Öffentlicher Hotspot verschlüsseln?

[stefanbunzel]

Guten Morgen,

mir ist noch eingefallen, dass Lancom hier auch rechtliche Informationen in Form eines "Rechtsleitfaden" liefert, den man auf der Lancom-Homepage anfordern kann: http://www.lancom.de/loesungen/wireless ... leitfaden/

Sowie viele allgemeine Informationen zum Thema: http://www.lancom.de/loesungen/wireless ... -hotspots/

Viele Grüße,
Stefan

[Immo]

Hallo,
vielen Dank für die rege Diskussion. Aber leider bleibt die Sache - wie erwartet - Dank der "praxisnahen" Rechtslage noch immer sehr schwammig. Ein Verschlüsselung des Netzes kommt meines Erachtens nicht in Betracht, da dann die ganze Anmeldeprozedur zu kompliziert wird. Auch wenn die Anmeldung per SMS bei der Lancom-Lösung relativ unkompliziert ist, dürften es für den DAU schon eine unüberwindbare Hürde sein. Aber die Anmeldung per SMS ist vielleicht ein wenig abschreckend, verbotene Sachen zu machen, da der User davon ausgehen könnte, dass er anhand der Handynummer zu identifizieren ist (quasi Abschreckung durch Bluff). Ich werde daher den Testversuch wie folgt durchführen.
-SSID unverschlüsselt
-Anmeldung unverschlüsselt (wegen der Zertifikatsproblematik)
-AGBs zum Nachlesen auf einer freigeschalteten Internetseite zur Verfügung stellen. Dort die Musterregelungen von Lancom verwenden.
-Nutzung des Hotspots erst möglich, wenn per Klick bestätigt worden ist, dass die AGBs zur Kenntnis genommen worden sind und man sie akzeptiert.
-Freigabe der Zieildienste (Web- Port 80, 443, Mail und SECURE-MAIL sowie die entsprechenden Ports für Whatsapp)
Und dann...Augen zu und durch. Bei dem ersten Schreiben vom Anwalt wird sich dann wahrscheinlich der gutgemeinte öffentliche Hotspot erledigt haben.

Ein Frage habe ich noch für die Syslog-Protokollieren. Ist es erforderlich, dass ich hierfür einen extra Syslog-Server einsetzen muss oder reicht der Speicher des WLC dafür vollkommen aus. Muss oder sollte ich dort noch etwas einstellen oder reicht die Standardprotokollierung. Ich habe die Firewallregelung für "Allow Hotspot > Internet" auf Benachrichtung "SNMP" und "Syslog-Nachrichten senden" gestellt.

[stefanbunzel]

Hallo Immo,

Ist es erforderlich, dass ich hierfür einen extra Syslog-Server einsetzen muss oder reicht der Speicher des WLC dafür vollkommen aus.

Ich würde dir dringend einen externen Syslog-Server empfehlen. Da reicht ja i.d.R. ein Mini-PC locker aus. Bei zum Bsp. Kiwi kannst du schöne Filter anlegen und die Daten in verschiedenen täglichen Dateien sortiert ablegen und archivieren.
Der WLC kann zwar relativ viele Syslog-Meldungen selbst speichern. Aber gehe bitte davon aus, dass im Ernstfall eine Anfrage immer frühestens nach 14 Tagen bei dir auf dem Tisch liegt und dann vielleicht gerade der Syslog-Speicher im WLC bereits raus gealtert ist. Dann könntest du ein Problem bekommen.

Und dann...Augen zu und durch.

Dann kannst du in Zukunft auch immer nicht angeschnallt Auto fahren oder mit geschlossenen Augen quer über Straßen laufen.
Bedenke, es geht um deine persönliche Absicherung!

Viele Grüße
Stefan

[Immo]

OK - danke. Wir haben eine PRTG Paessler Netzwerk Monitor zur Überwachung eh laufen. Da es sich hierbei um einen Syslog Server handelt, versuche ich mal, dass der WLC seine Syslog-Meldungen dort hinsendet.
Hat vielleicht jemand zufällig hier im Forum das mit einem PRTG schon realisert? Bisher liest der PRTG bei uns nur die vordefinierten Sensoren der Netzwerkgeräte - auch von den Lancom-Geräten (Ping, Laufzeit, Traffic usw) aus. Eine Webprotokollierung ist aber nicht dabei. Ich hatte es schon mal probiert hinzubekommen, nach zwei erfolglosen Stunden hatte ich dieses Projekt wieder nach unten in den Stapel gesteckt. Aber wenn ich Deinen Rat befolge, werde ich wohl nicht darum kommen, das wieder nach oben zu legen.

[stefanbunzel]

Hat vielleicht jemand zufällig hier im Forum das mit einem PRTG schon realisert? Bisher liest der PRTG bei uns nur die vordefinierten Sensoren der Netzwerkgeräte - auch von den Lancom-Geräten (Ping, Laufzeit, Traffic usw) aus. Eine Webprotokollierung ist aber nicht dabei.

Auch wenn das hier zwar kein PRTG-Forum ist , hier mal ein Link zur möglichen Umsetzung: https://prtg.paessler.com/help/monitori ... _traps.htm

Ich nutze nur eine alte PRTG-Version, in der es definitiv keinen Syslog-Server gibt. Aber angeblich soll die aktuelle Version lt. o.g. Anleitung einen Syslog-Server inkl. diverser Filter enthalten. Kannst ja mal testen und hier berichten, ob du es damit umsetzen konntest.

Ich schwöre ja nach wie vor auf meinen Kiwi Syslog-Server - auch schon in einer recht betagten Version. Macht aber nach wie vor alles so, wie ich es mir wünsche. Inkl. E-Mail-Benachrichtigungen, Zip-Archivierung, diverse Filter für Ablage sowie Bildschirmdarstellung usw.

Viele Grüße
Stefan

[cpuprofi]

Hallo Stefan,

...Außerdem hatte ich natürlich auch immer Bedenken, ob ich als Provider überhaupt auf diese Schreiben der Polizei reagieren darf. Lt. Gesetz muss für diese Anfragen ein Gerichtsbeschluss vorliegen... Ich kann mich da an eine telefonische Diskussion mit einem netten Hauptkommissar erinnern, der mir nett erläuterte, dass ich natürlich keine Auskunft liefern muss. Die Herren würden sich auch bei Nicht-Antwort meinerseits alle erforderlichen Daten bei mir mit richterlichem Beschluss "abholen" = Hausdurchsuchung mit Beschlagnahme aller relevanten Beweismittel.
Und da ich dies schon einmal vor Jahren in einer ähnlichen Konstellation erleben "durfte" und dann damals rd. 4 Wochen in einem leeren Büro in aller Ruhe mal Staub wischen konnte, da viele Regale frei waren, hatte ich dann auf weitere Diskussionen dazu freiwillig verzichtet...

Dagegen hättest Du Dich aber locker mit einem Anwalt zur Wehr setzen können!

Denn Die Durchsuchung ist gesetzlich genau geregelt:

Code: Alles auswählen

Die Zulässigkeit der Durchsuchung beim Verdächtigen regelt § 102 der Strafprozeßordnung (StPO). Danach reicht für die Anordnung der Durchsuchung ein Anfangsverdacht, d.h. das Vorliegen zureichender tatsächlicher Anhaltspunkte, aus denen nach der kriminalistischen Erfahrung auf eine Steuerstraftat geschlossen werden kann, aus. Die Durchsuchung erstreckt sich auf die Wohnung des Verdächtigen und andere Räume sowie seine Person und ihm gehörende Sachen. Computer des Verdächtigen können durch Inbetriebnahme und Datenträgerreproduktion durchsucht werden. 

Und weiter gilt auch noch folgendes:

Code: Alles auswählen

Nicht von § 102 erfaßt sind Emails/Kommunikationsdaten des Verdächtigen. Sie unterfallen der Telekommunikationsüberwachung gemäß § 100a StPO. Danach ist die Durchsuchung nur möglich, wenn sich der Verdacht gegen den Betroffenen auf eine sogenannte Katalogtat des § 100a Abs. 2 bezieht. 

Zur Durchsuchung bei Dir:

Code: Alles auswählen

Zulässigkeit der Durchsuchung bei Dritten

Die Durchsuchung bei Dritten richtet sich nach § 103 StPO. Die Durchsuchung ist danach nur zulässig, wenn Tatsachen vorliegen, aus denen zu schließen ist, daß sich die Spur einer Straftat oder eine bestimmte Sache in den zu durchsuchenden Räumen befindet. Die Beweisgegenstände müssen in der schriftlichen Durchsungsanordnung konkret bezeichnet sein. Allein die Vermutung, der Dritte verfüge über alle relevanten Unterlagen seines Mandanten/Kunden in Kopie oder im Original reicht nicht aus. 

Zusammenfassend, wenn Du nicht der "Verdächtige" selber bist, ist die Handhabe der Beschlagnahme von "Computern und Gegenständen" bei Dir unzulässig (siehe § 102 StPO: Inbetriebnahme und Datenträgerreproduktion)!!! D.H. ein guter Anwalt hätte die Problematik schnell geklärt und die Polizei (der Staat) hätte Dir sogar Schadensersatz wegen der ungerechtfertigten Beschlagnahmung leisten müssen.

Aber so ein anmaßendes und gesetzlich nicht gerechtfertigtes "Verhalten" der Polizei ist mir sehr wohl bekannt, es erfolgt immer nach dem Motto "Einschüchtern und Erpressen" (was ja selber schon Straftatbestände sind)...

Aber wie schon gesagt, mit einem guten Anwalt hat man die Problematik schnell geklärt.

Grüße
Cpuprofi

[Jirka]

-AGBs zum Nachlesen auf einer freigeschalteten Internetseite zur Verfügung stellen. Dort die Musterregelungen von Lancom verwenden.

Die kannst Du direkt im LANCOM zur Verfügung stellen. ("Login nach Einverständniserklärung"; AGBs in den LANCOM hochladen)

-Freigabe der Zieldienste (Web- Port 80, 443, Mail und SECURE-MAIL sowie die entsprechenden Ports für Whatsapp)

Hauptsache Whatsapp läuft
Viel wichtiger sind die VPN-Ports.

Ein Frage habe ich noch für die Syslog-Protokollieren. Ist es erforderlich, dass ich hierfür einen extra Syslog-Server einsetzen muss oder reicht der Speicher des WLC dafür vollkommen aus.

Ja, erforderlich. Es muss aber kein extra Syslog-Server sein. Ein entsprechender Dienst, der auf einem sowieso existierenden Server läuft, reicht völlig aus. Der muss auch noch nicht mal vor Ort sein.

Muss oder sollte ich dort noch etwas einstellen oder reicht die Standardprotokollierung. Ich habe die Firewallregel für "Allow Hotspot > Internet" auf Benachrichtung "SNMP" und "Syslog-Nachrichten senden" gestellt.

Das alleine reicht nicht. Die entsprechenden Stufen müssen auch konfiguriert werden, wie in dem Link von mir oben beschrieben.

Wir haben eine PRTG Paessler Netzwerk Monitor zur Überwachung eh laufen. Da es sich hierbei um einen Syslog Server handelt,

Dabei handelt es sich um ein Monitoring-Programm, was einen abgespeckten Syslog-"Sensor" hat. Für Notfälle und Kleinszenarien brauchbar, für alles andere ungeeignet. Hierfür meiner Meinung nach eine Nummer zu klein.

Eine Webprotokollierung ist aber nicht dabei.

Einfach einen entsprechenden Sensor erstellen.

Viele Grüße,
Jirka

[stefanbunzel]

Hallo cpuprofi,

vielen Dank für deine ausführliche Antwort und die guten Hinweise.

Dagegen hättest Du Dich aber locker mit einem Anwalt zur Wehr setzen können!

Ich hatte ja auch nur angedeutet, dass ich leider schon mal diese negative Erfahrung als damaliger Geschäftsführer eines Bauunternehmens machen durfte. Da war ich noch nicht als WISP tätig. Gab es da überhaupt schon Internet...? Damals war die Hausdurchsuchung auch unberechtigt (kleine Verwechslung des Namens innerhalb der Familie: Dumm, wenn man mehrere Vornamen hat, was ja in Deutschland auch nicht unüblich ist!) und es gab danach große Entschuldigung sowie eine meiner Meinung nach minimale finanzielle Erstattung. Und ja, ich hatte damals eine sehr gute Anwältin. Und trotzdem hat die ganze Aktion locker 4 Wochen gedauert und zig Nerven gekostet! Und ich möchte nur mal andeuten, was das für ein "tolles" Gefühl ist, wenn die Kleiderschränke der gesamten (!) Familie nach "Akten" durchstöbert werden. Wobei die Zivilpolizisten, die dies ausführten, zum Glück höflich, nett und rücksichtsvoll waren. Also wirklich nicht so, wie typischerweise im Kino dargestellt.
Und wenn man soetwas einmal erlebt hat, dann will man das nicht noch mal mitmachen. Ist jedenfalls bei mir so.

Und leider gilt auch heute in Deutschland: Es gibt einen großen Unterschied zwischen Recht haben und Recht bekommen.

So, wir schweifen hier aber vom Thema ab. 16 Jahre später kann ich darüber auch fast lächeln...

Viele Grüße,
Stefan

[cpuprofi]

Hallo,

anbei mal ein Jura Blog mit Podcast zum Thema "Beschlagnahme von Computern & Daten".

http://rechtsanwalt-schwenke.de/beschla ... ra-podcast

Ist vielleicht für alle interessant...

Grüße
Cpuprofi

[Immo]

OK. PRTG habe ich aufgegeben. Der kann mir freudlich weiterhin mitteilen, wenn ein Lancom-Router ausgefallen ist oder wenn eine Richtfunk/VPNverbindung abgebrochen ist, aber mehr Infos bekomme ich da nicht raus.
Also habe ich Kiwi installiert. Läuft soweit und zeichnet fleißig auf. Leider habe ich im Netz keine ververständliche Anleitung gefunden, wie man das Aufzeichnungsergebnis ein wenig tunen kann, so dass es
a) augenfreundlicher und
b) auch auswertungstechnisch besser wird.

Mir schwebt eine Aufzeichnung der angemeldeten User vor (das ist ja bereits vorkonfiguriert in einem WLC) und die jeweiligen Verbindung der einzelnen IPs. Mehr interessiert mich eigentlich nicht. Hier wäre ich für einen Tip/Rat sehr dankbar.

Sofern irgendjemand eine deutschsprachige Hilfe/Anleitung gefunden hat, wäre ich auch hier für einen Tip sehr dankbar. Mein Schulenglisch ist doch nicht mehr so gut verhanden, um Kiwi vernünftig zu verstehen.

[cpuprofi]

Hallo,

und hier auch noch der Jura Blog mit Podcast zum Thema "Freies WLAN & Störerhaftung".

http://rechtsanwalt-schwenke.de/freies- ... a-podcast/

Bei der Podcast Time 00:42:00 geht es sogar um die "Firma Lancom"...

Es geht dabei um die "Störerhaftung" und nicht um "Straftaten nach der StPO"!

Grüße
Cpuprofi

[stefanbunzel]

Hallo Immo,

Mir schwebt eine Aufzeichnung der angemeldeten User vor

Wenn du im WLC Syslog auf externem Server aktivierst, aktivierst du demnach in LANconfig für die Login-Meldungen auch nur die Quelle "Login" sowie als Priorität "Information".

Kiwi ist eigentlich ganz leicht einzurichten: File - Setup:
Unter Rules legst du einfach entsprechende Regeln an. Beispiel (Kiwi Version 8.3.x):
- Filters: Priority: Haken bei "Auth" und "Info" (Kannst du aber theoretisch weglassen, wenn du bereits im WLC korrekt filterst!)
- Actions:
+ Log to File: Speicherort C:/.../Login_%DateISO.txt (somit jeden Tag neue Datei mit Datum im Dateinamen)
+ Log file Format: dd-mm-yyyy

Der Rest ist dann alles Spiel-Spaß und erst einmal nicht wichtig.
Das schafft man auch mit geringen Englisch-Grund-Kenntnissen...

Viele Grüße,
Stefan

[Immo]

Supi, vielen Dank.

Es läuft. Ich habe nun noch der Firewallregel Allow-Hotspot > Internet mitgegeben, dass sie den Kiwi benachrichten soll, wenn Pakete übertragen werden...und alle ist fein.

[Immo]

Nach der Pflicht kommt jetzt die Kür....
Ist es möglich, das der Kiwi für jedes Gateway eine eigene Log-Datei erstellt? Kiwi überwacht nun zwei Netzwerke, beides Syslog-Nachrichten der Router werden aber standardmäßig in einer Logdatei erfasst. Toll wäre es natürlich, wenn man für jedes Gateway eine eigene hätte. (z.B. Intranet und Hotspot).

[stefanbunzel]

Hallo Immo,

na klar, ganz einfach: kopiere die vorhandene Regel einfach und setze in beiden Regeln jeweils einen IP-Filter auf das jeweilige Gerät.

Viele Grüße, Stefan