Info-Blog der ima GmbH

Der Blog der ima GmbH aus Bochum

Absurditäten Administration Datenschutz

Internet im Hotel: Blockierungen durch übereifrige Administratoren

Dr.-Ing. Martin H. Ludwig

VonDr. Martin H. Ludwig

Feb 1, 2014 , , ,

Da war wahrscheinlich wieder ein übereifriger Administrator am Werk. In einem Seminarhotel im Sauerland wollte ich zwischen den Seminarzeiten noch auf die Firmensysteme mittels VPN zugreifen. Das WLAN war sicher mit WPA2 verschlüsselt und es gab zusätzlich noch einen Benutzernamen und Zugangscode, bei dem mir gesagt wurde, er sei nur für ein Gerät gültig, also vermutlich nach dem Login an die MAC-Adresse gebunden.

Nach dem Login mittels Zugangscode war die Firewall dann auch so konfiguriert, dass Webseiten aufrufbar waren. Auch die Mails tummelten sich ein – aber der VPN-Zugriff mittels OpenVPN wurde nicht aufgebaut. Ein Blickversuch auf den eigenen VPN-Server scheiterte auch: SSH war ebenfalls nicht möglich. Der übereifrige Administrator des Hotels hatte alle Ports außer den ihm bekannten „üblichen“ Ports, also 80 für http, 443 für https, 25 für SMTP, 110 für POP3 und 143 für IMAP4, vielleicht noch einige andere, aufgemacht, die meisten Ports jedoch blockiert.

So etwas ist besonders interessant in Anbetracht der Tatsache, dass ich an der Rezeption schriftlich darauf aufmerksam gemacht wurde, dass der Internetverkehr mitgeschrieben würde und ich für die Sicherheit, z.B. mittels VPN-Nutzung, selber sorgen müsste. Vermutlich wurde auch der Verkehr über Port 80 über einen Zwangsproxy geleitet.

Nun kannte ich solche Maßnahmen schon aus dem Ausland und unsere VPN-Gegenstelle und auch mein Laptop waren so vorbereitet, dass ich mit wenigen Änderungen an der Laptop-Konfiguration diese so umstellen konnte, dass das VPN über die eigentlich hierfür nicht vorgesehenen Ports aufgebaut werden konnte – aber warum behindert ein Hotel seine Gäste so stark? Wenn Sie doch mittels Zugangscode und anderen Maßnahmen die surfenden Gäste identifizieren können, drohen ihnen keine Gefahren aus ggf. verbotenem Verhalten der Gäste. Oder wurde hier halbherzig, eigentlich stümperhaft gearbeitet, so dass sie zwar Zugangscodes nutzen, aber sich auf Nachfrage doch nicht exculpieren können, also nicht sagen, welcher Gast zu welcher Zeit eine Tätigkeit begangen hat?

Ein Hinweis an die Datenschützer: Für eine solche Aussage muss ein Betreiber übrigens nicht den Verkehr mitschreiben oder protokollieren – dies wäre aus Datenschutzsicht sicherlich nicht zulässig, denn es gibt andere, sichere Methoden, mit denen nachvollzogen werden kann, wer eine Tat begangen hat: Zu einer Anfrage gehört nicht nur die IP-Adresse, sondern auch der Port der Anfrage. Und wenn dann eine vermeintliche Rechteverletzung begangen worden ist und der Rechteinhaber den Inhaber der IP-Adresse in Anspruch nehmen möchte, kann dieser nach dem Port der Anfrage fragen und diesen dann dem Gast eindeutig zuordnen. Somit muss der Verkehr vom Betreiber, also dem Hotel, nicht datenschutzwidrig mitgeschnitten werden.

Für die technisch Interessierten: Hier ein nmap auf einen unserer Rechner mit der Anzeige der Ports, die durchgelassen wurden:

Discovered open port 21/tcp on xxx.xxx.xxx.xxx
Discovered open port 80/tcp on xxx.xxx.xxx.xxx
Discovered open port 25/tcp on xxx.xxx.xxx.xxx
Discovered open port 53/tcp on xxx.xxx.xxx.xxx
Discovered open port 143/tcp on xxx.xxx.xxx.xxx
Discovered open port 110/tcp on xxx.xxx.xxx.xxx
Discovered open port 993/tcp on xxx.xxx.xxx.xxx
Discovered open port 3306/tcp on xxx.xxx.xxx.xxx
Discovered open port 443/tcp on xxx.xxx.xxx.xxx

Und hier die Ausgabe mit den Ports, die wirklich offen waren:

Discovered open port 993/tcp on xxx.xxx.xxx.xxx
Discovered open port 443/tcp on xxx.xxx.xxx.xxx
Discovered open port 110/tcp on xxx.xxx.xxx.xxx
Discovered open port 80/tcp on xxx.xxx.xxx.xxx
Discovered open port 53/tcp on xxx.xxx.xxx.xxx
Discovered open port 587/tcp on xxx.xxx.xxx.xxx
Discovered open port 8080/tcp on xxx.xxx.xxx.xxx
Discovered open port 21/tcp on xxx.xxx.xxx.xxx
Discovered open port 3306/tcp on xxx.xxx.xxx.xxx
Discovered open port 143/tcp on xxx.xxx.xxx.xxx
Discovered open port 995/tcp on xxx.xxx.xxx.xxx
Discovered open port 25/tcp on xxx.xxx.xxx.xxx
Discovered open port 22/tcp on xxx.xxx.xxx.xxx
Discovered open port 8081/tcp on xxx.xxx.xxx.xxx
Discovered open port 873/tcp on xxx.xxx.xxx.xxx
Discovered open port 5500/tcp on xxx.xxx.xxx.xxx

Faktisch waren also nur die banalen Standardports geöffnet, was zu einer großen Einschränkung für Gäste führt, die sich nicht entsprechend vorbereitet haben. Ohne unsere Vorbereitungen hätte ich an diesem Wochenende in diesem Seminarhotel nicht arbeiten können.#

Haben Sie Fragen zu den von uns getroffenen Maßnahmen? Sprechen Sie uns an!

 

All examples and illustrations must be oriented towards a specific group of readers.
Dr.-Ing. Martin H. Ludwig

Von Dr. Martin H. Ludwig

Dr. Martin H. Ludwig ist Geschäftsführer der ima GmbH, leidenschaftlicher IT-ler und Datenschutzexperte. Wenn er Zeit findet, schreibt er über IT-Probleme oder -Besonderheiten im Blog.

Ähnliche Beiträge

Absurditäten

Versteckspiel im Startmenü von Windows: Ein Kuriosum von doppelten Verknüpfungen

Nov 14, 2023 Karina Idem
Absurditäten Allgemein

Vertragsverhalten großer Provider: Vodafone

Mai 12, 2023 Dr. Martin H. Ludwig
Administration Allgemein Kostenrisiken

Was ist ein Systemhaus? – Und was ist dann die ima?

Jul 6, 2022 Dr. Martin H. Ludwig

Schreibe einen Kommentar

You missed

Allgemein

Die Sicherheit der Selbstverwaltung: Warum das Hosting eigener Relay-Server sinnvoll ist

Feb 5, 2024 Karina Idem
Allgemein

Unser Unternehmen kämpft gegen falsche Informationen auf Xing

Jan 31, 2024 Karina Idem
Allgemein

Zeit für den Umstieg vom VMware zu KVM

Jan 2, 2024 Dr. Martin H. Ludwig
Allgemein

Software-Mietmodelle: Kundennachteile, -vorteile und praktische Alternativen

Dez 12, 2023 Dr. Martin H. Ludwig