Da war wahrscheinlich wieder ein übereifriger Administrator am Werk. In einem Seminarhotel im Sauerland wollte ich zwischen den Seminarzeiten noch auf die Firmensysteme mittels VPN zugreifen. Das WLAN war sicher mit WPA2 verschlüsselt und es gab zusätzlich noch einen Benutzernamen und Zugangscode, bei dem mir gesagt wurde, er sei nur für ein Gerät gültig, also vermutlich nach dem Login an die MAC-Adresse gebunden.

Nach dem Login mittels Zugangscode war die Firewall dann auch so konfiguriert, dass Webseiten aufrufbar waren. Auch die Mails tummelten sich ein – aber der VPN-Zugriff mittels OpenVPN wurde nicht aufgebaut. Ein Blickversuch auf den eigenen VPN-Server scheiterte auch: SSH war ebenfalls nicht möglich. Der übereifrige Administrator des Hotels hatte alle Ports außer den ihm bekannten “üblichen” Ports, also 80 für http, 443 für https, 25 für SMTP, 110 für POP3 und 143 für IMAP4, vielleicht noch einige andere, aufgemacht, die meisten Ports jedoch blockiert.

So etwas ist besonders interessant in Anbetracht der Tatsache, dass ich an der Rezeption schriftlich darauf aufmerksam gemacht wurde, dass der Internetverkehr mitgeschrieben würde und ich für die Sicherheit, z.B. mittels VPN-Nutzung, selber sorgen müsste. Vermutlich wurde auch der Verkehr über Port 80 über einen Zwangsproxy geleitet.

Nun kannte ich solche Maßnahmen schon aus dem Ausland und unsere VPN-Gegenstelle und auch mein Laptop waren so vorbereitet, dass ich mit wenigen Änderungen an der Laptop-Konfiguration diese so umstellen konnte, dass das VPN über die eigentlich hierfür nicht vorgesehenen Ports aufgebaut werden konnte – aber warum behindert ein Hotel seine Gäste so stark? Wenn Sie doch mittels Zugangscode und anderen Maßnahmen die surfenden Gäste identifizieren können, drohen ihnen keine Gefahren aus ggf. verbotenem Verhalten der Gäste. Oder wurde hier halbherzig, eigentlich stümperhaft gearbeitet, so dass sie zwar Zugangscodes nutzen, aber sich auf Nachfrage doch nicht exculpieren können, also nicht sagen, welcher Gast zu welcher Zeit eine Tätigkeit begangen hat?

Ein Hinweis an die Datenschützer: Für eine solche Aussage muss ein Betreiber übrigens nicht den Verkehr mitschreiben oder protokollieren – dies wäre aus Datenschutzsicht sicherlich nicht zulässig, denn es gibt andere, sichere Methoden, mit denen nachvollzogen werden kann, wer eine Tat begangen hat: Zu einer Anfrage gehört nicht nur die IP-Adresse, sondern auch der Port der Anfrage. Und wenn dann eine vermeintliche Rechteverletzung begangen worden ist und der Rechteinhaber den Inhaber der IP-Adresse in Anspruch nehmen möchte, kann dieser nach dem Port der Anfrage fragen und diesen dann dem Gast eindeutig zuordnen. Somit muss der Verkehr vom Betreiber, also dem Hotel, nicht datenschutzwidrig mitgeschnitten werden.

Für die technisch Interessierten: Hier ein nmap auf einen unserer Rechner mit der Anzeige der Ports, die durchgelassen wurden:

Discovered open port 21/tcp on xxx.xxx.xxx.xxx
Discovered open port 80/tcp on xxx.xxx.xxx.xxx
Discovered open port 25/tcp on xxx.xxx.xxx.xxx
Discovered open port 53/tcp on xxx.xxx.xxx.xxx
Discovered open port 143/tcp on xxx.xxx.xxx.xxx
Discovered open port 110/tcp on xxx.xxx.xxx.xxx
Discovered open port 993/tcp on xxx.xxx.xxx.xxx
Discovered open port 3306/tcp on xxx.xxx.xxx.xxx
Discovered open port 443/tcp on xxx.xxx.xxx.xxx

Und hier die Ausgabe mit den Ports, die wirklich offen waren:

Discovered open port 993/tcp on xxx.xxx.xxx.xxx
Discovered open port 443/tcp on xxx.xxx.xxx.xxx
Discovered open port 110/tcp on xxx.xxx.xxx.xxx
Discovered open port 80/tcp on xxx.xxx.xxx.xxx
Discovered open port 53/tcp on xxx.xxx.xxx.xxx
Discovered open port 587/tcp on xxx.xxx.xxx.xxx
Discovered open port 8080/tcp on xxx.xxx.xxx.xxx
Discovered open port 21/tcp on xxx.xxx.xxx.xxx
Discovered open port 3306/tcp on xxx.xxx.xxx.xxx
Discovered open port 143/tcp on xxx.xxx.xxx.xxx
Discovered open port 995/tcp on xxx.xxx.xxx.xxx
Discovered open port 25/tcp on xxx.xxx.xxx.xxx
Discovered open port 22/tcp on xxx.xxx.xxx.xxx
Discovered open port 8081/tcp on xxx.xxx.xxx.xxx
Discovered open port 873/tcp on xxx.xxx.xxx.xxx
Discovered open port 5500/tcp on xxx.xxx.xxx.xxx

Faktisch waren also nur die banalen Standardports geöffnet, was zu einer großen Einschränkung für Gäste führt, die sich nicht entsprechend vorbereitet haben. Ohne unsere Vorbereitungen hätte ich an diesem Wochenende in diesem Seminarhotel nicht arbeiten können.#

Haben Sie Fragen zu den von uns getroffenen Maßnahmen? Sprechen Sie uns an!