireless_sec.pngAbb 1: Layer-2 Trennung in einem WLAN-Setup

Die «smart, kompetent und leidenschaftlich» - Services für Unternehmen