Öffentliches WLAN in Hotels

Swp2000

Swp2000

Enthusiast
Thread Starter
Mitglied seit
03.06.2006
Beiträge
7.930
Ort
Baden-Württemberg
Moin Leute,

Das man bei öffentlichen WLANs aufpassen muss ist ja schon sehr lange bekannt. Erst gestern hab ich dazu wieder einen Artikel gelesen in welchem es darum ging das beispielsweise in Hotel jede Webseite schön vom Betreiber analysiert werden kann, selbst Fotos oder Mails können gesichtet werden.
Kann mir mal jemand erläutern wie das genau geht ohne „illegale“ Tools?
Dafür werden doch auch entsprechende Geräte benötigt oder? Ich denke da z.B. An das Ubiquiti SG bei welchem in der Statistik festgehalten wird welche Seiten angesurft werden.
Könnte dazu vllt jemand etwas genau was sagen? Würde mich sehr interessieren.
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Das USG zeigt dir zwar mit DPI an, welche Websites genutzt wurden (Facebook und co), das gilt aber auch nur für HTTP. Sobald SSL im Spiel ist, musst du eigentlich immer erst mal am Client ein entsprechendes Zertifikat installieren, das z.B. von einer Sonicwall kommt, damit die das dann öffnen kann. Also mit nem 0815 Gast, der einfach nur sein iPhone im WLAN hängen hat, haut das nicht hin. Zumindest ist mir kein anderer Weg bekannt. Du bekommst z.B. auch wenn du einen SSL Redirect über das Unifi (oder auch Zyxel) System machst, erstmal ne Zertifikatswarnung.

Wenn du wirklich auf Nummer Sicher gehen willst, dann bleibt dir eigentlich nur noch VPN, was ich je nach Hotel auch schon mal grundsätzlich nutze. Die Hoteliers bei denen ich bis jetzt WLAN verbaut habe, haben übrigens nur 3 Sorgen: Kein warmes Wasser, kein Strom und kein WLAN. Das muss laufen, einmal einrichten und dann für die nächsten Jahre vergessen.
 
Um moeglichst wenig ueber die preis zu geben benoetigst du von jedem oeffentlichem WLAN ne VPN Verbindung zu einem sicherem Endpunkt.

HTTPS kann zwar nicht ohne weiteres aufgebrochen werden, dafuer jedoch alle DNS Anfragen, die dann auf deine Person zurueckzufuehren sind. Ohne dass
du was davon mitbekommst.
 
Ja VPN ist mir ein Begriff.
Aber zu meiner Frage, wie bzw. Mit welcher Hardware können sie mitlesen wo ich mich im Netz herumtreibe?
Meisten sind viele ja mit iPad oder iPhone bzw. Generell mit Tablet oder Smartphone im Dortigen WLAN. Die Frage ist eben können sie so einfach mein Surfverhalten mitlesen.


Gesendet von iPhone mit Tapatalk Pro
 
Die Software dazu gibts ganz einfach und kostenlos (ja sogar Legal) im Internet. Das unterfangen nennt sich DHCP-Spoofing bzw. ARP Spoofing.

Man kann dann mit jedem normalen Gerät, komplett ohne irgendwelche Router-Zugangsdaten o.ä., so tun als ob man der DHCP-Server wäre. Dann werden alle Anfragen von anderen Geräten in diesem Netzwerk über deinen PC geleitet.
Solange dass dann unverschlüsselt ist, also kein HTTPS oder VPN dazwischensteht, kann man das einfach im Klartext mitlesen.

Man kann als User aber auch überprüfen ob man mit solchen Methoden abgehört wird -> Einfach eine Traceroute zu einer beliebigen Seite verfolgen. Wenn da ein Hop über eine Lokale Adresse läuft die nicht der Router ist dann ist da was faul.
 
Zuletzt bearbeitet:
Rurdo, kannst du bitte mal erklären, was DHCP/ARP-Spoofing mit dem Analysieren und Statistiken von Ethernetpaketen zu tun hat?
Bitte sehr ausführlich.

Oder anders gesagt, das hat mir der Frage Garnichts zu tun.

DHCP-Spoofing benutzt man um selber IP-Configs vorzugeben, das macht man idR. dazu, um sich selber als Router im Netz zu etablieren um dann die Anfragen der User mitzulesen.
Auch in dem Fall kannst du gerne mal erläutern, wie man als User in dem Fall
Wenn da ein Hop über eine Lokale Adresse läuft die nicht der Router ist dann ist da was faul.
Zum Vergrößern anklicken....
als Erkennungsmaßnahme diesen soll.
Wenn das Hotel 10. irgendwas als IP nutzt und man selber als gespoofter Router mit 192. irgendwas aggiert, dann ist in beiden Fällen in einem Tracert die Router IP im selben IP-Subnetz, wie auch sonst, sonst würde das garnicht laufen. Der Unterschied bei 192. ist, dass dort der 10. irgendwas als weiterer Hop auftaucht. Aber wer sagt einem, dass nicht Teil der Netzstruktur ist, die der Errichter oder gar Betreiber des Hotel-WLANs so nutzt? Es gibt auch WLANs die werden über externe Betreibernetze geleitet. Da steht dann lokal der 192. und beim Betreiber der 10. Router und der 10. verbindet dann die Clients mit den Inet. Das dürfte ja deiner Definition nach schon als faules Netz gelten und das obwohl das ein ganz normaler und viel genutzt Netzaufbau ist.

Wer sowas wirksam erkennen will, der braucht massive Tools auf den Geräte um zumindest überhaupt die Chance zu haben, sowas zu erkennen. Es ist damit nicht gesagt, dass es überhaupt erkennbar ist.
Am ehesten hat man Chancen, wenn man auf Layer2 eine Netzanalyse fährt. Und das wird wohl kaum ein iPhone unterstützen.

Spoofing hat also nichts mit dem Analysieren zu tun, es soll einem lediglich, als MITM-Ansatz, die Möglichkeit geben, Pakete aus dem Netz abzuziehen um sie dann einer Weiterverarbeitung, sprich der Analyse, zuzuführen.

Bleiben wir mal bei der Frage:
schön vom Betreiber analysiert werden kann
Zum Vergrößern anklicken....
Die einfachste und wenig systematische Methode wäre, man nehme ein Switch der Infrastruktur, vorzugsweise direkt vorm Router, macht den Mirrorport an, leitet sämtlichen Netzverkehr in einen PC, macht Wireshark auf, wählt eine beliebige IP aus und schaut sich an, welche DNS-Auflösungen der User fährt, schaut sich an welche IPs er anspricht und zusätzlich welche HTTP Inhalte transportiert werden. Und das Spiel kann man so weit spinnen wie man will.
Um dem Beobachter einen nicht zu tiefen Einblick zu bieten, hilft Verschlüsselung, dann sind zumindest die angeforderten/übertragenen Inhalte schwer nachvollziehbar. Dass man bei youp orn war, ist dann immer noch erkennbar.
Wer das auch noch blocken will, der baut, wie schon ausgeführt, einfach ne VPN-Verbindung auf. In diesem Fall, sieht der Betreiber nur, dass dort am Tag 10GB zu einer IP gehen, aber nichts weiter.
 
Zuletzt bearbeitet:
Switch mit Mirrorport, DHCP/ARP-Spoofing oder sonstwas ist meistens noch nicht mal im Ansatz nötig... ;)

Da der Betreiber des WLANs meistens auch das Gateway (Router/Firewall) kontrolliert, geht zwangsläufig jedweder Traffic aus dem WLAN in das Internet über dieses Gateway, je nachdem was für ein Gateway das ist wird dann mehr oder weniger mitgeloggt. Wenn das Hotel-WLAN z.B. über eine Sophos-Firewall mit Sophos-APs mit dem Internet verbunden ist, kann dort einfach eine Infrastruktur aufgebaut werden, über die Voucher (Gutscheine) an die Gäste ausgegeben werden. Auf der Sophos-Firewall wird dann der Traffic, der über die Geräte mit Voucher A läuft, mitgeloggt (wie schon geschrieben aber normalerweise nur die Webseiten, die aufgerufen wurden, nicht der Inhalt, zumindest solange die Websites SSL-Verschlüsselung nutzen) und den kann man später analysieren.

Das wird jedoch meistens nicht auf Verdacht analysiert, sondern erst wenn der konkrete Verdacht einer Straftat o.ä. besteht, sonst wäre das zu aufwendig.

Wenn Du verhindern willst, dass der Betreiber mitbekommt, auf welchen Webseiten Du warst, kannst Du vom Endgerät eine VPN-Verbindung z.B. zu dir nach Hause oder in ein Rechenzentrum aufbauen, über die dann jeglicher Traffic (auch die DNS-Anfragen) verschlüsselt wird. Somit sieht der Betreiber nur noch, dass eine verschlüsselte Verbindung mit einem bestimmten Endpunkt aufgebaut wurde, aber nicht mehr, welche Webseiten über dieses VPN aufgerufen wurden.
 
Eye-Q schrieb:
Switch mit Mirrorport, DHCP/ARP-Spoofing oder sonstwas ist meistens noch nicht mal im Ansatz nötig... ;)
Zum Vergrößern anklicken....

Ich fürchte schon. Im Regelfall haben die normal eingesetzten Router garkeine DPI. Allenfalls wird der Traffic geloggt und selbst das ist nicht mehr notwendig.
Auch das Thema Voucher ist schon lange vorbei. Heute ist das WLAN in Hotels unpersonalisiert, insbesondere im Ausland. Da gibt es dann ein Password, mit dem man sich einloggt.
Ältere Installationen verwenden ggf. noch eine Zimmer/Name Anmeldung.

Sophos mag eine nette Spielerei sein, ist aber keine Großflächenanwendung. Großflächig werden in der Masse 0815 Geschichten eingesetzt, mit eben auch genauso tiefen Analysefähigkeiten.
Wer sowas wirklich professionell machen will, der nutzt ganz andere Sachen als so ein kleine Jungs Spielzeug wie Sophos.
 
Anmelden, um zu antworten.
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh